Spring Boot实战之Filter实现简单的Http Basic认证

最新推荐文章于 2024-07-26 12:20:10 发布
最新推荐文章于 2024-07-26 12:20:10 发布
阅读量2.1k 收藏 4
点赞数
分类专栏: Spring Boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zlh313_01/article/details/79126739
版权

Spring Boot实战之Filter


本文在上一篇文章http://blog.csdn.net/sun_t89/article/details/51912905 的基础上,给每个rest接口上添加过滤器,使用过滤器实现简单的Http Basic认证


1、Filter功能

filter功能,它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够在一个request到达servlet之前预处理request,也可以在离开 servlet时处理response.换种说法,filter其实是一个”servlet chaining”(servlet 链).
一个Filter包括:
1)、在servlet被调用之前截获;
2)、在servlet被调用之前检查servlet request;
3)、根据需要修改request头和request数据;
4)、根据需要修改response头和response数据;
5)、在servlet被调用之后截获.


2、定义自己的过滤器

新增HTTPBasicAuthorizeAttribute.java

如果请求的Header中存在Authorization: Basic 头信息,且用户名密码正确,则继续原来的请求,否则返回没有权限的错误信息

[java]  view plain  copy
  1. package com.xiaofangtech.sunt.filter;  
  2.   
  3. import java.io.IOException;  
  4.   
  5. import javax.servlet.Filter;  
  6. import javax.servlet.FilterChain;  
  7. import javax.servlet.FilterConfig;  
  8. import javax.servlet.ServletException;  
  9. import javax.servlet.ServletRequest;  
  10. import javax.servlet.ServletResponse;  
  11. import javax.servlet.http.HttpServletRequest;  
  12. import javax.servlet.http.HttpServletResponse;  
  13.   
  14. import com.fasterxml.jackson.databind.ObjectMapper;  
  15. import com.xiaofangtech.sunt.utils.ResultMsg;  
  16. import com.xiaofangtech.sunt.utils.ResultStatusCode;  
  17. import sun.misc.BASE64Decoder;  
  18.   
  19. @SuppressWarnings("restriction")  
  20. public class HTTPBasicAuthorizeAttribute implements Filter{  
  21.       
  22.     private static String Name = "test";  
  23.     private static String Password = "test";  
  24.   
  25.     @Override  
  26.     public void destroy() {  
  27.         // TODO Auto-generated method stub  
  28.           
  29.     }  
  30.   
  31.     @Override  
  32.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  
  33.             throws IOException, ServletException {  
  34.         // TODO Auto-generated method stub  
  35.           
  36.         ResultStatusCode resultStatusCode = checkHTTPBasicAuthorize(request);  
  37.         if (resultStatusCode != ResultStatusCode.OK)  
  38.         {  
  39.             HttpServletResponse httpResponse = (HttpServletResponse) response;  
  40.             httpResponse.setCharacterEncoding("UTF-8");    
  41.             httpResponse.setContentType("application/json; charset=utf-8");   
  42.             httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);  
  43.   
  44.             ObjectMapper mapper = new ObjectMapper();  
  45.               
  46.             ResultMsg resultMsg = new ResultMsg(ResultStatusCode.PERMISSION_DENIED.getErrcode(), ResultStatusCode.PERMISSION_DENIED.getErrmsg(), null);  
  47.             httpResponse.getWriter().write(mapper.writeValueAsString(resultMsg));  
  48.             return;  
  49.         }  
  50.         else  
  51.         {  
  52.             chain.doFilter(request, response);  
  53.         }  
  54.     }  
  55.   
  56.     @Override  
  57.     public void init(FilterConfig arg0) throws ServletException {  
  58.         // TODO Auto-generated method stub  
  59.           
  60.     }  
  61.       
  62.     private ResultStatusCode checkHTTPBasicAuthorize(ServletRequest request)  
  63.     {  
  64.         try  
  65.         {  
  66.             HttpServletRequest httpRequest = (HttpServletRequest)request;  
  67.             String auth = httpRequest.getHeader("Authorization");  
  68.             if ((auth != null) && (auth.length() > 6))  
  69.             {  
  70.                 String HeadStr = auth.substring(05).toLowerCase();  
  71.                 if (HeadStr.compareTo("basic") == 0)  
  72.                 {  
  73.                     auth = auth.substring(6, auth.length());    
  74.                     String decodedAuth = getFromBASE64(auth);  
  75.                     if (decodedAuth != null)  
  76.                     {  
  77.                         String[] UserArray = decodedAuth.split(":");  
  78.                           
  79.                         if (UserArray != null && UserArray.length == 2)  
  80.                         {  
  81.                             if (UserArray[0].compareTo(Name) == 0  
  82.                                     && UserArray[1].compareTo(Password) == 0)  
  83.                             {  
  84.                                 return ResultStatusCode.OK;  
  85.                             }  
  86.                         }  
  87.                     }  
  88.                 }  
  89.             }  
  90.             return ResultStatusCode.PERMISSION_DENIED;  
  91.         }  
  92.         catch(Exception ex)  
  93.         {  
  94.             return ResultStatusCode.PERMISSION_DENIED;  
  95.         }  
  96.           
  97.     }  
  98.       
  99.     private String getFromBASE64(String s) {    
  100.         if (s == null)    
  101.             return null;    
  102.         BASE64Decoder decoder = new BASE64Decoder();    
  103.         try {    
  104.             byte[] b = decoder.decodeBuffer(s);    
  105.             return new String(b);    
  106.         } catch (Exception e) {    
  107.             return null;    
  108.         }    
  109.     }  
  110.   
  111. }  


