2. 程式人生 > >Spring Security Oauth2 permitAll()方法小記

Spring Security Oauth2 permitAll()方法小記

阿新 發佈:2018-05-22
ted 分享圖片 eth con bus led cat and perf

黃鼠狼在養雞場山崖邊立了塊碑,寫道:“不勇敢地飛下去,你怎麽知道自己原來是一只搏擊長空的鷹?!”

從此以後

黃鼠狼每天都能在崖底吃到那些摔死的雞!

技術分享圖片

前言

上周五有網友問道,在使用spring-security-oauth2時,雖然配置了.antMatchers("/permitAll").permitAll(),但如果在header 中 攜帶 Authorization Bearer xxxxOAuth2AuthenticationProcessingFilter還是會去校驗Token的正確性,如果Token合法,可以正常訪問,否則,請求失敗。他的需求是當配置.permitAll()

時,即使攜帶Token,也可以直接訪問。

解決思路

根據Spring Security源碼分析一:Spring Security認證過程得知spring-security的認證為一系列過濾器鏈。我們只需定義一個比OAuth2AuthenticationProcessingFilter更早的過濾器攔截指定請求,去除header中的Authorization Bearer xxxx即可。

代碼修改

添加PermitAuthenticationFilter類

添加PermitAuthenticationFilter類攔截指定請求,清空header中的Authorization Bearer xxxx

@Component("permitAuthenticationFilter")
@Slf4j
public class PermitAuthenticationFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        log.info
 
("當前訪問的地址:{}", request.getRequestURI());
        if ("/permitAll".equals(request.getRequestURI())) {

            request = new HttpServletRequestWrapper(request) {
                private Set<String> headerNameSet;

                @Override
                public Enumeration<String> getHeaderNames() {
                    if (headerNameSet == null) {
                        // first time this method is called, cache the wrapped request‘s header names:
                        headerNameSet = new HashSet<>();
                        Enumeration<String> wrappedHeaderNames = super.getHeaderNames();
                        while (wrappedHeaderNames.hasMoreElements()) {
                            String headerName = wrappedHeaderNames.nextElement();
                            if (!"Authorization".equalsIgnoreCase(headerName)) {
                                headerNameSet.add(headerName);
                            }
                        }
                    }
                    return Collections.enumeration(headerNameSet);
                }

                @Override
                public Enumeration<String> getHeaders(String name) {
                    if ("Authorization".equalsIgnoreCase(name)) {
                        return Collections.<String>emptyEnumeration();
                    }
                    return super.getHeaders(name);
                }

                @Override
                public String getHeader(String name) {
                    if ("Authorization".equalsIgnoreCase(name)) {
                        return null;
                    }
                    return super.getHeader(name);
                }
            };

        }
        filterChain.doFilter(request, response);

    }
}

添加PermitAllSecurityConfig配置

添加PermitAllSecurityConfig配置用於配置PermitAuthenticationFilter

@Component("permitAllSecurityConfig")
public class PermitAllSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain,HttpSecurity> {

    @Autowired
    private Filter permitAuthenticationFilter;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.addFilterBefore(permitAuthenticationFilter, OAuth2AuthenticationProcessingFilter.class);
    }
}

修改MerryyouResourceServerConfig,增加對制定路徑的授權

 @Override
    public void configure(HttpSecurity http) throws Exception {

        // @formatter:off
        http.formLogin()
                .successHandler(appLoginInSuccessHandler)//登錄成功處理器
                .and()
                .apply(permitAllSecurityConfig)
                .and()
                .authorizeRequests()
                .antMatchers("/user").hasRole("USER")
                .antMatchers("/forbidden").hasRole("ADMIN")
                .antMatchers("/permitAll").permitAll()
                .anyRequest().authenticated().and()
                .csrf().disable();

