springsecurity基于token的认证方式

下面我将详细讲解一下“Spring Security基于Token的认证方式”的完整攻略。

什么是Token认证方式

Token认证方式,是一种基于令牌(Token)的身份认证方式。在客户端成功登录后,服务端会生成一个Token,这个Token会放到HTTP响应头中或者响应体中返回给客户端,客户端需要在后续的请求中携带该Token才能访问资源。

Token认证的优点

  • 无状态性:在服务端不需要记录用户的状态,避免了Session数据空间的浪费。
  • 有效期管理:能够简单高效地在服务端对Token的有效期进行管理,从而减少了服务端的资源消耗。
  • 部署部署:能够方便、快捷地进行服务端间的数据传输,例如:在分布式系统中。

实现Token认证的步骤

  1. 实现用户登录
  2. 接收登录成功后返回的Token并存储
  3. 根据Token判断用户是否已经登录
  4. 实现Token过期时间
  5. 实现Token注销

实现方式

1.使用Spring Security实现Token认证

在Spring Security中,可以使用UsernamePasswordAuthenticationFilter来拦截登录请求,生成Token并返回给客户端。而在后续请求中,可以使用BearerTokenAuthenticationFilter来对Token进行认证。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

    @Bean
    public JwtAuthenticationFilter jwtAuthenticationFilter() {
        return new JwtAuthenticationFilter();
    }

    @Override
    public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
        authenticationManagerBuilder
                .userDetailsService(userDetailsService)
                .passwordEncoder(passwordEncoder());
    }

    @Bean(BeanIds.AUTHENTICATION_MANAGER)
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                .authorizeRequests()
                .antMatchers("/api/auth/**").permitAll()
                .antMatchers("/api/user/checkUsernameAvailability", "/api/user/checkEmailAvailability").permitAll()
                .antMatchers(HttpMethod.GET, "/api/polls/**").permitAll()
                .anyRequest().authenticated();

        // Add custom JWT security filter
        http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
    }

}

上面的代码中,我们通过@Bean注解来创建JwtAuthenticationFilter和PasswordEncoder的Bean。在configure(AuthenticationManagerBuilder)方法中设置了我们自定义的UserDetailsService,并使用BCryptPasswordEncoder加密密码。在AuthenticationManager的Bean中使用@Bean(BeanIds.AUTHENTICATION_MANAGER)来覆盖默认的org.springframework.security.authentication.AuthenticationManager

2.使用Spring框架手动实现Token认证

下面是一个手动实现Token认证的示例。其中,我们使用了OncePerRequestFilter来对请求进行过滤,从而在请求被处理前进行认证操作。

@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    private static final Logger logger = LoggerFactory.getLogger(JwtRequestFilter.class);

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {

        final String requestTokenHeader = request.getHeader("Authorization");

        String username = null;
        String jwtToken = null;

        // 去掉Bearer
        if (requestTokenHeader != null && requestTokenHeader.startsWith("Bearer ")) {
            jwtToken = requestTokenHeader.substring(7);
            try {
                username = jwtTokenUtil.getUsernameFromToken(jwtToken);
            } catch (IllegalArgumentException e) {
                logger.error("Unable to get JWT Token");
            } catch (ExpiredJwtException e) {
                logger.error("JWT Token has expired");
            }
        } else {
            logger.warn("JWT Token does not begin with Bearer String");
        }

        // 验证Token是否有效
        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
            if (jwtTokenUtil.validateToken(jwtToken, userDetails)) {
                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
                        userDetails, null, userDetails.getAuthorities());
                usernamePasswordAuthenticationToken
                        .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        chain.doFilter(request, response);
    }
}

在上面的代码中,通过JwtTokenUtil对Token进行操作,如果Token有效,则对请求进行认证。

总结

总的来说,基于Token的认证是一种非常灵活、安全、高效的认证方式,使用Spring Security进行实现非常简单。如果需要手动实现,也不是很困难,需要在Filter中对请求进行拦截和校验即可。需要注意的是,Token的有效期一定要管理好,避免出现安全风险。

