当前位置:首页 > 编程语言 > jwt和spring security集成

jwt和spring security集成

2020-12-13 05:56

阅读:233

标签:ken   label   ace   before   api   oca   rip   one   ann   

 

 

1、用户登陆,通过spring security验证用户(WebSecurityConfigurerAdapter的configure(AuthenticationManagerBuilder)方法),并且进行授权(WebSecurityConfigurerAdapter的configure(HttpSecurity))。并且根据拦截器,不需要对其验证token。

验证:

public void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth
            // 设置 UserDetailsService
            .userDetailsService(userDetailsService)
            // 使用 BCrypt 进行密码的 hash
            .passwordEncoder(passwordEncoder());
}

 授权:

public void configure(HttpSecurity http) throws Exception {

  http 
  // Un-secure 登录、 验证码接口,不用授权就可以无条件访问,也就是所有人都可以访问登陆接口
            .antMatchers(
                    "/api/auth/**",
                    "/alogin"
            ).permitAll() //无条件允许访问
            // secure other api
            .anyRequest().authenticated();
}

 

2、验证通过后,需要通过Jwt功能,生成token,并将token返回给客户端,客户端将token保存在cookie或者localstorage中

//生成token
String token = jwtUtils.generateToken(userId);

 

3、客户登陆成功后再次访问服务,携带在token(将其放在请求头Authorization字段中),请求服务端。

4、 由于登陆成功后,再次请求服务端,是通过携带token通过jwt验证,而不是通过用户名密码的形式通过spring security验证,所以需要通过自定义过滤器,验证token是否正确


public void configure(HttpSecurity http) throws Exception {

// 将token验证添加在用户名密码验证前面,authenticationTokenFilterBean()方法返回了自定义的过滤器,用来验证token是否正确
//其实这部分是验证的内容,但是写在了httpSecurity授权中,为什么这么设计

    httpSecurity
            .addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
}

 

说明:

HttpSecurity 的addFilterBefore方法:

addFilterBefore

public HttpSecurity addFilterBefore(javax.servlet.Filter filter,
                                    java.lang.Class extends javax.servlet.Filter> beforeFilter)
Description copied from interface: HttpSecurityBuilder
Allows adding a Filter before one of the known Filter classes. The known Filter instances are either a Filter listed in HttpSecurityBuilder.addFilter(Filter) or a Filter that has already been added using HttpSecurityBuilder.addFilterAfter(Filter, Class) or HttpSecurityBuilder.addFilterBefore(Filter, Class).
Specified by:
addFilterBefore in interface HttpSecurityBuilder
Parameters:
filter - the Filter to register before the type beforeFilter
beforeFilter - the Class of the known Filter.
Returns:
the HttpSecurity for further customizations

 

 

tips:

如果携带了token,则进行token验证,也就是要通过自定义的过滤器;如果没有携带token,则不进行token验证,直接用UsernamePasswordAuthenticationFilter类,通过用户名密码的形式进行验证。

 

自定义过滤器设计思路:

所以自定义过滤器的逻辑应该是判断token是否存在,如果存在则进行token验证,如果不存在则不需要过滤。

 

jwt和spring security集成

标签:ken   label   ace   before   api   oca   rip   one   ann   

原文地址:https://www.cnblogs.com/BonnieWss/p/11149699.html

上一篇:构建ASP.NET MVC4+EF5+EasyUI+Unity2.x注入的后台管理系统(34)-文章发布系统①-简要分析

下一篇:css隐藏滚动条方法

文章来自:搜素材网编程语言模块,转载请注明文章出处。
文章标题:jwt和spring security集成
文章链接:http://soscw.com/essay/32022.html

评论

亲,登录后才可以留言!

热门文章

推荐文章

最新文章

置顶文章

关于我们 | 版权声明 | 常见问题 | 素材投稿 | 联系我们 | 网站地图 |
搜素材网素材除本站原创外均由用户分享,若发现权利被侵害,请联系及时联系我们,我们会在第一时间进行处理。
特别说明:本站所有资源除本站原创外仅供学习与参考,请勿用于商业用途,如有侵犯您的版权请联系客服服务QQ:点击这里给我发消息
Copyright © 2025 soscw.com 搜素材网素材网版权所有 蜀ICP备18015633号-1