SpringSecurity结合filter实现对请求数据解密、返回数据加密

最新推荐文章于 2024-08-02 10:35:35 发布
最新推荐文章于 2024-08-02 10:35:35 发布
阅读量2.4k 收藏 20
点赞数
分类专栏: 前端 java 文章标签: angular.js 前端 angular
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zaige66/article/details/119411079
版权
java 同时被 2 个专栏收录
19 篇文章 0 订阅
订阅专栏
前端
3 篇文章 1 订阅
订阅专栏

文章目录

场景

  1. 现有需求是数据在传输时是明文传输,用抓包工具可对请求数据和响应数据修改后重放,不安全
  2. 现有架构是:前端-angular,后端-springboot+SpringSecurity
  3. 预期实现方式:前端-在angular 的http拦截器中,对请求和返回数据进行处理,后端-通过过滤器对数据进行处理

选择

  1. 后端为什么要选择过滤器进行处理
	因为项目采用了SpringSecurity,SpringSecurity就是通过过滤器实现的,如果采用其他方式,
	无法处理登录时候的数据包
  1. 如何将自定义的过滤器添加在SpringSecurity之前
  • 方式一:自己注册filter,并设置order为小于-100的数,SpringSecurity的filter的顺序是-100
	@Bean
    public FilterRegistrationBean registerLoginCheckFilter() {
        EncryptFilter requireLoginFilter = new EncryptFilter();
        FilterRegistrationBean registrationBean = new FilterRegistrationBean();
        registrationBean.setFilter(requireLoginFilter);
        registrationBean.addUrlPatterns("/*");
        registrationBean.setName("EncryptFilter");
        registrationBean.setOrder(-101);
        return registrationBean;
    }
  • 方式二:将自己的filter配置到SpringSecurity中
	@Override
    public void configure(HttpSecurity http) throws Exception {
        http.addFilterBefore(new EncryptFilter(), UsernamePasswordAuthenticationFilter.class);
  1. 选择哪种加密方式

最终采用的是AES加密

  • MD5 : 不可逆
  • RSA:加密内容长度有限制,过长的数据需要处理分段加密
  • BASE64:不安全,可直接反编码看到明文
  1. springMvc请求中,body数据只能被读取一次

编写wapper类,将body数据保存下来,重写获取的方法,详见 实现

实现

java

过滤器

package net.rjgf.starter.config;

import com.alibaba.fastjson.JSONObject;
import net.rjtx.common.util.AESUtil;
import net.rjtx.common.util.HttpResponseUtil;
import org.springframework.util.StringUtils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class EncryptFilter implements Filter {

    // AES 加密key,16位长度,换成自己的即可
    private String key = "1234567891234567";

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        MyRequestWrapper requestWrapper = new MyRequestWrapper((HttpServletRequest) servletRequest);
        MyResponseWrapper responseWrapper  = new MyResponseWrapper((HttpServletResponse) servletResponse);
        // POST 请求才进行解析
        if (requestWrapper.getMethod().equals("POST")){
            String body = requestWrapper.getBody();
            if (!StringUtils.isEmpty(body)) {
                JSONObject jsonObject = JSONObject.parseObject(body);
                Object data = jsonObject.get("data");
                String s = null;
                try {
                    s = AESUtil.aesDecrypt(data.toString(), key);
                } catch (Exception e) {
                    e.printStackTrace();
                }

                requestWrapper.setBody(s);
            }
        }

        filterChain.doFilter(requestWrapper,responseWrapper);


        // 对返回数据进行加密
        String responseData = responseWrapper.getResponseData("UTF-8");
        JSONObject jsonObject = new JSONObject();
        try {
            jsonObject.put("data",AESUtil.aesEncrypt(responseData,key));
        } catch (Exception e) {
            e.printStackTrace();
        }
        // 输出
        HttpResponseUtil.output((HttpServletResponse) servletResponse,jsonObject);
    }
}

