投稿获客
  1. 创想鸟首页
  2. java

Spring Security:为特定URL模式配置JWT过滤器

程序猿 java 阅读 0

Spring Security:为特定URL模式配置JWT过滤器

本教程详细讲解如何在Spring Boot Security中,精确控制JWT(JSON Web Token)过滤器的应用范围,使其仅作用于指定的URL模式,而非全局生效。通过继承AbstractAuthenticationProcessingFilter并结合RequestMatcher接口,开发者可以灵活定义哪些请求路径需要JWT认证,从而优化安全策略,避免不必要的性能开销,并增强应用的模块化安全性。文章将提供详细的代码示例和配置步骤,帮助读者实现定制化的安全过滤逻辑。

spring security中,我们经常需要自定义过滤器来处理特定的认证或授权逻辑,例如jwt认证。然而,默认情况下,通过httpsecurity.addfilterbefore()或addfilterat()添加的过滤器会作用于所有进来的http请求。对于jwt认证而言,通常我们只希望它对受保护的api路径(例如/api/**)生效,而对静态资源、登录页面或公共接口则无需进行jwt验证。本文将介绍如何利用spring security提供的abstractauthenticationprocessingfilter和requestmatcher接口,实现jwt过滤器的精确控制。

挑战:全局过滤器与局部需求

当我们将一个自定义JWT过滤器(例如CustomJwtAuthenticationFilter)通过以下方式添加到安全链中时:

http.addFilterBefore(customJwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);

这个customJwtAuthenticationFilter将会在UsernamePasswordAuthenticationFilter之前,对所有进入应用的请求进行处理。这意味着即使是访问/login、/或任何非API路径,该过滤器也会被触发,这不仅可能导致不必要的性能开销,还可能在某些情况下抛出异常(例如,尝试从没有JWT的请求头中解析令牌)。

解决方案:AbstractAuthenticationProcessingFilter与RequestMatcher

Spring Security提供了一个抽象类AbstractAuthenticationProcessingFilter,它专门用于处理基于请求匹配的认证流程。这个类的核心在于其构造函数可以接收一个RequestMatcher对象。当一个请求到达时,AbstractAuthenticationProcessingFilter会首先调用其内部的RequestMatcher的matches()方法。只有当matches()方法返回true时,过滤器才会继续执行其认证逻辑(即调用attemptAuthentication()方法);否则,它会直接跳过认证过程,将请求传递给安全链中的下一个过滤器。

RequestMatcher是一个接口,它定义了如何根据HttpServletRequest来判断一个请求是否匹配特定条件。Spring Security提供了多种RequestMatcher的实现,其中最常用的是:

AntPathRequestMatcher:基于Ant风格路径模式匹配URL。OrRequestMatcher:将多个RequestMatcher组合,只要有一个匹配就返回true。AndRequestMatcher:将多个RequestMatcher组合,只有所有都匹配才返回true。NegatedRequestMatcher:对另一个RequestMatcher的结果取反。

实现步骤

我们将通过以下步骤实现JWT过滤器的精确控制:

1. 改造 CustomJwtAuthenticationFilter

让你的JWT认证过滤器继承AbstractAuthenticationProcessingFilter,并在构造函数中接收RequestMatcher和AuthenticationManager。

import org.springframework.security.authentication.AuthenticationManager;import org.springframework.security.core.Authentication;import org.springframework.security.core.AuthenticationException;import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;import org.springframework.security.web.util.matcher.RequestMatcher;import javax.servlet.ServletException;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.io.IOException;/** * 自定义JWT认证过滤器,仅对匹配特定RequestMatcher的请求进行处理。 */public class CustomJwtAuthenticationFilter extends AbstractAuthenticationProcessingFilter {    /**     * 构造函数。     * @param requiresAuthenticationRequestMatcher 定义哪些请求需要此过滤器处理的RequestMatcher     * @param authenticationManager 认证管理器,用于执行认证逻辑     */    public CustomJwtAuthenticationFilter(RequestMatcher requiresAuthenticationRequestMatcher, AuthenticationManager authenticationManager) {        super(requiresAuthenticationRequestMatcher); // 将RequestMatcher传递给父类        setAuthenticationManager(authenticationManager); // 设置认证管理器    }    /**     * 实现JWT认证的核心逻辑。     * 只有当RequestMatcher匹配时,此方法才会被调用。     */    @Override    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)            throws AuthenticationException, IOException, ServletException {        // 在这里实现你的JWT解析和认证逻辑        // 例如:从请求头中获取JWT令牌        String authorizationHeader = request.getHeader("Authorization");        if (authorizationHeader == null || !authorizationHeader.startsWith("Bearer ")) {            // 如果没有Bearer Token,抛出认证异常,或返回null让后续认证机制处理            throw new AuthenticationException("Missing or invalid JWT token in Authorization header") {};        }        String jwtToken = authorizationHeader.substring(7); // 提取JWT字符串        // TODO: 根据你的JWT库和业务逻辑验证jwtToken,并构建一个Authentication对象        // 例如:        // JwtAuthenticationToken authenticationToken = new JwtAuthenticationToken(jwtToken);        // return getAuthenticationManager().authenticate(authenticationToken); // 委托给AuthenticationManager进行认证        // 示例:此处仅为演示,实际应替换为你的JWT验证逻辑        System.out.println("Processing JWT for path: " + request.getRequestURI());        // 假设成功验证并返回一个Authentication对象        // return new UsernamePasswordAuthenticationToken("user", null, Collections.emptyList());        throw new UnsupportedOperationException("JWT认证逻辑待实现,请替换为实际的令牌验证和用户身份构建。");    }    // 可选:重写successfulAuthentication和unsuccessfulAuthentication方法来处理认证成功或失败后的逻辑    // @Override    // protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {    //     super.successfulAuthentication(request, response, chain, authResult);    //     // 认证成功后继续过滤器链    //     chain.doFilter(request, response);    // }    // @Override    // protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {    //     // 认证失败处理,例如返回401 Unauthorized    //     response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);    //     response.getWriter().write("Authentication Failed: " + failed.getMessage());    // }}

