个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
26
4
我正在基于一些开源项目和网上找到的一些文档,使用 Spring boot 来实现 JWT。
什么在起作用?我能够生成我的 token ,并且在第一次点击时,当我尝试调用一些安全方法时,我被撤销,这很好。
有什么问题吗?生成 token 后,似乎我可以调用我的安全方法,而无需添加我的授权 header 。
我正在调试我的代码,发现我在 SecurityContextHolder 中设置了身份验证,但请求完成后我不会清空此变量。在每个实现中都没有人这样做,所以我的问题是我是否必须这样做才能让我的代码按预期工作,仅在存在带有有效 token 的授权 header 时检索安全路径?
我的代码:
WebSecurityConfig 类:
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserSecurityService userSecurityService;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/public").permitAll()
.antMatchers("/login").permitAll()
.anyRequest().authenticated();
// And filter other requests to check the presence of JWT in header
http.addFilterBefore(jwtAuthenticationFilterBean(),
UsernamePasswordAuthenticationFilter.class);
// Disable page caching
http.headers().cacheControl();
}
@Bean
public JWTAuthenticationFilter jwtAuthenticationFilterBean() {
return new JWTAuthenticationFilter();
}
@Override
protected void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
authenticationManagerBuilder.userDetailsService(userSecurityService);
}
}
JWTAuthenticationFiler 类
public class JWTAuthenticationFilter extends OncePerRequestFilter {
@Autowired
private UserDetailsService userDetailsService;
@Value("${jwt.token.header}")
private String tokenHeader;
@Autowired
TokenAuthenticationService tokenAuthenticationService;
@Override
protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
String token = httpServletRequest.getHeader(tokenHeader);
String username = tokenAuthenticationService.getUsernameFromToken(token);
if(username != null && SecurityContextHolder.getContext().getAuthentication() != null){
UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
if (tokenAuthenticationService.validateToken(token, userDetails)) {
UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpServletRequest));
SecurityContextHolder.getContext().setAuthentication(authenticationToken);
}
}
filterChain.doFilter(httpServletRequest, httpServletResponse);
}
}
TokenAuthenticationService 类
@Service
public class TokenAuthenticationService implements Serializable {
static final String CLAIM_KEY_USERNAME = "sub";
static final String CLAIM_KEY_AUDIENCE = "audience";
static final String CLAIM_KEY_CREATED = "created";
static final String CLAIM_KEY_EXPIRED = "exp";
static final long EXPIRATIONTIME = 864_000_000; // 10 days
static final String SECRET = "ThisIsASecret";
static final String TOKEN_PREFIX = "Bearer";
static final String HEADER_STRING = "Authorization";
@Value("${jwt.token.expiration}")
private Long expiration;
@Value("${jwt.token.secret}")
private String secret;
public String generateToken(UserDetails user) {
Map<String, Object> claims = new HashMap<>();
claims.put(CLAIM_KEY_USERNAME, user.getUsername());
final Date createdDate = new Date();
claims.put(CLAIM_KEY_CREATED, createdDate);
final Date expirationDate = new Date(createdDate.getTime() + expiration * 1000);
return Jwts.builder()
.setClaims(claims)
.setExpiration(expirationDate)
.signWith(SignatureAlgorithm.HS512, secret)
.compact();
}
public String getUsernameFromToken(String token) {
String username;
try{
final Claims claims = getClaimsFromToken(token);
username = claims.getSubject();
}catch (Exception e){
username = null;
}
return username;
}
private Claims getClaimsFromToken(String token) {
Claims claims;
try {
claims = Jwts.parser()
.setSigningKey(secret)
.parseClaimsJws(token)
.getBody();
}catch (Exception e){
claims = null;
}
return claims;
}
public boolean validateToken(String token, UserDetails userDetails) {
final String username = getUsernameFromToken(token);
final Date created = getCreatedDateFromToken(token);
if(userDetails.getUsername().equals(username) && !isTokenExpired(token)){
return true;
}
return false;
}
private boolean isTokenExpired(String token) {
final Date expiration = getExpirationDateFromToken(token);
return expiration.before(new Date());
}
private Date getExpirationDateFromToken(String token) {
Date expiration;
try {
final Claims claims = getClaimsFromToken(token);
expiration = claims.getExpiration();
}catch (Exception e){
expiration = null;
}
return expiration;
}
private Date getCreatedDateFromToken(String token) {
Date createdDate;
try{
final Claims claims = getClaimsFromToken(token);
createdDate = new Date((Long) claims.get(CLAIM_KEY_CREATED));
}catch (Exception e){
createdDate = null;
}
return createdDate;
}
}
这是我的 Controller 测试类
@RestController
public class TestController {
@GetMapping("/public")
public String testPublic(){
return "Welcom to the public place";
}
@GetMapping("/private")
@PreAuthorize("hasRole('USER')")
public String testPrivate(){
return "Welcome to the private place";
}
@GetMapping("/admin")
@PreAuthorize("hasRole('ADMIN')")
public String testAdmin(){
return "Welcome to the admin place";
}
}
谢谢
最佳答案
所以我的问题的答案需要进行两处修改:
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
if(username != null && SecurityContextHolder.getContext().getAuthentication() == null)
关于java - 使用 JWT 完成请求后是否必须清空 SecurityContextHolder,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45001060/
26
4
0
我有一个 QVariantList。我怎样才能清空它。 我试过了 myList.clear() 和 myList.empty(); 但运气不好。有什么想法吗? 最佳答案 A QVariantList只
我在创建一个空的 JTabbedPane 时遇到问题,其中在 GUI 上唯一可见的部分是选项卡行。 每次我添加一个带有“空”组件的新选项卡时,JTabbedPane 的高度都会增加,但这是为什么呢?
