自定义以及oauth2过滤器(AuthenticationFilter)使用@Autowired注入时会报null

最新推荐文章于 2023-05-21 11:01:52 发布
最新推荐文章于 2023-05-21 11:01:52 发布
阅读量996 收藏 3
点赞数 1
文章标签: servlet java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chuxuan0215/article/details/126156333
版权

网上搜到的都是Filter,在此记录一下

Bug原因:web应用启动的顺序是:listener->filter->servlet

解决方法:使用context中的ApplicationContextAware解决

工具类 

package cn.xxxx.common.utils;

import org.springframework.beans.BeansException;
import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationContextAware;
import org.springframework.stereotype.Component;

/**
 * Spring Context 工具类
 */
@Component
public class SpringContextUtils implements ApplicationContextAware {
	public static ApplicationContext applicationContext;

	@Override
	public void setApplicationContext(ApplicationContext applicationContext)
			throws BeansException {
		SpringContextUtils.applicationContext = applicationContext;
	}

	public static Object getBean(String name) {
		return applicationContext.getBean(name);
	}

	public static <T> T getBean(Class<T> clazz){
		return applicationContext.getBean(clazz);
	}

	public static <T> T getBean(String name, Class<T> requiredType) {
		return applicationContext.getBean(name, requiredType);
	}

	public static boolean containsBean(String name) {
		return applicationContext.containsBean(name);
	}

	public static boolean isSingleton(String name) {
		return applicationContext.isSingleton(name);
	}

	public static Class<? extends Object> getType(String name) {
		return applicationContext.getType(name);
	}

}

实现:SpringContextUtils.getBean(XXXX.class);

import org.apache.shiro.util.CollectionUtils;
import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;
import zztTrans.redissocket.RedisUtil;
import zztTrans.system.service.TransUserService;
import zztTrans.system.web.vo.TransUserQueryVo;
import zztTrans.util.shrio.TokenSubjectUtil;
import zztTrans.util.startuputil.SpringContextUtil;
 
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Set;
 
public class RoleFilter extends BasicHttpAuthenticationFilter {
 
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        System.out.println("isAccessAllowed");
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        System.out.println(httpServletRequest.getServletPath());
        String token = httpServletRequest.getHeader("token");
        String subject = TokenSubjectUtil.getSubject(token);
 
        if (subject == null || "".equals(subject)) {
            try {
                response.setContentType("application/json;charset=utf-8");
                response.getWriter().write("{\"code\":50005,\"message\":\"未登录\"}");
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
 
        boolean flat = false;
 
        if (token != null) {
 
            String[] rolesArray = (String[]) mappedValue;
 
            //使用context手动注入
            TransUserService transUserService = SpringContextUtil.getBean(TransUserService.class);
            String userId= transUserService.getUserid(token);
 
            if (rolesArray != null && rolesArray.length != 0) {
                Set<String> roles = CollectionUtils.asSet(rolesArray);
                for (String item : roles) {
 
                    TransUserQueryVo bean = transUserService.getTransUserQueryVo(userId, item);
                    if (bean!=null) {
                        flat = true;
 
                        //每次操作延长token的有效时间
                        RedisUtil.persist(token);
                        RedisUtil.expire(token, 604800);
                    }
                }
            }
 
        }
 
        return flat;
    }
 
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write("{\"code\":50008,\"message\":\"未授权\"}");
 