MyRequestWrapper

用于 request对象 body数据的重复读取

package net.rjgf.starter.config;

import org.apache.commons.io.IOUtils;
import org.apache.commons.lang3.StringUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.util.Arrays;
import java.util.Map;

public class MyRequestWrapper extends HttpServletRequestWrapper {
    private  String body;
    public MyRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        this.body = getBodyString(request);
    }
    public String getBody() {
        return body;
    }
    public void setBody(String body) {
        this.body = body;
    }
    public String getBodyString(final HttpServletRequest request) throws IOException {
        String contentType = request.getContentType();
        String bodyString = "";
        StringBuilder sb = new StringBuilder();
        if (StringUtils.isNotBlank(contentType) && (contentType.contains("multipart/form-data") || contentType.contains("x-www-form-urlencoded"))) {
            Map<String, String[]> parameterMap = request.getParameterMap();
            for (Map.Entry<String, String[]> next : parameterMap.entrySet()) {
                String[] values = next.getValue();
                String value = null;
                if (values != null) {
                    if (values.length == 1) {
                        value = values[0];
                    } else {
                        value = Arrays.toString(values);
                    }
                }
                sb.append(next.getKey()).append("=").append(value).append("&");
            }
            if (sb.length() > 0) {
                bodyString = sb.toString().substring(0, sb.toString().length() - 1);
            }
            return bodyString;
        } else {
            return IOUtils.toString(request.getInputStream());
        }
    }
    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream bais = new ByteArrayInputStream(body.getBytes());
        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }
           @Override
            public boolean isReady() {
                return false;
            }
            @Override
            public int read() {
                return bais.read();
            }
            @Override
            public void setReadListener(ReadListener readListener) { }
        };
    }
    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }
}

MyResponseWrapper

用于对response返回的body数据可重复读取处理

package net.rjgf.starter.config;

import javax.servlet.ServletOutputStream;
import javax.servlet.WriteListener;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;
import java.io.*;

public class MyResponseWrapper extends HttpServletResponseWrapper {

    private ByteArrayOutputStream buffer = null;
    private ServletOutputStream out = null;
    private PrintWriter writer = null;
    public MyResponseWrapper(HttpServletResponse response) throws IOException{
        super(response);
        buffer = new ByteArrayOutputStream();
        out = new WapperedOutputStream(buffer);
        writer = new PrintWriter(new OutputStreamWriter(buffer, "UTF-8"));
    }
    @Override
    public ServletOutputStream getOutputStream() throws IOException {
        return out;
    }
    @Override
    public PrintWriter getWriter() throws IOException {
        return writer;
    }
    @Override
    public void flushBuffer() throws IOException {
        if (out != null) {
            out.flush();
        }
        if (writer != null) {
            writer.flush();
        }
    }
    @Override
    public void reset() {
        buffer.reset();
    }

    public String getResponseData(String charset) throws IOException {
        flushBuffer();
        byte[] bytes = buffer.toByteArray();
        try {
            return new String(bytes, charset);
        } catch (UnsupportedEncodingException e) {
            return "";
        }
    }

    public void setResponseData(String charset) throws IOException {
        buffer = new ByteArrayOutputStream();
        buffer.write(charset.getBytes());
    }

    class WapperedOutputStream extends ServletOutputStream {
        private ByteArrayOutputStream bos = null;
        public WapperedOutputStream(ByteArrayOutputStream stream) throws IOException {
            bos = stream;
        }
        @Override
        public void write(int b) throws IOException {
            bos.write(b);
        }
        @Override
        public boolean isReady() {
            return false;
        }
        @Override
        public void setWriteListener(WriteListener listener) {
        }
    }
}

AESUtil

AES 加解密 工具类

public class AESUtil {
    /**
     * 将byte[]转为各种进制的字符串
     *
     * @param bytes byte[]
     * @param radix 可以转换进制的范围,从Character.MIN_RADIX到Character.MAX_RADIX,超出范围后变为10进制
     * @return 转换后的字符串
     */
    public static String binary(byte[] bytes, int radix) {
        return new BigInteger(1, bytes).toString(radix);// 这里的1代表正数
    }

