gpt4 book ai didi

java - Spring Security Cookie + JWT 认证

转载 作者:IT老高 更新时间:2023-10-28 13:55:09 26 4
gpt4 key购买 nike

我必须说我对整个模型非常困惑,我需要帮助将所有 float 部分粘合在一起。

我没有做 Spring REST,只是简单的 WebMVC Controller 。

我的使命:我想要一个带有用户名+通过身份验证的表单登录。我想针对 3rd 方服务进行身份验证。成功后我想返回一个 cookie 但不使用默认的 cookie token 机制。我希望 cookie 有一个 JWT token 。通过利用 cookie 机制,每个请求都将使用 JWT 发送。

因此,为了分解它,我需要处理以下模块:

  1. 在执行 user + pas logi 时针对 3rd 方服务进行身份验证n
  2. 验证成功后用我的自定义实现替换 cookie session token

  3. 在每次请求时从 cookie 中解析 JWT(使用过滤器)

  4. 从 JWT 中提取用户详细信息/数据以供 Controller 访问

什么令人困惑? (请指正我错的地方)

第三方认证

要针对第 3 方进行身份验证,我需要通过扩展 AuthenticationProvider 来拥有一个自定义提供程序

public class JWTTokenAuthenticationProvider implements AuthenticationProvider { 

@Override
public Authentication authenticate( Authentication authentication ) throws AuthenticationException {

// auth against 3rd party

// return Authentication
return new UsernamePasswordAuthenticationToken( name, password, new ArrayList<>() );

}

@Override
public boolean supports(Class<?> authentication) {
return authentication.equals( UsernamePasswordAuthenticationToken.class );
}

}

问题:

  • 当用户提交表单用户+通过时,此提供程序是否在成功验证/登录时执行?如果是这样,那与 AbstractAuthenticationProcessingFilter#successfulAuthentication 有什么关系?
  • 我必须返回一个 UsernamePasswordAuthenticationToken 的实例吗?
  • 我是否必须支持 UsernamePasswordAuthenticationToken 才能在此处获取用户 + 通行证?

用 JWT 替换 cookie token

不知道如何优雅地做到这一点,我可以想到很多方法,但它们不是 Spring Security 的方法,我不想打破常规。非常感谢您在这里提出任何建议!

使用来自 cookie 的每个请求解析 JWT

据我了解,我需要像这样扩展 AbstractAuthenticationProcessingFilter

public class CookieAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

@Override
public Authentication attemptAuthentication( HttpServletRequest request, HttpServletResponse response )
throws AuthenticationException, IOException, ServletException {

String token = "";

// get token from a Cookie

// create an instance to Authentication
TokenAuthentication authentication = new TokenAuthentication(null, null);

return getAuthenticationManager().authenticate(tokenAuthentication);

}

@Override
public void doFilter(ServletRequest req, ServletResponse res,
FilterChain chain) throws IOException, ServletException {
super.doFilter(req, res, chain);
}

}

问题:

  • 何时调用 AbstractAuthenticationProcessingFilter#successfulAuthentication?是在用户登录时调用还是在成功验证 JWT token 时调用?
  • 此过滤器与我之前发布的自定义提供程序之间是否有任何关系?经理应该会根据 token 实例调用自定义提供者,该 token 实例与提供者通过支持方法支持的内容相匹配?

似乎我已经拥有了我需要的所有部分,除了 cookie session 替换,但我无法将它们放入一个连贯的模型中,我需要一个对机制足够了解的人,这样我就可以将所有这些整合到单个模块。

更新 1

好的,我想我已经明白了……https://github.com/spring-projects/spring-security/blob/master/web/src/main/java/org/springframework/security/web/authentication/UsernamePasswordAuthenticationFilter.java

此过滤器将自己注册到 POST -> "/login",然后创建一个 UsernamePasswordAuthenticationToken 实例并将控制权传递给下一个过滤器。

问题是设置 cookie session 的位置......

更新 2

dos 的这一部分给出了我所缺少的顶级流程,对于正在经历这个的人来说,看看这里... http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#tech-intro-authentication

本节关于 AuthenticationProvider... http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#core-services-authentication-manager

更新 3 - 工作案例,这是最好的方法吗?

因此,在深入研究了 Spring Security 文档及其源代码后,我得到了初始模型。现在,这样做,我意识到有不止一种方法可以做到这一点。关于为什么选择这种方式 VS Denys 下面提出的任何建议?

下面的工作示例...

最佳答案

要让它按照原始帖子中描述的方式工作,这就是需要发生的事情......

