Spring Boot Security：为特定URL模式定制JWT认证过滤器

程序猿 • 2025年11月4日 05:16:54 • java • 阅读 1

针对Spring Boot Security中JWT过滤器默认应用于所有URL的问题，本文详细阐述如何通过扩展AbstractAuthenticationProcessingFilter并结合RequestMatcher，实现JWT过滤器仅对 /api/** 等指定URL模式生效，从而提供更精细化的安全控制。通过此方法，开发者可以精确地控制哪些请求需要JWT认证，避免不必要的性能开销和逻辑复杂性。

在Spring Boot应用程序中集成JWT（JSON Web Token）进行认证时，一个常见的需求是只对特定URL模式的请求应用JWT过滤器，而不是所有请求。默认情况下，如果直接使用http.addFilterBefore(customJwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)，该自定义过滤器可能会在所有请求进入UsernamePasswordAuthenticationFilter之前被执行，这在某些场景下可能不是最优解，例如，对于公开的API或静态资源，我们不希望它们经过JWT认证逻辑。

为了实现对特定URL模式的精确过滤，Spring Security提供了AbstractAuthenticationProcessingFilter抽象类和RequestMatcher接口，它们是解决此类问题的关键。

核心概念解析

AbstractAuthenticationProcessingFilter: 这是Spring Security中用于处理特定认证请求的抽象基类。它在内部持有一个RequestMatcher实例，只有当请求与该RequestMatcher匹配时，过滤器才会尝试进行认证处理（即调用attemptAuthentication方法）。这使得我们可以将认证逻辑与请求路径解耦，实现按需认证。

RequestMatcher: 这是一个核心接口，定义了如何判断一个HttpServletRequest是否匹配某种规则。Spring Security提供了多种内置实现，例如：

AntPathRequestMatcher: 基于Ant风格路径模式（如/api/**, /users/*）进行匹配。RegexRequestMatcher: 基于正则表达式进行匹配。OrRequestMatcher: 将多个RequestMatcher通过逻辑或（OR）组合。AndRequestMatcher: 将多个RequestMatcher通过逻辑与（AND）组合。通过灵活运用这些匹配器，我们可以构建复杂的URL匹配逻辑。

实现步骤

1. 创建定制JWT认证过滤器

首先，我们需要修改原有的CustomJwtAuthenticationFilter，使其继承自AbstractAuthenticationProcessingFilter，并在构造函数中接收一个RequestMatcher。

import org.springframework.security.authentication.AuthenticationManager;import org.springframework.security.authentication.BadCredentialsException;import org.springframework.security.core.Authentication;import org.springframework.security.core.AuthenticationException;import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;import org.springframework.security.web.util.matcher.RequestMatcher;import javax.servlet.ServletException;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.io.IOException;public class CustomJwtAuthenticationFilter extends AbstractAuthenticationProcessingFilter {    // 构造函数，接收一个RequestMatcher，该匹配器定义了哪些请求需要此过滤器处理    public CustomJwtAuthenticationFilter(RequestMatcher requiresAuthenticationRequestMatcher) {        super(requiresAuthenticationRequestMatcher);    }    // 实际的认证逻辑    @Override    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)            throws AuthenticationException, IOException, ServletException {        // 从请求中提取JWT令牌的逻辑        String token = extractJwtFromRequest(request);        if (token == null) {            // 如果没有令牌，则抛出认证异常，由AuthenticationEntryPoint处理            throw new BadCredentialsException("No JWT token found in request.");        }        // 假设JwtAuthenticationToken是一个自定义的Authentication实现，        // 包含了JWT令牌信息，等待AuthenticationManager处理        JwtAuthenticationToken authenticationToken = new JwtAuthenticationToken(token);        // 将令牌提交给AuthenticationManager进行认证        // AuthenticationManager会找到对应的AuthenticationProvider来验证令牌        return this.getAuthenticationManager().authenticate(authenticationToken);    }    // 辅助方法：从请求中提取JWT令牌    private String extractJwtFromRequest(HttpServletRequest request) {        // 示例：从Authorization头中提取Bearer Token        String bearerToken = request.getHeader("Authorization");        if (bearerToken != null && bearerToken.startsWith("Bearer ")) {            return bearerToken.substring(7); // 移除"Bearer "前缀        }        return null;    }    // 可以选择性地覆盖successfulAuthentication和unsuccessfulAuthentication方法    // 来处理认证成功或失败后的逻辑，例如设置安全上下文或记录日志。}