    /**
     * base 64 encode
     *
     * @param bytes 待编码的byte[]
     * @return 编码后的base 64 code
     */
    public static String base64Encode(byte[] bytes) {
        byte[] encode = Base64.getEncoder().encode(bytes);
        return  new String(encode);
    }

    /**
     * base 64 decode
     *
     * @param base64Code 待解码的base 64 code
     * @return 解码后的byte[]
     * @throws Exception
     */
    public static byte[] base64Decode(String base64Code) throws Exception {
        return StringUtils.isEmpty(base64Code) ? null : Base64.getDecoder().decode(base64Code);
    }

    /**
     * 获取byte[]的md5值
     *
     * @param bytes byte[]
     * @return md5
     * @throws Exception
     */
    public static byte[] md5(byte[] bytes) throws Exception {
        MessageDigest md = MessageDigest.getInstance("MD5");
        md.update(bytes);

        return md.digest();
    }

    /**
     * 获取字符串md5值
     *
     * @param msg
     * @return md5
     * @throws Exception
     */
    public static byte[] md5(String msg) throws Exception {
        return StringUtils.isEmpty(msg) ? null : md5(msg.getBytes());
    }

    /**
     * 结合base64实现md5加密
     *
     * @param msg 待加密字符串
     * @return 获取md5后转为base64
     * @throws Exception
     */
    public static String md5Encrypt(String msg) throws Exception {
        return StringUtils.isEmpty(msg) ? null : base64Encode(md5(msg));
    }


    /**
     * AES加密
     *
     * @param content    待加密的内容
     * @param encryptKey 加密密钥
     * @return 加密后的byte[]
     * @throws Exception
     */
    public static byte[] aesEncryptToBytes(String content, String encryptKey) throws Exception {

        byte[] raw = encryptKey.getBytes("utf-8");
        SecretKeySpec skeySpec = new SecretKeySpec(raw, "AES");
        Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");//"算法/模式/补码方式"
        cipher.init(Cipher.ENCRYPT_MODE, skeySpec);

        return cipher.doFinal(content.getBytes("utf-8"));
    }

    /**
     * AES加密为base 64 code
     *
     * @param content    待加密的内容
     * @param encryptKey 加密密钥
     * @return 加密后的base 64 code
     * @throws Exception
     */
    public static String aesEncrypt(String content, String encryptKey) throws Exception {
        return base64Encode(aesEncryptToBytes(content, encryptKey));
    }


    /**
     * AES解密
     *
     * @param encryptBytes 待解密的byte[]
     * @param decryptKey   解密密钥
     * @return 解密后的String
     * @throws Exception
     */
    public static String aesDecryptByBytes(byte[] encryptBytes, String decryptKey) throws Exception {


        byte[] raw = decryptKey.getBytes("utf-8");
        SecretKeySpec skeySpec = new SecretKeySpec(raw, "AES");
        Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
        cipher.init(Cipher.DECRYPT_MODE, skeySpec);

        byte[] decryptBytes = cipher.doFinal(encryptBytes);

        return new String(decryptBytes);
    }


    /**
     * 获得密钥
     *
     * @param secretKey
     * @return
     * @throws NoSuchAlgorithmException
     * @throws InvalidKeyException
     * @throws InvalidKeySpecException
     */
    protected SecretKey generateKey(String secretKey) throws NoSuchAlgorithmException, InvalidKeyException, InvalidKeySpecException {

        SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("AES");
        DESKeySpec keySpec = new DESKeySpec(secretKey.getBytes());
        keyFactory.generateSecret(keySpec);
        return keyFactory.generateSecret(keySpec);
    }

