登录/ 注册
 找回密码
 立即注册
关闭

CSDN热搜

程序园 精品问答 技术交流 资源下载
返回列表 发新帖
首页 业界区 安全 springboot~3.x版本的认证逻辑

springboot~3.x版本的认证逻辑

懵诬哇 2025-5-30 14:35:22
在 Spring Boot 3.4.x 中,HttpSecurity 的 and() 方法已经被标记为过时,因此我们需要采用新的 Lambda 风格 API 来配置安全性。你可以将 exceptionHandling() 移到 HttpSecurity 的顶层配置中,而不是在 authorizeHttpRequests 的内部。
authenticationEntryPoint和accessDeniedHandler的自定义
  1. import jakarta.servlet.http.HttpServletRequest;
  2. import jakarta.servlet.http.HttpServletResponse;
  3. import org.springframework.security.access.AccessDeniedException;
  4. import org.springframework.security.web.access.AccessDeniedHandler;
  6. import java.io.IOException;
  8. public class CustomAccessDeineHandler implements AccessDeniedHandler {
  10.     @Override
  11.     public void handle(HttpServletRequest request,
  12.                        HttpServletResponse response,
  13.                        AccessDeniedException accessDeniedException) throws IOException {
  14.         response.setContentType("application/json");
  15.         response.setStatus(HttpServletResponse.SC_FORBIDDEN);
  16.         response.getWriter().write("{"error": "forbidden", "message": "" + accessDeniedException.getMessage() + ""}");
  18.     }
  20. }
  22. import jakarta.servlet.http.HttpServletRequest;
  23. import jakarta.servlet.http.HttpServletResponse;
  24. import org.springframework.security.core.AuthenticationException;
  25. import org.springframework.security.web.AuthenticationEntryPoint;
  27. import java.io.IOException;
  29. /**
  30. * 默认的认证入口点,当用户未通过认证时会触发此类,返回401状态码和错误信息。
  31. * @author lind
  32. * @date 2025/5/28 16:59
  33. * @since 1.0.0
  34. */
  35. public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
  36.     @Override
  37.     public void commence(HttpServletRequest request,
  38.                          HttpServletResponse response,
  39.                          AuthenticationException authException) throws IOException {
  40.         response.setContentType("application/json");
  41.         response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
  42.         response.getWriter().write("{"error": "Unauthorized", "message": "" + authException.getMessage() + ""}");
  43.     }
  44. }
复制代码
HandlerConfig注册bean
  1. @Configuration
  2. public class HandlerConfig {
  3.     @Bean
  4.     @ConditionalOnMissingBean
  5.     AuthenticationEntryPoint authenticationEntryPoint() {
  6.         return new CustomAuthenticationEntryPoint();
  7.     }
  9.     @Bean
  10.     @ConditionalOnMissingBean
  11.     public AccessDeniedHandler accessDeniedHandler() {
  12.         return new CustomAccessDeineHandler();
  13.     }
  14. }
复制代码
WebSecurityConfig代码
  1. @EnableWebSecurity
  2. public class WebSecurityConfig {
  4.     private UaaProperty uaaProperty;
  5.     private AuthenticationEntryPoint authenticationEntryPoint;
  6.     private AccessDeniedHandler accessDeniedHandler;
  8.     public WebSecurityConfig(UaaProperty uaaProperty, AuthenticationEntryPoint authenticationEntryPoint, AccessDeniedHandler accessDeniedHandler) {
  9.         this.uaaProperty = uaaProperty;
  10.         this.authenticationEntryPoint = authenticationEntryPoint;
  11.         this.accessDeniedHandler = accessDeniedHandler;
  12.     }
  14.     @Bean
  15.     public JwtAuthenticationFilter jwtAuthenticationFilter() {
  16.         return new JwtAuthenticationFilter(uaaProperty);
  17.     }
  19.     @Bean
  20.     public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
  21.         Set<String> set = new HashSet<>();
  22.         if (uaaProperty.getPermitUrl() != null && uaaProperty.getPermitUrl().length > 0) {
  23.             Collections.addAll(set, uaaProperty.getPermitUrl());
  24.         }
  26.         http.csrf(csrf -> csrf.disable())
  27.                 .authorizeHttpRequests(authorize -> authorize
  28.                         .requestMatchers(set.toArray(new String[]{})).permitAll()
  29.                         .anyRequest().authenticated()
  30.                 )
  31.                 .exceptionHandling(exceptionHandling ->
  32.                         exceptionHandling
  33.                                 .authenticationEntryPoint(authenticationEntryPoint)
  34.                                 .accessDeniedHandler(accessDeniedHandler)
  35.                 )
  36.                 .addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
  38.         return http.build();
  39.     }
  40. }
复制代码
JwtAuthenticationFilter实现自定义验证逻辑
  1. public class JwtAuthenticationFilter extends OncePerRequestFilter {
  3.     // 配置白名单策略,不走当前doFilterInternal
  4.     @Override
  5.     protected boolean shouldNotFilter(HttpServletRequest request) {
  6.         
  7.     }
  8.     @Override
  9.     protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
  10.             throws ServletException, IOException {
  11.                
  12.     }
  13. }
复制代码
新版3.x的SPI风格自动装配


  • resources/META-INF/spring/org.springframework.boot.autoconfigure.AutoConfiguration.imports
  1. com.xxx.uaa.keycloak.config.UaaProperty
  2. com.xxx.uaa.keycloak.config.WebSecurityConfig
  3. com.xxx.uaa.keycloak.config.HandlerConfig
复制代码
关键点解释


  • Lambda 风格 API:使用 exceptionHandling(exceptionHandling -> ...) 的方式来设置 authenticationEntryPoint 和 accessDeniedHandler,这符合新的配置风格,避免了使用过时的方法。
  • 结构清晰:通过这种方法,你的代码结构更加清晰,逻辑分离也更明显。
  • 保持原有逻辑:其余部分的逻辑保持不变,仍然可以根据需要添加其他的配置。
注意事项


  • 确保你的 Spring Security 版本已经更新到 5.4 或更高版本,以支持这种新的配置方式。
  • 如果你有其他的异常处理或安全配置,也可以在同一链中继续添加。

来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

使用道具 举报
相关推荐
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册
发帖
懵诬哇
2025-5-30 14:35:22

0

粉丝关注

15

主题发布

板块介绍填写区域,请于后台编辑
微信扫一扫