注意：JwtAuthenticationToken 和处理JWT令牌的AuthenticationProvider需要您自行实现。这里主要关注过滤器的结构。

稿定AI绘图

稿定推出的AI绘画工具

36 查看详情

2. 定义请求匹配器

为了让JWT过滤器仅作用于/api/**路径，我们可以使用AntPathRequestMatcher。

import org.springframework.security.web.util.matcher.AntPathRequestMatcher;import org.springframework.security.web.util.matcher.RequestMatcher;// ...// 在您的Security配置类中或单独定义RequestMatcher apiPathsMatcher = new AntPathRequestMatcher("/api/**");

3. 集成到Spring Security配置

最后，在您的Spring Security配置类（通常是继承WebSecurityConfigurerAdapter的类）中，将这个定制的JWT过滤器添加到过滤器链中。

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.authentication.AuthenticationManager;import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;import org.springframework.security.config.http.SessionCreationPolicy;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;import org.springframework.security.web.util.matcher.AntPathRequestMatcher;import org.springframework.security.web.AuthenticationEntryPoint; // 假设您有自定义的认证入口点@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter {    private final UserDetailsService userDetailsService; // 假设您有UserDetailsService    private final AuthenticationEntryPoint jwtAuthenticationEntryPoint; // 假设您有JWT认证入口点    public SecurityConfig(UserDetailsService userDetailsService, AuthenticationEntryPoint jwtAuthenticationEntryPoint) {        this.userDetailsService = userDetailsService;        this.jwtAuthenticationEntryPoint = jwtAuthenticationEntryPoint;    }    @Override    protected void configure(AuthenticationManagerBuilder auth) throws Exception {        // 配置您的AuthenticationManager，例如使用UserDetailsService和密码编码器        auth.userDetailsService(userDetailsService);    }    @Bean    @Override    public AuthenticationManager authenticationManagerBean() throws Exception {        // 暴露AuthenticationManager为Bean，供CustomJwtAuthenticationFilter使用        return super.authenticationManagerBean();    }    // 定义CustomJwtAuthenticationFilter为Bean    @Bean    public CustomJwtAuthenticationFilter customJwtAuthenticationFilter() throws Exception {        // 创建一个匹配器，指定只有/api/**路径的请求才会被此JWT过滤器处理        AntPathRequestMatcher apiMatcher = new AntPathRequestMatcher("/api/**");        CustomJwtAuthenticationFilter filter = new CustomJwtAuthenticationFilter(apiMatcher);        // 必须设置AuthenticationManager，因为AbstractAuthenticationProcessingFilter需要它来执行认证        filter.setAuthenticationManager(authenticationManagerBean());        // 可以选择性设置认证成功/失败处理器        // filter.setAuthenticationSuccessHandler(...)        // filter.setAuthenticationFailureHandler(...)        return filter;    }    @Override    protected void configure(HttpSecurity http) throws Exception {        http.csrf().disable() // 禁用CSRF，因为JWT通常是无状态的            .authorizeRequests()                // 确保/api/**路径需要认证。当请求到达这些路径时，如果尚未认证，                // customJwtAuthenticationFilter会尝试处理                .antMatchers("/api/**").authenticated()                // 其他路径可以设置为permitAll()或根据需求配置                .antMatchers("/users", "/login", "/").permitAll()                .anyRequest().authenticated() // 任何其他未匹配的请求也需要认证            .and()            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // JWT是无状态的            .and()            .exceptionHandling()                .authenticationEntryPoint(jwtAuthenticationEntryPoint) // 未认证或认证失败的入口点                .accessDeniedPage("/403") // 访问被拒绝的页面            .and()            // 将自定义的JWT过滤器添加到UsernamePasswordAuthenticationFilter之前            // CustomJwtAuthenticationFilter现在只处理/api/**路径            .addFilterBefore(customJwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);    }}