        return false;
    }
 
 
    /**
     * 对跨域提供支持
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }
 
 
}

 参考文献

oauth过滤login_Spring Security:OAuth2自定义过滤器,用于验证密码过期错误处理
weixin_34588509的博客
12-23 1074
我一直在尝试实现OAuth2密码到期过滤器,我不确定这样做的正确方法 . 想法如下:用户尝试登录 .如果密码已过期,用户将获得包含令牌的标头的响应 .用户使用该令牌重定向到密码更改页面(即/ password-change /) .他提交了他的旧密码和新密码,它会被更改 .某些其他控制器通过该令牌检索用户ID,并执行其余密码更改逻辑 .用户应该被重定向回初始登录页面,在那里他用新密码登录(如果他在...
Oauth2】五、登陆认证过滤器OAuth2LoginAuthenticationFilter
weixin_43333483的博客
07-23 1211
outh2过滤器的学习记录
过滤器@Autowired自动注入null
lanren312的博客
11-15 847
之前项目是部署在服务器上,运行java包没有任何问题,打war包部署在本地tomcat看log文件过滤器filter有个空指针错。原因应该是:拦截器(过滤器)加载是在springcontext创建之前完成的,所以在拦截器(过滤器)注入实体自然就为null。解决方法:使用WebApplicationContext 上下文对象来手动注入
5 客户端认证 OAuth2ClientAuthenticationFilter
Markix的博客
09-01 3572
当访问 OAuth2 相关接口时,授权服务器需要进行客户端认证。Spring Authorization Server 支持如下五种客户端认证方式:client_secret_basic、client_secret_post、client_secret_jwt、private_key_jwt、none (public clients)。核心拦截器为 OAuth2ClientAuthenticationFilter
filter中@Autowirednull解决办法
滴滴哒滴滴的博客
03-11 2897
filter中@Autowirednull原因是 filter在servlet容器初始化之前,导致我们filter中无法使用依赖注入 public class AccessFilter implements Filter { @Autowired private RedisUtils redisUtils; @Override public ...
oauth2自定义返回值_自定义Spring security oauth2 响应/异常信息
weixin_34779096的博客
01-12 2138
最近使用spring security oauth2 做开放平台,想要返回统一的返回值格式,做的过程中发现相当麻烦,好在效果总算达到了,在这里总结一下,希望能帮助到遇到相同问题的同学。实现方式并不完美,如果你有更好的方式或发现文内有问题,希望不吝赐教。Oauth2 协议有4种认证方式,项目里用到了客户端模式和密码模式,都是依托于spring security oauth2。开发过程中发现框架原生响...
Spring Cloud整合SpringSecurity OAuth2(全网最强)
web15185420056的博客
06-12 1万+
本文是梳理整合SpringCloud和SpringSecurity OAuth2的搭建流程!好久没撸SpringSecurity OAuth2这系列代码了,都快忘了,特写此文章梳理脉络!开干!!!微服务版本 SpringSecurity OAuth2版本 通过微服务版本限定后spring-security-oauth2-autoconfigure的最终版本自动适配为2.1.2刚开始我这里就不一次性把一大堆配置放上来,需要什么就写什么,不然到时候都搞不清那个配置是干嘛,有什么用的!这也是我写这个文章的缘由!授
security-oauth2(FilterChainProxy过滤器链代理的加载过程)
qq_33421961的博客
11-12 999
token的解析,是靠过滤器链中的过滤器来实现的,本章内容主要讲述了过滤器的加载过程 WebSecurityConfiguration配置类(源码核心配置类) 1 setFilterChainProxySecurityConfigurer()方法 @Configuration public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware { @Autowired(required = false).
Spring-Security-Oauth2学习笔记(3):自定义异常处理
qq_26121913的博客
02-13 5097
1 前言 上一章我们已经按照与前端的约定自定义了token的返回格式。同样的,程序在运行过程中会产生各种异常,这些默认的异常对前端非常的不友好,比如默认的Oauth2异常response的status=4XX,返回的格式如下: { "error": "invalid_grant", "error_description": "Bad credentials" } 现在我们同样要把...
Spring Security Oauth2 自定义DingTalkAuthenticationFilter登录钉钉小程序(以及登录 配置之后不生效 的问题)
weixin_43803409的博客
10-28 2230
Spring Security Oauth 自定义Filter 配置之后不生效 的问题问题解决过程追溯代码WebSecurityConfigurer extends WebSecurityConfigurerAdapter 是配置security的初始化DingTalkSecurityConfigurerDingTalkAuthenticationProviderDingTalkAuthenticationToken功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮
自定义标签中@Autowired的属性为null
01-25
自定义标签中@Autowired的属性为null 解决办法:两步 1.新建一个类SpringContext,实现接口ApplicationContextAware; 2.spring.xml中添加 3.使用SpingContext.getBean("bean名");获取
@Autowired注入null问题原因分析
08-26
主要介绍了@Autowired注入null问题原因分析吗,小编觉得挺不错的,对日后比较有帮助,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Filter使用@Autowired失败为null
qq_43248658的博客
