security整合jwt自定义认证请求接口总是要认证

于 2024-05-09 17:54:16 发布
阅读量292 收藏 5
点赞数 7
文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_46004130/article/details/138623530
版权

问题描述

用springSecurity+jwt做自定义登录描述的时候,发送任何请求携带了token还是会走默认的认证逻辑。并且也在自定义的jwt过滤器中做了认证逻辑。

解决方案

先看一下代码

// 生成authentication对象
SysUser sysUser = new SysUser();
sysUser.setAccount(claims.get("account").asString());
UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(sysUser,sysUser.getAuthorities());
// 告诉security已经认证了,否则会再去认证
authenticationToken.setAuthenticated(true);
// 放入上下文
SecurityContextHolder.getContext().setAuthentication(authenticationToken);
// 放行
doFilter(request, response, filterChain);

从jwt中读出载荷数据,生成UsernamePasswordAuthenticationToken 对象并且放入了上下文,但是还是会走认证逻辑。

跟着断点查看了很久发现在SpringSecurity的认证拦截器中有个方法调用的是Authentication接口的isAuthentication方法,如果返回的是true表示认证了,就不会走认证逻辑,否则重新认证。

于是尝试手动设置改成true

// 告诉security已经认证了,否则会再去认证
authenticationToken.setAuthenticated(true);

根本不行,不知道为啥,走不到这里。然后查看UsernamePasswordAuthenticationToken代码。终于发现构造方法用错了。

看一下这两种构造方法

 public UsernamePasswordAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        this.credentials = credentials;
        super.setAuthenticated(true);
    }

三个参数,会设置认证标志

public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
        super((Collection)null);
        this.principal = principal;
        this.credentials = credentials;
        this.setAuthenticated(false);
    }

两个参数,设置认证标识为未认证。

总结

也就是说我用错了构造方法,导致认证标识未改变,才会一直走认证逻辑。做后代码改成三参数的构造器就解决了

UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(sysUser, null,sysUser.getAuthorities());