    /**
     * 将base 64 code AES解密
     *
     * @param encryptStr 待解密的base 64 code
     * @param decryptKey 解密密钥
     * @return 解密后的string
     * @throws Exception
     */
    public static String aesDecrypt(String encryptStr, String decryptKey) throws Exception {
        return StringUtils.isEmpty(encryptStr) ? null : aesDecryptByBytes(base64Decode(encryptStr), decryptKey);
    }

    public static void main(String[] args) throws Exception {
        String content = "123456";
        System.out.println("加密前:" + content);

        System.out.println(content.length());
        String key = "1234567891234567";
        System.out.println("加密密钥和解密密钥:" + key);

        String encrypt = aesEncrypt(content, key);
        System.out.println("加密后:" + encrypt);

        String decrypt = aesDecrypt(encrypt, key);
        System.out.println("解密后:" + decrypt);
    }

    
    

}

angular

主要是对http拦截器的改写

  1. 安装 crypto-js
    npm install crypto-js
    npm install --save @types/crypto-js
  2. 使用
    import { AES, mode, pad, enc } from’crypto-js’;
  3. 方法
  • 加密
encryptByEnAES(data: string): string {
    let Key = enc.Utf8.parse("1234567891234567");// 秘钥长度需要是16的倍数,且需要进行Utf8转义。
    let tmpAES = AES.encrypt(data, Key, {
      mode: mode.ECB,
      padding: pad.Pkcs7
    });
    return tmpAES.toString();
  }
  • 解密
encryptByDeAES(data: string): string {
    let Key = enc.Utf8.parse("1234567891234567");// 秘钥长度需要是16的倍数,且需要进行Utf8转义。
    let tmpDeAES = AES.decrypt(data, Key, {
      mode: mode.ECB,
      padding: pad.Pkcs7
    });
    return tmpDeAES.toString(enc.Utf8);
  }
  • 调用思路

对前端的 HttpRequest 与 HttpResponse 对象的body数据进行替换即可

 // 发送数据加密
    let newReq
    if (req.body != null) {
      newReq = req.clone({
        url: url,
        body: {"data": this.encryptByEnAES(JSON.stringify(req.body))}
      });
    }else{
      newReq = req.clone({
        url: url
      });
    }