在上述配置中，antMatchers(“/api/**”).authenticated() 确保了所有/api/**路径的请求都需要认证。当请求匹配/api/**时，customJwtAuthenticationFilter会尝试提取并验证JWT令牌。如果令牌有效，请求将继续处理；否则，jwtAuthenticationEntryPoint将介入处理认证失败。对于其他未匹配/api/**的路径，customJwtAuthenticationFilter根本不会被触发，从而实现了精确的过滤。

注意事项

AuthenticationManager的注入与设置：AbstractAuthenticationProcessingFilter需要一个AuthenticationManager来委托实际的认证过程。因此，您必须通过@Bean注解将authenticationManagerBean()暴露为一个Bean，并在创建CustomJwtAuthenticationFilter实例时将其设置进去。过滤器链顺序：addFilterBefore(customJwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)的顺序至关重要。它确保了在Spring Security默认的表单登录过滤器之前，我们的JWT过滤器有机会处理请求。RequestMatcher的灵活性：除了AntPathRequestMatcher，您还可以根据需要使用OrRequestMatcher、AndRequestMatcher等组合多个匹配规则，以实现更复杂的URL过滤逻辑。例如，如果您想过滤/api/v1/**和/admin/**，可以使用new OrRequestMatcher(new AntPathRequestMatcher(“/api/v1/**”), new AntPathRequestMatcher(“/admin/**”))。认证入口点（AuthenticationEntryPoint）：当CustomJwtAuthenticationFilter尝试认证失败时（例如，没有提供令牌或令牌无效），它会抛出AuthenticationException。此时，authenticationEntryPoint会负责处理这个异常，通常是返回一个401 Unauthorized响应。确保您的jwtAuthenticationEntryPoint能够正确处理这种情况。无状态会话：JWT通常用于无状态认证，因此将sessionCreationPolicy设置为STATELESS是最佳实践，这会禁用Spring Security的会话管理，并确保每次请求都携带JWT进行认证。错误处理：在attemptAuthentication方法中，如果无法提取或解析JWT，应抛出适当的AuthenticationException，让Spring Security的异常处理机制（通过AuthenticationEntryPoint）来统一处理。

总结

通过继承AbstractAuthenticationProcessingFilter并利用RequestMatcher，我们可以为Spring Boot Security中的JWT认证过滤器实现精准的URL模式匹配。这种方法不仅提高了应用程序的安全性，因为它只在必要时才执行认证逻辑，同时也优化了性能，避免了不必要的处理开销。掌握这种技术，能够帮助开发者构建更加健壮和高效的Spring Security认证体系。

以上就是Spring Boot Security：为特定URL模式定制JWT认证过滤器的详细内容，更多请关注创想鸟其它相关文章！

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 chuangxiangniao@163.com 举报，一经查实，本站将立刻删除。
发布者：程序猿，转转请注明出处：https://www.chuangxiangniao.com/p/250508.html

access ai red spring security 处理器

打赏

微信扫一扫

支付宝扫一扫

0 0

关于作者

程序猿签约作者

337.3K 文章

0 评论

1 粉丝

这个人很懒，什么都没有留下～

解决Hazelcast ReplicatedMap ClassCastException：深入理解内存格式与泛型匹配

上一篇 2025年11月4日 05:13:06

JUnit 5参数化测试与Mockito集成实践：动态模拟返回值与常见陷阱

下一篇 2025年11月4日 05:17:28

好文分享

Go语言错误处理的实践与最佳范式

本文深入探讨了go语言中错误处理的核心机制与最佳实践。go语言推崇显式错误处理，其中`if err != nil`模式被广泛认为是惯用的且推荐的做法。文章将通过代码示例，阐释这种模式在go标准库中的普遍应用，并强调其在确保程序健壮性与可读性方面的重要性，帮助开发者构建清晰、可靠的go应用程序。在G…

程序猿
2025年12月16日
0000
好文分享

Golang如何实现WebSocket数据收发

Go语言通过gorilla/websocket库实现WebSocket通信，首先使用go get安装依赖，然后创建Upgrader实例将HTTP连接升级为WebSocket，示例代码展示了服务端接收并回显消息的过程，客户端可用JavaScript测试连接，关键点包括允许跨域、读写消息及连接关闭，适用…

