springsecurity基于token的认证方式

下面我将详细讲解一下“Spring Security基于Token的认证方式”的完整攻略。

什么是Token认证方式

Token认证方式,是一种基于令牌(Token)的身份认证方式。在客户端成功登录后,服务端会生成一个Token,这个Token会放到HTTP响应头中或者响应体中返回给客户端,客户端需要在后续的请求中携带该Token才能访问资源。

Token认证的优点

  • 无状态性:在服务端不需要记录用户的状态,避免了Session数据空间的浪费。
  • 有效期管理:能够简单高效地在服务端对Token的有效期进行管理,从而减少了服务端的资源消耗。
  • 部署部署:能够方便、快捷地进行服务端间的数据传输,例如:在分布式系统中。

实现Token认证的步骤

  1. 实现用户登录
  2. 接收登录成功后返回的Token并存储
  3. 根据Token判断用户是否已经登录
  4. 实现Token过期时间
  5. 实现Token注销

实现方式

1.使用Spring Security实现Token认证

在Spring Security中,可以使用UsernamePasswordAuthenticationFilter来拦截登录请求,生成Token并返回给客户端。而在后续请求中,可以使用BearerTokenAuthenticationFilter来对Token进行认证。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

    @Bean
    public JwtAuthenticationFilter jwtAuthenticationFilter() {
        return new JwtAuthenticationFilter();
    }

    @Override
    public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
        authenticationManagerBuilder
                .userDetailsService(userDetailsService)
                .passwordEncoder(passwordEncoder());
    }

    @Bean(BeanIds.AUTHENTICATION_MANAGER)
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                .authorizeRequests()
                .antMatchers("/api/auth/**").permitAll()
                .antMatchers("/api/user/checkUsernameAvailability", "/api/user/checkEmailAvailability").permitAll()
                .antMatchers(HttpMethod.GET, "/api/polls/**").permitAll()
                .anyRequest().authenticated();

        // Add custom JWT security filter
        http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
    }

}

上面的代码中,我们通过@Bean注解来创建JwtAuthenticationFilter和PasswordEncoder的Bean。在configure(AuthenticationManagerBuilder)方法中设置了我们自定义的UserDetailsService,并使用BCryptPasswordEncoder加密密码。在AuthenticationManager的Bean中使用@Bean(BeanIds.AUTHENTICATION_MANAGER)来覆盖默认的org.springframework.security.authentication.AuthenticationManager

2.使用Spring框架手动实现Token认证

下面是一个手动实现Token认证的示例。其中,我们使用了OncePerRequestFilter来对请求进行过滤,从而在请求被处理前进行认证操作。

@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    private static final Logger logger = LoggerFactory.getLogger(JwtRequestFilter.class);

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {

        final String requestTokenHeader = request.getHeader("Authorization");

        String username = null;
        String jwtToken = null;

        // 去掉Bearer
        if (requestTokenHeader != null && requestTokenHeader.startsWith("Bearer ")) {
            jwtToken = requestTokenHeader.substring(7);
            try {
                username = jwtTokenUtil.getUsernameFromToken(jwtToken);
            } catch (IllegalArgumentException e) {
                logger.error("Unable to get JWT Token");
            } catch (ExpiredJwtException e) {
                logger.error("JWT Token has expired");
            }
        } else {
            logger.warn("JWT Token does not begin with Bearer String");
        }

        // 验证Token是否有效
        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
            if (jwtTokenUtil.validateToken(jwtToken, userDetails)) {
                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
                        userDetails, null, userDetails.getAuthorities());
                usernamePasswordAuthenticationToken
                        .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        chain.doFilter(request, response);
    }
}

在上面的代码中,通过JwtTokenUtil对Token进行操作,如果Token有效,则对请求进行认证。

总结

总的来说,基于Token的认证是一种非常灵活、安全、高效的认证方式,使用Spring Security进行实现非常简单。如果需要手动实现,也不是很困难,需要在Filter中对请求进行拦截和校验即可。需要注意的是,Token的有效期一定要管理好,避免出现安全风险。

本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:springsecurity基于token的认证方式 - Python技术站

