Spring security 自定义 token 身份验证

最新推荐文章于 2025-03-22 01:08:16 发布
最新推荐文章于 2025-03-22 01:08:16 发布
阅读量682 收藏 4
点赞数 6
分类专栏: 让 Java 再次伟大! 文章标签: 数据库 java 后端 gradle 设计模式 spring boot spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ccmjga/article/details/143105034
版权

👉 请投票支持这款 全新设计的脚手架 ,让 Java 再次伟大!

在这里插入图片描述

前言

既然 Spring securtiy 的核心是 Filter chains,那我们只需要定义一个符合 security 标准的 filter ,再把自己的 chain 加入到 VirtualFilterChain 里面,就可以自定义身份验证的认证逻辑了。

之前提到过,大部分身份认证相关的过滤器都继承了 AbstractAuthenticationProcessingFilter。但是这一次我们让接下来的自定义过滤器不选择继承它,而是继承 OncePerRequestFilter。

这个类之前我们没有见过,其实它也是 security 框架提供的一个 VirtualFilter 父类。继承一个陌生的类听起来有点吓人,不过很快你就知道 AbstractAuthenticationProcessingFilter 也好,OncePerRequestFilter 也罢,都是 filter 而已。

自定义一个 Filter

我们参照 security 的基础身份认证过滤器 UsernamePasswordAuthenticationFilter 来编写我们的过滤器。这是不是意味着我们也必须使用模板设计模式来编写自定义过滤器的父类,然后聚合 providerManager 再自定义 provider 实现一整套 security 范式的身份认证代码?

不是的,你完全可以把 provider 的逻辑全部抽离出来加入到你的自定义过滤器里面。实际上我的过滤器一共就三个逻辑。非常简单并且可以工作的很好!

  1. 通过确认 token 的有效性来验证请求的身份。类似于 DaoAuthenticationProvider.additionalAuthenticationChecks。
  2. 从数据库检索出用户的详情,方便后续取用。类似于 DaoAuthenticationProvider. retrieveUser()。
  3. 将验证通过的身份资产(principal)封装到 UsernamePasswordAuthenticationToken,并设置到 security context。类似于 AbstractAuthenticationProcessingFilter.successfulAuthentication。
 @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain chain)
        throws ServletException, IOException {
   
        String header = request.getHeader(HttpHeaders.AUTHORIZATION);
        if (StringUtils.isEmpty(header) || !header.startsWith(BEARER_SPACE)) {
   
            globalExceptionHandler.commence(request, response, new AuthenticationException("非法的 token 请求参数") {
   
            });
            return;
        }

        String token = header.split(" ")[1].trim();
        try {
   
            TokenUtil.verifyToken(token, base64Secret);