2. 定义 RequestMatcher

针对“只过滤/api/**路径”的需求,我们可以使用AntPathRequestMatcher。

import org.springframework.security.web.util.matcher.AntPathRequestMatcher;import org.springframework.security.web.util.matcher.RequestMatcher;import org.springframework.security.web.util.matcher.OrRequestMatcher;import java.util.Arrays;import java.util.List;import java.util.stream.Collectors;// 简单匹配单个路径模式// RequestMatcher apiRequestMatcher = new AntPathRequestMatcher("/api/**");// 如果需要匹配多个路径模式,可以使用OrRequestMatcher// RequestMatcher multiPathMatcher = new OrRequestMatcher(//     new AntPathRequestMatcher("/api/v1/**"),//     new AntPathRequestMatcher("/secure/**")// );

3. 配置 Spring Security

在你的安全配置类(通常是继承WebSecurityConfigurerAdapter或使用SecurityFilterChain)中,将改造后的CustomJwtAuthenticationFilter作为Bean注入,并添加到安全链中。

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.authentication.AuthenticationManager;import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;import org.springframework.security.config.http.SessionCreationPolicy;import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;import org.springframework.security.web.util.matcher.AntPathRequestMatcher;import org.springframework.security.web.util.matcher.RequestMatcher;@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter {    // 假设你有一个JwtAuthenticationEntryPoint处理认证失败的入口点    // @Autowired    // private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;    // 假设你有一个UserDetailsService用于加载用户详情(如果JWT认证需要)    // @Autowired    // private UserDetailsService userDetailsService;    /**     * 配置HTTP安全策略。     */    @Override    protected void configure(HttpSecurity http) throws Exception {        http.csrf().disable() // 禁用CSRF,因为JWT是无状态的            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 设置会话管理为无状态            .and()            // .exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and() // 配置认证入口点处理未认证请求            .authorizeRequests()            .antMatchers("/api/**").authenticated() // 明确指定 /api/** 路径需要认证            .anyRequest().permitAll() // 其他所有请求都允许访问            .and()            // 将我们定制的JWT过滤器添加到UsernamePasswordAuthenticationFilter之前            .addFilterBefore(customJwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);    }    /**     * 将CustomJwtAuthenticationFilter注册为Spring Bean。     * 注意:这里需要捕获AuthenticationManagerBean()抛出的异常。

以上就是Spring Security:为特定URL模式配置JWT过滤器的详细内容,更多请关注创想鸟其它相关文章!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/142473.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
0 0

关于作者

程序猿的头像

程序猿签约作者

266.4K 文章
0 评论
1 粉丝
这个人很懒,什么都没有留下~
上一篇 2025年12月1日 13:07:19
下一篇 2025年12月1日 13:46:23

相关推荐

  • Word2013如何插入SmartArt图形_Word2013SmartArt插入的视觉表达

    答案:可通过四种方法在Word 2013中插入SmartArt图形。一、使用“插入”选项卡中的“SmartArt”按钮,选择所需类型并插入;二、从快速样式库中选择常用模板如组织结构图直接应用;三、复制已有SmartArt图形到目标文档后调整内容与格式;四、将带项目符号的文本选中后右键转换为Smart…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    000