程序猿
2025年12月16日
0000
好文分享

Go Web应用中表单数据与Datastore的集成：存取实践

本文详细介绍了如何在go语言开发的web应用中，将html表单提交的数据（`r.formvalue`）存储到google app engine的datastore，并从datastore中检索这些数据。通过具体代码示例，涵盖了数据模型的定义、上下文的获取、数据写入（`datastore.put`）和…

程序猿
2025年12月16日
0000
好文分享

Go语言中高效清空切片的方法与实践

本文详细探讨了go语言中清空切片的两种主要方法：通过切片表达式截断（`slice = slice[:0]`）和将其设置为`nil`（`slice = nil`）。我们将深入分析这两种方法的内部机制、对内存管理和性能的影响，以及各自的最佳应用场景，旨在帮助开发者根据具体需求选择最合适的清空策略，以实现…

程序猿
2025年12月16日
0000
好文分享

Golang如何处理结构体嵌套

Go语言通过结构体嵌套实现代码复用，支持直接嵌套、指针嵌套、多层嵌套及方法继承。1. 直接嵌套使用匿名字段可直接访问内层字段和方法；2. 指针嵌套可节省内存并支持nil值，访问时自动解引用但需判空防panic；3. 多层嵌套中若字段名冲突需显式指定层级；4. 嵌套结构体的方法被提升，外层可调用或重写…

程序猿
2025年12月16日
0000
好文分享

Golang HTTP客户端请求与响应处理实战

Go语言中使用net/http包可高效发起HTTP请求。首先通过http.Get快速发送GET请求，或手动创建Client和Request以更好控制细节。实际开发推荐后者，便于设置超时、Header、POST表单等。示例流程包括：定义结构体接收JSON数据，发起请求后检查err和StatusCode…

程序猿
2025年12月16日
0000
好文分享

使用 Go 读取文本文件数据

本文介绍了如何使用 Go 语言读取包含特定格式数据的文本文件。文件由包含两个数值的头部、包含多个字段的记录列表以及一个整数值列表组成。文章提供了详细的代码示例，展示了如何使用 `bufio` 包和 `fmt.Fscanf` 函数来解析文件中的数据，并针对可能遇到的问题提供了注意事项。 Go 语言提供…

程序猿
2025年12月16日
0000
好文分享

Go语言中动态实例化接口实现：从映射到运行时创建的实践

本文探讨在go语言中如何从一个存储了类型引用的映射（map）中动态实例化接口实现。由于go的`new()`内置函数要求编译时类型，直接通过映射值进行实例化是不可行的。文章将介绍两种主要策略：推荐的工厂函数模式，它通过存储返回接口实例的函数来保持类型安全；以及备选的`reflect`包方法，该方法提供…

程序猿
2025年12月16日
0000
好文分享

深入理解OAuth2与Google App Engine管理员访问权限

本文旨在阐明在google app engine (gae) 中，为何尝试使用oauth2令牌直接访问`app.yaml`配置的管理员专属url会失败。核心在于oauth2主要用于授权第三方应用访问用户数据，而非作为用户登录到您自己gae应用的机制。我们将深入探讨gae管理员访问的原理，并提供正确的…

程序猿
2025年12月16日
0000
好文分享

Go语言中嵌入字段方法与类型识别的深度解析

本文深入探讨了go语言中结构体嵌入机制下，方法接收者类型识别的常见误区与正确实践。当一个方法定义在嵌入结构体上时，即使通过外部（嵌入）结构体调用，其接收者的类型始终是嵌入结构体本身。要获取外部结构体的类型，必须在外部结构体上明确重写该方法，从而使接收者指向外部结构体实例。 Go语言嵌入机制与方法继承…

程序猿
2025年12月16日
0000
好文分享

Go语言HTTP HEAD请求与模板渲染的冲突解析及处理

本文深入探讨了go语言`net/http`服务中，使用html模板渲染响应时，`head`请求方法导致报错的问题。核心在于`head`请求不允许响应体，而`templates.executetemplate`尝试写入响应体。文章解释了`head`方法的http规范，揭示了看似成功的`w.write`…

