背景

Spring Security默认使用「用户名/密码」的方式进行登陆校验,并通过cookie的方式存留登陆信息。在一些定制化场景,比如希望单独使用token串进行部分页面的访问权限控制时,默认方案无法支持。在未能在网上搜索出相关实践的情况下,通过官方文档及个别Stack Overflow的零散案例,形成整体思路并实践测试通过,本文即关于该方案的一个分享。

参考

官方文档:https://docs.spring.io/spring-security/site/docs/5.0.5.BUILD-SNAPSHOT/reference/htmlsingle/

SpringSecurity校验流程

基本的SpringSecurity使用方式网上很多,不是本文关注的重点,如有需要可以自行搜索或参见https://blog.csdn.net/u012702547/article/details/54319508

关于校验的整个流程简单的说,整个链路有三个关键点,

  • 将需要鉴权的类/方法/url),定义为需要鉴权(本文代码示例为方法上注解@PreAuthorize("hasPermission('TARGET','PERMISSION')")
  • 根据访问的信息产生一个来访者的权限信息Authentication,并插入到上下文中
  • 在调用鉴权方法时,根据指定的鉴权方式,验证权限信息是否符合权限要求

完整的调用链建议在IDE中通过单步调试亲自体会,本文不做相关整理。

如何自定义

我的需求,是使用自定义的token,验证权限,涉及到:

  • 产生Authentication并插入到上下文中
  • 针对token的验证方式

需要做的事情如下:

  • 自定义TokenAuthentication类,实现org.springframework.security.core.Authenticaion,作为token权限信息
  • 自定义AuthenticationTokenFilter类,实现javax.servlet.Filter,在收到访问时,根据访问信息生成TokenAuthentication实例,并插入上下文
  • 自定义SecurityPermissionEvalutor类,实现org.springframework.security.access.PermissionEvaluator,完成权限的自定义验证逻辑
  • 在全局的配置中,定义使用SecurityPermissionEvalutor作为权限校验方式

TokenAuthentication.java

/**

 * @author: Blaketairan

 */

import org.springframework.security.core.Authentication;

import org.springframework.security.core.GrantedAuthority;

import java.util.ArrayList;

import java.util.Collection;

/**

 * Description: spring-security的Authentication的自定义实现(用于校验token)

 */

public class TokenAuthentication implements Authentication{

    private String token;

    public TokenAuthentication(String token){

        this.token = token;

    }

    @Override

    public Collection<? extends GrantedAuthority> getAuthorities() {

        return new ArrayList<GrantedAuthority>(0);

    }

    @Override

    public Object getCredentials(){

        return token;

    }

    @Override

    public Object getDetails() {

        return null;

    }

    @Override

    public Object getPrincipal() {

        return null;

    }

    @Override

    public boolean isAuthenticated() {

        return true;

    }

    @Override

    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {

    }

    @Override

    public String getName() {

        return null;

    }

}

AuthenticationTokenFilter.java

/**

 * @author: Blaketairan

 */

import com.google.common.base.Strings;

import com.blaketairan.spring.security.configuration.TokenAuthentication;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.core.Authentication;

import org.springframework.security.core.context.SecurityContextHolder;

import javax.servlet.*;

import javax.servlet.http.HttpServletRequest;

import java.io.IOException;

/**

 * Description: 用于处理收到的token并为spring-security上下文生成及注入Authenticaion实例

 */

@Configuration

public class AuthenticationTokenFilter implements Filter{

    @Override

    public void init(FilterConfig filterConfig) throws ServletException{

    }

    @Override

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,FilterChain filterChain)

            throws IOException, ServletException{

        if (servletRequest instanceof HttpServletRequest){

            String token = ((HttpServletRequest) servletRequest).getHeader("PRIVATE-TOKEN");

            if (!Strings.isNullOrEmpty(token)){

                Authentication authentication = new TokenAuthentication(token);

                SecurityContextHolder.getContext().setAuthentication(authentication);

                System.out.println("Set authentication with non-empty token");

            } else {

                /**

                 * 在未收到Token时,至少塞入空TokenAuthenticaion实例,避免进入SpringSecurity的用户名密码默认模式

                 */

                Authentication authentication = new TokenAuthentication("");

