SpringSecurity升级之后token刷新接口401

最新推荐文章于 2025-01-03 23:41:17 发布
原创 最新推荐文章于 2025-01-03 23:41:17 发布 · 1.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SpringSecurity #/oauth/token #refresh_token #401

在自定义的认证服务器配置类中添加如下内容

@Override
@SuppressWarnings("deprecation")
public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
   
   
    security.tokenKeyAccess("permitAll()");
    security.
最低0.47元/天 解锁文章
springsecurity调用不同微服务报401的问题
weixin_44602460的博客
08-16 1923
场景 在开发中本模块需要调用用户的 feign接口来获取用户信息,但是出现了401, 原因是在访问其它模块微服务时没有携带token令牌. 解决方法 在调用服务中新建FeignConfig类并实现RequestInterceptor接口,重写apply方法。 public class FeignConfig implements RequestInterceptor { @Override public void apply(RequestTemplate requestTe
springCloud微服务系列——OAuth2+JWT——spring-security4升级到spring-security5
guduyishuai的博客
08-27 4846
目录 一、简介 二、问题 三、源码分析 四、解决方案 一、简介         spring boot2spring cloud Finchley版本使用的是spring-security5,在升级的过程中OAuth2+JWT遇到一些问题,这里记录一下。环境如下:         spring boot 2.0.3         spring cloud Finchley  ...
在SpringCloud 使用Security+Oauth2 时候再去使用fegin,发现出现401未授权
05-31
我们在使用spring cloud时如果设置了oauth2授权模式,那么应用服务A再调用服务B时使用Feign请求会出现401授权认证的问题,那么解决办法就是在feign调用请求时获取到assessToken并设置到请求header中就可以解决这个问题了,资源包中有2个文件:FeignRequestInterceptor.java(拦截器)、OAuth2RestTemplateConfiguration.java(设置header),2个JAVA类,在spring boot框架下,客户端只需要正常引入了授权的JAR包,并把这2两个类放到可以被加载到的目录就可以了,其他都不需要做,可以保证feign正常访问。
100 spring-security 中 /oauth/token 发送请求不携带参数 报错 “401 Unauthorized“
970655147的专栏
03-06 2804
前言 最近存在这样的一个问题, 大致的复现方式是 访问 /oauth/token 接口, 然后不携带任何参数, 结果 服务器抛出了一个 "401 Unauthorized" 针对这个 401, 这里 梳理一下这个流程, 也会衍生出一些其他的问题 测试用例 客户端这边大致的情况是 构造参数, 然后发送请求, 上面两个 参数封装到查询字符串的请求是可以正常处理 后面两个 未携带参数 的请求发送, 报错 "401 Unauthorized" 我们这里主要关心 这里的未携带参数 的异常场...
spring security 明明放行了请求路径但是一直报 401 unauthorized
qq_45691577的博客
03-05 2048
如图,放行了以下路径,但是用postman请求后端一直报401。当放行所有请求路径,后端还一直报 403 forbidden。
Spring Security请求oauth/token接口401 Unauthorized
qiujing0907的博客
01-04 9790
我出现报错的原因就是这个passwordEncoder的实例类发生了变动,因为pom中依赖版本升级导致这个密码编码器在高版本中发生了改变,由原来的明文编码器变为了hash编码器。返回的,请求并没有到达路径对应接口就返回了,我并没有了解过spring security中过滤器具体有哪些,所以不太好打断点,这导致我浪费很多的时间。不废话,原因是走了下边过滤器的这段代码(注意,这是我的项目,走的该Filter,自己的项目还需要结合实际情况来)。密码编码器比对参数中的凭证,与抽象类中获取的凭证信息是否一样。
SpringSecurity引进测试报401
spring_cainiao的博客
12-02 588
启动的时候把Security的自动配置排除
SpringSecurity自定义过滤器返回401导致前端Axios报错且禁止跨域的坑
qq_35359663的博客
08-29 1276
但是问题就出现在我们自定义的过滤器JwtTokenFilter上,在这个过滤器里面会进行Token的校验,会给前端响应401或者403等。AxiosError获取不到response是因为Axios会在禁止跨域的时候不允许获取response。只要解决了跨域问题就可以了。所以最终的解决方法是将自定义的JwtTokenFilter的顺序放置CorsWebFilter之后。当响应401或者403的时候,请求就在此结束了,但此时并未设置CORS相关的响应头。前端使用的是Vue3+Axios1.4
Spring Security OAuth2 授权失败(401)
诚的博客
07-06 6718
Spring Cloud架构中采用Spring Security OAuth2作为权限控制,关于OAuth2详细介绍可以参考 http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 项目中采用OAuth2四种模式中的两种,Password模式Client模式, Password模式用于控制用户的登录,Client模式用于控制后端服务相互调用。 权限架构调整后在近期发现一些问题,由于网上资料不多,只能单步调试方式看源码 (其实带着问题看源码是最好的方式)
SpringBoot Security 访问API始终报401
芥末鱿鱼~的博客
10-07 8822
前言 用POSTMAN或者在页面前端登录访问后端API时,始终返回401.返回401有很多原因造成的,主要分为两个方面来看:1.配置上的问题,确实没有权限。2.代码上的问题。配置上已经配置了权限,任然无法访问。这里主要讲代码上的问题。 一、 UserDetails实现类里的getAuthorities重写方法,返回null. public class UserDto extends Deepflo...
