微信公众号 讲师中心
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
搜索
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程
自媒体 新闻
首页 > Java > java教程 > 正文

Spring Boot Security:实现JWT过滤器对特定URL路径的精准控制

DDD
发布: 2025-07-08 20:04:23
原创
363人浏览过

spring boot security:实现jwt过滤器对特定url路径的精准控制

本文详细介绍了如何在Spring Boot Security框架中,精确配置JWT(JSON Web Token)过滤器,使其仅作用于指定的URL路径,而非全局拦截所有请求。通过继承AbstractAuthenticationProcessingFilter并结合RequestMatcher接口,您可以灵活定义需要JWT认证的API端点,从而优化安全策略,提升应用程序的性能与安全性。

1. 问题背景与传统做法的局限性

在Spring Boot应用中,当我们需要为API接口添加JWT认证时,通常会自定义一个JWT认证过滤器,并使用HttpSecurity.addFilterBefore()方法将其添加到Spring Security的过滤器链中。例如:

@Override
public void configure(HttpSecurity http) throws Exception {
    http.addFilterBefore(customJwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
    // ... 其他配置
}
登录后复制

这种做法虽然简单,但存在一个问题:customJwtAuthenticationFilter会拦截所有进入Spring Security过滤器的请求。如果我们的应用既有需要认证的API(如/api/**),也有公开访问的页面或接口(如/login, /, /public/**),那么即使是公开接口,也会被JWT过滤器尝试处理,这可能导致不必要的性能开销或逻辑复杂性。

理想情况下,我们希望JWT过滤器只对那些明确需要JWT认证的路径(例如,所有以/api/开头的路径)生效,而对其他路径则直接放行或交由其他过滤器处理。

2. 解决方案:利用 AbstractAuthenticationProcessingFilter 和 RequestMatcher

Spring Security提供了AbstractAuthenticationProcessingFilter,这是一个专门用于处理特定认证流程的抽象基类。它允许我们通过传入一个RequestMatcher实例来精确控制过滤器所处理的请求。当请求的URL与RequestMatcher匹配时,AbstractAuthenticationProcessingFilter才会尝试执行认证逻辑。

2.1 核心组件解析

  • AbstractAuthenticationProcessingFilter: 这是Spring Security提供的一个抽象过滤器,设计用于处理特定类型的认证请求。它内部持有一个RequestMatcher,只有当请求与该RequestMatcher匹配时,才会调用其attemptAuthentication()方法来执行认证逻辑。
  • RequestMatcher: 这是一个接口,用于判断给定的HttpServletRequest是否匹配某种条件。Spring Security提供了多种实现,如AntPathRequestMatcher(基于Ant风格路径匹配)、RegexRequestMatcher(基于正则表达式)、OrRequestMatcher(多个RequestMatcher中的任意一个匹配即可)等。

2.2 实现步骤

步骤一:修改 CustomJwtAuthenticationFilter

Calliper 文档对比神器
Calliper 文档对比神器

文档内容对比神器

Calliper 文档对比神器 28
查看详情 Calliper 文档对比神器

让你的JWT认证过滤器继承AbstractAuthenticationProcessingFilter,并在构造函数中接收一个RequestMatcher实例。同时,你需要重写attemptAuthentication()方法,将你原有的JWT解析和认证逻辑放入其中。

import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;
import org.springframework.security.web.util.matcher.RequestMatcher;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

// 假设你有一个JwtTokenProvider来处理JWT的生成和验证
// import com.yourpackage.security.JwtTokenProvider;

public class CustomJwtAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    private final UserDetailsService userDetailsService;
    // private final JwtTokenProvider jwtTokenProvider; // 假设你有一个JWT工具类

    // 构造函数:传入RequestMatcher和AuthenticationManager
    public CustomJwtAuthenticationFilter(
            RequestMatcher requiresAuthenticationRequestMatcher,
            AuthenticationManager authenticationManager,
            UserDetailsService userDetailsService
            /*, JwtTokenProvider jwtTokenProvider */) {
        super(requiresAuthenticationRequestMatcher); // 指定哪些请求需要此过滤器处理
        setAuthenticationManager(authenticationManager); // 设置认证管理器
        this.userDetailsService = userDetailsService;
        // this.jwtTokenProvider = jwtTokenProvider;
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException, IOException, ServletException {
        // 1. 从请求头中提取JWT令牌
        String authorizationHeader = request.getHeader("Authorization");

        if (authorizationHeader == null || !authorizationHeader.startsWith("Bearer ")) {
            // 如果没有Bearer Token,或者格式不正确,则抛出认证异常
            // AbstractAuthenticationProcessingFilter 会捕获此异常并调用 AuthenticationFailureHandler
            throw new BadCredentialsException("Missing or invalid Authorization header");
        }