                SecurityContextHolder.getContext().setAuthentication(authentication);

                System.out.println("Set authentication with empty token");

            }

        }

        filterChain.doFilter(servletRequest, servletResponse);

    }

    @Override

    public void destroy(){

    }

}

SecurityPermissionEvalutor.java

/**

 * @author: Blaketairan

 */

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.access.PermissionEvaluator;

import org.springframework.security.core.Authentication;

import java.io.Serializable;

/**

 * Description: spring-security 自定义的权限处理模块(鉴权)

 */

public class SecurityPermissionEvaluator implements PermissionEvaluator {

    @Override

    public boolean hasPermission(Authentication authentication,Object targetDomainObject, Object permission){

        String targetDomainObjectString = null;

        String permissionString = null;

        String token = null;

        try {

            targetDomainObjectString = (String)targetDomainObject;

            permissionString = (String)permission;

            token = (String)authentication.getCredentials();

        } catch (ClassCastException e){

            e.printStackTrace();

            return false;

        }

        return hasPermission(token, targetDomainObjectString, permissionString);

    }

    @Override

    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission){

        /**

         * 使用@PreAuthorize("hasPermission('TARGET','PERMISSION')")方式,不使用该鉴权逻辑

         */

        return false;

    }

    private boolean hasPermission(String token,String targetDomain, String permission){

        /**

         * 验证权限

        **/

        return true;

    }

}

SecurityConfig.java 全局配置

/**

 * @author: Blaketairan

 */

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.access.PermissionEvaluator;

import org.springframework.security.authentication.AuthenticationManager;

import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**

 * Description: spring-security配置,指定使用自定义的权限评估方法

 */

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled = true)

public class SecurityConfig extends WebSecurityConfigurerAdapter{

    @Bean

    @Override

    protected AuthenticationManager authenticationManager() throws Exception{

        return super.authenticationManager();

    }

    @Bean

    public PermissionEvaluator permissionEvaluator() {

        /**

         * 使用自定义的权限验证

        **/

        SecurityPermissionEvaluator securityPermissionEvaluator = new SecurityPermissionEvaluator();

        return securityPermissionEvaluator;

    }

    @Override

    protected void configure(HttpSecurity httpSecurity) throws Exception{

        /**

         * 关掉csrf方便本地ip调用调试

        **/

        httpSecurity

                .csrf()

                .disable()

                .httpBasic()

                .disable();

    }

}

BaseRepository.java 某个需要权限验证的方法

/**

 * @author: Blaketairan

 */

import org.springframework.security.access.prepost.PreAuthorize;

import java.util.List;

/**

 * Description:

 */

public interface BaseRepository{

    @PreAuthorize("hasPermission('DOMAIN', 'PERMISSION')")

    void deleteAll();

}

结语

希望对看到本文的人有所帮助。

SpringSecurity 进行自定义Token校验的更多相关文章

  1. Spring Cloud Gateway 实现Token校验

    在我看来,在某些场景下,网关就像是一个公共方法,把项目中的都要用到的一些功能提出来,抽象成一个服务.比如,我们可以在业务网关上做日志收集.Token校验等等,当然这么理解很狭隘,因为网关的能力远不止如 ...

  2. django-jwt token校验源码简析

    一. jwt token校验源码简析 1.1 前言 之前使用jwt签发了token,里面的头部包含了加密的方式.是否有签名等,而载荷中包含用户名.用户主键.过期时间等信息,最后的签名还使用了摘要算法进 ...

  3. 待实践二:MVC3下的3种验证 (1)前台 jquery validate验证 (2)MVC实体验证 (3)EF生成的/自己手写的 自定义实体校验(伙伴类+元素据共享)

    MVC3下的3种验证 (1):前台Jquery Validate脚本验证 引入脚本 <script src="../js/jquery.js" type="text ...

  4. spring cloud 服务A调用服务B自定义token消失,记录

    后端:spring cloud 前端:vue 场景:前端ajax请求,包装自定义请求头token到后台做验证,首先调用A服务,A服务通过Feign调用B服务发现自定义token没有传到B服务去; 原因 ...