05-09 1441
使用如下方式进行注入 public class ControllerFilter implements Filter { @Autowired private LogsPutDataBase logsPutDataBase; @Override public void init(FilterConfig arg0) throws ServletExc...
filter过滤器注入bean实例时注入失败null
hoaven的博客
05-30 6740
1、问题描述 SpringBoot中filter注入bean时注入失败,bean一直为空。 @Slf4j @Component public class RestAuthFilter extends FormAuthenticationFilter { //实际注入null @Autowired MobileDeviceService mobileDev...
OAuth2LoginAuthenticationFilter授权码登录回调扩展
qq_29415357的博客
05-21 561
OAuth2LoginAuthenticationFilter授权码登录回调扩展。
Spring Security Oauth2 添加自定义过滤器oauth2认证后API权限控制
热门推荐
Little_fxc的博客
06-18 2万+
Spring Security Oauth2 添加自定义过滤器oauth2认证后API权限控制 在搭建完 spring-security-oauth2 整个微服务框架后,来了一个需求: 每个微服务都需要对访问进行鉴权,每个微服务应用都需要明确当前访问用户和他的权限。 auth 系统的主要功能是授权认证和鉴权。 授权认证已经完成,那么如何对用户的访问进行鉴权呢? 首先需要明确什么时候发生鉴权?...
8-OAuth2LoginAuthenticationFilter
码农小胖哥
03-16 3153
当gitee收到OAuth2授权请求后,会向浏览器发出302重定向到redirect_uri的响应。由于默认情况下回调的路径满足/login/oauth2/code/*,该路径会被OAuth2LoginAuthenticationFilter过滤器拦截处理。本篇就对该过滤器执行的细节进行一个分析。 OAuth2LoginAuthenticationFilter 该类的思维导图如下: OAuth2登录认证逻辑 OAuth2LoginAuthenticationFilter的核心都在attemptAuthen
SpringSecurity系列 - 08 oauth2认证:ClientCredentialsTokenEndpointFilter 过滤器
你今天真好看呀
09-14 2108
Spring Seourity 中,允许系统同时⽀持多种不同的认证⽅式,例如同时⽀持⽤户名/密码认证、 ReremberMe 认证、⼿机号码动态认证等,⽽不同的认证⽅式对应了不同的 AuthenticationProvider,所以⼀个完整的认证流程可能由多个AuthenticationProvider 来提供。到这儿认证流程就结束了,但是我们可以继续往下看一下,底层如何根据username获取客户端用户信息的。
springboot Oauth2配置OAuth2AuthenticationProcessingFilter
huhanguang89的博客
05-23 1万+
工作中遇到一个比较蛋疼的情况,Oauth2人家的jar包封装的好好的,当access_token超时的时候,返回的是OAuth2Exception,格式是{"error":"invalid_request","error_description":"code:'401','msg'='Invalid access token'"}。可是公司其他和我对接的同事非要我统一所有的返回为code,msg。
Spring Boot Security OAuth2 JWT完整示例
05-25
Spring Boot Security是一个非常流行的安全框架,可以帮助开发人员实现各种安全功能。其中,OAuth2和JWT是两个非常重要的安全技术,可以用于实现授权和认证。下面是一个基于Spring Boot Security的完整示例,演示如何使用OAuth2和JWT实现安全功能。 1. 创建一个Spring Boot项目 使用Spring Initializr创建一个新的Spring Boot项目,添加以下依赖: - Spring Web - Spring Security - Spring Data JPA - H2 Database - Spring Security OAuth2 - jjwt 2. 添加配置文件 在application.properties文件中添加以下配置: ``` spring.datasource.url=jdbc:h2:mem:testdb spring.datasource.driverClassName=org.h2.Driver spring.datasource.username=sa spring.datasource.password= spring.jpa.database-platform=org.hibernate.dialect.H2Dialect spring.jpa.hibernate.ddl-auto=create-drop spring.h2.console.enabled=true spring.h2.console.path=/h2-console spring.security.oauth2.client.registration.myapp.client-id=myapp spring.security.oauth2.client.registration.myapp.client-secret=myappsecret spring.security.oauth2.client.registration.myapp.scope=read,write spring.security.oauth2.client.provider.myapp.authorization-uri=http://localhost:8080/oauth/authorize spring.security.oauth2.client.provider.myapp.token-uri=http://localhost:8080/oauth/token spring.security.oauth2.client.provider.myapp.user-info-uri=http://localhost:8080/userinfo spring.security.oauth2.client.provider.myapp.user-name-attribute=name ``` 这些配置将用于配置数据源、Hibernate、H2控制台和OAuth2。 3. 