resulful规范_Spring security前后端分离Json认证 跨域自定义Login Logout filter

最新推荐文章于 2023-02-24 18:26:16 发布
最新推荐文章于 2023-02-24 18:26:16 发布
阅读量378 收藏
点赞数
文章标签: resulful规范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39872222/article/details/112806566
版权
引言前端Vue采用Json登陆,通常是跨域的,而且由于是Resulful无状态的请求,认证后的状态都是靠后台发出的token保持。默认的Spring security认证完成后会进行302重定向,这显然不符合我们的要求。登陆成功后我们想返回用户的相关信息,也是Json,这就需要自定义配置。再加上token的处理。。好在Spring security全部都可以自定义,只是网上都是Sringboot的...
摘要由CSDN通过智能技术生成

引言

前端Vue采用Json登陆,通常是跨域的,而且由于是Resulful无状态的请求,认证后的状态都是靠后台发出的token保持。默认的Spring security认证完成后会进行302重定向,这显然不符合我们的要求。登陆成功后我们想返回用户的相关信息,也是Json,这就需要自定义配置。再加上token的处理。。

好在Spring security全部都可以自定义,只是网上都是Sringboot的配置,这次项目使用的繁琐的SpringMVC的xml配置,摸索了好久终于搞定。

1. 明确默认的Spring sercurity filter chain

自定义Spring sercurity,基本上就是自定义各种filter chain。以下是filter chain的顺序跟别名。具体可以查看官网。

这里明确以下我们需要替换的filter。

AliasFilter ClassNamespace Element or Attribute

CHANNEL_FILTER

ChannelProcessingFilter

http/intercept-url@requires-channel

SECURITY_CONTEXT_FILTER

SecurityContextPersistenceFilter

http

CONCURRENT_SESSION_FILTER

ConcurrentSessionFilter

session-management/concurrency-control

HEADERS_FILTER

HeaderWriterFilter

http/headers

CSRF_FILTER

CsrfFilter

http/csrf

LOGOUT_FILTER

LogoutFilter

http/logout

X509_FILTER

X509AuthenticationFilter

http/x509

PRE_AUTH_FILTER

AbstractPreAuthenticatedProcessingFilterSubclasses

N/A

CAS_FILTER

CasAuthenticationFilter

N/A

FORM_LOGIN_FILTER

UsernamePasswordAuthenticationFilter

http/form-login

BASIC_AUTH_FILTER

BasicAuthenticationFilter

http/http-basic

SERVLET_API_SUPPORT_FILTER

SecurityContextHolderAwareRequestFilter

http/@servlet-api-provision

JAAS_API_SUPPORT_FILTER

JaasApiIntegrationFilter

http/@jaas-api-provision

REMEMBER_ME_FILTER

RememberMeAuthenticationFilter

http/remember-me

ANONYMOUS_FILTER

AnonymousAuthenticationFilter

http/anonymous

SESSION_MANAGEMENT_FILTER

SessionManagementFilter

session-management

EXCEPTION_TRANSLATION_FILTER

ExceptionTranslationFilter

http

FILTER_SECURITY_INTERCEPTOR

FilterSecurityInterceptor

http

SWITCH_USER_FILTER

SwitchUserFilter

N/A

2. 自定义FORM_LOGIN_FILTER

首先就是FORM_LOGIN_FILTER,默认使用UsernamePasswordAuthenticationFilter,xml配置为http/form-login。该filter取得用户名跟密码的方法,就是单纯的调用request.getParameter(),这样是无法取得Json形式的用户名跟密码的。

在这里我们创建继承UsernamePasswordAuthenticationFilter的自定义Login filter。

import com.fasterxml.jackson.databind.ObjectMapper;

import org.springframework.security.authentication.BadCredentialsException;

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;

import org.springframework.security.core.Authentication;

import org.springframework.security.core.AuthenticationException;

import org.springframework.security.core.context.SecurityContextHolder;

import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.io.InputStream;

public class CustomAuthenticationFilter extends UsernamePasswordAuthenticationFilter{

@Override

public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)

throws AuthenticationException{

ObjectMapper mapper = new ObjectMapper();

UsernamePasswordAuthenticationToken token;

try (InputStream is = request.getInputStream()) {

// 从Json中获取用户名,密码

MAccount mAccount = mapper.readValue(is, MAccount.class);

token = new UsernamePasswordAuthenticationToken(mAccount.getLoginName(), mAccount.getLoginPassword());

} catch (IOException e) {

throw new BadCredentialsException(MessageUtil.getMessage("MSG_LOGIN_FAILURE"));

}

setDetails(request, token);

return this.getAuthenticationManager().authenticate(token);