3、在SpringRestApplication类中注册过滤器,给user/*都加上http basic认证过滤器

[java]  view plain  copy
  1. package com.xiaofangtech.sunt;  
  2.   
  3. import java.util.ArrayList;  
  4. import java.util.List;  
  5.   
  6. import org.springframework.boot.SpringApplication;  
  7. import org.springframework.boot.autoconfigure.SpringBootApplication;  
  8. import org.springframework.boot.context.embedded.FilterRegistrationBean;  
  9. import org.springframework.context.annotation.Bean;  
  10.   
  11. import com.xiaofangtech.sunt.filter.HTTPBasicAuthorizeAttribute;  
  12.   
  13. @SpringBootApplication  
  14. public class SpringRestApplication {  
  15.   
  16.     public static void main(String[] args) {  
  17.         SpringApplication.run(SpringRestApplication.class, args);  
  18.     }  
  19.       
  20.     @Bean  
  21.     public FilterRegistrationBean  filterRegistrationBean() {  
  22.         FilterRegistrationBean registrationBean = new FilterRegistrationBean();  
  23.         HTTPBasicAuthorizeAttribute httpBasicFilter = new HTTPBasicAuthorizeAttribute();  
  24.         registrationBean.setFilter(httpBasicFilter);  
  25.         List<String> urlPatterns = new ArrayList<String>();  
  26.         urlPatterns.add("/user/*");  
  27.         registrationBean.setUrlPatterns(urlPatterns);  
  28.         return registrationBean;  
  29.     }  
  30. }  