        String jwtToken = authorizationHeader.substring(7); // 移除 "Bearer " 前缀

        // 2. 验证JWT令牌并获取用户信息
        // 实际项目中,这里会调用你的JwtTokenProvider来验证令牌并解析出用户名
        // 示例:
        // if (!jwtTokenProvider.validateToken(jwtToken)) {
        //     throw new BadCredentialsException("Invalid JWT token");
        // }
        // String username = jwtTokenProvider.getUsernameFromToken(jwtToken);

        // 简化示例,直接假设从JWT中解析出用户名 "testuser"
        String username = "testuser"; // 实际应从JWT中解析

        // 3. 根据用户名加载用户详情
        UserDetails userDetails = userDetailsService.loadUserByUsername(username);

        // 4. 创建一个认证令牌并交由AuthenticationManager进行认证
        // 注意:这里通常不需要再次调用authenticationManager.authenticate(),
        // 因为JWT本身就是一种认证凭证。我们直接创建一个已认证的Authentication对象。
        // 如果你的JWT验证逻辑非常复杂,需要AuthenticationManager的Provider来处理,
        // 则可以构造一个UsernamePasswordAuthenticationToken或其他Token,然后调用getAuthenticationManager().authenticate()
        // 但对于多数JWT场景,直接返回一个已认证的Token即可。
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());

        // 将请求详情设置到Authentication对象中,以便后续的WebAuthenticationDetailsSource使用
        authenticationToken.setDetails(this.authenticationDetailsSource.buildDetails(request));

        return authenticationToken; // 返回已认证的Authentication对象
    }

    // 可以在这里重写 successfulAuthentication 和 unsuccessfulAuthentication
    // 以处理认证成功或失败后的逻辑,例如记录日志、设置响应头等。
    // @Override
    // protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
    //     SecurityContextHolder.getContext().setAuthentication(authResult);
    //     chain.doFilter(request, response);
    // }

    // @Override
    // protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
    //     // 可以在这里自定义失败响应
    //     super.unsuccessfulAuthentication(request, response, failed);
    // }
}
登录后复制

步骤二:在 WebSecurityConfigurerAdapter 中配置过滤器

在你的安全配置类中,将CustomJwtAuthenticationFilter声明为一个Spring Bean,并在configure(HttpSecurity http)方法中将其添加到过滤器链。关键在于创建CustomJwtAuthenticationFilter实例时,传入正确的RequestMatcher。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.security.web.util.matcher.OrRequestMatcher;
import org.springframework.security.web.util.matcher.RequestMatcher;

import java.util.Arrays;
import java.util.List;
import java.util.stream.Collectors;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService; // 你的UserDetailsService实现
    // @Autowired
    // private JwtTokenProvider jwtTokenProvider; // 你的JWT工具类

    // 假设你有一个JWT认证入口点,处理未认证的请求
    // @Autowired
    // private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    // 声明 CustomJwtAuthenticationFilter 为 Spring Bean
    @Bean
    public CustomJwtAuthenticationFilter customJwtAuthenticationFilter() throws Exception {
        // 定义需要JWT过滤器处理的URL模式
        // 示例1: 只匹配 /api/**
        RequestMatcher protectedUrlMatcher = new AntPathRequestMatcher("/api/**");

        // 示例2: 匹配多个URL模式 (如 /api/users/** 和 /api/products/**)
        // List<String> protectedPaths = Arrays.asList("/api/users/**", "/api/products/**");
        // RequestMatcher protectedUrlMatcher = new OrRequestMatcher(
        //     protectedPaths.stream()
        //                   .map(AntPathRequestMatcher::new)
        //                   .collect(Collectors.toList())
        // );

