Java Spring引导:为什么要使用OncePerRequestFilter?
我有一个名为Java Spring引导:为什么要使用OncePerRequestFilter?,java,spring,spring-boot,Java,Spring,Spring Boot,我有一个名为JwtTokenAuthorizationOncePerRequestFilter的类,它扩展了OncePerRequestFilter 然而,我在登录时遇到了问题,然后在使用了一些web应用程序之后 我总是得到“JWT\u令牌\u不\u用\u承载\u字符串开始\u” 见下面的代码: package com.sbc.cpex.security.jwt; import java.io.IOException; import javax.servlet.FilterChain; im
JwtTokenAuthorizationOncePerRequestFilterOncePerRequestFilterpackage com.sbc.cpex.security.jwt;
import java.io.IOException;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;
import io.jsonwebtoken.ExpiredJwtException;
@Component
public class JwtTokenAuthorizationOncePerRequestFilter extends OncePerRequestFilter {
private final Logger logger = LoggerFactory.getLogger(this.getClass());
@Autowired
private UserDetailsService jwtInMemoryUserDetailsService;
@Autowired
private JwtTokenUtil jwtTokenUtil;
@Value("${jwt.http.request.header}")
private String tokenHeader;
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
logger.debug("Authentication Request For '{}'", request.getRequestURL());
final String requestTokenHeader = request.getHeader(this.tokenHeader);
String username = null;
String jwtToken = null;
if (requestTokenHeader != null && requestTokenHeader.startsWith("Bearer ")) {
jwtToken = requestTokenHeader.substring(7);
try {
username = jwtTokenUtil.getUsernameFromToken(jwtToken);
} catch (IllegalArgumentException e) {
logger.error("JWT_TOKEN_UNABLE_TO_GET_USERNAME", e);
} catch (ExpiredJwtException e) {
logger.warn("JWT_TOKEN_EXPIRED", e);
}
} else {
logger.warn("JWT_TOKEN_DOES_NOT_START_WITH_BEARER_STRING");
}
logger.debug("JWT_TOKEN_USERNAME_VALUE '{}'", username);
if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
UserDetails userDetails = this.jwtInMemoryUserDetailsService.loadUserByUsername(username);
if (jwtTokenUtil.validateToken(jwtToken, userDetails)) {
UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
}
}
chain.doFilter(request, response);
}
}
logger.warn("JWT_TOKEN_DOES_NOT_START_WITH_BEARER_STRING");
logger.warn("JWT_TOKEN_DOES_NOT_START_WITH_BEARER_STRING");
由于我假设您可能正在保护应用程序中的所有URL,您需要让JWTFilter为每个URL工作。记录器仅在登录时发出警告,因为请求URL尚未包含承载令牌。如果您为登录期间生成的令牌加上承载令牌设置会话存储,则后续URL调用将不再显示此警告消息createAuthenticationToken记录器仅在登录期间发出警告,因为请求URL尚未包含承载令牌。如果您为令牌设置会话存储,并且在登录createAuthenticationToken期间生成的令牌加上承载令牌,则后续URL调用将不再显示此警告消息。您没有在“Authorization”头上传递令牌,或者您传递的令牌不是以承载令牌开头的。考虑在这些方法中创建CREATE生成令牌 < p>您没有在“授权”标题上传递令牌,或者您正在通过的令牌,不是从Bearer开始的。考虑在这些方法< /p>中放置CREATE生成令牌。如果我删除这条线,它会对安全性有什么影响吗?我是否应该经常被警告requestTokenHeader不以“Bearer”开头。或者这是相当无害的。感谢您的回答。请注意,我正在使用React向端点发送请求。在前端,我附加了“Bearer”字符串,这行只是一个日志语句,每当有人不发送带有请求的Bearer令牌时就会触发它。所以问题是,为什么没有承载令牌进入?我认为它只在触发登录时附加承载令牌。但除此之外,所有其他请求都不附带承载令牌。如果我删除此行,会对安全性产生任何影响吗?我是否应该经常被警告requestTokenHeader不以“Bearer”开头。或者这是相当无害的。感谢您的回答。请注意,我正在使用React向端点发送请求。在前端,我附加了“Bearer”字符串,这行只是一个日志语句,每当有人不发送带有请求的Bearer令牌时就会触发它。所以问题是,为什么没有承载令牌进入?我认为它只在触发登录时附加承载令牌。但除此之外,所有其他请求都不附带承载令牌。