(0)
上一篇 2023年5月20日
下一篇 2023年5月20日

相关文章

  • 基于html5+java实现大文件上传实例代码

    让我详细为您介绍一下“基于html5+java实现大文件上传实例代码”的完整攻略和代码实现。 简介 为了解决传统文件上传方式在处理大文件上传时所面临的性能瓶颈和功能缺失,我们需要使用一些新的技术手段。html5提供了File API来处理客户端文件读取,而java的高性能能力则可以处理并发上传和分片上传等复杂操作,两者结合起来,就能够实现一套优秀的大文件上传…

    Java 2023年5月19日
    00
  • 简单易懂的MyBatis分库分表方案分享

    关于“简单易懂的MyBatis分库分表方案分享”的完整攻略,我将分为以下几个方面进行讲解。 一、MyBatis分库分表的优劣势 首先,我们要明确 MyBatis 分库分表的优劣势,以便能够更好地理解 MyBatis 分库分表的方案。 优势 可以扩展数据库的存储容量:因为数据量越来越大,单表可能会存储不下,分库分表可以将数据分散存储,从而扩展数据库的存储容量。…

    Java 2023年5月19日
    00
  • 基于Java SSM实现在线点餐系统

    下面就详细讲解基于Java SSM实现在线点餐系统的完整攻略。 1. 系统设计 1.1 系统架构 在线点餐系统的系统架构主要包括四部分:前端展示、后台管理、数据库系统和服务器部署。其中,前端展示部分采用HTML、CSS和JavaScript等技术实现,后台管理部分采用Java SSM框架构建,数据库系统采用MySQL,服务器部署采用Tomcat。 1.2 数…

    Java 2023年5月24日
    00
  • Java如何获取数组和字符串的长度(length还是length())

    获取数组和字符串的长度可以使用不同的属性或方法,下面将分别介绍。 一、获取数组长度 获取Java中数组的长度可以使用.length属性,这个属性是数组类型的一个成员,用于返回数组的长度,即数组元素的个数。示例如下: int[] nums = {1, 2, 3, 4, 5}; // 定义整型数组 System.out.println("数组长度为:&…

    Java 2023年5月26日
    00
  • SpringBoot项目打包war包时无法运行问题的解决方式

    如果在将SpringBoot项目打包成war包后无法正常运行,有以下两种解决方式: 1. 修改WebApplicationType属性 在SpringBoot 2.0.X之后的版本中,默认的WebApplicationType属性是SERVLET,生成的是一个标准的Servlet容器WAR包。但是如果将SpringBoot项目打包成WAR包后在tomcat等…

    Java 2023年6月3日
    00
  • JavaScript面向对象程序设计中对象的定义和继承详解

    JavaScript面向对象程序设计中对象的定义和继承详解 对象的定义 在JavaScript中,对象是属性的集合,每个属性都由一个键和一个值组成。键是字符串类型的,值可以是任意类型,包括对象和函数。JavaScript中的对象可以通过以下几种方式进行定义: 字面量方式 字面量方式是最常用的定义对象的方式,在这种方式下,可以直接定义一个对象,并给它添加属性和…

    Java 2023年5月26日
    00
  • 计算机二级考试java软件操作教程 教大家如何学习java

    计算机二级考试Java软件操作教程 为什么学习Java? Java是一门跨平台的编程语言,在开发Web应用、移动应用、桌面应用等众多领域都有广泛应用。学习Java可以让程序员扩展自己的技能树,更好地适应市场需求。而计算机二级考试中也有Java相关的考察内容,学习Java可以更好地准备考试。 学习Java的基本步骤 下载安装Java开发环境(JDK)和集成开发…

    Java 2023年5月20日
    00
  • SpringBoot实现统一封装返回前端结果集的示例代码

    下面我来详细讲解如何实现SpringBoot的统一封装返回前端结果集的示例代码的完整攻略。 1. 为什么需要统一封装返回结果集 在我们使用SpringBoot开发Web应用时,通常经常会用到Controller来处理请求。Controller的主要作用是接收请求,处理业务逻辑,然后将结果返回给前端。通常情况下,我们在Controller方法中使用如下方式处理…

    Java 2023年5月26日
    00
合作推广
合作推广
分享本页
返回顶部