  5. Java自定义注解源码+原理解释(使用Java自定义注解校验bean传入参数合法性)

    Java自定义注解源码+原理解释(使用Java自定义注解校验bean传入参数合法性) 前言:由于前段时间忙于写接口,在接口中需要做很多的参数校验,本着简洁.高效的原则,便写了这个小工具供自己使用(内容 ...

  6. 自定义token,保存到客户端的cookie中,

    自定义token #原理自定义token,放入cookie中,不用存数据库 #token定义方式 >>>>> "加密字符串"|登陆用户id|用户登陆时 ...

  7. Struts2 自定义输入校验 第五弹

    Struts2的校验框架有两种:一种是validate方法,另一种是有效的xml文件. Action中自定义方法的输入校验,对于通过action的method属性所指定的自定义方法myExecute, ...

  8. Java 自定义注解 校验指定字段对应数据库内容重复

    一.前言 在项目中,某些情景下我们需要验证编码是否重复,账号是否重复,身份证号是否重复等... 而像验证这类代码如下: 那么有没有办法可以解决这类似的重复代码量呢? 我们可以通过自定义注解校验的方式去 ...

  9. 更加灵活的参数校验,Spring-boot自定义参数校验注解

    上文我们讨论了如何使用@Min.@Max等注解进行参数校验,主要是针对基本数据类型和级联对象进行参数校验的演示,但是在实际中我们往往需要更为复杂的校验规则,比如注册用户的密码和确认密码进行校验,这个时 ...

随机推荐

  1. flask 视图函数的使用

    flask框架 视图函数当中 各种实用情况简单配置 1 建立连接 2 路由参数 3 返回网络状态码 4 自定义错误页面 5 重定向 6 正则url限制 和 url 优化 7 设置和获取cookie # ...

  2. Django中自定义过滤器的使用

    我在这里做的是: 从数据库查出id递增的一些信息,展示在前台. 编写一个过滤器判断查出数据的id是偶数的返回True 奇数返回False 1 创建项目,创建应用,注册应用,配置settings.py文 ...

  3. GNU/Linux需要特别注意的目录

    /bin         存放大多数系统命令,如cat.mkdir.mv.cp.tar.chmod等 /boot       存放开机所需要的文件,开机时载入开机管理程序(bootloader),并映 ...

  4. TSQL:判定一段数组连续的数字段有多少的方案

    给定了一列数字,需要判定该列中连续的数据字有多少条记录: field1,field2 , , , , , create table tbl( field1 int, field2 int ) ,); ...

  5. POJ-1122 FDNY to the Rescue!---Dijkstra+反向建图

    题目链接: https://vjudge.net/problem/POJ-1122 题目大意: 给出矩阵,矩阵中每个元素tij表示从第i个交叉路口到第j个交叉路口所需时间,若tij为-1则表示两交叉路 ...

  6. 06、NetCore2.0依赖注入(DI)之整合Autofac

    06.NetCore2.0依赖注入(DI)之整合Autofac 除了使用NetCore2.0系统的依赖注入(DI)框架外,我们还可以使用其他成熟的DI框架,如Autofac.Unity等.只要他们支持 ...

  7. CentOS 7 快速初始化脚本 for MySQL

    #!/bin/bash## CentOS 7.x # SSH configuresshd_port=22 # Disable SElinuxprintf "Disable SElinux.. ...

  8. 前端监控系统(二)JS错误日志收集篇

    前端监控系统 目前已经上线,欢迎使用! 服务器搭建好了,可以着手开发了. 其实前端需要分析的数据有很多,包括,PVUV, 接口请求统计,耗时统计,JS错误统计,用户使用设备统计,用户地域分布,页面用户 ...

  9. WKWebView和WebView与JS的交互方式

    UIWebView与JS的交互方式 一,OC调用JS直接调用苹果提供的API - (nullable NSString *)stringByEvaluatingJavaScriptFromString ...

  10. [POI 2007]ZAP-Queries

    Description Byteasar the Cryptographer works on breaking the code of BSA (Byteotian Security Agency) ...