spring-security实现的token受权
在个人用户密码受权文章里介绍了spring-security的工做过程,不了解的同窗,能够先看看用户密码受权这篇文章,在
用户密码受权模式里,主要是经过一个登录页进行受权,而后把受权对象写到session里,它主要用在mvc框架里,而对于webapi来讲,通常不会采用这种方式,对于webapi
来讲,通常会用jwt受权方式,就是token受权码的方式,每访问api接口时,在http头上带着你的token码,而大叔本身也写了一个简单的jwt受权模式,下面介绍一下。web
WebSecurityConfig受权配置
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter {
/**
* token过滤器.
*/
@Autowired
LindTokenAuthenticationFilter lindTokenAuthenticationFilter;
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity
.csrf().disable()
// 基于token,因此不须要session
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
.authorizeRequests()
// 对于获取token的rest api要容许匿名访问
.antMatchers("/lind-auth/**").permitAll()
// 除上面外的全部请求所有须要鉴权认证
.anyRequest().authenticated();
httpSecurity
.addFilterBefore(lindTokenAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
// 禁用缓存
httpSecurity.headers().cacheControl();
}
/**
* 密码生成策略.
*
* @return
*/
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
受权接口login
对外开放的,须要提供用户名和密码为参数进行登录,而后返回token码,固然也可使用手机号和验证码登录,受权逻辑是同样的,获取用户信息都是使用UserDetailsService,
而后开发人员根据本身的业务去重写loadUserByUsername来获取用户实体。redis
用户登录成功后,为它受权及认证,这一步咱们会在redis里创建token与用户名的关系。spring
@GetMapping(LOGIN)
public ResponseEntity<?> refreshAndGetAuthenticationToken(
@RequestParam String username,
@RequestParam String password) throws AuthenticationException {
return ResponseEntity.ok(generateToken(username, password));
}
/**
* 登录与受权.
*
* @param username .
* @param password .
* @return
*/
private String generateToken(String username, String password) {
UsernamePasswordAuthenticationToken upToken = new UsernamePasswordAuthenticationToken(username, password);
// Perform the security
final Authentication authentication = authenticationManager.authenticate(upToken);
SecurityContextHolder.getContext().setAuthentication(authentication);
// Reload password post-security so we can generate token
final UserDetails userDetails = userDetailsService.loadUserByUsername(username);
// 持久化的redis
String token = CommonUtils.encrypt(userDetails.getUsername());
redisTemplate.opsForValue().set(token, userDetails.getUsername());
return token;
}
LindTokenAuthenticationFilter代码
主要实现了对请求的拦截,获取http头上的Authorization元素,token码就在这个键里,咱们的token都是采用通用的Bearer开头,当你的token没有过时时,会
存储在redis里,key就是用户名的md5码,而value就是用户名,当拿到token以后去数据库或者缓存里拿用户信息进行受权便可。数据库
/**
* token filter bean.
*/
@Component
public class LindTokenAuthenticationFilter extends OncePerRequestFilter {
@Autowired
RedisTemplate<String, String> redisTemplate;
String tokenHead = "Bearer ";
String tokenHeader = "Authorization";
@Autowired
private UserDetailsService userDetailsService;
/**
* token filter.
*
* @param request .
* @param response .
* @param filterChain .
*/
@Override
protected void doFilterInternal(
HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain) throws ServletException, IOException {
String authHeader = request.getHeader(this.tokenHeader);
if (authHeader != null && authHeader.startsWith(tokenHead)) {
final String authToken = authHeader.substring(tokenHead.length()); // The part after "Bearer "
if (authToken != null && redisTemplate.hasKey(authToken)) {
String username = redisTemplate.opsForValue().get(authToken);
if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
//能够校验token和username是否有效,目前因为token对应username存在redis,都以默认都是有效的
UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
userDetails, null, userDetails.getAuthorities());
authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(
request));
logger.info("authenticated user " + username + ", setting security context");
SecurityContextHolder.getContext().setAuthentication(authentication);
}
}
}
filterChain.doFilter(request, response);
}
测试token受权
get:http://localhost:8080/lind-demo/login?username=admin&password=123 post:http://localhost:8080/lind-demo/user/add Content-Type:application/json Authorization:Bearer 21232F297A57A5A743894A0E4A801FC3
相关文章
- 1. SpringSecurity(1)---认证+受权代码实现
- 2. SpringSecurity和JWT实现认证和受权
- 3. JWT+SpringSecurity实现基于Token的单点登陆:认证和受权
- 4. JWT+SpringSecurity实现基于Token的单点登陆(二):认证和受权
- 5. SpringSecurity之受权鉴权
- 6. springBoot整合springsecurity、jwt-token实现权限验证
- 7. SpringBoot+SpringSecurity和JWT实现认证和受权
- 8. mall整合SpringSecurity和JWT实现认证和受权(二)
- 9. 利用SpringSecurity和JWT实现mymes认证和受权(二)
- 10. mall整合SpringSecurity和JWT实现认证和受权(一)
- 更多相关文章...
- • 现实生活中的 XML - XML 教程
- • Hibernate实现增删改查 - Hibernate教程
- • ☆基于Java Instrument的Agent实现
- • Spring Cloud 微服务实战(三) - 服务注册与发现
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. Duang!超快Wi-Fi来袭
- 2. 机器学习-补充03 神经网络之**函数(Activation Function)
- 3. git上开源maven项目部署 多module maven项目(多module maven+redis+tomcat+mysql)后台部署流程学习记录
- 4. ecliple-tomcat部署maven项目方式之一
- 5. eclipse新导入的项目经常可以看到“XX cannot be resolved to a type”的报错信息
- 6. Spark RDD的依赖于DAG的工作原理
- 7. VMware安装CentOS-8教程详解
- 8. YDOOK:Java 项目 Spring 项目导入基本四大 jar 包 导入依赖,怎样在 IDEA 的项目结构中导入 jar 包 导入依赖
- 9. 简单方法使得putty(windows10上)可以免密登录树莓派
- 10. idea怎么用本地maven
欢迎关注本站公众号,获取更多信息
相关文章
- 1. SpringSecurity(1)---认证+受权代码实现
- 2. SpringSecurity和JWT实现认证和受权
- 3. JWT+SpringSecurity实现基于Token的单点登陆:认证和受权
- 4. JWT+SpringSecurity实现基于Token的单点登陆(二):认证和受权
- 5. SpringSecurity之受权鉴权
- 6. springBoot整合springsecurity、jwt-token实现权限验证
- 7. SpringBoot+SpringSecurity和JWT实现认证和受权
- 8. mall整合SpringSecurity和JWT实现认证和受权(二)
- 9. 利用SpringSecurity和JWT实现mymes认证和受权(二)
- 10. mall整合SpringSecurity和JWT实现认证和受权(一)