在我的用户密码授权文章里介绍了spring-security的工作过程,不了解的同学,可以先看看用户密码授权这篇文章,在

用户密码授权模式里,主要是通过一个登陆页进行授权,然后把授权对象写到session里,它主要用在mvc框架里,而对于webapi来说,一般不会采用这种方式,对于webapi

来说,一般会用jwt授权方式,就是token授权码的方式,每访问api接口时,在http头上带着你的token码,而大叔自己也写了一个简单的jwt授权模式,下面介绍一下。

WebSecurityConfig授权配置

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled = true)

public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter {

  /**

   * token过滤器.

   */

  @Autowired

  LindTokenAuthenticationFilter lindTokenAuthenticationFilter;

  @Bean

  @Override

  public AuthenticationManager authenticationManagerBean() throws Exception {

    return super.authenticationManagerBean();

  }

  @Override

  protected void configure(HttpSecurity httpSecurity) throws Exception {

    httpSecurity

        .csrf().disable()

        // 基于token,所以不需要session

        .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()

        .authorizeRequests()

        // 对于获取token的rest api要允许匿名访问

        .antMatchers("/lind-auth/**").permitAll()

        // 除上面外的所有请求全部需要鉴权认证

        .anyRequest().authenticated();

    httpSecurity

        .addFilterBefore(lindTokenAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);

    // 禁用缓存

    httpSecurity.headers().cacheControl();

  }

  /**

   * 密码生成策略.

   *

   * @return

   */

  @Bean

  public PasswordEncoder passwordEncoder() {

    return new BCryptPasswordEncoder();

  }

}

授权接口login

对外开放的,需要提供用户名和密码为参数进行登陆,然后返回token码,当然也可以使用手机号和验证码登陆,授权逻辑是一样的,获取用户信息都是使用UserDetailsService,

然后开发人员根据自己的业务去重写loadUserByUsername来获取用户实体。

用户登陆成功后,为它授权及认证,这一步我们会在redis里建立token与用户名的关系。

@GetMapping(LOGIN)

  public ResponseEntity<?> refreshAndGetAuthenticationToken(

      @RequestParam String username,

      @RequestParam String password) throws AuthenticationException {

    return ResponseEntity.ok(generateToken(username, password));

  }

  /**

   * 登陆与授权.

   *

   * @param username .

   * @param password .

   * @return

   */

  private String generateToken(String username, String password) {

    UsernamePasswordAuthenticationToken upToken = new UsernamePasswordAuthenticationToken(username, password);

    // Perform the security

    final Authentication authentication = authenticationManager.authenticate(upToken);

    SecurityContextHolder.getContext().setAuthentication(authentication);

    // Reload password post-security so we can generate token

    final UserDetails userDetails = userDetailsService.loadUserByUsername(username);

    // 持久化的redis

    String token = CommonUtils.encrypt(userDetails.getUsername());

    redisTemplate.opsForValue().set(token, userDetails.getUsername());

    return token;

  }

LindTokenAuthenticationFilter代码

主要实现了对请求的拦截,获取http头上的Authorization元素,token码就在这个键里,我们的token都是采用通用的Bearer开头,当你的token没有过期时,会

存储在redis里,key就是用户名的md5码,而value就是用户名,当拿到token之后去数据库或者缓存里拿用户信息进行授权即可。

/**

 * token filter bean.

 */

@Component

public class LindTokenAuthenticationFilter extends OncePerRequestFilter {

  @Autowired

  RedisTemplate<String, String> redisTemplate;

  String tokenHead = "Bearer ";

  String tokenHeader = "Authorization";

  @Autowired

  private UserDetailsService userDetailsService;

  /**

   * token filter.

   *

   * @param request     .

   * @param response    .

   * @param filterChain .

   */

  @Override

  protected void doFilterInternal(

      HttpServletRequest request,

      HttpServletResponse response,

      FilterChain filterChain) throws ServletException, IOException {

    String authHeader = request.getHeader(this.tokenHeader);

    if (authHeader != null && authHeader.startsWith(tokenHead)) {

      final String authToken = authHeader.substring(tokenHead.length()); // The part after "Bearer "

      if (authToken != null && redisTemplate.hasKey(authToken)) {

        String username = redisTemplate.opsForValue().get(authToken);

        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

          UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

          //可以校验token和username是否有效,目前由于token对应username存在redis,都以默认都是有效的

          UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(

              userDetails, null, userDetails.getAuthorities());

          authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(

              request));

          logger.info("authenticated user " + username + ", setting security context");

          SecurityContextHolder.getContext().setAuthentication(authentication);

        }

      }

    }

    filterChain.doFilter(request, response);

  }

测试token授权

get:http://localhost:8080/lind-demo/login?username=admin&password=123

post:http://localhost:8080/lind-demo/user/add

Content-Type:application/json

Authorization:Bearer 21232F297A57A5A743894A0E4A801FC3

spring-security实现的token授权的更多相关文章

  1. 使用Redis作为Spring Security OAuth2的token存储

    写在前边 本文对Spring Security OAuth2的token使用Redis保存,相比JWT实现的token存储,Redis可以随时吊销access_token,并且Redis响应速度很快, ...