自定义过滤器

public class CookieAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

public CookieAuthenticationFilter( RequestMatcher requestMatcher ) {

super( requestMatcher );
setAuthenticationManager( super.getAuthenticationManager() );

}

@Override
public Authentication attemptAuthentication( HttpServletRequest request, HttpServletResponse response )
throws AuthenticationException, IOException, ServletException {

String token = "";

// get token from a Cookie
Cookie[] cookies = request.getCookies();

if( cookies == null || cookies.length < 1 ) {
throw new AuthenticationServiceException( "Invalid Token" );
}

Cookie sessionCookie = null;
for( Cookie cookie : cookies ) {
if( ( "someSessionId" ).equals( cookie.getName() ) ) {
sessionCookie = cookie;
break;
}
}

// TODO: move the cookie validation into a private method
if( sessionCookie == null || StringUtils.isEmpty( sessionCookie.getValue() ) ) {
throw new AuthenticationServiceException( "Invalid Token" );
}

JWTAuthenticationToken jwtAuthentication = new JWTAuthenticationToken( sessionCookie.getValue(), null, null );

return jwtAuthentication;

}


@Override
public void doFilter(ServletRequest req, ServletResponse res,
FilterChain chain) throws IOException, ServletException {
super.doFilter(req, res, chain);
}

}

身份验证提供者

将提供者附加到由 UsernamePasswordAuthenticationFilter 生成的 UsernamePasswordAuthenticationToken,后者将自身附加到“/login” POST。对于带有 POST 到 "/login"的 formlogin 将生成 UsernamePasswordAuthenticationToken 并且您的提供者将被触发

@Component
public class ApiAuthenticationProvider implements AuthenticationProvider {

@Autowired
TokenAuthenticationService tokenAuthService;

@Override
public Authentication authenticate( Authentication authentication ) throws AuthenticationException {

String login = authentication.getName();
String password = authentication.getCredentials().toString();

// perform API call to auth against a 3rd party

// get User data
User user = new User();

// create a JWT token
String jwtToken = "some-token-123"

return new JWTAuthenticationToken( jwtToken, user, new ArrayList<>() );

}

@Override
public boolean supports( Class<?> authentication ) {
return authentication.equals( UsernamePasswordAuthenticationToken.class );
}
}

自定义身份验证对象

对于 JWT,我们希望拥有自己的身份验证 token 对象,以便在堆栈中携带我们想要的数据。

public class JWTAuthenticationToken extends AbstractAuthenticationToken {

User principal;
String token;

public JWTAuthenticationToken( String token, User principal, Collection<? extends GrantedAuthority> authorities ) {
super( authorities );
this.token = token;
this.principal = principal;
}

@Override
public Object getCredentials() {
return null;
}

@Override
public Object getPrincipal() {
return principal;
}

public void setToken( String token ) {
this.token = token;
}

public String getToken() {
return token;
}
}

身份验证成功处理程序

当我们的自定义提供程序通过针对第 3 方对用户进行身份验证并生成 JWT token 来完成它的工作时,就会调用它,这是 Cookie 进入响应的地方。

@Component
public class AuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {

@Override
public void onAuthenticationSuccess(
HttpServletRequest request,
HttpServletResponse response,
Authentication authentication) throws IOException, ServletException {

if( !(authentication instanceof JWTAuthenticationToken) ) {
return;
}

JWTAuthenticationToken jwtAuthenticaton = (JWTAuthenticationToken) authentication;

// Add a session cookie
Cookie sessionCookie = new Cookie( "someSessionId", jwtAuthenticaton.getToken() );
response.addCookie( sessionCookie );

//clearAuthenticationAttributes(request);

// call the original impl
super.onAuthenticationSuccess( request, response, authentication );
}

}

将这一切联系在一起

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Autowired @Required
ApiAuthenticationProvider apiAuthProvider;

@Autowired @Required
AuthenticationSuccessHandler authSuccessHandler;

@Autowired @Required
SimpleUrlAuthenticationFailureHandler authFailureHandler;

@Override
protected void configure( AuthenticationManagerBuilder auth ) throws Exception {
auth.authenticationProvider( apiAuthProvider );
}

@Override
protected void configure( HttpSecurity httpSecurity ) throws Exception {

httpSecurity

// don't create session
.sessionManagement()
.sessionCreationPolicy( SessionCreationPolicy.STATELESS )
.and()

.authorizeRequests()
.antMatchers( "/", "/login", "/register" ).permitAll()
.antMatchers( "/js/**", "/css/**", "/img/**" ).permitAll()
.anyRequest().authenticated()
.and()

// login
.formLogin()
.failureHandler( authFailureHandler )
//.failureUrl( "/login" )
.loginPage("/login")
.successHandler( authSuccessHandler )
.and()

// JWT cookie filter
.addFilterAfter( getCookieAuthenticationFilter(
new AndRequestMatcher( new AntPathRequestMatcher( "/account" ) )
) , UsernamePasswordAuthenticationFilter.class );
}


@Bean
SimpleUrlAuthenticationFailureHandler getAuthFailureHandler() {

SimpleUrlAuthenticationFailureHandler handler = new SimpleUrlAuthenticationFailureHandler( "/login" );
handler.setDefaultFailureUrl( "/login" );
//handler.setUseForward( true );

return handler;

}

CookieAuthenticationFilter getCookieAuthenticationFilter( RequestMatcher requestMatcher ) {

CookieAuthenticationFilter filter = new CookieAuthenticationFilter( requestMatcher );
filter.setAuthenticationFailureHandler( authFailureHandler );
return filter;
}
}

关于java - Spring Security Cookie + JWT 认证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38341114/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com