        // @formatter:ON
    }
  • 關於各個路徑的說明參考:使用Spring MVC測試Spring Security Oauth2 API

修改測試類SecurityOauth2Test

添加permitAllWithTokenTest方法

    @Test
    public void permitAllWithTokenTest() throws Exception{
        final String accessToken = obtainAccessToken();
        log.info("access_token={}", accessToken);
        String content = mockMvc.perform(get("/permitAll").header("Authorization", "bearer " + accessToken+"11"))
                .andExpect(status().isOk())
                .andReturn().getResponse().getContentAsString();
        log.info(content);
    }
  • Authorization bearer xxx 11後面隨機跟了兩個參數

效果如下

不配置permitAllSecurityConfig時

技術分享圖片

配置permitAllSecurityConfig時

技術分享圖片

代碼下載

  • github:https://github.com/longfeizheng/security-oauth2
  • gitee:https://gitee.com/merryyou/security-oauth2

推薦文章

  1. Java創建區塊鏈系列
  2. Spring Security源碼分析系列
  3. Spring Data Jpa 系列
  4. 【譯】數據結構中關於樹的一切(java版)
  5. SpringBoot+Docker+Git+Jenkins實現簡易的持續集成和持續部署

技術分享圖片

??????關註微信小程序java架構師歷程
上下班的路上無聊嗎?還在看小說、新聞嗎?不知道怎樣提高自己的技術嗎?來吧這裏有你需要的java架構文章,1.5w+的java工程師都在看,你還在等什麽?

Spring Security Oauth2 permitAll()方法小記

相關推薦

Spring Security Oauth2 permitAll()方法小記

ted 分享圖片 eth con bus led cat and perf 黃鼠狼在養雞場山崖邊立了塊碑,寫道:“不勇敢地飛下去,你怎麽知道自己原來是一只搏擊長空的鷹?!” 從此以後 黃鼠狼每天都能在崖底吃到那些摔死的雞! 前言 上周五有網友問道,在使用spr

OAuth2.0學習(4-1)Spring Security OAuth2.0 - 代碼分析

endpoint manager authent work cor tro 過程 pro efi 1、org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter

spring security oauth2 jwt 認證和資源分離的配置文件(java類配置版)

boot cond lan 資源分離 測試 sql adapter 依賴 註入 最近再學習spring security oauth2。下載了官方的例子sparklr2和tonr2進行學習。但是例子裏包含的東西太多,不知道最簡單最主要的配置有哪些。所以決定自己嘗試搭建簡單版

spring security oauth2.0 實現

規範 ppi basic final pre 代碼 處理 state 三方  oauth應該屬於security的一部分。關於oauth的的相關知識可以查看阮一峰的文章:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.htm

spring security oauth2認證中心 集成zuul網關的代碼分析

負載 很好 結合 gate conf git oauth2 註冊 通過 zuul作為業務網關需要對其內部的服務進行權限控制,采用oauth2的資源服務器集成到zuul中可以很好的保護zuul內部的服務,需要搭建服務註冊中心,認證中心,鑒權中心三大板塊,其中鑒權中心是和zuu

Spring Security +Oauth2 +Spring boot 動態定義權限

第三方 決策管理 oauth2 跳過 請求 code com 授權 並且 Oauth2介紹:Oauth2是為用戶資源的授權定義了一個安全、開放及簡單的標準,第三方無需知道用戶的賬號及密碼,就可獲取到用戶的授權信息,並且這是安全的。 簡單的來說,當用戶登陸網站的時候,需要賬號

基於spring-security-oauth2搭建授權服務器(一)

常用 遊戲 安全性 獲取 部分 tools token 界面 作者 背景:需要API網關控制權限,單點登陸。 當前關於這方面的系統資料較少,因此大多是找尋網上零散的示例解析,結合官方文檔中的demo再加上源碼跟蹤調試來進行學習與搭建。但由於涉及的知識點較多,且零散示

Spring Security OAuth2 授權失敗(401 問題整理

控制 默認 pub available cli npr href sta -s Spring Cloud架構中采用Spring Security OAuth2作為權限控制,關於OAuth2詳細介紹可以參考 http://www.ruanyifeng.com/blo