Spring Security返回401响应时防止浏览器弹出认证框
tansenc的博客
01-03 557
Spring Security返回401响应时防止浏览器弹出认证框
集成SpringSecurity,访问接口401 unauthorization无权限
伟大是熬出来的
03-27 1万+
集成了spring Security的时候启动项目,如果没有设置默认的账号密码,系统会自动给你生成一个密码,默认用户为user 在postman中访问的时候只需要设置 这样就可以简单的访问接口并正确返回。 因为你没有设置密码,这样每次重启会给你一个随机新的密码,这样很不方便,那么我们可以在配置文件中定义固定的账号密码 当然也可以直接在java文件中定义账号密码,首先需要我们...
接口401
weixin_40444253的博客
04-07 4103
接口401
SpringBoot项目,访问任意接口提示Unauthorized,返回401,并跳转到登陆页面的错误
热门推荐
haozz的博客
06-22 5万+
之前搭建了一个SpringBoot项目用于测试集成RedisMyBatis以及Freemarker,搭建完成测通之后就没有再打开过。今天打开之后想要测试一个问题,发现在这个项目下无论请求哪个接口,浏览器都会跳转到一个登录页面,而且这个页面不是我写的,如下图: 地址栏里的login也是在我输入了自己的接口之后,自动变成了login 于是用Postman测试,得到401响应: 当时一脸...
处理Spring Security在配置好csrf后接口401问题
永远sayYES的博客
09-22 2436
处理Spring Security在配置好csrf后接口401问题 现象:接口401,csrf disable后接口正常200 项目是基于Java Spring boot 2.4.4 写的,原来是csrf是disable的,项目一直跑是没有问题。有一天项目需要配置csrf,不然会有潜在的CSRF风险(跨站请求伪造攻击)。 话不多说,改就完了。 原有配置 http.csrf().disable() 修改后的配置 http.csrf().csrfTokenRepository(CookieCsrfToke
Spring Security 实战干货: 401403状态
码农小胖哥
07-27 6208
1. 前言最近几篇我对Spring Security中用户认证流程进行了分析,同时在分析的基础上我们实现了一个验证码登录认证的实战功能。当认证失败后交给了AuthenticationFa...