创建实体类和仓库 创建一个User实体类,用于表示用户信息: ```java @Entity @Table(name = "user") public class User { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; @Column(nullable = false, unique = true) private String username; @Column(nullable = false) private String password; @Column(nullable = false) private String email; // getters and setters } ``` 创建一个UserRepository接口,用于操作User实体类: ```java @Repository public interface UserRepository extends JpaRepository<User, Long> { Optional<User> findByUsername(String username); } ``` 4. 创建用户服务 创建一个UserService接口,用于定义获取用户和创建用户的方法: ```java public interface UserService { User createUser(String username, String password, String email); Optional<User> getUserByUsername(String username); } ``` 创建一个UserServiceImpl实现UserService接口,用于实现上述方法: ```java @Service public class UserServiceImpl implements UserService { @Autowired private UserRepository userRepository; @Autowired private PasswordEncoder passwordEncoder; @Override public User createUser(String username, String password, String email) { User user = new User(); user.setUsername(username); user.setPassword(passwordEncoder.encode(password)); user.setEmail(email); return userRepository.save(user); } @Override public Optional<User> getUserByUsername(String username) { return userRepository.findByUsername(username); } } ``` 5. 配置Spring Security 创建一个WebSecurityConfig类,用于配置Spring Security: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserService userService; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/oauth/**").permitAll() .anyRequest().authenticated() .and() .csrf().disable() .formLogin().disable() .httpBasic().disable() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(username -> userService.getUserByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("User not found: " + username))) .passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 这个配置类将所有请求都需要进行认证,但是允许OAuth2请求。同时,禁用了CSRF、表单登录、HTTP基本认证和会话管理。 6. 配置OAuth2 创建一个OAuth2Config类,用于配置OAuth2: ```java @Configuration @EnableAuthorizationServer public class OAuth2Config extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserService userService; @Autowired private PasswordEncoder passwordEncoder; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("myapp") .secret(passwordEncoder.encode("myappsecret")) .authorizedGrantTypes("authorization_code", "refresh_token") .scopes("read", "write") .redirectUris("http://localhost:8081/login/oauth2/code/myapp"); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager) .userDetailsService(username -> userService.getUserByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("User not found: " + username))) .accessTokenConverter(accessTokenConverter()) .pathMapping("/oauth/token", "/signin"); } @Bean public JwtAccessTokenConverter accessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey("secret"); return converter; } @Bean public TokenStore tokenStore() { return new JwtTokenStore(accessTokenConverter()); } } ``` 这个配置类定义了一个OAuth2客户端,将授权码和刷新令牌作为授权类型,并允许读取和写入作用域。同时,定义了一个端点配置,将认证管理器、用户详情服务、访问令牌转换器和令牌存储配置到端点上。 7. 