1. Python技术站首页
  2. 其他
  3. Java

springsecurity基于token的认证方式

Java
yizhihongxing

下面我将详细讲解一下“Spring Security基于Token的认证方式”的完整攻略。

什么是Token认证方式

Token认证方式,是一种基于令牌(Token)的身份认证方式。在客户端成功登录后,服务端会生成一个Token,这个Token会放到HTTP响应头中或者响应体中返回给客户端,客户端需要在后续的请求中携带该Token才能访问资源。

Token认证的优点

  • 无状态性:在服务端不需要记录用户的状态,避免了Session数据空间的浪费。
  • 有效期管理:能够简单高效地在服务端对Token的有效期进行管理,从而减少了服务端的资源消耗。
  • 部署部署:能够方便、快捷地进行服务端间的数据传输,例如:在分布式系统中。

实现Token认证的步骤

  1. 实现用户登录
  2. 接收登录成功后返回的Token并存储
  3. 根据Token判断用户是否已经登录
  4. 实现Token过期时间
  5. 实现Token注销

实现方式

1.使用Spring Security实现Token认证

在Spring Security中,可以使用UsernamePasswordAuthenticationFilter来拦截登录请求,生成Token并返回给客户端。而在后续请求中,可以使用BearerTokenAuthenticationFilter来对Token进行认证。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

    @Bean
    public JwtAuthenticationFilter jwtAuthenticationFilter() {
        return new JwtAuthenticationFilter();
    }

    @Override
    public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
        authenticationManagerBuilder
                .userDetailsService(userDetailsService)
                .passwordEncoder(passwordEncoder());
    }

    @Bean(BeanIds.AUTHENTICATION_MANAGER)
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                .authorizeRequests()
                .antMatchers("/api/auth/**").permitAll()
                .antMatchers("/api/user/checkUsernameAvailability", "/api/user/checkEmailAvailability").permitAll()
                .antMatchers(HttpMethod.GET, "/api/polls/**").permitAll()
                .anyRequest().authenticated();

        // Add custom JWT security filter
        http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
    }

}

上面的代码中,我们通过@Bean注解来创建JwtAuthenticationFilter和PasswordEncoder的Bean。在configure(AuthenticationManagerBuilder)方法中设置了我们自定义的UserDetailsService,并使用BCryptPasswordEncoder加密密码。在AuthenticationManager的Bean中使用@Bean(BeanIds.AUTHENTICATION_MANAGER)来覆盖默认的org.springframework.security.authentication.AuthenticationManager

2.使用Spring框架手动实现Token认证

下面是一个手动实现Token认证的示例。其中,我们使用了OncePerRequestFilter来对请求进行过滤,从而在请求被处理前进行认证操作。

@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    private static final Logger logger = LoggerFactory.getLogger(JwtRequestFilter.class);

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {

        final String requestTokenHeader = request.getHeader("Authorization");

        String username = null;
        String jwtToken = null;

        // 去掉Bearer
        if (requestTokenHeader != null && requestTokenHeader.startsWith("Bearer ")) {
            jwtToken = requestTokenHeader.substring(7);
            try {
                username = jwtTokenUtil.getUsernameFromToken(jwtToken);
            } catch (IllegalArgumentException e) {
                logger.error("Unable to get JWT Token");
            } catch (ExpiredJwtException e) {
                logger.error("JWT Token has expired");
            }
        } else {
            logger.warn("JWT Token does not begin with Bearer String");
        }

        // 验证Token是否有效
        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
            if (jwtTokenUtil.validateToken(jwtToken, userDetails)) {
                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
                        userDetails, null, userDetails.getAuthorities());
                usernamePasswordAuthenticationToken
                        .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        chain.doFilter(request, response);
    }
}

在上面的代码中,通过JwtTokenUtil对Token进行操作,如果Token有效,则对请求进行认证。

总结

总的来说,基于Token的认证是一种非常灵活、安全、高效的认证方式,使用Spring Security进行实现非常简单。如果需要手动实现,也不是很困难,需要在Filter中对请求进行拦截和校验即可。需要注意的是,Token的有效期一定要管理好,避免出现安全风险。