        // 实例化 CustomJwtAuthenticationFilter,传入RequestMatcher、AuthenticationManager和UserDetailsService
        // 注意:authenticationManagerBean() 在这里直接调用会抛出异常,因为它需要Spring上下文初始化。
        // 正确的做法是将其作为参数注入到 @Bean 方法中,或者在 configure(HttpSecurity) 中获取。
        // 这里通过在 @Bean 方法签名中添加 AuthenticationManager authenticationManager 来注入
        return new CustomJwtAuthenticationFilter(
                protectedUrlMatcher,
                authenticationManagerBean(), // 获取AuthenticationManager实例
                userDetailsService
                /*, jwtTokenProvider */);
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable() // 禁用CSRF
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // JWT通常是无状态的
            .and()
            .exceptionHandling()
                // .authenticationEntryPoint(jwtAuthenticationEntryPoint) // 处理未认证的请求
                // .accessDeniedPage("/403") // 处理无权限的请求
            .and()
            .authorizeRequests()
                // 确保被JWT过滤器处理的路径需要认证
                .antMatchers("/api/**").authenticated()
                // 其他路径可以公开访问
                .antMatchers("/login", "/", "/public/**").permitAll()
                .anyRequest().authenticated() // 默认所有其他请求都需要认证
            .and()
            // 将自定义的JWT过滤器添加到UsernamePasswordAuthenticationFilter之前
            .addFilterBefore(customJwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
            // .formLogin() // 如果你还需要表单登录,可以继续配置
            //     .loginPage("/login")
            //     .defaultSuccessUrl("/users")
            //     .failureUrl("/login?error=true")
            //     .permitAll()
            // .and()
            // .logout()
            //     .logoutSuccessUrl("/")
            //     .permitAll();
    }
}
登录后复制

3. 注意事项与总结

  1. attemptAuthentication() 方法的实现:这是你JWT认证逻辑的核心。你需要从请求中提取JWT,验证其有效性,并根据令牌中的信息(如用户ID或用户名)加载用户详情(UserDetails)。最后,创建一个已认证的Authentication对象并返回。
  2. AuthenticationManager 的注入:AbstractAuthenticationProcessingFilter 需要一个AuthenticationManager来处理认证。在@Bean方法中,Spring会自动注入AuthenticationManager实例。
  3. authorizeRequests() 的配合:即使你的CustomJwtAuthenticationFilter已经通过RequestMatcher过滤了请求,HttpSecurity.authorizeRequests()中的antMatchers("/api/**").authenticated()仍然是必不可少的。前者负责“尝试”认证(如果请求匹配),后者负责“强制”认证(如果请求需要认证但未认证)。两者协同工作,确保只有通过JWT认证的请求才能访问/api/**路径。
  4. 错误处理:AbstractAuthenticationProcessingFilter在认证失败时会抛出AuthenticationException。你可以通过设置AuthenticationFailureHandler来自定义认证失败后的行为(例如返回特定的JSON错误响应)。
  5. 会话管理:对于JWT认证,通常会将会话管理设置为STATELESS,因为JWT本身包含了认证信息,服务器无需维护会话状态。
  6. 依赖注入:确保你的CustomJwtAuthenticationFilter所依赖的其他服务(如UserDetailsService, JwtTokenProvider)能够正确地通过Spring的依赖注入机制获取到。

通过以上配置,你的JWT过滤器将只会对/api/**路径下的请求进行处理,而其他路径(如/login、/等)将不再经过JWT过滤器的认证逻辑,从而实现更精准、高效的安全控制。

以上就是Spring Boot Security:实现JWT过滤器对特定URL路径的精准控制的详细内容,更多请关注php中文网其它相关文章!

相关标签:
access 工具 ai spring security red spring spring boot json 正则表达式 构造函数 Token 继承 接口 public 对象 http