spring-security结合jwt登录鉴权何时抛出401异常
qq_40612126的博客
01-08 3262
spring-security结合jwt登录鉴权何时抛出401异常项目场景:原因分析: 项目场景: 先看securityConfig配置 ![securityConfig配置](https://img-blog.csdnimg.cn/d7220b1ca3574a3e97e332063ea419c3.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2Fwc2xvY2tjYw==,size_20,col
SpringBoot项目访问任意接口出现401错误的解决方案
一位菜鸡的博客
02-06 4116
SpringBoot项目访问任意接口出现401错误的解决方案
Springsecurity+Oauth2.0+JWT实现用户认证请求/token获取token 出现401无权限 问题
qq_33302985的博客
06-15 3056
最近公司在开发用户认证中心,采用Springsecurity+Oauth2.0+JWT来进行实现,在最后测试接口的时候访问/token接口401. 网上查了许多资料,很多都说添加如下代码 security.allowFormAuthenticationForClients(); @Override public void configure(AuthorizationServerSecurityConfigurer security) throws Exception { //允许
springsecurity6加jwt实现rbac 怎么实现用户密码的数据库验证
最新发布
04-09
<think>好的,我现在要解决用户的问题:如何在Spring Security 6中结合JWT实现RBAC,并完成用户密码的数据库验证。首先,我需要理清楚整个流程,确保每一步都正确无误。 首先,用户提到了Spring Security 6,JWT,RBAC以及数据库验证。这些都是关键点。我需要回忆一下Spring Security的最新版本的变化,尤其是从Spring Security 56升级可能带来的变化,比如配置类的调整,过时方法的替换等。 接下来,RBAC模型的实现。RBAC通常涉及用户、角色、权限这三个核心实体,用户属于角色,角色拥有权限。数据库设计方面,可能需要用户表、角色表、权限表,以及它们之间的关联表。例如,用户角色是多对多,角色权限也是多对多。需要确认这些表的结构,并确保Spring Security能正确读取这些信息。 然后是JWT的集成。JWT用于无状态认证,所以在用户登录后生成token,后续请求携带这个token进行验证。需要创建JWT的工具类,处理生成解析token的逻辑。同时,需要自定义一个过滤器,在Spring Security的过滤器链中加入JWT的验证逻辑,替换原有的Session机制。 数据库验证用户密码这部分,Spring Security默认使用内存验证,但用户需要的是数据库验证。因此,需要配置UserDetailsService接口的实现类,从数据库中查询用户信息,并比对密码。这里需要注意密码的加密存储,Spring Security推荐使用BCryptPasswordEncoder,所以在保存用户密码时需要加密,验证时自动解密。 接下来是具体的步骤。首先,项目依赖的配置。Spring Security 6可能需要最新的Spring Boot版本,所以需要检查pom.xml或build.gradle中的依赖是否正确,特别是Spring SecurityJWT相关的库,如jjwt。 然后,实体类数据库表的设计。用户表需要包含用户名、密码、是否启用等字段,角色表有角色名称,权限表有权限名称,中间表处理多对多关系。可能需要使用JPA或者MyBatis来操作数据库,这里用户可能用的是JPA,因为Spring Data JPASpring Boot集成较好。 接着是UserDetailsService的实现。这个类需要重写loadUserByUsername方法,从数据库查询用户信息,包括对应的角色权限。这里需要注意,角色权限可能需要转换为Spring Security的GrantedAuthority对象,通常是在前面加ROLE_前缀或者直接作为权限字符串。 然后是JWT的生成验证工具类。需要处理token的签名、过期时间、主题等信息。生成token时使用密钥进行签名,验证时解析token并检查签名是否有效。密钥需要妥善保存,可能存储在配置文件中。 接下来是过滤器的编写。这个过滤器需要拦截每个请求,检查是否有合法的JWT token。如果存在且有效,则从中提取用户信息,并设置到SecurityContextHolder中,这样后续的权限验证就可以正常进行。这里要注意过滤器的顺序,确保它在Spring Security的认证过滤器之前执行。 配置SecurityFilterChain是Spring Security 6中的新方式,替代了之前的WebSecurityConfigurerAdapter。需要配置哪些路径需要认证,哪些可以匿名访问,关闭CSRFSession管理,因为使用无状态的JWT。同时,要添加自定义的JWT过滤器到过滤器链中。 密码加密方面,必须使用PasswordEncoder,推荐BCrypt。在用户注册时,密码需要经过加密再存储到数据库。在认证时,Spring Security会自动处理密码的比对,无需手动解密。 测试部分,需要确保登录接口能够生成token,其他接口在携带token时能够正确访问,否则返回401。同时,不同角色的用户访问权限受限的接口时,是否正确返回403或其他错误码。 可能遇到的问题包括:依赖版本冲突,JWT签名密钥配置错误,过滤器配置顺序不当导致未生效,数据库查询用户时出现的异常(如用户不存在),密码未加密存储导致验证失败,权限未正确加载等。需要逐一排查,查看日志,使用调试工具验证每一步是否正确。 最后,参考用户提供的引用内容,特别是引用[1][2],里面提到了一些实现细节,比如如何重写UsernamePasswordAuthenticationFilter,配置HttpSecurity,以及使用数据库认证的数据表设计。需要确保这些内容与Spring Security 6的最新配置方法兼容,例如使用Lambda DSL配置权限,而不是旧版的antMatchers方式。 总结整个流程,步骤大致如下:配置依赖,设计数据库实体,实现UserDetailsService,创建JWT工具类过滤器,配置SecurityFilterChain,处理密码加密,编写登录接口生成token,测试验证。每一步都需要仔细检查,确保符合Spring Security 6的要求,特别是配置类的新写法。