本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:springsecurity基于token的认证方式 - Python技术站

(0)
0 0 打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年5月20日
下一篇 2023年5月20日

相关文章

  • 浅谈js获取ModelAndView值的问题

    标题:浅谈JavaScript获取ModelAndView值的问题 介绍:在使用Spring MVC框架开发Web应用时,通常会将后台处理的结果封装为ModelAndView返回给前端页面。在前端页面中使用JavaScript获取这些值时,需要注意一些问题。 获取Model中的数据 ModelAndView中的Model是一个Map类型的对象,包含了后台处理…

    Java 2023年6月15日
    00

  • Java LinkedList的实现原理图文详解

    首先,我们来了解一下Java LinkedList的基本特性。LinkedList是Java中实现链表数据结构的一种方式,它实现了List、Deque、Queue接口。LinkedList内部以链表的形式存储元素,每个节点都包含上一个节点的引用和下一个节点的引用。因此可以方便的在链表的任意位置进行添加、删除操作,但是随机访问某个元素的效率会比较低。 Link…

    Java 2023年5月26日
    00

  • Java基础教程之包(package)

    Java基础教程之包(package) 在 Java 中,包(package)是一种用于组织及管理类、接口及其他资源的机制。包可以看成是文件夹,类则是文件,利用类放在包中,可以更好地组织和访问代码。 包的定义 在 Java 中,一个包是一组相互关联的 Java 类的集合。 当需要用到某个类时,可以指定其完全限定名(包括包名称和类名)来引用该类,例如: jav…

    Java 2023年5月20日
    00

  • java/jsp中 中文问题详解

    Java/JSP 中文问题详解 背景 在 Java/JSP 开发中,中文字符集编码问题经常会遇到。由于 Java 内部使用的是 UTF-16 编码,而 HTTP 协议传输数据时常使用的是 UTF-8 编码,所以在处理中文字符时,需要进行字符集编码转换。 常见问题 URL 参数传递问题 由于 HTTP 协议传输 URL 数据时使用的是 ASCII 编码,因此中…

    Java 2023年5月20日
    00

  • Java基于自定义类加载器实现热部署过程解析

    以下是详细讲解“Java基于自定义类加载器实现热部署过程解析”的完整攻略。 什么是热部署? 热部署是指在应用程序运行过程中动态地更新代码,而不用停止应用程序的运行。热部署的好处是可以提高开发效率,因为不用每次都重新启动应用程序,而且能够降低系统故障和维护的成本。 Java中如何实现热部署? Java是一种面向对象的编程语言,它提供了类加载机制来加载字节码文件…

    Java 2023年6月15日
    00

  • EJB3.0部署消息驱动Bean抛javax.naming.NameNotFoundException异常

    EJB 3.0 中的消息驱动 Bean(MDB)是一种常用的异步编程模型,它可以接收 JMS 消息并执行相应的业务逻辑。在部署时,可能会遇到 javax.naming.NameNotFoundException 异常,这通常是由于 JNDI 查找失败引起的。下面是针对该异常的完整攻略。 1. 检查 JNDI 名称 在 EJB 模块中部署 MDB 时,需要使用…

    Java 2023年6月15日
    00

  • 浅谈FileItem类的常用方法

    下面开始介绍浅谈FileItem类的常用方法的攻略。 FileItem类简介 FileItem类是Apache Commons FileUpload库中的一个类,用于对上传的文件进行操作。该类可以获取上传文件的各种信息,包括文件名称、大小、MIME类型等等。下面我们将会介绍FileItem类的常用方法。 常用方法详解 1. getFieldName() 该方…

    Java 2023年5月19日
    00

  • httpclient 请求http数据,json转map的实例

    下面我将详细讲解“httpclient 请求http数据,json转map的实例”的完整攻略: 使用httpclient发送http请求 Apache的HttpComponents库提供了一个HttpClient类,可以用来发送HTTP请求。下面是使用httpclient发送http请求的步骤: 创建HttpClient对象。HttpClient是线程安全的…

    Java 2023年5月26日
    00
合作推广
合作推广
分享本页
返回顶部