本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:springsecurity基于token的认证方式 - Python技术站

(0)
上一篇 2023年5月20日
下一篇 2023年5月20日

相关文章

  • Java 如何将网络资源url转化为File文件

    将网络资源URL转换为File文件需要借助Java中的IO流和网络操作类。下面将会详细介绍Java如何将网络资源URL转化为File文件的完整攻略。 步骤一:获取URL 首先要获取网络资源的URL,可以使用Java中的URL类。以下示例演示如何获取指定URL的网络资源: import java.net.*; public class GetUrlConten…

    Java 2023年5月19日
    00
  • java实现文件拷贝的七种方式

    我来为你讲解“Java实现文件拷贝的七种方式”的攻略。以下是这七种方式: 1. 使用字节流(InputStream和OutputStream)进行拷贝 字节流是Java I/O中的基本类,可以方便地进行文件拷贝。我们可以使用 FileInputStream 读取源文件,将数据写入 FileOutputStream 中实现文件拷贝。具体代码如下: public…

    Java 2023年5月20日
    00
  • 基于springMvc+hibernate的web application的构建

    下面是关于基于Spring MVC和Hibernate的Web应用程序构建的完整攻略,包含两个示例说明。 基于Spring MVC和Hibernate的Web应用程序构建 Spring MVC和Hibernate是Java Web应用程序开发中常用的框架。在本文中,我们将介绍如何使用这两个框架来构建一个Web应用程序。 步骤1:添加依赖 首先,我们需要在po…

    Java 2023年5月17日
    00
  • JAVA String转化成java.sql.date和java.sql.time方法示例

    下面是详细讲解“JAVA String转化成java.sql.date和java.sql.time方法示例”的完整攻略。 背景介绍 在开发Java应用程序时,我们经常需要把String类型转换成java.sql.Date和java.sql.Time类型。这时候我们可以使用SimpleDateFormat类来实现这个功能。 转换成java.sql.Date类型…

    Java 2023年5月20日
    00
  • 几则JSP入门知识总结

    下面我将详细讲解“几则JSP入门知识总结”的完整攻略。 什么是JSP? JSP全称为JavaServer Pages,它是一种HTML页面开发的技术标准,它允许Java代码和一些特殊的JSP标记被嵌入到HTML页面中。JSP旨在简化动态网页的创建,它可以很容易地与Java Servlets集成。 JSP基础知识 JSP文件结构 在JSP中,我们可以将Java…

    Java 2023年6月15日
    00
  • Spring Boot中使用Spring-data-jpa的配置方法详解

    “Spring Boot中使用Spring-data-jpa的配置方法详解”的攻略如下: 1. 添加Spring Data JPA依赖 在项目的pom.xml文件中添加Spring Data JPA的依赖: <dependency> <groupId>org.springframework.boot</groupId> &…

    Java 2023年5月20日
    00
  • boot-admin整合flowable官方editor-app进行BPMN2.0建模

    正所谓百家争鸣、见仁见智、众说纷纭、各有千秋!在工作流bpmn2.0可视化建模工具实现的细分领域,网上扑面而来的是 bpmn.js 这个渲染工具包和web建模器,而笔者却认为使用flowable官方开源 editor-app 才是王道。 Flowable 开源版本中的 web 版流程设计器editor-app,展示风格和功能基本跟 activiti-mode…

    Java 2023年4月22日
    00
  • Java数组实例练习题整理

    首先需要明确的是,本篇攻略旨在帮助初学者提升对于Java数组的理解和应用,因此我们会针对数组的定义、初始化、常用操作和实例练习题等方面进行讲解。 数组定义和初始化 数组是一种能够存储多个相同类型数据的结构,它能够提供快速的访问和遍历方式。在Java中,数组的定义方式为 数组类型[] 数组名 或者 数组类型 数组名[],其中 数组类型 表示数组中存储的数据类型…

    Java 2023年5月26日
    00
合作推广
合作推广
分享本页
返回顶部