Java spring boot web应用程序中的JWT筛选器和spring安全控制流
我对spring security很陌生。我试图在我的web应用程序中实现Java spring boot web应用程序中的JWT筛选器和spring安全控制流,java,spring-boot,spring-security,jwt,Java,Spring Boot,Spring Security,Jwt,我对spring security很陌生。我试图在我的web应用程序中实现JWT过滤器,使其成为无状态的。我有一段代码,当用户点击/login路径时,控件转到方法 public LoginResponse login( AuthenticationRequest authenticationRequest, Device device ) throws WebappException { // Perform the security final Authent
JWT
过滤器,使其成为无状态的。我有一段代码,当用户点击/login
路径时,控件转到方法
public LoginResponse login(
AuthenticationRequest authenticationRequest, Device device )
throws WebappException
{
// Perform the security
final Authentication authentication = authenticationManager
.authenticate(new
UsernamePasswordAuthenticationToken(authenticationRequest.getUsername(),
authenticationRequest.getPassword()));
SecurityContextHolder.getContext().setAuthentication(authentication);
/** some more logic**/
在这里,我不理解
最终身份验证=authenticationManager
.认证(新)
UsernamePasswordAuthenticationToken(authenticationRequest.getUsername(),
authenticationRequest.getPassword())代码>
请引导我!
AuthenticationRequest
有两个字段userName
和password
authenticationManager.authenticate()
方法将UsernamePasswordAuthenticationToken
传递给AuthenticationProvider
并尝试使用提供的用户名和密码对用户进行身份验证
- 如果成功,它将返回一个具有授权权限的
身份验证
对象
- 如果身份验证失败,它将引发异常
然后,您可以调用authentication.isAuthenticated()
,以了解令牌是否已通过身份验证
如果要访问数据库以检查身份验证,应使用DaoAuthenticationProvider
实现(或AbstractUserDetailsAuthenticationProvider
)。
它从界面UserDetailsService
检索用户详细信息。因此,您需要创建一个类MyUserDetailsService
,该类实现UserDetailsService
覆盖loadUserByUsername(字符串用户名)
方法并返回UserDetails
。
UserDetails
包含用户名、密码和权限。创建自己的MyUserdetails
类,该类实现UserDetails
接口。
然后,将Spring配置为引用cutom类:
DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
authProvider.setUserDetailsService(myUserDetailsService);
更多详情
或者,也可以使用JDBCUserDetailsManager配置器直接指定数据源和SQL查询:
@Autowired
public void configAuthentication(AuthenticationManagerBuilder auth) throws Exception {
auth.jdbcAuthentication().dataSource(dataSource)
.usersByUsernameQuery("select username, password, enabled from users where username=?")
.authoritiesByUsernameQuery("select username, role from user_roles where username=?");
}
关于JWT,我认为您的登录方法首先检查用户的身份验证,然后应该使用用户详细信息构建JWT并将其返回到浏览器。
然后客户端可以将这个令牌重新发送到服务器,这个JWT将被另一种方法解密和验证。
有关如何final Authentication Authentication=authenticationManager.authenticate(新用户名passwordauthenticationtoken(authenticationRequest.getUsername(),authenticationRequest.getPassword())的详细信息代码>执行用户名和密码检查?我只是传递用户在请求中提交的内容。如何根据数据库中的数据进行验证?