【Spring Security】使用 OncePerRequestFilter 过滤器校验登录过期、请求日志等操作

已于 2023-09-01 15:15:34 修改
阅读量3.6k 收藏 2
点赞数
分类专栏: # Spring Security 文章标签: java spring spring boot 后端
于 2023-08-31 11:34:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43657300/article/details/132596376
版权
文章介绍了如何在SpringSecurity框架中使用OncePerRequestFilter实现登录过期检查和操作日志记录,同时配置了SecurityConfiguration以管理鉴权和过滤器顺序。
摘要由CSDN通过智能技术生成

文章目录


前言

OncePerRequestFilter 是一个过滤器,每个请求都会执行一次;一般开发中主要是做检查是否已登录、Token是否过期和授权等操作,而每个操作都是一个过滤器,下面演示一下。


OncePerRequestFilter 使用

检查是否登录过期过滤器

import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 检查是否登录过期
 *
 * @author francis
 * @create: 2023-08-30 16:45
 **/
@Component
@Slf4j
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        log.info("进入 JwtAuthenticationTokenFilter ...");
        /**
         * 从 request 的 header 中拿出来 token
         */

        String token = request.getHeader("token");
        if (token == null || token.isEmpty()) {
            // 没有携带 token 则 放行
            filterChain.doFilter(request, response);
            return;
        }

        /**
         * 检查 token 是否过期逻辑 .....
         */
        // 放行
        filterChain.doFilter(request, response);
    }
}

检查是否登录过期过滤器

import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 请求日志
 *
 * @author francis
 * @create: 2023-08-31 10:15
 **/
@Component
@Slf4j
public class OperationLogFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        log.info("OperationLogFilter ...");
        /**
         * 操作日志记录 ...
         */
        // 放行
        filterChain.doFilter(request, response);
    }

}

SecurityConfiguration 配置


import com.security.filter.JwtAuthenticationTokenFilter;
import com.security.filter.OperationLogFilter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

/**
 * Security 配置类
 *
 * @author francis
 * @create: 2023-08-30 14:19
 **/
@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Autowired
    private OperationLogFilter operationLogFilter;


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                // 关闭csrf
                .csrf().disable()
                // 不通过 Session 获取 SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                    .authorizeRequests()
                        // 对于登录接口 允许匿名访问
                        .antMatchers("/login")
                            .permitAll()
                        // 除上面外的所有请求全部需要鉴权认证
                        .anyRequest()
                            .authenticated();

        // 在 UsernamePasswordAuthenticationFilter(验证用户) 之前执行
        // TODO 需要注意的是下面过滤器的顺序就是执行的顺序,使用 @Order 也没办法改变
        http
        		// 登录是否过期
                .addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class)
                // 请求日志
                .addFilterBefore(operationLogFilter, UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