  • 怎样用免费工具美化PPT_免费美化PPT的实用方法分享

    利用KIMI智能助手可免费将PPT美化为科技感风格,但需核对文字准确性;2. 天工AI擅长优化内容结构,提升逻辑性,适合高质量内容需求;3. SlidesAI支持语音输入与自动排版,操作便捷,利于紧急场景;4. Prezo提供多种模板,自动生成图文并茂幻灯片,适合学生与初创团队。 如果您有一份内容完…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    000

  • Pages怎么协作编辑同一文档 Pages多人实时协作的流程

    首先启用Pages共享功能,点击右上角共享按钮并选择“添加协作者”,设置为可编辑并生成链接;接着复制链接通过邮件或社交软件发送给成员,确保其使用Apple ID登录iCloud后即可加入编辑;也可直接在共享菜单中输入邮箱地址定向邀请,设定编辑权限后发送;最后在共享面板中管理协作者权限,查看实时在线状…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    100

  • word表格怎么调整行高_word表格行高调整的具体操作

    手动拖动可快速调整单行行高;2. 通过表格属性精确设置指定高度,选择固定值或最小值模式;3. 全选表格批量统一行高;4. 设为自动或最小值使行高随内容自适应,确保文字显示完整。 在使用Word制作表格时,调整行高是常见的排版需求。合理的行高能让表格内容更清晰易读。下面介绍几种常用的调整Word表格行…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    000

  • REDMI K90系列正式发布,售价2599元起!

    10月23日,redmi k90系列正式亮相,推出redmi k90与redmi k90 pro max两款新机。其中,redmi k90搭载骁龙8至尊版处理器、7100mah大电池及100w有线快充等多项旗舰配置,起售价为2599元,官方称其为k系列迄今为止最完整的标准版本。 图源:REDMI红米…

    程序猿的头像 程序猿
    2025年12月6日 行业动态
    200

  • Linux中如何安装Nginx服务_Linux安装Nginx服务的完整指南

    首先更新系统软件包,然后通过对应包管理器安装Nginx,启动并启用服务,开放防火墙端口,最后验证欢迎页显示以确认安装成功。 在Linux系统中安装Nginx服务是搭建Web服务器的第一步。Nginx以高性能、低资源消耗和良好的并发处理能力著称,广泛用于静态内容服务、反向代理和负载均衡。以下是在主流L…

    程序猿的头像 程序猿
    2025年12月6日 运维
    000

  • Linux journalctl与systemctl status结合分析

    先看 systemctl status 确认服务状态,再用 journalctl 查看详细日志。例如 nginx 启动失败时,systemctl status 显示 Active: failed,journalctl -u nginx 发现端口 80 被占用,结合两者可快速定位问题根源。 在 Lin…

    程序猿的头像 程序猿
    2025年12月6日 运维
    100

  • 华为新机发布计划曝光:Pura 90系列或明年4月登场

    近日,有数码博主透露了华为2025年至2026年的新品规划,其中pura 90系列预计在2026年4月发布,有望成为华为新一代影像旗舰。根据路线图,华为将在2025年底至2026年陆续推出mate 80系列、折叠屏新机mate x7系列以及nova 15系列,而pura 90系列则将成为2026年上…

    程序猿的头像 程序猿
    2025年12月6日 行业动态
    100

  • Linux如何优化系统性能_Linux系统性能优化的实用方法

    优化Linux性能需先监控资源使用,通过top、vmstat等命令分析负载,再调整内核参数如TCP优化与内存交换,结合关闭无用服务、选用合适文件系统与I/O调度器,持续按需调优以提升系统效率。 Linux系统性能优化的核心在于合理配置资源、监控系统状态并及时调整瓶颈环节。通过一系列实用手段,可以显著…

    程序猿的头像 程序猿
    2025年12月6日 运维
    000

  • Pboot插件数据库连接的配置教程_Pboot插件数据库备份的自动化脚本

    首先配置PbootCMS数据库连接参数,确保插件正常访问;接着创建auto_backup.php脚本实现备份功能;然后通过Windows任务计划程序或Linux Cron定时执行该脚本,完成自动化备份流程。 如果您正在开发或维护一个基于PbootCMS的网站,并希望实现插件对数据库的连接配置以及自动…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    000

  • Linux命令行中wc命令的实用技巧

    wc命令可统计文件的行数、单词数、字符数和字节数,常用-l统计行数,如wc -l /etc/passwd查看用户数量;结合grep可分析日志,如grep “error” logfile.txt | wc -l统计错误行数;-w统计单词数,-m统计字符数(含空格换行),-c统计…

    程序猿的头像 程序猿
    2025年12月6日 运维
    000

  • 曝小米17 Air正在筹备 超薄机身+2亿像素+eSIM技术?

