04-自定义认证授权过滤器-SpringSecurity集成JWT

已于 2024-01-19 17:16:32 修改
阅读量438 收藏 8
点赞数 12
分类专栏: 项目:【今日指数金融】 # (十一)项目集成安全框架 文章标签: java SpringSecurity
于 2024-01-18 21:58:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44478828/article/details/135684492
版权

SpringSecurity框架中的AbstractAuthenticationProcessingFilter类中

protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
			Authentication authResult) throws IOException, ServletException {
//认证成功把认证对象信息放在安全上下文中,以便其他过滤器使用
		SecurityContextHolder.getContext().setAuthentication(authResult);
		if (this.logger.isDebugEnabled()) {
			this.logger.debug(LogMessage.format("Set SecurityContextHolder to %s", authResult));
		}
		this.rememberMeServices.loginSuccess(request, response, authResult);
		if (this.eventPublisher != null) {
			this.eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(authResult, this.getClass()));
		}
		this.successHandler.onAuthenticationSuccess(request, response, authResult);
	}

 SpringSecurity框架中是基于cookie/session技术保存http状态的,cookie/session技术有占用服务端资源等弊端,这里用JWT来代替

创建com.itheima.security.utils.JwtTokenUtil

package com.itheima.security.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * @author Piconjo
 * @date 2020/5/19  16:38
 */
public class JwtTokenUtil {
    // Token请求头
    public static final String TOKEN_HEADER = "authorization";
    // Token前缀
    public static final String TOKEN_PREFIX = "Bearer ";

    // 签名主题
    public static final String SUBJECT = "JRZS";
    // 过期时间
    public static final long EXPIRITION = 1000 * 60 * 60* 24 * 7;
    // 应用密钥
    public static final String APPSECRET_KEY = "itheima";
    // 角色权限声明
    private static final String ROLE_CLAIMS = "role";

    /**
     * 生成Token
     */
    public static String createToken(String username,String role) {
        Map<String,Object> map = new HashMap<>();
        map.put(ROLE_CLAIMS, role);

        String token = Jwts
                .builder()
                .setSubject(username)
                .setClaims(map)
                .claim("username",username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRITION))
                .signWith(SignatureAlgorithm.HS256, APPSECRET_KEY).compact();
        return token;
    }

    /**
     * 校验Token
     */
    public static Claims checkJWT(String token) {
        try {
            final Claims claims = Jwts.parser().setSigningKey(APPSECRET_KEY).parseClaimsJws(token).getBody();
            return claims;
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

    /**
     * 从Token中获取用户名
     */
    public static String getUsername(String token){
        Claims claims = Jwts.parser().setSigningKey(APPSECRET_KEY).parseClaimsJws(token).getBody();
        return claims.get("username").toString();
    }

    /**
     * 从Token中获取用户角色
     */
    public static String getUserRole(String token){
        Claims claims = Jwts.parser().setSigningKey(APPSECRET_KEY).parseClaimsJws(token).getBody();
        return claims.get("role").toString();
    }

    /**
     * 校验Token是否过期
     */
    public static boolean isExpiration(String token){
        Claims claims = Jwts.parser().setSigningKey(APPSECRET_KEY).parseClaimsJws(token).getBody();
        return claims.getExpiration().before(new Date());
    }
}

生成token,把用户的用户名和权限信息放置在token中响应给前端,在自定义拦截器MyUsernamePasswordAuthenticationFilter中修改代码

  @Override
    //认证成功时的回调方法
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        User user = (User) authResult.getPrincipal();
        String username = user.getUsername();
        Collection<GrantedAuthority> authorities = user.getAuthorities();
        //生成token
        String tokenStr = JwtTokenUtil.createToken(username, authorities.toString());
        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        response.setCharacterEncoding("UTF-8");
        Map<String,String> info = new HashMap<>();
        info.put("msg","登陆成功");
        info.put("code","1");
        //返回token给前端
        info.put("data",tokenStr);
        response.getWriter().write(new ObjectMapper().writeValueAsString(info));
    }