4、测试

代码中固定用户名密码都为test,所以对接口进行请求时,需要添加以下认证头信息

Authorization: Basic dGVzdDp0ZXN0

dGVzdDp0ZXN0 为 test:test 经过base64编码后的结果


如果未添加认证信息或者认证信息错误,返回没有权限的错误信息




当认证信息正确,返回请求结果



zlh313_01
关注
专栏目录
Spring Boot OAuth2 认证服务器搭建及授权码认证演示
oscar999的专栏
07-26 973
本篇基于JDK8 搭建Spring Boot 的OAuth 2的认证服务器, 并完全显示授权码认证模式的完整过程
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
今天大佬告诉你Spring Boot 实现通用 Auth 认证的 4 种方式!
weixin_54556126的博客
07-26 444
最近一直被无尽的业务需求淹没,没时间喘息,终于接到一个能让我突破代码舒适区的活儿,解决它的过程非常曲折,一度让我怀疑人生,不过收获也很大,代码方面不明显,但感觉自己抹掉了 java、Tomcat、Spring 一直挡在我眼前的一层纱。对它们的理解上了一个新的层次。 好久没输出了,于是挑一个方面总结一下,希望在梳理过程中再了解一些其他的东西。由于 Java 繁荣的生态,下面每一个模块都有大量的文章专门讲述。所以我选了另外一个角度,从实际问题出发,将这些分散的知识串联起来,各位可以作为一个综述来看。...
Spring Boot - 开启 HttpBasic 认证方式
qq_29761395的博客
01-03 5378
文章目录思路实践环境新建项目测试参考 思路 想要开启 HttpBasic 认证方式,服务器需要设置响应头 WWW-Authenticate: Basic realm="Realm"。当客户端(浏览器)访问指定的 URL,就会触发 HttpBasic 认证方式: 当用户在 Sign in 对话框中输入用户名和密码,点击 Sign in 按钮之后,浏览器使用 Base64 对用户名和密码进行编码,然后将其放在 Authorization 请求头中发送给服务器: 注意:因为浏览器使用 Base64 对用户名和
Spring Boot 中使用 Filters 实现请求过滤和预处理
最新发布
2301_76419561的博客
07-26 2004
过滤器(Filter)是一种在Web应用中用于拦截和处理HTTP请求和响应的对象。在Java Web开发中,过滤器是实现特定功能,如认证、日志记录和字符编码处理的重要工具。过滤器的基本概念定义:过滤器是一种可以动态地拦截传入的请求和传出的响应,并对这些请求和响应进行预处理和后处理的对象。作用:过滤器可以检查和修改请求头和响应头、处理cookies、验证用户提交的数据等。过滤器的工作原理工作流程:当一个请求到达服务器时,它会首先通过过滤器链,每个过滤器都有机会对请求进行处理。
springboot集成spring-security实现httpbasic
weixin_44281922的博客
06-27 758
httpbasicspring security,spring boot
Spring Boot实战Filter实现简单Http Basic认证(*)
weixin_42408447的博客
11-16 1007
Spring Boot实战Filter 1.Filter功能 filter功能,它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够在一个request到达servlet之前预处理request,也可以在离开 servlet时处理response.换种说法,filter其实是一个”servlet chaining”(servlet 链). 一个Filter包括: 1)在servlet被调用之前截获; 2)在servl
Spring Boot - Filter实现简单Http Basic认证
weixin_30491641的博客
03-05 195
Copy自http://blog.csdn.net/sun_t89/article/details/51916834 @SpringBootApplicationpublic class SpringRestApplication { public static void main(String[] args) { SpringApplication.run(SpringRes...
Spring Boot Actuator、Spring security、http basic authority整合
蒙眼狂奔
07-30 1187
接口安全状态管理,spring boot actuator
Springboot +spring security,认证方式---HTTP基本认证实现
weixin_40991408的博客
05-28 850
Springboot +spring security,认证方式---HTTP基本认证实现
Spring Security 实战内容:Spring Boot 中的 Spring Security 自动配置初探
V539413949的博客
04-09 498
1. 前言 我们发现 Spring Security Starter相关的 Servlet 自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE(当前 Spring Boot 版本为2.1.9.RELEASE) 模块的路径org.springframework.boot.autoconfigure.security.servlet 之下。其实官方提供的Starter组件的自动配置你都能在spring-boot-autoconfigure-2.1.9.RELEASE下找.
spring-boot-basic-auth:使用基本身份验证的安全Spring Boot REST API
02-04
弹簧启动基本认证 使用基本身份验证来保护Spring Boot REST API
详解在Spring-Boot实现通用Auth认证的几种方式
08-27
主要介绍了详解在Spring-Boot实现通用Auth认证的几种方式,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot 实战Filter实现简单Http Basic认证
【欢迎关注公众号:冬瓜白】
10-27 535
Spring Boot实战Filter 本文在上一篇文章http://blog.csdn.net/sun_t89/article/details/51912905 的基础上,给每个rest接口上添加过滤器,使用过滤器实现简单Http Basic认证 1、Filter功能 filter功能,它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够在一个request到达servlet之前预处理request,也可以
SpringBoot添加过滤器Filter
欢迎来到我的博客
07-15 1515
了解过滤器和拦截器的区别过滤器推荐使用第2种方法,使用spring管理,可以设置order过滤器中如果读取了body数据,需要回写回去,让后续操作能读取到body。
springboot Basic Auth 暴露API 访问认证
亲测,只为展现最完美的有效!
04-17 5933
因为 Basic Auth 的身份信息是卸载请求中,被截获账号密码可能会泄露,为此增加一重ip认证 在实际应用中,可能会用spring boot 写一些微服务去做底层的一些预处理,然后再开放一些接口传输数据。为了安全,同城要做一些访问的认证,也不用选太复杂的认证方式,就用Basic Auth就可以,再在此基础上再做一些认证,比如这里的ip。 为此,需要两个方面的思考 1、如何做...
基于springboot2.0配置Filter拦截器获取http请求参数、响应时间等信息
