JWT请求头校验
这里进行请求头校验,我们首先要添加过滤器JwtAuthenticationFilter,到SpringSecurity默认提供的过滤器链中。
为什么要添加过滤器?
是为了在请求到达控制器之前进行身份验证和授权处理。Spring Security默认提供的过滤器链是一组预定义的过滤器,用于处理各种安全相关的任务,比如身份验证、授权、会话管理等。这些过滤器按照特定的顺序被调用,以确保请求的安全性。将JwtAuthenticationFilter加入到过滤器链中,可以使请求在进入控制器之前经过自定义的身份验证和授权逻辑。这样可以保护你的API免受未经身份验证或未授权的访问,确保只有合法的用户才能访问受保护的资源。
创建过滤器
创建filter包,在包下创建JwtAuthenticationFilter包
这里就是先获取请求头内令牌的内容,再调用工具类的方法对令牌进行解析,方法内部校验令牌的合法与解析,将jwt令牌转化成UserDetails类型,用于往UsernamePasswordAuthenticationToken类中包装用户基本信息,再封装来自请求的详细身份验证信息,例如 IP 地址、会话 ID 等;最后,将认证对象设置到当前的安全上下文中,这样就代表验证完成了。再调下一个用过滤器方法。
![35TK_2D91{(4G0{SPA6B]MS.png](https://ucc.alicdn.com/pic/developer-ecology/2fcbmjdhhvu4u_531fdce271a142c4a4ea42186747b5e3.png "35TK_2D91{(4G0{SPA6B]MS.png")
![}6Q0_Q)8$KN]Y2O(WJ[1KJM.png](https://ucc.alicdn.com/pic/developer-ecology/2fcbmjdhhvu4u_59f1b16d617042a49c7f293c2470308c.png "}6Q0_Q)8$KN]Y2O(WJ[1KJM.png")
这里toUser中密码随便写的原因是,我们不用password,在UsernamePasswordAuthenticationToken第二个参数是凭证,就是密码之类的,我们不需要,所以传null。
![I]RYAF}G@[GI3HW8MPZTJ8J.png](https://ucc.alicdn.com/pic/developer-ecology/2fcbmjdhhvu4u_82ea6f62fc5e40f49be15904ed65d1fd.png "I]RYAF}G@[GI3HW8MPZTJ8J.png")
添加过滤器
回到SecurityConfiguration配置类,我们将他引入,并将其添加在验证用户名密码的过滤器之前
测试
创建TestController,进行简单测试
![A7@5(]2XCXP041D039`Q93V.png](https://ucc.alicdn.com/pic/developer-ecology/2fcbmjdhhvu4u_d16a7adddcd44fe69dd3d219af8f0c08.png "A7@5(]2XCXP041D039`Q93V.png")
登录获取token
测试成功,不要忘了加Bearer 哦。
我们不输入值,发现不是json格式的,我们进行完善
完善
回到SecurityConfiguration配置类,添加配置,conf.accessDeniedHandler(this::accessDenied);是登录进去,但没有权限访问一些页面的处理器,其他没有什么要注意的,也可以把这些处理器写成一个,那样就清爽多了,但我懒,代码就不贴了。
![IR]RAL26U%L`~]W)88R(S~H.png](https://ucc.alicdn.com/pic/developer-ecology/2fcbmjdhhvu4u_b309a9db0cce49e3a062f4ed4dc39341.png "IR]RAL26U%L`~]W)88R(S~H.png")
在RestBean中又封装俩方法
![@@Z%V$KPJ@1J0X89_{S8]O0.png](https://ucc.alicdn.com/pic/developer-ecology/2fcbmjdhhvu4u_e8c049236e3f411790ac0a5359dd4b78.png "@@Z%V$KPJ@1J0X89_{S8]O0.png")