</think>以下是在Spring Security 6中结合JWT实现RBAC并完成数据库密码验证的完整实现方案: --- ### 一、项目依赖配置(pom.xml) ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.5</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.5</version> <scope>runtime</scope> </dependency> ``` --- ### 二、数据库设计(RBAC模型) ```sql CREATE TABLE users ( id BIGINT PRIMARY KEY, username VARCHAR(50) UNIQUE, password VARCHAR(100), enabled BOOLEAN ); CREATE TABLE roles ( id BIGINT PRIMARY KEY, name VARCHAR(20) UNIQUE ); CREATE TABLE permissions ( id BIGINT PRIMARY KEY, name VARCHAR(50) UNIQUE ); CREATE TABLE user_roles ( user_id BIGINT, role_id BIGINT, PRIMARY KEY(user_id, role_id) ); CREATE TABLE role_permissions ( role_id BIGINT, permission_id BIGINT, PRIMARY KEY(role_id, permission_id) ); ``` --- ### 三、核心实现步骤 #### 1. 实现UserDetailsService ```java @Service public class JpaUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) { User user = userRepository.findByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("用户不存在")); return new org.springframework.security.core.userdetails.User( user.getUsername(), user.getPassword(), user.getEnabled(), true, true, true, getAuthorities(user.getRoles()) ); } private Collection<? extends GrantedAuthority> getAuthorities(Set<Role> roles) { return roles.stream() .flatMap(role -> role.getPermissions().stream()) .map(permission -> new SimpleGrantedAuthority(permission.getName())) .collect(Collectors.toList()); } } ``` #### 2. JWT工具类 ```java public class JwtUtils { private static final String SECRET_KEY = "your-256-bit-secret"; private static final long EXPIRATION = 86400000; // 24小时 public static String generateToken(UserDetails user) { return Jwts.builder() .setSubject(user.getUsername()) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION)) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); } public static String extractUsername(String token) { return Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody() .getSubject(); } } ``` #### 3. JWT认证过滤器 ```java public class JwtAuthenticationFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException { String token = resolveToken(request); if (token != null && validateToken(token)) { Authentication auth = getAuthentication(token); SecurityContextHolder.getContext().setAuthentication(auth); } chain.doFilter(request, response); } private String resolveToken(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` #### 4. 安全配置类 ```java @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .csrf(csrf -> csrf.disable()) .sessionManagement(sess -> sess.sessionCreationPolicy(SessionCreationPolicy.STATELESS)) .authorizeHttpRequests(auth -> auth .requestMatchers("/api/auth/login").permitAll() .requestMatchers("/api/admin/**").hasRole("ADMIN") .anyRequest().authenticated() ) .addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); return http.build(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` --- ### 四、密码验证流程 1. 用户提交`username``password`到`/api/auth/login` 2. 服务端通过`UserDetailsService`验证数据库凭证 3. 验证成功后生成JWT令牌返回给客户端 4. 客户端后续请求携带`Authorization: Bearer <token>`头部 5. 过滤器解析并验证令牌有效性 --- ### 五、关键优化点 1. **动态权限控制**:通过`@PreAuthorize("hasAuthority('PERMISSION_NAME')")`注解实现方法级权限控制 2. **令牌刷新机制**:当令牌快过期时返回新令牌 3. **黑名单管理**:使用Redis记录失效的令牌 --- 相关问题
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值