SpringSecurity 进行自定义Token校验

最新推荐文章于 2025-06-17 11:26:17 发布
最新推荐文章于 2025-06-17 11:26:17 发布
阅读量3.7k 收藏 4
点赞数
CC 4.0 BY-SA版权
文章标签: java
原文链接:http://www.cnblogs.com/blaketairan/p/8970784.html
本文介绍了在Spring Security中如何进行自定义Token校验,适用于需要使用Token进行权限控制的场景。通过创建自定义的TokenAuthentication、AuthenticationTokenFilter、SecurityPermissionEvaluator以及SecurityConfig,实现了从接收请求到权限验证的全过程。详细讲解了每个关键组件的作用和实现方法,为读者提供了自定义Spring Security鉴权的实践参考。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

Spring Security默认使用「用户名/密码」的方式进行登陆校验,并通过cookie的方式存留登陆信息。在一些定制化场景,比如希望单独使用token串进行部分页面的访问权限控制时,默认方案无法支持。在未能在网上搜索出相关实践的情况下,通过官方文档及个别Stack Overflow的零散案例,形成整体思路并实践测试通过,本文即关于该方案的一个分享。

参考

官方文档:https://docs.spring.io/spring-security/site/docs/5.0.5.BUILD-SNAPSHOT/reference/htmlsingle/

SpringSecurity校验流程

基本的SpringSecurity使用方式网上很多,不是本文关注的重点,如有需要可以自行搜索或参见https://blog.youkuaiyun.com/u012702547/article/details/54319508

关于校验的整个流程简单的说,整个链路有三个关键点,

  • 将需要鉴权的类/方法/url),定义为需要鉴权(本文代码示例为方法上注解@PreAuthorize("hasPermission('TARGET','PERMISSION')")
  • 根据访问的信息产生一个来访者的权限信息Authentication,并插入到上下文中
  • 在调用鉴权方法时,根据指定的鉴权方式,验证权限信息是否符合权限要求

完整的调用链建议在IDE中通过单步调试亲自体会,本文不做相关整理。

如何自定义

我的需求,是使用自定义的token,验证权限,涉及到:

  • 产生Authentication并插入到上下文中
  • 针对token的验证方式

需要做的事情如下:

  • 自定义TokenAuthentication类,实现org.springframework.security.core.Authenticaion,作为token权限信息
  • 自定义AuthenticationTokenFilter类,实现javax.servlet.Filter,在收到访问时,根据访问信息生成TokenAuthentication实例,并插入上下文
  • 自定义SecurityPermissionEvalutor类,实现org.springframework.security.access.PermissionEvaluator,完成权限的自定义验证逻辑
  • 在全局的配置中,定义使用SecurityPermissionEvalutor作为权限校验方式

TokenAuthentication.java

/**
 * @author: Blaketairan
 */

import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;