我有一个简单的 Windows 窗体,其中包含一个名为 list 的 ListView 对象。在窗体上,一个按钮使我能够在单击 list.Items.Clear() 时清空列表。这很好用。 现在我有一
最近遇到一点麻烦事,新安装的PHPwind6.0正式版社区在导入之前的会员帐号资料时,发现很多会员的mail地址貌似胡乱填写的,之前的PHPwind5.5版本没有开启mail地址验证功能,所以估计很
我在 Visual Basic for Applications 中遇到一个 Collection 对象问题(我在 Excel 中使用它) 我有这段代码试图清空一个我必须重新使用的 Collectio
我想清空 CKEditor 中的文本区域。 我可以使用 SetData(' ') 清除 TextArea,但只能在页面加载后清除一次。 我只在 Onchange 事件中编写了 jquery 函数。
使用 iOS6 的很棒的新 UICollectionView 我如何能够删除一个大循环中的所有 UICollectionViewCell 对象? 假设我已经将所有数据加载到其中,我点击刷新,我想删除那
有没有办法在不诉诸目标的情况下删除 ItemGroup 的内容?我正在寻找相当于: 谢谢 最佳答案 不可以,正如文档所述,Remove 只能包含在 Target 内的 ItemGroup 中
我想清除数组对象中的所有元素(可以是标准的 PHP 数组、ArrayObject 或基本上实现基本数组接口(interface)的任何其他对象,如 Itertable、ArrayAccess、Coun
我有一个 9x9 的网格布局,并生成 Jtextareas 来填充它。如果用户按下按钮,我希望网格布局再次变空,以便我可以再次填充它,但与之前填充的内容无关。是否有某种命令,例如 gridlayout
使用 iOS6 的很棒的新 UICollectionView 我如何能够删除一个大循环中的所有 UICollectionViewCell 对象? 假设我已经将所有数据加载到其中,我点击刷新,我想删除那
我正在尝试在 Eclipse 中使用 Nutch 运行爬网。 我正在使用一个名为 urls 的文件,它包含 http://www.google.com/ 但是,当我运行该项目时,Generator 类
$(document).ready(function () { $('#btnSearch').bind('click', function () {
我有一个 jquery 函数,它在单击事件时清空一个 div,获取一些 json,然后附加到已清除的 div。但是,我试图附加到所述 div 的复选框没有出现。这是我的代码: $(function()
我见过类似的问题,但没有一个和我的完全一样,而且我无法理解答案,所以我希望你能帮助我。 thread我指的是以某种方式解决了异步任务或其他问题,但我不确定那是什么。我的问题是我的布局有一个 TextV
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 1
一些事实: - 我的应用程序是客户端。 - 我有一个Socket 池。 - 多个 Thread 使用此池。 - 每个线程都可以超时。 - 超时时,Socket 返回到池中,即使没有从服务器读取回复。
请考虑以下代码,包括两个线程 buffering_thread(用一条消息填充缓冲区指针)和 sending_thread(清空缓冲区): #include "msg.cpp" msg * buffe
我制作了这个板,以随机顺序附加了一些框。 当单击按钮时,我想以新的随机顺序附加框,但显然不起作用(.board 保持为空) http://jsbin.com/pedanobawe/2/edit?htm
我有一个脚本,它将文件列表存储在一个数组中,如下所示 set -A my_array $(ls -tr $INPUT_DIRECTORY/*) 我必须清空这个 my_array 变量才能将其用于其他目
我是一名优秀的程序员,十分优秀!