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:Spring Boot Security中JWT过滤器针对特定URL模式的配置 下一篇:解决Hazelcast ReplicatedMap ClassCastException:BINARY 存储格式的正确使用
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
最新问题
Java泛型列表元素添加:深入理解类型安全与解决方案 本文深入探讨了Java泛型中向`List`添加`Integer`时遇到的类型不匹配问题。通过具体代码示例,阐明了编译器为何无法在编译时确保`T`的运行时类型与`Integer`一致。文章提供了两种解决方案:一是将列表类型调整为`List`以接受任何`Number`子类型;二是针对需要特定运行时类型实例化的场景,探讨了传递类型参数或使用反射等高级策略。
2025-11-14 23:26:02
498
Java中列表转换的最小操作数:递归搜索与优化策略 本文详细阐述了如何通过最少次数的列表反转(reverse)和旋转(rotate)操作,将一个整数列表转换成目标列表。文章采用递归深度优先搜索(DFS)策略,构建操作树,并引入父操作剪枝优化,避免重复计算。教程提供了Java实现代码,涵盖了核心递归逻辑、列表操作辅助函数,以及如何高效地找出最短转换路径,并探讨了获取具体操作序列的方法。
2025-11-14 22:23:00
642
安卓开发中如何使用PDFBox从PDF文档特定区域提取文本 本教程旨在指导Android开发者如何从PDF文档的特定区域精确提取文本。文章将解决标准PDFBox库在Android环境下常见的兼容性问题,并详细介绍如何利用专门为Android优化的PDFBox库(com.tom-roush:pdfbox-android)来定义文本提取区域,通过RectF实现精准定位,并提供完整的代码示例。
2025-11-14 21:39:00
991
Java中处理Exif图像方向:解决BufferedImage宽高互换问题 在使用Java的ImageIO库加载图像时,对于包含Exif方向信息的竖向图片,可能会出现宽度和高度互换的问题。这是因为ImageIO默认不处理Exif元数据中的方向信息。本教程将介绍两种有效的解决方案:使用Thumbnailator库进行自动方向修正,以及利用TwelveMonkeys的EXIFUtilities直接读取并应用Exif方向,确保图像以正确的宽高比例显示。
2025-11-14 21:26:02
433
Java中向现有JSON文件追加数据:避免覆盖的正确实践 本教程详细介绍了在Java中如何向现有JSON文件追加新数据,而不是简单地覆盖原有内容。文章首先分析了JSON文件结构的重要性,然后分别使用json-simple库和Jackson库演示了“读取-修改-写入”的核心操作流程,包括如何解析现有JSON、构建新数据对象,并将其正确添加到目标JSON数组中,最后将更新后的内容写回文件。
2025-11-14 21:05:01
991
Java RMI安全策略与类加载器权限配置指南 在配置JavaRMI应用的细粒度安全策略时,常见的NoClassDefFoundError通常源于缺少java.lang.RuntimePermission"getClassLoader"权限。本教程旨在深入解析RMI安全策略的配置方法,重点解决类加载相关的异常,并详细阐述RMI应用所需的网络套接字、文件系统及其他运行时权限,确保应用在严格的安全沙箱中稳定运行。
2025-11-14 20:59:01
798
Java数组打印:理解对象引用与正确输出元素内容 当在Java中直接使用System.out.println()打印数组时,通常会看到类似[I@...的对象引用而非数组元素。这是因为数组继承了Object类的默认toString()方法。本文将深入解析这一现象,并提供两种主流且推荐的方法来正确、清晰地打印数组的所有元素:使用Arrays.toString()工具类方法,以及将数组转换为List集合进行打印。
2025-11-14 20:55:02
595
Java中Exif图片方向处理:避免BufferedImage宽高颠倒问题 在使用Java的ImageIO.read()方法加载数字相机拍摄的直立图片时,常会遇到BufferedImage的宽度和高度与实际显示不符的问题。这通常是由于JPEG图像中的Exif元数据未被正确解析所致。本文将深入探讨此问题根源,并提供两种基于第三方库(如Thumbnailator和TwelveMonkeys)的解决方案,以确保图像尺寸的准确获取和处理。
2025-11-14 20:50:02
475
java怎么处理全局异常 使用全局异常处理器统一管理错误响应 通过@ControllerAdvice和@ExceptionHandler实现全局异常处理,定义统一响应格式与自定义异常类,结合日志记录和JSON返回,提升SpringBoot应用的健壮性与接口一致性。
2025-11-14 20:12:05
645
Gradle构建Java CLI应用:JAR包输出路径解析与分发策略 在Gradle多项目构建中,开发Java命令行应用程序时,开发者常遇到gradlewjar命令执行成功但找不到JAR包的问题。本教程旨在阐明在多项目结构下,JAR包的实际输出位置通常位于特定应用子项目的build/libs目录,例如app/build/libs。同时,文章还将探讨分发JavaCLI应用的最佳实践,包括使用Gradle的发行版任务,以提供更完整的用户体验。
2025-11-14 20:11:21
834
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部