CS568591377的专栏
05-21 4410
1.需求说明 公司要求采集项目api接口信息(请求地址、请求参数、响应时间等),便于后期业务优化 2.实现方案 采用filter拦截器实现采集日志,后来发现有两个问题需要解决,1、filter读取IO流信息后,不能再被Controller获得导致接口错误;2、文件等资源上传报错 解决思路:1、继承HttpServletRequestWrapper回写请求参数数据;2、文件上传不做拦截处理 当前市面上搜索到的解决方案配置的拦截器代码如下: import org.slf4j.Logger;.
Spring-Boot实现通用Auth认证的几种方式
weixin_53341657的博客
01-04 427
前言 最近一直被无尽的业务需求淹没,没时间喘息,终于接到一个能让我突破代码舒适区的活儿,解决它的过程非常曲折,一度让我怀疑人生,不过收获也很大,代码方面不明显,但感觉自己抹掉了 java、Tomcat、Spring 一直挡在我眼前的一层纱。对它们的理解上了一个新的层次。 好久没输出了,于是挑一个方面总结一下,希望在梳理过程中再了解一些其他的东西。由于 Java 繁荣的生态,下面每一个模块都有大量的文章专门讲述。所以我选了另外一个角度,从实际问题出发,将这些分散的知识串联起来,各位可以作为一个综述来看。各个模
精通Spring Boot——第十六篇:初探Spring Security,使用Http Basic认证
weixin_33795093的博客
11-25 758
2019独角兽企业重金招聘Python工程师标准>>> ...
提供一个 Spring Gateway 集成 Spring Security 的范例
08-05
当然可以!下面是一个简单的示例,演示如何在Spring Gateway中集成Spring Security: 首先,您需要在项目的pom.xml文件中添加以下依赖项: ```xml<dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-gateway</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 然后,创建一个Spring Security配置类,用于配置安全规则和认证管理器。这是一个示例配置类: ```java@Configuration@EnableWebFluxSecuritypublic class SecurityConfig { @Bean public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) { return http .authorizeExchange() .pathMatchers("/api/public/**").permitAll() .anyExchange().authenticated() .and() .httpBasic() .and() .build(); } @Bean public ReactiveAuthenticationManager authenticationManager() { UserDetails user = User.withDefaultPasswordEncoder() .username("admin") .password("password") .roles("ADMIN") .build(); return new UserDetailsRepositoryReactiveAuthenticationManager(new MapReactiveUserDetailsService(user)); } } ``` 在这个配置中,我们定义了一个规则,允许访问`/api/public/**`的路径,其他路径需要进行身份验证。`UserDetailsRepositoryReactiveAuthenticationManager`用于验证用户凭据,并使用基于内存的用户存储。 接下来,创建一个Spring Gateway配置类,用于配置路由规则和过滤器。这是一个示例配置类: ```java@Configurationpublic class GatewayConfig { @Bean public RouteLocator customRouteLocator(RouteLocatorBuilder builder) { return builder.routes() .route("api_route", r -> r.path("/api/**") .filters(f -> f.filter(new AuthFilter())) .uri("http://your-backend-service")) .build(); } } ``` 在这个配置中,我们定义了一个路由规则,将以`/api/**`开头的请求转发到后端服务。我们还添加了一个名为`AuthFilter`的过滤器,用于在请求被转发之前进行身份验证。 最后,创建一个自定义过滤器类来执行身份验证逻辑。这是一个示例过滤器类: ```javapublic class AuthFilter implements GatewayFilter, Ordered { private static final String AUTHORIZATION_HEADER = "Authorization"; private static final String BEARER_PREFIX = "Bearer "; @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { String token = extractTokenFromRequest(exchange.getRequest()); if (token != null && isValidToken(token)) { // 身份验证通过,继续处理请求 return chain.filter(exchange); } else { // 身份验证失败,返回未授权的响应 exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED); return exchange.getResponse().setComplete(); } } private String extractTokenFromRequest(ServerHttpRequest request) { List<String> headers = request.getHeaders().get(AUTHORIZATION_HEADER); if (headers != null && !headers.isEmpty()) { String headerValue = headers.get(0); if (headerValue.startsWith(BEARER_PREFIX)) { return headerValue.substring(BEARER_PREFIX.length()); } } return null; } private boolean isValidToken(String token) { // 在此处验证token的有效性,可以根据实际需求进行实现 // 返回true表示token有效,返回false表示token无效 return true; } @Override public int getOrder() { return Ordered.HIGHEST_PRECEDENCE; } } ``` 在这个过滤器中,我们从请求中提取出Authorization头部中的Bearer令牌,并验证其有效性。根据实际需求,您可以自定义身份验证逻辑。 以上就是一个简单Spring Gateway集成Spring Security的示例。您可以根据自己的需求进行进一步的定制和扩展。希望对您有所帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值