}

}

复制代码

最低0.47元/天 解锁文章
weixin_39872222
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
acegi security实践教程—简单定制logoutFilter
03-12 3257
回顾:     logoutFilter过滤器,我已经带大家了解过了。其中注销是由handler.logout完成的。这就需要在配置文件中配置具体的handler,比如securitycontextlogouthandler,或者tokenbasedremembermeservices,大家可以看到logouthandler具体的实现类如下:        若我程序中就想只用Securit
Spring Security笔记:自定义Login/Logout Filter、AuthenticationProvider、AuthenticationToken
weixin_33907511的博客
08-03 251
在前面的学习中,配置文件中的<http>...</http>都是采用的auto-config="true"这种自动配置模式,根据Spring Security文档的说明: ------------------ auto-config Automatically registers a login form, BASIC authentication, logout se...
spring security 测试自定义logout,发生重定向
s_tupid的博客
02-24 567
spring security自定义logout,NONE_PROVIDED(String),重定向
springsecurity oauth2.0 自定义退出9
健康平安的活着的专栏
08-15 2900
security默认的退出 Spring security默认实现了logout退出,访问/logout: 实现逻辑: 点击“Log Out”退出 成功。 退出 后访问其它url判断是否成功退出。 二 自定义退出 2.1 配置文件中配置 在WebSecurityConfifig的protected void confifigure(HttpSecurity http)中配置: .and() .logout() .logoutUrl("/logout") .logoutSucc.
SpringSecurity自定义logoutHandler时无法注入spring容器内的组件
qq_41120971的博客
06-30 2095
无法注入bean的问题 注入redistemplate的时候,发现一直出现空指针异常,调查后发现,springsecurity中addLogoutHandler方法添加自定义logoutHandler是属于filter,而springmvc的启动顺序如下: web项目启动的时候,优先读取web.xml文件,并且先找到listener和context-param两个节点 创建一个ServlextContext上下文,并解析context-param节点,存入上下文中 创建listener实例,并执行lis
vue+springboot前后端分离实现单点登录跨域问题解决方法
08-28
Vue+SpringBoot前后端分离实现单点登录跨域问题解决方法 单点登录概述 单点登录(Single Sign-On,SSO)是指用户只需登录一次,即可访问所有相关的应用系统,而不需要在每个系统中重复登录。这种机制可以提高用户...
12 spring boot Security Jwt 前后端分离跨域登录
06-02
标题 "12 spring boot Security Jwt 前后端分离跨域登录" 提示我们这个项目是关于使用Spring Boot Security和JWT(JSON Web Tokens)技术来实现一个前后端分离跨域登录系统。在这个系统中,Spring Boot作为后端...
Springboot前后端分离项目配置跨域实现过程解析
08-18
Springboot前后端分离项目配置跨域实现过程解析 在本文中,我们将详细介绍Springboot前后端分离项目配置跨域实现过程。跨域问题是指在不同的域名、协议或端口之间的资源共享问题。在前后端分离的项目中,前端和后端...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
01-19
环境: 前端 vue ip地址:192.168.1.205 后端 springboot2.0 ip地址:192.168.1.217 主要开发后端。 问题: ...后续请求取出的用户都为null。 解决过程: ...后台添加过滤器,因为前后端分离,不可能每个方
前后端分离跨域问题
01-07
跨域问题来源于浏览器的同源策略。客户端和服务端不同IP不同端口都算跨域springboot解决跨域有cros,配置就是那几项。 如果把服务端程序部署在nginx上,在nginx 也可以解决,服务端和nginx只用写一个即可, ...
浅谈java分页三个类 PageBean ResponseUtil StringUtil
08-30
下面小编就为大家带来一篇浅谈java分页三个类 PageBean ResponseUtil StringUtil。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
前后端分离 Spring Security 对登出.logout()的处理
As_zyh的博客
02-18 2150
前端axios发出的post请求如下 logout() { this.axios.post(this.tools.serverAddr+'/logout') .then(function () { this.$message({ message: "注销成功", type: 'success', duration: 1000 });
SpringSecurity系列——自定义登录退出成功处理day5-3(源于官网5.7.2版本)
qq_51553982的博客
07-26 1211
根据上方官方文档的解释我们在前后端分离的项目中,并不需要用户退出后让后端进行重定向,而是要让后端提供给前端一个json数据以确定退出成功而且我们只要对LogoutSuccessHandler接口进行实现即可data.put("msg","退出登录成功");}}......
Spring RESTful服务接收和返回JSON最佳实践
Watson的码步
04-16 1565
个人学习参考所用,勿喷!     返回JSON 1) 用Maven构建web项目: 构建过程参考limingnihao的blog(写得相当的详细!!!):使用Eclipse构建Maven的SpringMVC项目 注解@ResponseBody可以将结果(一个包含字符串和JavaBean的Map),转换成JSON。由于Spring是采用对JSON进行了封装的jackso...
Spring boot 实现 Restful 服务,基于 HTTP / JSON 传输
weixin_34275734的博客
11-21 431
一、运行 springboot-restful 工程 1.数据库准备 a.创建数据库 springbootdb: b.创建表 city :(因为我喜欢徒步) c.插入数据 springboot-restful 工程项目结构介绍 springboot-restful 工程项目结构如下图所示: 复制代码org.spring.springboot.controller - Controller...
登录拦截器和遇到的各种跨域问题
m0_46818365的博客
02-03 586
登录拦截器和遇到的各种跨域问题 在需求增加的时候登录需要增加拦截器和token校验,首先是jwt的检验。 当登录成功时,后端会给前端发送一个jwt块,这个块存储着用户的登录信息,有用户的userID和userName。之后其余的接口要想进入必须携带这个jwt块,后端会通过preHandle来校验是否登录,登录就放行。这是最基本的登录操作,但是前端往往都会把这个每个接口都增加一个header,因此在login接口会遇到跨域的问题,所以必须设置 res.setHeader("Access-Contro
Spring security 自定义过滤器实现Json参数传递-并兼容表单参数
热门推荐
hu10131013的博客
09-11 10万+
依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <group.
Spring开发RESTful服务(JSON
tuolingss的专栏
04-30 1437
最近学习了Spring,学习环境为Spring4.3.8 + Eclipse + JDK1.8。 使用Spring开发了一个简单的RESTful服务,客户端的请求和服务端的答复都是json格式。 步骤如下: 1、建立一网站。路径:File->New->Web->Dynamic Web Project。 2、导入Spring的jar包。红框内的jar包是必须要导入的,其他的...
Spring Security 前后端分离跨域问题
最新发布
12-01
Spring Security 前后端分离跨域问题可以通过以下步骤解决: 1.在 Spring Security 的配置类中添加如下配置: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值