if (rsp.url.toString().indexOf(environment.SERVER_URL) != -1){
      // 处理解密
      console.log(JSON.parse(this.encryptByDeAES(rsp.body["data"])))
      ev = rsp.clone({
        body: JSON.parse(this.encryptByDeAES(rsp.body["data"]))
      });
    }
zaige66
关注
专栏目录
SpringBoot 通过Filter与AOP实现请求加密解密功能
我就是我不一样的美男子!
09-30 5809
SpringBoot 通过Filter与AOP实现请求加密解密功能 对所有请求信息进行解密解密之后传入Controller进行处理,Controller 处理完成之后返回结果信息在进行加密返回; 执行流程: 前端请求(加密) -> Filter(解密) -> AOP -> Controller -> AOP(加密) -> Filter -> 前端解密) 为什么这么设计?这么设计有什么好处? 通过Filter 可以修改请求入参,对于已经开发完成的接口完全不需要修
SpringSecurity如何实现[加密]和[解码]?
2401_84002594的博客
04-12 899
学完之后,若是想验收效果如何,其实最好的方法就是可自己去总结一下。比如我就会在学习完一个东西之后自己去手绘一份xmind文件的知识梳理大纲脑图,这样也可方便后续的复习,且都是自己的理解,相信随便瞟几眼就能迅速过完整个知识,脑补回来。下方即为我手绘的MyBtis知识脑图,由于是xmind文件,不好上传,所以小编将其以图片形式导出来传在此处,细节方面不是特别清晰。但可给感兴趣的朋友提供完整的MyBtis知识脑图原件(包括上方的面试解析xmind文档)
Spring boot框架的后端过滤器设置
最新发布
m0_71751961的博客
08-02 628
1、设置LoginCheckFilter类用于编写过滤器implements实现接口Filter,注意要注释这个类,用@WebFilter注释,@WebFilter的作用就是为了让Spring架构的启动类,在项目运行的时候扫描到这个过滤器,如果不添加注释则过滤器不会使用。过滤器的作用是适用于页面的跳转拦截与拦截器的效果一样,这里为大家展示的是过滤器,我是用来拦截登录页面的跳转,意思就是在你没有输入账号和密码登录的时候不能进入登录后的页面进行数据查看。方法提供了一个标准的机制来实现这种过滤逻辑。
SpringSecurity加密解密以及使用JWT鉴权
DreamsArchitects的博客
11-03 1820
文章目录一、主要内容二、SpringSecurity加密解密1.pom依赖2.SpringSecurity配置类3.Controller4.Service5.Repository6.Model三、JWT1.JWT的组成头部载荷签名登录生成token以后每次访问的认证2.Java的JJWT认证实现测试类代码封装JwtUtil工具类3.修改登陆逻辑4.操作鉴权ControllerServiceServiceImpl测试:四、使用拦截器实现token鉴权1.自定义拦截器2.将自定义拦截器注册进Spring容器 一
Spring Security加密解密
程序三两行
08-03 7648
我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。这是一种可以从任何数据中创建数字“指纹”的方法,常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algorithm)等。散列函数通过把消息或数据压缩成摘要信息,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,再重新创建成一个散列值,从而达到加密的目的。散列值通常用一个短的随机字母和数字组成的字
springSecurity实现密码加密和解码
zhangjunwen6666的博客
03-05 350
弄成一个bean交给springIoc进行管理。4.调用解码码方法但是响应速度出现问题。此时登录操作会受到影响。
filter 实现 请求数据返回数据加解密
疲劳的强哥
03-29 1万+
本文主要介绍了 如何在 过滤器中 对 请求数据返回数据 做处理
Spring Security使用数据库认证以及用户密码加密解密
qq_39182939的博客
02-29 2202
流程图: 1.接上一篇博客https://mp.csdn.net/console/editor/html/104576494,准备好环境。 2.spring-security.xml中的配置: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schem...
整合SpringSecurity和JWT实现登录认证和授权
Java升级之路的博客
09-07 4826
文章目录前言一、SpringSecurity是什么?二、JWT是什么?1. JWT的组成2. JWT实现认证和授权的原理三、整合步骤1. 引入相关依赖2. yml配置中加入jwt配置信息3. 添加JWT token的工具类4. 添加SpringSecurity的配置类5. 添加自定义结果处理类5.1 添加CustomAccessDeniedHandler5.2 添加CustomAuthenticationEntryPoint6. 添加JwtUser类7. 添加过滤器JwtAuthenticationTok
gateway oauth2 对称加密_Spring Security OAuth2 实现 使用JWT-不想当码农的程序员
weixin_39788386的博客
12-22 608
回过头来说一下资源服务 器的问题点吧,这里OAuth2+JWT用的是springsecurity ,具体怎么用springsecurity 搭建资源服务 器我就不说了。这里要讨论的问题是这样的,我们希望在spring mvc中,直接通过如下的形式获得登录用户信息@GetMapping("/me") public Authentication me(OAuth2Authentication...1、...
Spring Security + JWT 实现基于Token的安全验证
m0_56282664的博客
07-21 1213
Spring Security + JWT 实现基于Token的安全验证
Spring Security使用数据库认证及用户密码加密解密功能
08-24
主要介绍了Spring Security使用数据库认证及用户密码加密解密,本文通过代码与截图的形式给大家介绍的非常详细,对大家的工作或学习具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Boot2整合Shiro:BCrypt加密密码,springsecurity+BCryptPasswordEncoder实现加密注册登录 加密问题