Spring Security OAuth2 授權碼模式

 背景:     由於業務實現中涉及到接入第三方系統(app接入有贊商城等),所以涉及到第三方系統需要獲取使用者資訊(使用者手機號、姓名等),為了保證使用者資訊的安全和接入方式的統一, 採用Oauth2四種模式之一的授權碼模式。  介紹:   &nbs

spring security HttpSecurity 的方法

使用spring security 進行對使用者進行管理。基於這樣的情況,我們省卻了很大的時間成本來進行使用者許可權的處理。 使用spring security,那麼,我們需要對預設的配置進行重寫。建立自己的spring security 的類,繼承 WebSecurityConfigurerA

Spring Security OAuth2 快取使用jackson序列化的處理

不知道這個問題有沒有人遇到或者處理過,Spring Security OAuth2的tokenStore的redis快取預設的序列化策略是jdk序列化,這意味著redis裡面的值是無法閱讀的狀態,而且這個快取也無法被其他語言的web應用所使用,於是就打算使用最常見的json序列化策略來儲存。 這個問題想處理

Spring Security Oauth2 示例

所有示例的依賴如下(均是SpringBoot專案) pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <

Spring Security OAuth2 JWT實現SSO

 轉載務必說明出處:https://blog.csdn.net/LiaoHongHB/article/details/84032850      在這裡我們以一臺伺服器和2臺客戶端做測試,在客戶端1進行登陸之後,訪問客服端2的時候不需要進行登陸就可訪問(類

Spring Security Oauth2使用JWT生成Token

轉載務必說明出處:https://blog.csdn.net/LiaoHongHB/article/details/84031281 在我們平時使用oauth2的協議中,生成的token是基於oauth2協議本身的生成策略,如下面的程式碼(一般在登陸成功的handler中生成token).:

springboot使用Spring Security+OAuth2做許可權控制

文章來源:http://lxgandlz.cn/404.html     前面有一篇文章Spring+Spring Security+OAuth2實現REST API許可權控制,講了Spring+Spring Security+OAuth2來實現REST API許可權

Spring security oauth2-客戶端模式,簡化模式,密碼模式(Finchley版本)

一、客戶端模式原理解析(來自理解OAuth 2.0) 客戶端模式(Client Credentials Grant)指客戶端以自己的名義,而不是以使用者的名義,向"服務提供商"進行認證。嚴格地說,客戶端模式並不屬於OAuth框架所要解決的問題。在這種模式中,使用者直接向客戶端註冊,客戶端

Spring Security Oauth2-授權碼模式(Finchley版本)

一、授權碼模式原理解析(來自理解OAuth 2.0) 授權碼模式(authorization code)是功能最完整、流程最嚴密的授權模式。它的特點就是通過客戶端的後臺伺服器,與"服務提供商"的認證伺服器進行互動。其具體的流程如下: 具體步驟: A:使用者訪問客戶端(cli

Spring Security Oauth2 單點登入案例實現和執行流程剖析

線上演示 演示地址:http://139.196.87.48:9002/kitty 使用者名稱:admin 密碼:admin Spring Security Oauth2 OAuth是一個關於授權的開放網路標準,在全世界得到的廣泛的應用,目前是2.0的版本。OAuth2在“客戶端”與“服務提供商”之間

spring-security-oauth2(四) 圖片驗證碼

圖片驗證碼 圖片驗證碼生成介面 認證流程加入圖片驗證碼校驗 圖片驗證碼重構 1.圖片驗證碼生成介面 呼叫com.google.code.kaptcha.Producer生成圖片驗證碼 將隨機數存到session快取中 將生成的圖片寫到響應流中

spring-security-oauth2(三) 認證流程原始碼分析

認證流程原始碼分析 之前的程式碼中,我們自定義了登陸路徑,自定義成功和失敗處理器以及自定義的使用者登陸資訊校驗,下面我們通過簡單的原始碼分析,來把這些串聯起來 認證流程處理說明 認證結果如何在多個請求之間共享 獲取認證使用者資訊 認證處理流程說明 spring-