}




End


杜小舟
关注
专栏目录
Spring MVC或Spring Boot使用Filter打印请求参数问题
12-21
使用Spring MVC或Spring Boot中打印或记录日志一般使用AOP记录Request请求和Response响应参数,在不使用AOP的前提下,如果在Filter中打印日志,在打印或消费请求类型为Content-Type:application/json的请求时,会出现严重的问题。 在Spring体系中,过滤器的定义我们一般采用继承OncePerRequestFilter的方式,当然也可以使用原始的Filter。 错误写法一: 如果不对request和response进行处理,使用伪代码采用如下写法打印请求和响应参数(注:此时request请求类型为Post,接收的是Json数据)
Spring: OncePerRequestFilter
玉汝于成
05-20 583
OncePerRequestFilterSpring Boot中的一个过滤器抽象类,它在Spring Security中也得到了广泛的应用。这个过滤器抽象类的主要目的是确保在每次外部请求时只执行一次过滤操作,对于服务器内部之间的forward等请求,则不会再次执行过滤方法。这个类设计的初衷是为了兼容不同的web容器,因为实际上并非所有的容器都会在一次请求中只过滤一次。Servlet版本的不同也可能导致执行过程的不同。
Spring 过滤器OncePerRequestFilter 应用详解
dazhong2012的专栏
06-04 3349
OncePerRequestFilterSpring提供的一个过滤器基类,它确保了在一次完整的HTTP请求中,无论请求经过多少次内部转发,过滤器的逻辑都只会被执行一次。这对于需要在请求处理之前或之后进行一次性设置或清理资源的场景特别有用。OncePerRequestFilterSpring框架中一个非常有用的工具,它可以帮助你在一次完整的HTTP请求中仅执行一次过滤器的逻辑。
Spring Security 过滤器 `OncePerRequestFilter` 和 `UsernamePasswordAuthenticationFilter`区别介绍
最新发布
qq_42631788的博客
09-02 900
适合用于需要在每个请求中执行自定义逻辑的情况,比如令牌验证和请求修改。适用于表单登录认证,它自动处理用户名和密码的验证。根据你的具体需求来选择合适的过滤器,能让你的 Spring Boot 应用更加安全和高效。希望这个文档能帮助你更好地理解这两个过滤器,并在开发中做出明智的选择。如果还有其他问题,欢迎提问!
SpringSecurity之添加过滤器
xkshihaoren的博客
11-28 4734
案例:实现验证码校验 1.使用过滤器实现验证码校验 1.1 创建过滤器 /** *spring security过滤器没有特别要求,一般继承filter即可。 *但是在spring中一般推荐使用OncePerRequestFilter(确保一次请求只会通过一次该过滤器) */ public class VerificationCodeFilter extends OncePerRequestFi...
OncePerRequestFilter 详解
热门推荐
qq_24910693的博客
08-26 4万+
1.OncePerRequestFilter 简介 OncePerRequestFilterSpring Boot里面的一个过滤器抽象类,其同样在Spring Security里面被广泛用到,这个过滤器抽象类通常被用于继承实现并在每次请求时只执行一次过滤。 2. servlet filter 为啥会多次执行 在servlet2.3中,Filter会经过一切请求,包括服务器内部使用的forward转发请求和<%@ include file=”/login.jsp”%>的情况 servl.
OncePerRequestFilter详解
qq_36551991的博客
11-14 7818
OncePerRequestFilterSpring框架提供的一个过滤器,确保在一次HTTP请求期间只执行一次特定的过滤器逻辑。通过使用onceperrequestfilter,我们可以实现过滤器在同一次请求中只执行一次的效果,提高程序性能。OncePerRequestFilter跟普通Filter的最大区别就是执行次数,OncePerRequestFilter可以确保在一次HTTP请求期间只执行一次特定的过滤器,避免过滤器多次执行的问题。
SpringOncePerRequestFilter过滤器
奔跑的菜鸡
08-26 1万+
SpringOncePerRequestFilter OncePerRequestFilter顾名思义,他能够确保在一次请求只通过一次filter,而不需要重复执行 大家常识上都认为,一次请求本来就只过一次,还要OncePerRequestFilter限制一次过滤干啥。 其实实际上因为不同的web container对请求的过滤方式都不一样,比如在servlet-2.3中,Filter会过滤一切请求,包括服务器内部使用forward转发请求和<%@ include file="/index.jsp"
SpringBoot - OncePerRequestFilter使用场景
记录并分享
08-17 1万+
OncePerRequestFilter类是一个实现了javax.servlet.Filter原生接口的抽象类。OncePerRequestFilter可以保证一次外部请求,只执行一次过滤方法,对于服务器内部之间的forward等请求,不会再次执行过滤方法。
java学习之SpringSecurity配置了登录链接无权限
06-16
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的...
Spring MVC过滤器-登录过滤的代码实现
08-31
Spring MVC框架中,过滤器Filter)是一个关键组件,用于在请求被处理之前或之后执行特定的操作。本文将深入探讨如何实现一个登录过滤器,该过滤器旨在拦截需要登录才能访问的页面,并确保用户已登录才能继续操作...
解决springmvc项目中使用过滤器来解决请求方式为post时出现乱码的问题
08-24
Spring MVC 项目中,使用过滤器来解决请求方式为 POST 时出现乱码的问题是非常重要的。本文将详细介绍如何使用过滤器来解决这个问题,并给大家带来详细的编程经验和技术分享。 在 Spring MVC 项目中,当请求方式为...
spring-boot 过滤器 filter
03-07