  2. Spring Security实现OAuth2.0授权服务 - 进阶版

    <Spring Security实现OAuth2.0授权服务 - 基础版>介绍了如何使用Spring Security实现OAuth2.0授权和资源保护,但是使用的都是Spring Sec ...

  3. Spring Security OAuth2.0认证授权二:搭建资源服务

    在上一篇文章[Spring Security OAuth2.0认证授权一:框架搭建和认证测试](https://www.cnblogs.com/kuangdaoyizhimei/p/14250374. ...

  4. Spring Security OAuth2.0认证授权三:使用JWT令牌

    Spring Security OAuth2.0系列文章: Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二: ...

  5. Spring Security OAuth2.0认证授权四:分布式系统认证授权

    Spring Security OAuth2.0认证授权系列文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授 ...

  6. Spring Security OAuth2.0认证授权五:用户信息扩展到jwt

    历史文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二:搭建资源服务 Spring Security OA ...

  7. Spring Security OAuth2.0认证授权六:前后端分离下的登录授权

    历史文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二:搭建资源服务 Spring Security OA ...

  8. Spring Security OAuth 格式化 token 输出

    个性化token 背景 上一篇文章<Spring Security OAuth 个性化token(一)>有提到,oauth2.0 接口默认返回的报文格式如下: {     "ac ...

  9. 使用JWT作为Spring Security OAuth2的token存储

    序 Spring Security OAuth2的demo在前几篇文章中已经讲过了,在那些模式中使用的都是RemoteTokenService调用授权服务器来校验token,返回校验通过的用户信息供上 ...

  10. Spring Security实现OAuth2.0授权服务 - 基础版

    一.OAuth2.0协议 1.OAuth2.0概述 OAuth2.0是一个关于授权的开放网络协议. 该协议在第三方应用与服务提供平台之间设置了一个授权层.第三方应用需要服务资源时,并不是直接使用用户帐 ...

随机推荐

  1. 转载:selenium webdriver定位不到元素的五种原因及解决办法

    1.动态id定位不到元素for example:        //WebElement xiexin_element = driver.findElement(By.id("_mail_c ...

  2. Goroutine陷阱

    Go在语言层面通过Goroutine与channel来支持并发编程,使并发编程看似变得异常简单,但通过最近一段时间的编码,越来越觉得简单的东西,很容易会被滥用.Java的标准库也让多线程编程变得简单, ...

  3. validatebox相关验证

    $(document).ready( function(){ $.extend($.fn.validatebox.defaults.rules, { minLength: { validator: f ...

  4. Javascript的内存泄漏分析

    作为程序员(更高大尚的称谓:研软件研发)的我们,无论是用Javascript,还是.net, java语言,肯定都遇到过内存泄漏的问题.只不过他们都有GC机制来帮助程序员完成内存回收的事情,如果你是C ...

  5. 【推荐】 HyperLedger Fabric环境搭建、测试及注意事项 [详尽指导] [亲测有效]

    系统:Ubuntu16.04 LTS 一.环境准备 1.1 Ubuntu下安装 crul sudo apt install curl curl是利用URL语法在命令行方式下工作的开源文件传输工具.它被 ...

  6. Vue.js组件间通信方式总结

    平时在使用Vue框架的业务开发中,组件不仅仅要把模板的内容进行复用,更重要的是组件之间要进行通信.组件之间通信分为三种:父-子:子-父:跨级组件通信.下面,就组件间如何通信做一些总结. 1.父组件到子 ...

  7. 学习 JavaScript(二)在 HTML 中使用 JS

    基本用法 在 HTML 中使用 <script> 元素引入 Javascript , <script> 有以下 4 个常用属性: async: 异步加载,只对外部脚步有效. d ...

  8. ASP.NET三层架构项目创建流程

    1.进入VS2010,新建项目—>Visual C#—>Web—>ASP.NET空Web应用程序,如图所示: 2.在解决方案处右击—>新建项目—>Windows—> ...

  9. freemarker动态生成word并将生成的word转为PDF,openoffice转换word乱码

    之前项目有个需求,需要先动态生成word内容,然后再预览生成word的内容(不能修改).整理一下,方便以后使用. 网上参考了好多大神的博客.具体也忘了参考谁的了,如有侵权,请告知修改. 思路一: 将目 ...

  10. 上帝的归上帝,凯撒的归凯撒—— CODING 权限管理更新

    上帝的归上帝,凯撒的归凯撒 <马太福音>22 章 15-22 节,耶稣用这句话,说明了神权与政权之间的正确关系,奠定了神权与政权的基础,也划清了二者的界限.其实这两个问题如今也依旧出现在公 ...