        } catch (FoundationAppException e) {
   
            globalExceptionHandler.commence(request, response, new AuthenticationException("非法的 token"
最低0.47元/天 解锁文章
25. Spring Boot 2.x 最佳实践之 Spring Security+ Swagger+自定义拦截器Token权限校验
极客星云-优快云博客
05-17 2690
这篇博文来总结下Spring Boot 2.x+ Spring Security+ 自定义拦截器实现带Token权限控制最佳实战攻略.
二、SpringSecurity定义手机验证登录方式
时间海绵
05-24 1261
本文在SpringSecurity框架上进行扩展实现自定义手机验证码功能,同时分析实现原理,方便扩展成其它登录方式
SpringSecurity 进行自定义Token校验
weixin_30645617的博客
04-29 3709
背景 Spring Security默认使用「用户名/密码」的方式进行登陆校验,并通过cookie的方式存留登陆信息。在一些定制化场景,比如希望单独使用token串进行部分页面的访问权限控制时,默认方案无法支持。在未能在网上搜索出相关实践的情况下,通过官方文档及个别Stack Overflow的零散案例,形成整体思路并实践测试通过,本文即关于该方案的一个分享。 参考 官方文档:https://do...
spring security 实现自定义认证和登录(4):使用token进行验证
qq_45691577的博客
03-06 4238
前面我们实现了给客户端下发token,虽然客户端拿到了token,但我们还没处理客户端下一次携带token请求时如何验证,我们想要实现拿得到token之后,只需要验证token,不需要用户再携带用户名和密码了。
SpringSecurity 实现token 认证
最新发布
web15185420056的博客
03-22 318
Autowired@Override//1、获取请求头携带的tokenif(!//不需要token的路由可以直接放行return;response.getWriter().write(JSON.toJSONString(Result.failed(401,"token 非法","")));return;//放行。
3.Spring Security实现JWT token验证,GrantedAuthority接口,权限注解(@prePostEnabled、@Secured、@jsr250E)
相互学习 共同进步
04-24 4280
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
Spring Security定义身份认证过滤器
u011618818的博客
06-10 3354
概述 我们可以通过集成AbstractAuthenticationProcessingFilter或者现有的过滤器来完成自定义身份认证过滤器 身份验证过滤器的主要责任是何时进行身份认证以及如何进行身份认证等 实现案例 以下是实现案例,可根据需求进行拓展和剔除 1. 继承AbstractAuthenticationProcessingFilter public class GetRequestAuthenticationFilter extends AbstractAuthenticationProcess
Spring Security基于token的极简示例
D_J_Dragon的博客
08-30 1308
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,但是用起来有点复杂,为了便于学习理解,下面将用最简洁的配置和示例,展示整个流程。
SpringSecurity之JWT实现token认证和授权.zip
08-09
在Web应用开发中,安全一直是非常重要的一个方面。Spring Security基于Spring 框架,提供了一套Web应用安全性的完整解决方案。
spring security token认证_Spring Security 中的身份认证
weixin_39755952的博客
12-08 718
本文介绍 Spring Security身份认证的内容,研究 Spring Security 自带的身份认证方式和添加自己的身份认证方式的方法。身份认证相关组件在上一篇文章中,我们了解到了 Spring Security 会将 DelegatingFilterProxy 插入到 Servlet Filter Chain 中,然后将要过滤的请求通过 FilterChainProxy 代理给匹配的...
spring security定义认证登录
weixin_33860528的博客
12-21 412
spring security定义认证登录 1.概要 1.1.简介 spring security是一种基于 Spring AOP 和 Servlet 过滤器的安全框架,以此来管理权限认证等。 1.2.spring security定义认证流程 1)认证过程 生成未认证的AuthenticationToken ↑(获取信息) ...
Spring Security | Oauth2 /oauth/token定义授权实现底层源码浅析与实现
maple05的博客
03-06 3372
创建授权处理类需要继承TokenGranter来实现自定义授权方式,查看TokenGranter实现类的列表,这里选择使用AbstractTokenGranter,而AbstractTokenGranter是一个抽象类,需要继承这个类才能达到我们的目的。根据AbstractTokenGranter调用关系,我们主要重写getOAuth2Authentication就可以达到我们的目的了。自定义授权类demo。
springboot + spring security验证token进行用户认证
justlpf的专栏
05-19 7723
参考文章:springboot + spring security验证token进行用户认证
Spring Security 实战干货:使用 JWT 认证访问接口
码农小胖哥
11-08 3294
1. 前言 欢迎阅读Spring Security 实战干货系列。之前我讲解了如何编写一个自己的 Jwt 生成器以及如何在用户认证通过后返回 Json Web Token 。今天我们来看看如何在请求中使用 Jwt 访问鉴权。DEMO 获取方法在文末。 2. 常用的 Http 认证方式 我们要在 Http 请求中使用 Jwt 我们就必须了解 常见的 Http 认证方式。 2.1 HTTP Basi...
Spring Security OAuth2 自定义(增强)token信息
qq_36551991的博客
12-05 2028
Spring Security OAuth2提供了默认的token生成方式,但是有时候我们需要token携带一些我们自定义的信息,例如用户名、id等,这就需要我们自定义token信息
前后端分离架构 -- SpringSecurity用法+自定义token校验
weixin_44795847的博客
02-11 4251
前后端分离架构 -- SpringSecurity用法+自定义token校验
Spring Security定义认证登录详解与步骤
本文主要介绍了Spring Security定义认证登录的全过程,这是一种强大的基于Spring AOP和Servlet过滤器的安全框架,用于管理权限认证。Spring Security提供了四种常见的使用方式,从最简单的无数据库配置到更复杂的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值