幻境~
关注
SpringSecurity集成JWT实现后端认证授权保姆级教程-数据准备篇
乐于分享,共同成长
01-07 1255
SpringSecurity集成JWT实现后端认证授权保姆级教程-数据准备篇
SpringSecurity+JWT自定义用户认证服务
遭不住啊
08-23 880
一、导入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> <dependency> <groupId>org.springframework.boot&lt
Spring Boot 3 + JWT + Security 联手打造安全帝国:一篇文章让你掌握未来!
Innocence_0的博客
03-06 1862
已经成为java后台权限校验的第一选择.今天就通过读代码的方式带大家深入了解一下Security,本文主要是基于开源项目[spring-security)来讲解Spring Security + JWT(Json Web Token).实现用户鉴权,以及权限校验.所有代码基于jdk17+构建.现在让我们开始吧!
实战篇:Security+JWT组合拳 | 附源码
程序IT圈
07-03 554
之前我们已经说过用Shiro和JWT来实现身份认证和用户授权,今天我们再来说一下「SecurityJWT」的组合拳。简介先赘述一下身份认证和用户授权:用户认证(Authenticatio...
Spring Security 超详细整合 JWT,能否拿下看你自己!
热门推荐
08-31 1万+
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
一文带你了解springboot3+jwt+security的使用
weixin_54542328的博客
10-20 450
已经成为java后台权限校验的第一选择.今天就通过读代码的方式带大家深入了解一下Security,本文主要是基于开源项目spring-boot-3-jwt-security[1]来讲解Spring Security + JWT(Json Web Token).实现用户鉴权,以及权限校验. 所有代码基于jdk17+构建.现在让我们开始吧!项目使用postgresql数据库来存储用户信息以及Token(为啥不用Redis?这个先挖个坑),可以按照自己的想法替换成mysql数据库访问数据库使用的是jpa。
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring SecurityJWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring SecurityJWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
SpringBoot整合SpringSecurity+JWT实现认证与授权
weixin_44145156的博客
03-01 472
springsecurity实现认证和授权;
security整合jwt实现对前后端分离的项目进行权限认证.zip
08-26
总的来说,这个项目提供了一个实用的示例,演示了如何在Spring Boot整合JWT进行权限认证,这对于前后端分离的项目来说是至关重要的,因为它确保了用户数据的安全性,同时也简化了身份验证流程。开发者可以通过这个...
securityjwt结合的流程
m0_69911052的博客
01-13 1094
​​/*** 自定义注解防止表单重复提交*/@Inherited/*** 间隔时间(ms),小于此时间视为重复提交*/​/*** 提示消息*/public String message() default "不允许重复提交,请稍候再试";​​/*** 自定义操作日志记录注解*/​​//@Target 注解用于指定注解可以应用的目标元素类型。在这个例子中, @Log注解:可以应用在方法和参数上。
授权机制(OAuth2、JWTSecurity)- @by_TWJ
u010101252的博客
03-13 1428
授权机制(OAuth2、JWTSecurity) / 认证
权限认证SpringCloud GateWay、SpringSecurity、OAuth2.0、JWT一网打尽!
最新发布
m0_62461358的博客
03-31 2574
​ 客户端向 Spring Cloud Gateway 发出请求。如果Gateway处理程序映射确定一个请求与路由相匹配,它将被发送到Gateway Web处理程序。这个处理程序通过一个特定于该请求的过滤器链来运行该请求。过滤器被虚线分割的原因是,过滤器可以在代理请求发送之前和之后运行逻辑。所有的"pre"(前)过滤器逻辑都被执行。然后发出代理请求。在代理请求发出后,"post"(后)过滤器逻辑被运行。
SpringBoot框架篇】16.security整合jwt实现对前后端分离的项目进行权限认证
皓亮君的博客
08-01 5133
使用Spring Security+JWT实现对前后端分离的项目进行权限认证
mybatis基础学习(二)
weixin_33851429的博客
11-16 116
在前面内容里,已经通过mybatis简单实现了一个查询功能,接下来主要通过XNL实现的方式,使用接口调用的方式,分别实现简单的CRUD的功能 mybatis XML方式###1、select示例以一个简单的用户权限控制为例,上面是权限控制对应表结构的ER图。在src/main/java下的tk.mybatis.simple.model包里新建对应的实体类。此处省略实体类的创建内容,五个类为SysU...
Spring Security 认证
weixin_42609405的博客
03-03 1518
Spring Security 认证
Spring Security 结合 JWT使用
0
03-14 1857
Spring Security的原理主要基于的概念。在Web应用程序中,每个请求都会通过一系列的过滤器,Spring Security就是在这个过程中介入并进行安全相关的操作。Spring Security的核心原理可以概括为以下几点:1. 认证(Authentication):认证是验证用户身份的过程。用户提供用户名和密码,通过Spring Security认证过程进行验证。认证可以使用内置的用户名密码验证、LDAP、数据库验证或自定义验证等。
使用jwtsecurity和登录功能的实现
lmxx9939的博客
06-05 1236
登录功能的实现
Security+jwt+验证码实现验证和授权
爱哭的毛毛虫的博客
11-26 5096
微服务Security+jwt+验证码实现认证和授权简要介绍基本流程核心代码测试 简要介绍 本次博客采用Spring Securityjwt、验证码的形式实现登录验证,项目本上是一个前后端分离项目。如果你的项目在登陆时不需要验证码,你只需要在后续的代码中,将有关验证码的过滤器删除。 基本流程 1、前端请求后端"/captcha"验证码接口,后端生成验证码文本及编码并将其存入redis缓存,然后返回验证码文本(五个字符)和验证码base64编码给前端。 2、前端显示验证码图片,用户输入用户名、密码、验证码
Spring Security整合JWT:实现无状态认证
"深入理解JWTSpring-Security整合应用" 在现代Web开发中,随着前后端分离和移动应用的普及,JSON Web Token (JWT) 成为了实现用户认证和授权的一种流行方式。JWT允许用户在无需携带传统Session Cookie的情况下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值