qq_44970883的博客
12-13 1471
Spring Boot2+Shiro:加密密码注册, 登陆验证实现 一.前言 我在这与大家分享一下登陆验证时的一些问题和实现。应用考虑到安全,绝不能明文的方式保存密码(数据库不能存看得懂的秘密,一定程度也保证了用户的安全,同时也让很多攻破数据库的程序员没法瞎搞,比如 玩游戏出现用户的账号异地登陆之类的。。。) 有很多标准的算法比如SHA或者MD5(MD5可以用彩虹表暴力破解 后面会讲解如何破解),MD5结合salt(盐)是一个不错的选择,j 项目使用Shiro框架做密码验证时的改进。 学习内容: 提示:这里
【项目实战】前后端分离的SpringCloud项目如何通过AES对称加密算法对登录密码加解密
本本本添哥
01-15 1851
用户登录时,对登录密码进行加密传输,因此需要在前端提供简单的AES对称加密算法,实现加密,在后端实现解密
springboot中使用spring-security-core快速进行密码加密解密操作
m0_65206614的博客
10-12 353
springboot的密码快速加密
一篇文章带你入门 SpringSecurity实现密码加密和解码
南淮北安的博客
09-26 1万+
文章目录一、加密解密1. 为什么要加密2. 加密方案3. PasswordEncoder二、前期准备二、用户配置1. 配置文件2. 配置类 一、加密解密 1. 为什么要加密 2011 年 12 月 21 日,有人在网络上公开了一个包含 600 万个 CSDN 用户资料的数据库,数据全部为明文储存,包含用户名、密码以及注册邮箱。事件发生后 CSDN 在微博、官方网站等渠道发出了声明,解释说此数据库系 2009 年备份所用,因不明原因泄露,已经向警方报案,后又在官网发出了公开道歉信。在接下来的十多天里,金山
Spring Security系列教程之SpringSecurity密码加密解密
weixin_50965314的博客
05-09 4499
创建一个springboot工程导入相应坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-crypto</artifactId> </dependency> ` ```java @Autowired private P
SpringBoot整合SpringSecurity实现密码加密解密、登录认证退出功能
热门推荐
zeng的博客
04-15 1万+
Spring Security 一、简介 Spring SecuritySpring家族中的一个安全管理框架,一般Web应用都需要 认证 和 授权 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 授权:经过认证后判断当前用户是否有权限进行某个操作 二、快速入门 2.1 开发步骤 1、导入坐标 Spring Security 启动器 <dependency> <groupId>org.springframework.boot</groupId&g
爆破专栏丨Spring Security系列教程之SpringSecurity中的密码加密_spring(1)
2401_84102759的博客
05-14 1000
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取//放行register接口“)
springsecurity 如何实现通过GET请求也可以提交登录数据
05-25
Spring Security 默认情况下只支持 POST 方法提交登录数据。要支持 GET 方法提交登录数据,需要通过配置 `org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter` 过滤器的 `setPostOnly(false)` 方法来实现。 具体实现步骤如下: 1. 创建一个继承自 `UsernamePasswordAuthenticationFilter` 的类,重写其 `attemptAuthentication` 方法。 ```java public class CustomUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter { @Override public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException { if (!"POST".equals(request.getMethod()) && !"GET".equals(request.getMethod())) { throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod()); } // 处理登录请求 // ... } } ``` 2. 在 Spring Security 配置类中,将上述自定义的过滤器添加到过滤器链中,并设置 `setPostOnly(false)`。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailsService userDetailsService; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .loginProcessingUrl("/login") .and() .logout() .logoutUrl("/logout") .and() .csrf().disable() .addFilterAt(customUsernamePasswordAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } @Bean public CustomUsernamePasswordAuthenticationFilter customUsernamePasswordAuthenticationFilter() throws Exception { CustomUsernamePasswordAuthenticationFilter filter = new CustomUsernamePasswordAuthenticationFilter(); filter.setAuthenticationManager(authenticationManagerBean()); filter.setFilterProcessesUrl("/login"); filter.setPostOnly(false); return filter; } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } } ``` 这样就可以通过 GET 请求提交登录数据了。但是,由于 GET 请求会将参数暴露在 URL 中,存在安全风险,建议还是使用 POST 请求
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值