import java
最低0.47元/天 解锁文章

200万优质内容无限畅学
Angela㐅cc
关注
25. Spring Boot 2.x 最佳实践之 Spring Security+ Swagger+自定义拦截器Token权限校验
极客星云-优快云博客
05-17 2734
这篇博文来总结下Spring Boot 2.x+ Spring Security+ 自定义拦截器实现带Token权限控制最佳实战攻略.
Spring Security 自定义认证逻辑
wdjnb的博客
01-21 670
分析问题 以下是 Spring Security 内置的用户名/密码认证的流程图,我们可以从这里入手: 根据上图,我们可以照猫画虎,自定义一个认证流程,比如手机短信码认证。在图中,我已经把流程中涉及到的主要环节标记了不同的颜色,其中蓝色块的部分,是用户名/密码认证对应的部分,绿色块标记的部分,则是与具体认证方式无关的逻辑。 因此,我们可以按照蓝色部分的类,开发我们自定义的逻辑,主要包括以下内容: 一个自定义的Authentication实现类,与UsernamePasswordAuthen...
Spring security 自定义 token 身份验证
让 Java 再次伟大!
10-21 747
既然 Spring securtiy 的核心是 Filter chains,那我们只需要定义一个符合 security 标准的 filter ,再把自己的 chain 加入到 VirtualFilterChain 里面,就可以自定义身份验证的认证逻辑了。more之前提到过,大部分身份认证相关的过滤器都继承了 AbstractAuthenticationProcessingFilter。但是这一次我们让接下来的自定义过滤器不选择继承它,而是继承 OncePerRequestFilter。
Spring Security OAuth2 自定义(增强)token信息
qq_36551991的博客
12-05 2187
Spring Security OAuth2提供了默认的token生成方式,但是有时候我们需要token携带一些我们自定义的信息,例如用户名、id等,这就需要我们自定义token信息
Spring Security 实现基于 Token 的身份验证
最新发布
anli1990的博客
06-17 1305
Token 认证中,用户首次登录时会提供用户名和密码,服务器验证通过后返回一个 Token(通常是 JWT)。此后,用户在每次请求时都需要将这个 Token 发送到服务器(一般放在 HTTP 请求的。
前后端分离架构 -- SpringSecurity用法+自定义token校验
weixin_44795847的博客
02-11 4303
前后端分离架构 -- SpringSecurity用法+自定义token校验
Spring Security | Oauth2 /oauth/token自定义授权实现底层源码浅析与实现
maple05的博客
03-06 3630
创建授权处理类需要继承TokenGranter来实现自定义授权方式,查看TokenGranter实现类的列表,这里选择使用AbstractTokenGranter,而AbstractTokenGranter是一个抽象类,需要继承这个类才能达到我们的目的。根据AbstractTokenGranter调用关系,我们主要重写getOAuth2Authentication就可以达到我们的目的了。自定义授权类demo。
Spring Security 使用JWT自定义Token
lizhengyu891231的博客
11-02 2390
转载自:https://zhouze-java.github.io/2019/09/10/Spring-Security-29-%E4%BD%BF%E7%94%A8JWT%E6%9B%BF%E6%8D%A2%E9%BB%98%E8%AE%A4%E7%9A%84Token/ 叙述 默认的token生成规则其实就是一个UUID,就是一个随机的字符串,然后存到redis中去,使用JWT的话,toke...
spring security多种校验方式及自实现token总结
earthsomeday的博客
05-18 7223
最近项目上运用到了spring security来控制控制权限,然而钉钉端采用的前后端分离的模式进行开发,pc端未采用前后端分离。这样就出现了两个问题: 1.钉钉前端无法携带JSSESSIONID,从而导致spring security框架无法自动解析权限,需要自行实现token并存入redis。 2.钉钉端需要使用手机号码免密登录,pc端需要账号密码进行登录。 功能完成后,此处做个总结。 在Se...
spring security 实现自定义认证和登录(4):使用token进行验证
qq_45691577的博客
03-06 4515
前面我们实现了给客户端下发token,虽然客户端拿到了token,但我们还没处理客户端下一次携带token请求时如何验证,我们想要实现拿得到token之后,只需要验证token,不需要用户再携带用户名和密码了。
3.Spring Security实现JWT token验证,GrantedAuthority接口,权限注解(@prePostEnabled、@Secured、@jsr250E)
相互学习 共同进步
04-24 4499
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
SpringSecurityOAuth2(3)自定义token信息
07-31 1871
GitHub地址 码云地址 OAuth2默认的token返回最多只携带了5个参数(client_credentials模式只有4个 没有refresh_token)下面是一个返回示例: { "access_token": "1e93bc23-32c8-428f-a126-8206265...
SpringSecurity 实现token 认证
qq_45535340的博客
06-07 4691
实现token 认证
Spring Security Oauth2 自定义授权方式获取token
Murpny的博客
12-19 4162
通过密码模式授权流程分析可以知道以下两部分内容: 第一部分:关于授权类型 grant_type 的解析 每种 grant_type 都会有一个对应的 TokenGranter 实现类。 所有 TokenGranter 实现类都通过 CompositeTokenGranter 中的 tokenGranters 集合存起来。 然后通过判断 grantType 参数来定位具体使用那个 TokenGranter 实现类来处理授权。 第二部分:关于授权登录逻辑 每种 授权方式 都会有一个对应的 Authent.
Spring Security基于token的极简示例
D_J_Dragon的博客
08-30 1351
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,但是用起来有点复杂,为了便于学习理解,下面将用最简洁的配置和示例,展示整个流程。
spring security 自定义token无法通过框架认证
菜鸟联盟
08-06 690
自定义token和refreshToken,如代码所示: UserDO userDO = userMapper.getByName(username); UserDetails userDetails = userService.loadUserByUsername(userForBase.getName()); String token = jwtTokenComponent.generateToken(
spring security token认证_Spring Security 中的身份认证
weixin_39755952的博客
12-08 734
本文介绍 Spring Security 的身份认证的内容,研究 Spring Security 自带的身份认证方式和添加自己的身份认证方式的方法。身份认证相关组件在上一篇文章中,我们了解到了 Spring Security 会将 DelegatingFilterProxy 插入到 Servlet Filter Chain 中,然后将要过滤的请求通过 FilterChainProxy 代理给匹配的...
Spring Security + JWT 实现基于Token的安全验证
m0_56282664的博客
07-21 1349
Spring Security + JWT 实现基于Token的安全验证
SpringSecurity结合JwtToken验证(后端部分)
jakelihua
08-31 457
简介:本文在SpringSecurity基础公共之上,整合JwtToken功能,本文是后端部分。项目代码地址:https://gitee.com/geek-li-hua/code-in-blog.git。
springsecurity自定义权限校验
04-24