测试

敲代码的翠花
关注
  • 12
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security自定义认证授权过滤器
m0_62943934的博客
03-11 1190
如果对 Spring Security 了解不够请看这篇。SpringSecurity 内置的认证过滤器是基于post请求且为form表单的方式获取认证数据的,那如何接收前端Json异步提交的数据据实现认证操作呢?显然,我们可仿照UsernamePasswordAuthentionFilter类自定义一个过滤器并实现认证过滤逻辑;import com/*** 认证过滤器/*** 自定义构造器,传入登录认证的url地址} /*** 尝试去认证的方法。
Spring-Security自定义过滤器
实践求真知
11-28 1022
一参考文章 http://www.spring4all.com/article/422 二代码位置 https://github.com/cakin24/spring-security-demos/tree/master/02%20-%20%E8%87%AA%E5%AE%9A%E4%B9%89%E7%99%BB%E5%BD%95 三关键代码 1过滤器定义 package co...
SpringSecurity(四)——自定义数据源(Filter)
老程的小白博客空间
02-11 1307
本篇笔记记录用户自定义拦截器(Filter),这里仅举一个自定义登录拦截器的栗子。
Spring Security --- 自定义Filter
汤键的博客
06-15 2128
Spring Security --- 自定义Filter
Spring Security+jwt+redis+自定义认证逻辑 权限控制
Tian208的博客
02-23 1117
Spring Security+jwt+redis+自定义认证逻辑 权限控制
SpringSecurity + JWT自定义授权
weixin_44488164的博客
12-06 1015
SpringSecurity+JWT实现自定义授权 最近学习整合SpringSecurity到分布式框架中,看了几天授权这块实在太难理解,要实现传统的RBAC模型授权还是比较复杂,可能是还没有理解深入,翻了很多blog授权这块都讲的比较粗略,几乎都是对指定的url进行保护,就是如下代码:http.antMatchers("/page/admin").hasAuthority("AdminAcces...
SpringSecurity使用指南(一)自定义JWT认证流程
qq_34772568的博客
03-19 985
SpringSecurity是一个非常强大的安全验证框架,它通过一个过滤器链完成了对资源的访问控制。security框架本身提供了多种验证方式,如OA,Session等,但是有些情况下还是无法满足用户的需求,故此security框架也有非常大的扩展性,它允许用户自定义认证流程,下面我们就结合security实现一个jwt认证流程。 拦截登录请求 security框架中通过UsernamePassw...
SpringSecurity实现Jwt自定义登录
qq_45537574的博客
01-20 5206
文章目录一、SpringSecurity的工作流程二、springboot+springsecurity+jwt1、项目准备2、编写过滤器AuthenticationLoginFilter3、编写登录成功/失败处理器1、登录成功处理器LoginAuthenticationSuccessHandler2、登录失败处理器LoginAuthenticationFailureHandler4、实现UserDetailsService5、权限不足和未登录访问资源处理器1、权限不足处理器RequestAccessDen
SpringSecurity 源码解析 | 加JWT 实战 之 自定义认证流程
qq_31142237的博客
09-13 720
上篇我们已经源码分析了SpringSecurity登录认证流程。很多内容都是默认实现,实际的企业开发中,对接很多内容都会有自行的扩充和增加。 现在我们就实现自定以基于JWT登录认证,满足我们的登录需要。 为什么要基于JWT登录认证? 至于JWT相对于session的有点和好处我就不阐述了。主要说下我们用它来干嘛 企业研发中,任何api的调用都不会是轻而易举的,必须是有合法的权限和资格才行调用api,所以前端在调用api的时候,必须带上标识token,调用之前对其进行验证,验证通过,在...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring security 4 小例子带自定义过滤器
03-20
spring security 4 小例子带自定义过滤器
spring-webflux-security-jwt:使用Spring Reactive Webflux,Spring Boot 2和Spring Security 5的JWT授权认证实现
01-30
使用JWTSpring WebFlux和Spring Security Reactive进行身份验证和授权首先阅读的好文档在开始之前,我建议您先阅读下一份参考启用S​​pring WebFlux安全性在你的应用程序首先使Webflux安全@EnableWebFluxSecurity...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
SpringBoot-JWT-Token:JWT令牌,Spring-Security
rest-security-demo:基于Spring BootSpring SecurityJWT的REST服务安全认证
01-29
基于Spring Boot / Spring Security / JWT的REST服务安全认证 项目介绍 预备知识 认证流程 运行演示 获取令牌 测试账号:user/123456 接口地址:http://localhost:8080/auth/ 访问需要认证的接口 接口地址:...
解析SpringSecurity+JWT认证流程实现
08-18
我们首先需要配置SpringSecurity过滤器链,然后在认证流程中,我们使用JWT token来验证用户的身份。如果用户的身份验证成功,我们将生成一个JWT token,并将其传递给客户端。 六、结论 SpringSecurity+JWT认证...
SpringBoot 结合SpringSecurity+Jwt实现权限认证
热门推荐
LeiJie.Gao
09-12 1万+
首先创建RBAC 权限系统表 /* MySQL Backup Database: test Backup Time: 2018-09-12 11:53:20 */ SET FOREIGN_KEY_CHECKS=0; DROP TABLE IF EXISTS `test`.`role`; DROP TABLE IF EXISTS `test`.`user`; DROP TABLE IF EXI...
四、SpringSecurity自定义过滤器
a2231476020的博客
08-20 3629
在登录时添加图片验证码认证 添加获取图片验证码的接口: @RestController public class ImageCodeController { @Autowired private RedisTemplate redisTemplate; @GetMapping("/code/image") public void createCode(HttpS...
使用jwt自定义spring security认证过程
qq_43633220的博客
08-30 489
使用jwt自定义spring security认证过程前言一、创建UsernamePasswordAuthenticationFilter的子类二、失败或成功时的处理2.读入数据总结 前言 这部分好像已经不用自己写了,有框架已经实现了,不过是为了学习就自己写一遍吧 提示:以下是本篇文章正文内容,下面案例可供参考 一、创建UsernamePasswordAuthenticationFilter的子类 代码如下(示例): public class JwtLoginFilter extends Use.
SpringSecurity+JWT自定义用户认证服务
遭不住啊
08-23 774
一、导入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> <dependency> <groupId>org.springframework.boot&lt
spring security认证授权流程
最新发布
03-30
2. 认证过滤器链:Spring Security通过一系列的过滤器链来处理认证请求。其中最重要的是UsernamePasswordAuthenticationFilter,它负责处理用户名和密码的认证。 3. 用户认证:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

敲代码的翠花

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值