那些遇到过的问题

如何使用 Webflux 在 Spring API 处理程序方法中访问 JWT 声明?

Alt*_*ltJ 5 java spring spring-security spring-security-oauth2 spring-webflux

我正在添加一个 WebFilter 以在 SecurityWebFilterChain 中执行 JWT 身份验证。我们在 JWT 中编码了许多 API 端点所需的许多非身份验证相关信息,因此我需要能够从 JWT 中提取信息并在我的 API 处理程序方法(例如 LoginController.爪哇)。实现这一目标的最佳模式是什么?

这是我的 SecurityWebFilterChain,显示了 WebFilter 身份验证:

    @Bean
    public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {

        return http
                .authorizeExchange()
                .pathMatchers("/login", "/")
                .authenticated()
                .and()
                .addFilterAt(basicAuthenticationFilter(), SecurityWebFiltersOrder.HTTP_BASIC)
                .authorizeExchange()
                .pathMatchers("/adm")
                .authenticated()
                .and()
                .addFilterAt(basicAuthenticationFilter(), SecurityWebFiltersOrder.HTTP_BASIC)
                .authorizeExchange()
                .pathMatchers("/api/**")
                .access(authorizationManager)
                .and()
                .addFilterAt(bearerAuthenticationFilter(), SecurityWebFiltersOrder.AUTHENTICATION)
                .build();
    }
Run Code Online (Sandbox Code Playgroud)

这是我想在 LoginController.java 中访问声明的地方:

@RestController()
@RequestMapping(value = "/login")
public class LoginController {

    private final UserMongoRepository repository;

    @Autowired
    public LoginController(UserMongoRepository repository) {
        this.repository = repository;
    }

    @PostMapping("")
    public Mono<User> login(@RequestBody User post,
                            @RequestParam String user_id,
                            @RequestParam String username) {

        //Need to access information from JWT claims here

        return this.repository.findById(user_id);
    }
}
Run Code Online (Sandbox Code Playgroud)

Ken*_*han 1

我将创建一个自定义Authentication对象并将所需信息存储在其中。

对于与用户相关的数据,存储在其内部Principal。对于与用户无关的数据,听起来Details是一个存储的好地方。

许多内置函数AuthenticationProvider会创建一个UserDetails并存储到Principal. UserDetails这意味着如果您正在使用那些内置的,您可以考虑创建一个定制的AuthenticationProvider

因此,根据您如何实现身份验证逻辑,您需要自定义相关AuthenticationProviderFilter。目的是访问HttpServletRequest,从HTTP标头获取JWT,解析JWT,设置和配置这个自定义Authentication对象并将其设置为SecurityContext

SecurityContextHolder.getContext().setAuthentication(authenication);
Run Code Online (Sandbox Code Playgroud)

要在 Controller 中访问此Authentication对象,您可以使用:

Authentication auth = SecurityContextHolder.getContext().getAuthentication();
CurrentUser user = (CurrentUser) auth.getPrincipal();
CurrentRequestDetail detail= (CurrentRequestDetail) auth.getDetails();
/** CurrentUser and CurrentRequestDetail is the customised Principal and Details**/
Run Code Online (Sandbox Code Playgroud)

如果您只需要访问[ Principal],您可以使用@AuthenticationPrincipal

    @PostMapping("")
    public Mono<User> login(@RequestBody User post,
                            @RequestParam String user_id,
                            @RequestParam String username,
                            @AuthenticationPrincipal CurrentUser currentUser) {

        //Need to access information from JWT claims here

        return this.repository.findById(user_id);
    }
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

1166 次

最近记录:

6 年,9 月 前
相关归档
为什么调用System.gc()是不好的做法? 317
AWS错误消息:当前正在对此资源进行冲突的条件操作 166
java和core java有什么区别? 71
如何最优雅地迭代并行集合? 49
最小化Spring Boot启动时间 26
IOException从类路径资源解析XML文档 12
PrematureCloseException:连接过早关闭 11
Autowire不在junit测试中工作 7
Spring Cloud Gateway:与 HTTP(S) 位于同一 URL 上的 Websockets 7
Spring Security配置自动装配自定义UserDetailsS​​ervice bean 3
难疑归档
检查字典中是否已存在给定键 2683
jQuery滚动到元素 2196
接口和抽象类之间有什么区别? 1705
什么是尾递归? 1602
家谱软件中的循环 1594
你怎么读斯坦丁? 1389
最优雅的方法来检查Python中的字符串是否为空? 1282
在文本框中的Enter键上使用JavaScript触发按钮单击 1250
为什么人们在AWS出现时会使用Heroku?Heroku与AWS的区别是什么? 1082
如何使用$ scope.$ watch和$ scope.$在AngularJS中申请? 1076