<think>好的,用户想了解如何在Spring Security中实现自定义权限校验。我之前回答过类似的问题,需要参考提供的引用内容。先看看引用里的信息。 引用1提到OAuth2AuthorizationService的配置方式,有通过注册Bean和使用配置类的方法。不过这可能和权限校验关系不大,可能更多是授权服务器的配置。引用2中的MySecurityService类展示了如何通过自定义的权限服务来检查用户权限,这里用到了Authentication对象和GrantedAuthority。引用3详细说明了自定义FilterSecurityInterceptor需要配置accessDecisionManager、fisMetadataSource等组件,并提到了decide方法的作用。 用户的问题是关于自定义权限校验的,所以需要结合这些引用中的信息。可能需要以下步骤: 1. 实现自定义的权限校验逻辑,比如使用@PreAuthorize注解结合自定义的权限检查方法,如引用2中的hasPermission方法。这样可以在方法级别进行权限控制。 2. 配置自定义的安全拦截器,如引用3提到的myFilterSecurityInterceptor,需要创建并配置accessDecisionManager和securityMetadataSource。这里可能需要自定义投票器或者决策管理器,以决定是否允许访问资源。 3. 可能需要扩展GrantedAuthority,自定义权限的表示方式,比如使用特定的字符串或对象。 需要注意,用户可能需要具体的代码示例和配置步骤。需要分步骤讲解,包括如何创建自定义权限校验服务、如何集成到Spring Security的配置中,以及如何在实际应用中使用这些自定义权限。 另外,要确保回答结构清晰,步骤明确,并包含代码示例,比如自定义的AccessDecisionVoter或者使用SpEL表达式进行权限校验。还要考虑是否需要覆盖默认的权限配置,或者与现有的权限管理结合使用。 可能需要提到两种主要方式:一种是使用表达式注解(如@PreAuthorize),另一种是自定义投票器和决策管理器。这样用户可以根据需求选择合适的方法。同时,需要参考引用中的代码示例,例如如何从Authentication中获取权限,如何实现权限判断逻辑。 最后,生成相关问题,帮助用户深入理解,比如如何动态管理权限,如何处理复杂的权限逻辑等。</think>在Spring Security中实现自定义权限校验可通过以下三种方式实现,以下步骤结合动态权限管理和安全拦截器配置进行说明: ### 一、基于表达式的方法级权限控制 1. 创建权限校验服务类,继承`SecurityExpressionRoot`并实现自定义逻辑: ```java @Component("myAuth") public class CustomAuthService { public boolean checkProjectAccess(Long projectId) { // 从数据库/缓存获取权限数据 return projectService.hasAccess(SecurityUtils.getCurrentUser(), projectId); } } ``` 2. 在Security配置中启用方法级注解: ```java @Configuration @EnableGlobalMethodSecurity(prePostEnabled = true) public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration { @Override protected MethodSecurityExpressionHandler createExpressionHandler() { DefaultMethodSecurityExpressionHandler handler = new DefaultMethodSecurityExpressionHandler(); handler.setPermissionEvaluator(new CustomPermissionEvaluator()); return handler; } } ``` 3. 在Controller层使用校验: ```java @PreAuthorize("@myAuth.checkProjectAccess(#projectId)") @GetMapping("/projects/{projectId}") public Project getProject(@PathVariable Long projectId) { //... } ``` ### 二、自定义投票器实现 1. 实现`AccessDecisionVoter`接口: ```java public class CustomVoter implements AccessDecisionVoter<FilterInvocation> { @Override public boolean supports(ConfigAttribute attribute) { return attribute.getAttribute().startsWith("CUSTOM_"); } @Override public int vote(Authentication auth, FilterInvocation fi, Collection<ConfigAttribute> attributes) { String requestURI = fi.getRequest().getRequestURI(); return checkAccess(auth, requestURI) ? ACCESS_GRANTED : ACCESS_DENIED; } } ``` 2. 配置决策管理器: ```java @Bean public AccessDecisionManager accessDecisionManager() { List<AccessDecisionVoter<?>> voters = new ArrayList<>(); voters.add(new WebExpressionVoter()); voters.add(new CustomVoter()); return new UnanimousBased(voters); } ``` ### 三、动态元数据源配置 1. 实现`FilterInvocationSecurityMetadataSource`: ```java public class DynamicMetadataSource implements FilterInvocationSecurityMetadataSource { @Override public Collection<ConfigAttribute> getAttributes(Object object) { FilterInvocation fi = (FilterInvocation) object; String url = fi.getRequestUrl(); // 从数据库动态加载权限配置 return loadAttributesFromDB(url); } } ``` 2. 配置安全拦截器: ```java @Bean public FilterSecurityInterceptor customFilter() throws Exception { FilterSecurityInterceptor interceptor = new FilterSecurityInterceptor(); interceptor.setAccessDecisionManager(accessDecisionManager()); interceptor.setSecurityMetadataSource(metadataSource()); interceptor.setAuthenticationManager(authenticationManager); return interceptor; } ``` ### 四、权限上下文集成 在JWT认证场景中,可在`JwtAuthenticationFilter`解析时注入权限: ```java public class JwtFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) { String token = extractToken(request); Claims claims = parseToken(token); List<GrantedAuthority> authorities = convertClaimsToAuthorities(claims); Authentication auth = new JwtAuthenticationToken(claims.getSubject(), authorities); SecurityContextHolder.getContext().setAuthentication(auth); } } ``` ### 性能优化建议 1. 权限缓存:使用`@Cacheable`注解缓存权限数据 ```java @Cacheable(value = "userPermissions", key = "#userId") public Set<String> getUserPermissions(Long userId) { // 数据库查询 } ``` 2. 批量查询:在`loadAttributesFromDB`方法中使用IN语句批量获取URL权限配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值