程序猿
2025年12月16日
0000
好文分享

Go App Engine中解决模板文件未找到的路径问题

在Go App Engine开发中，遇到`panic: open templates/base.html: The system cannot find the path specified`错误是常见的模板文件加载问题。本文将深入探讨Go App Engine的文件访问机制，特别是`app.yam…

程序猿
2025年12月16日
0000
好文分享

Go 语言错误处理：遵循惯例与最佳实践

go 语言中，`if err != nil` 模式是处理错误的惯用且推荐的最佳实践。这种显式的错误检查机制贯穿于标准库，强制开发者直面并处理每个潜在错误，从而提升代码的健壮性、可读性和可维护性。本文将深入探讨这一核心模式及其在实际开发中的应用策略。 Go 语言错误处理的核心模式在 Go 语言中，函…

程序猿
2025年12月16日
0000
好文分享

Go程序CPU性能热点分析与优化：使用pprof工具深度解析

本教程详细介绍了如何使用go语言内置的`pprof`工具识别程序中的cpu性能热点。我们将探讨两种数据采集方法：通过`runtime/pprof`包进行编程采集，以及在`go test`时自动生成。随后，文章将指导您如何利用`go tool pprof`分析这些数据，并重点介绍交互式可视化（如svg…

程序猿
2025年12月16日
0000
好文分享

Go语言Cgo代码GDB调试失效：Go 1.1版本下的挑战与官方进展

本文探讨了go语言程序中cgo代码在使用gdb进行调试时遇到的挑战，特别指出go 1.1版本中存在的变量值显示异常问题。该问题是一个已知的官方缺陷（go issue 5221），导致在cgo交互部分gdb调试功能失效，而go 1.0版本则无此问题。文章将通过示例代码重现该现象，并阐述其根源及官方的解…

程序猿
2025年12月16日
0000
好文分享

Golang如何实现文件下载功能

答案：Go语言通过net/http和os包实现文件下载，使用http.Get发起请求，os.Create创建本地文件，io.Copy流式写入避免内存溢出。可选进度提示通过自定义io.Writer实现，生产环境推荐设置超时和User-Agent提升健壮性。在Go语言中实现文件下载功能非常直接，主要依…

程序猿
2025年12月16日
0000
好文分享

Golang如何实现容器化微服务快速部署

使用Golang实现容器化微服务快速部署，关键在于结合Go静态编译与Docker多阶段构建，生成小于20MB的轻量镜像（如alpine基础镜像），通过合理拆分业务服务、统一接口规范、环境变量配置和标准日志输出，设计可独立部署的微服务结构；利用gin/echo框架提供REST/gRPC接口，集成健康检…

程序猿
2025年12月16日
0000
好文分享

Golang网络请求并发优化与连接池实现

合理配置Transport和控制并发是提升Go网络性能的关键。通过自定义MaxIdleConns、MaxIdleConnsPerHost、IdleConnTimeout等参数优化连接复用，减少TCP握手开销；使用信号量或worker pool限制并发请求，避免资源耗尽；根据业务特征调优连接池参数，结…

程序猿
2025年12月16日
0000
好文分享

Go语言中接口断言的有效性与io.WriteString的优化策略

本文深入探讨go语言中接口断言的有效性，特别是当一个具体类型同时实现多个接口时。通过解析`io`包中`writestring`函数的源码，我们将理解其如何利用类型断言来优化字符串写入操作，以及go语言隐式接口实现机制的强大之处。文章将提供示例代码，帮助读者掌握这一核心概念。在Go语言的io包中，W…

程序猿
2025年12月16日
0000
好文分享

Go语言RSA加密：解决EncryptPKCS1v15的随机数生成器错误

在使用go语言进行rsa加密时，开发者常遇到`rsa.encryptpkcs1v15`函数因缺少有效的随机数生成器而引发的`nil pointer dereference`错误。本文将深入解析此问题，阐明`io.reader`参数的重要性，并提供使用`crypto/rand.reader`的正确实践…

程序猿
2025年12月16日
0000