    近日,手机行业再度掀起超薄机型热潮,三星与苹果已相继推出s25 edge与iphone air等轻薄旗舰,引发市场高度关注。在此趋势下,多家国产厂商被曝正积极布局相关技术,加速抢占这一细分赛道。据业内人士消息,小米的超薄旗舰机型小米17 air已进入筹备阶段。 小米17 Pro 爆料显示,小米正在评…

    程序猿的头像 程序猿
    2025年12月6日 行业动态
    000

  • 「世纪传奇刀片新篇」飞利浦影音双11声宴开启

    百年声学基因碰撞前沿科技,一场有关声音美学与设计美学的影音狂欢已悄然引爆2025“双十一”! 当绝大多数影音数码品牌还在价格战中挣扎时,飞利浦影音已然开启了一场跨越百年的“声”活革命。作为拥有深厚技术底蕴的音频巨头,飞利浦影音及配件此次“双十一”精准聚焦“传承经典”与“设计美学”两大核心,为热爱生活…

    程序猿的头像 程序猿
    2025年12月6日 行业动态
    000

  • 荣耀手表5Pro 10月23日正式开启首销国补优惠价1359.2元起售

    荣耀手表5pro自9月25日开启全渠道预售以来,市场热度持续攀升,上市初期便迎来抢购热潮,一度出现全线售罄、供不应求的局面。10月23日,荣耀手表5pro正式迎来首销,提供蓝牙版与esim版两种选择。其中,蓝牙版本的攀登者(橙色)、开拓者(黑色)和远航者(灰色)首销期间享受国补优惠价,到手价为135…

    程序猿的头像 程序猿
    2025年12月6日 行业动态
    000

  • Vue.js应用中配置环境变量:灵活管理后端通信地址

    在%ignore_a_1%应用中,灵活配置后端api地址等参数是开发与部署的关键。本文将详细介绍两种主要的环境变量配置方法:推荐使用的`.env`文件,以及通过`cross-env`库在命令行中设置环境变量。通过这些方法,开发者可以轻松实现开发、测试、生产等不同环境下配置的动态切换,提高应用的可维护…

    程序猿的头像 程序猿
    2025年12月6日 web前端
    000

  • JavaScript响应式编程与Observable

    Observable是响应式编程中处理异步数据流的核心概念,它允许随时间推移发出多个值,支持订阅、操作符链式调用及统一错误处理,广泛应用于事件监听、状态管理和复杂异步逻辑,提升代码可维护性与可读性。 响应式编程是一种面向数据流和变化传播的编程范式。在前端开发中,尤其面对复杂的用户交互和异步操作时,J…

    程序猿的头像 程序猿
    2025年12月6日 web前端
    000

  • 环境搭建docker环境下如何快速部署mysql集群

    使用Docker Compose部署MySQL主从集群,通过配置文件设置server-id和binlog,编写docker-compose.yml定义主从服务并组网,启动后创建复制用户并配置主从连接,最后验证数据同步是否正常。 在Docker环境下快速部署MySQL集群,关键在于合理使用Docker…

    程序猿的头像 程序猿
    2025年12月6日 数据库
    000

  • Xbox删忍龙美女角色 斯宾塞致敬板垣伴信被喷太虚伪

    近日,海外游戏推主@HaileyEira公开发表言论,批评Xbox负责人菲尔·斯宾塞不配向已故的《死或生》与《忍者龙剑传》系列之父板垣伴信致敬。她指出,Xbox并未真正尊重这位传奇制作人的创作遗产,反而在宣传相关作品时对内容进行了审查和删减。 所涉游戏为年初推出的《忍者龙剑传2:黑之章》,该作采用虚…

    程序猿的头像 程序猿
    2025年12月6日 游戏教程
    000

  • 如何在mysql中分析索引未命中问题

    答案是通过EXPLAIN分析执行计划,检查索引使用情况,优化WHERE条件写法,避免索引失效,结合慢查询日志定位问题SQL,并根据查询模式合理设计索引。 当 MySQL 查询性能下降,很可能是索引未命中导致的。要分析这类问题,核心是理解查询执行计划、检查索引设计是否合理,并结合实际数据访问模式进行优…

    程序猿的头像 程序猿
    2025年12月6日 数据库
    000

  • VSCode入门:基础配置与插件推荐

    刚用VSCode,别急着装一堆东西。先把基础设好,再按需求加插件,效率高还不卡。核心就三步:界面顺手、主题舒服、功能够用。 设置中文和常用界面 打开软件,左边活动栏有五个图标,点最下面那个“扩展”。搜索“Chinese”,装上官方出的“Chinese (Simplified) Language Pa…

    程序猿的头像 程序猿
    2025年12月6日 开发工具
    000

发表回复

登录后才能评论
关注微信