创建控制器 创建一个UserController类,用于处理用户相关的请求: ```java @RestController @RequestMapping("/users") public class UserController { @Autowired private UserService userService; @PostMapping public User createUser(@RequestBody UserDto userDto) { return userService.createUser(userDto.getUsername(), userDto.getPassword(), userDto.getEmail()); } @GetMapping("/{username}") public User getUser(@PathVariable String username) { return userService.getUserByUsername(username) .orElseThrow(() -> new NotFoundException("User not found: " + username)); } } ``` 这个控制器中定义了创建用户和获取用户的方法。 8. 创建JWT过滤器 创建一个JwtFilter类,用于在请求中验证JWT令牌: ```java public class JwtFilter extends OncePerRequestFilter { private static final String AUTHORIZATION_HEADER = "Authorization"; @Autowired private JwtAccessTokenConverter accessTokenConverter; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String authorizationHeader = request.getHeader(AUTHORIZATION_HEADER); if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) { String token = authorizationHeader.substring(7); Authentication authentication = accessTokenConverter.extractAuthentication(token); SecurityContextHolder.getContext().setAuthentication(authentication); } filterChain.doFilter(request, response); } } ``` 这个过滤器会从请求头中获取JWT令牌,并使用令牌转换器验证令牌。如果验证通过,则将用户认证信息存储到Spring Security上下文中。 9. 注册JWT过滤器 在WebSecurityConfig类中,添加以下配置: ```java @Bean public JwtFilter jwtFilter() { return new JwtFilter(); } @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(jwtFilter(), UsernamePasswordAuthenticationFilter.class); // ... } ``` 这个配置将JwtFilter注册到Spring Security过滤器链中。 10. 创建JWT工具类 创建一个JwtUtils类,用于生成和解析JWT令牌: ```java public class JwtUtils { public static final String SUBJECT = "myapp"; public static String generateToken(User user) { Map<String, Object> claims = new HashMap<>(); claims.put("sub", SUBJECT); claims.put("id", user.getId()); claims.put("username", user.getUsername()); claims.put("email", user.getEmail()); Date now = new Date(); Date expiration = new Date(now.getTime() + 60 * 60 * 1000); return Jwts.builder() .setClaims(claims) .setIssuedAt(now) .setExpiration(expiration) .signWith(SignatureAlgorithm.HS256, "secret") .compact(); } public static Long getUserIdFromToken(String token) { Claims claims = Jwts.parser() .setSigningKey("secret") .parseClaimsJws(token) .getBody(); return claims.get("id", Long.class); } } ``` 这个工具类将用户信息存储到JWT令牌中,并使用HS256算法进行签名。 11. 创建DTO类 创建一个UserDto类,用于接收创建用户的请求: ```java public class UserDto { private String username; private String password; private String email; // getters and setters } ``` 12. 测试 启动应用程序,并使用以下命令创建一个用户: ``` curl -X POST -H 'Content-Type: application/json' -d '{"username":"test","password":"test123","email":"test@example.com"}' http://localhost:8080/users ``` 使用以下命令获取访问令牌: ``` curl -X POST -vu myapp:myappsecret http://localhost:8080/oauth/token -H 'Accept: application/json' -d 'grant_type=authorization_code&code={CODE}&redirect_uri=http://localhost:8081/login/oauth2/code/myapp' ``` 将{CODE}替换为授权码,并将返回的访问令牌用于获取用户信息: ``` curl -H 'Authorization: Bearer {ACCESS_TOKEN}' http://localhost:8080/users/test ``` 将{ACCESS_TOKEN}替换为访问令牌,在请求头中发送即可。 以上就是一个完整的Spring Boot Security OAuth2 JWT示例,演示了如何实现授权和认证。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值