总结,Spring Boot过滤器机制提供了强大的请求处理能力,开发者可以根据需求创建并配置过滤器,实现各种定制化的操作。通过合理利用过滤器,可以提升应用的安全性、性能和用户体验。在实际开发中,应根据具体场景...
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者Token过期了,那么禁止访问系统。如果用户一直...
SpringSecurity权限框架项目开发教程(附讲义和源码)
09-05
Spring SecuritySpring家族中的重要成员,它基于Spring框架,提供了一套Web应用安全性的完整解决方案。本套视频教程适合具备一定软件开发经验的人员,学前需掌握JavaWeb和SSM框架。教程主要内容有:Spring Security框架概述、Spring Security入门和基本原理、Spring Security基于Web的权限方案、、Spring Security源码剖析,详细讲解了Spring Security框架,内容由浅入深,理论实践相结合,更深入源码级学习。 通过本套教程的学习,你将对于Spring Security框架在各种场景下的使用,以及内部的实现原理,有更加深入的认识。 课程讲义:注:讲义格式为markdown格式,可以下载相关markdown软件打开浏览。另:课程相关源码课在课程附件中学习。 
OncePerRequestFilter
gliberte的博客
07-06 1056
OncePerRequestFilter的作用与使用
Spring实用系列-深入了解SpringMVC OncePerRequestFilter过滤器原理
初学者
12-06 1万+
导语   OncePerRequestFilter作为SpringMVC中的一个过滤器,在每次请求的时候都会执行。它是对于Filter的抽象实现。比起特定的过滤器来说,这个过滤器对于每次的请求都进行请求过滤。下面就来分析OncePerRequestFilter 文章目录OncePerRequestFilter介绍org.springframework.web.filter.OncePerReq...
过滤器Filter和拦截器HandlerInterceptor
myfirstuser的博客
07-30 2281
1、过滤器 依赖于servlet容器。在实现上基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。 使用过滤器的目的是用来做一些过滤操作,获取我们想要获取的数据。 比如:在过滤器中修改字符编码;在过滤器中修改HttpServletRequest的一些参数,包括:过滤低俗文字、危险字符等。 Java中的Filter并不是一个标准的Servlet ,它不能处理...
springWeb---OncePerRequestFilter抽象类
池海
03-11 1343
作用: OncePerRequestFilter抽象类最主要的作用就是保证一次请求只通过一次filter,而不需要重复执行。从下图也可以看到在springfilter中都继承了OncePerRequestFilter,为什么要这么做呢? 场景: 通过官方英文注释可以找到一些解释,这个抽象类的出现是为了兼容不同的web容器。因为在不同的servlet版本中,执行过程也不同。例如: 在Servle...
如何在Spring Security使用过滤器检查 token 是否过期
05-19
Spring Security中,可以使用过滤器来检查token是否过期。具体实现步骤如下: 1. 创建一个继承自`OncePerRequestFilter`的过滤器,用于检查token是否过期: ```java public class JwtTokenAuthenticationFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { String token = extractToken(request); // 检查token是否过期,如果过期则返回错误信息 if (isTokenExpired(token)) { response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Token has expired"); return; } chain.doFilter(request, response); } private boolean isTokenExpired(String token) { // 解析token获取过期时间 Date expiration = getExpirationDateFromToken(token); // 检查当前时间是否晚于过期时间 return expiration.before(new Date()); } private String extractToken(HttpServletRequest request) { // 从请求头或请求参数中获取token String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return request.getParameter("token"); } private Date getExpirationDateFromToken(String token) { // 解析token获取过期时间 return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getExpiration(); } } ``` 2. 在Spring Security配置中将该过滤器添加到过滤器链中: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenAuthenticationFilter jwtTokenAuthenticationFilter; @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/authenticate").permitAll() .anyRequest().authenticated() .and() .addFilterBefore(jwtTokenAuthenticationFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 这样,当请求经过该过滤器时,将会检查token是否过期,并在token过期时返回错误信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值