Spring Security采用JWT验证时filter异常处理和JWT续期问题

2023-11-04 15:15

本文主要是介绍Spring Security采用JWT验证时filter异常处理和JWT续期问题,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

问题描述

security+jwt进行身份认证授权时,在登录前通常增加一个jwtfilter进行jwt验证,filter中的异常并不会被全局异常捕获,导致返回数据格式与统一格式不对

具体描述为: jwtfilter中对分发的token进行验证时抛出的异常捕获统一返回

问题出现原因

通常的filter时java web提供,并不被spring接管

解决方案 将异常抛给controller

JWTFilter中处理异常并跳转到异常处理控制器,再由控制器抛出异常,最终被全局异常捕获,统一返回格式

jwt验证时通常会抛出4中异常

  • ExpiredJwtException token过期时抛出
  • MalformedJwtException token的格式错误,即token被篡改
  • SignatureException token签名错误,生成 token 和解析 token 使用的 SECRET 签名不一致就会报这个错误
  • UnsupportedJwtException jwt不支持

在进行jwt验证时捕获这4种异常,再处理异常信息抛给controller处理

具体步骤

1 在JwtAuthenticationTokenFilter extends OncePerRequestFilter 中
try {Claims claims = JwtUtil.parseJWT(token);
}catch (ExpiredJwtException exception){log.error("身份验证过期"+exception);request.setAttribute("jwtFilter.error",new BaseException("身份验证过期"));request.getRequestDispatcher("/error/jwtFilter").forward(request,response);
}catch (MalformedJwtException exception){log.error("JWT Token格式不对"+exception);request.setAttribute("jwtFilter.error",new BaseException("JWT Token格式不对"));request.getRequestDispatcher("/error/jwtFilter").forward(request,response);
}catch (SignatureException exception){//生成 token 和解析 token 使用的 SECRET 签名不一致就会报这个错误log.error("JWT 签名错误"+exception);request.setAttribute("jwtFilter.error",new BaseException("JWT 签名错误"));request.getRequestDispatcher("/error/jwtFilter").forward(request,response);
}catch (UnsupportedJwtException exception){log.error("不支持的 Jwt "+exception);request.setAttribute("jwtFilter.error",new BaseException("不支持的 Jwt"));request.getRequestDispatcher("/error/jwtFilter").forward(request,response);
}catch (Exception e) {log.error("jwt验证:"+e);request.setAttribute("jwtFilter.error",new BaseException("JWT 验证失败"));request.getRequestDispatcher("/error/jwtFilter").forward(request,response);}
2 FilterExceptionController 中 最终被抛出,会被全局异常处理器处理返回统一的数据格式
    @RequestMapping("/error/jwtFilter")public void jwtFilterException(HttpServletRequest reques){log.warn("jwt controller ");Exception e = (Exception) reques.getAttribute("jwtFilter.error");log.warn(e.getMessage());throw e;}

其他相关

security在认证授权时抛出的异常

认证时 重写 AuthenticationEntryPoint

授权时 重写 AccessDeniedHandler

@Component
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {@Overridepublic void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {httpServletResponse.setCharacterEncoding("UTF-8");httpServletResponse.setContentType("application/json");httpServletResponse.getWriter().println(JSON.toJSON(BaseResponse.fail("1005",e.getMessage())));httpServletResponse.getWriter().flush();}
}@Component
public class CustomAccessDeniedHandler implements AccessDeniedHandler {@Overridepublic void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {httpServletResponse.setCharacterEncoding("UTF-8");httpServletResponse.setContentType("application/json");httpServletResponse.getWriter().println(JSON.toJSON(BaseResponse.fail("1004",e.getMessage())));httpServletResponse.getWriter().flush();}
}

在security配置中加入

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)//EnableGlobalMethodSecurity开启全局方法级别授权控制,prePostEnabled在执行方法前进行授权
public class SecurityConfig  extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {//认证失败时的提示返回自定义信息http.exceptionHandling().accessDeniedHandler(customAccessDeniedHandler).authenticationEntryPoint(customAuthenticationEntryPoint);}
}

JWT续期问题

当jwt token快过期时,可以选择不续期,那么过期后需要用户重新登录再次下发token

续期方案

1 每次请求时续期 【完全不考虑】

即每次请求都重新下发新的token

缺点:下发频率太高,影响性能

2 快过期时续期【可以考虑】

比如30分钟过期时间,当还剩10分钟以内时请求过来进行续期

缺点:

        a. 泄露后容易导致token一直活跃

        b. 且如果是并发请求,容易导致下发多个token        

关于该方案泄露的补丁

可以在token中添加ip或者地域等信息【这些信息应该被加密】,一旦改变ip或者地域就需要重新登录

但是这样如果客户经常更换ip,就需要频繁登录,体验感会不好;可以让用户选择安全模式,如果选择安全模式就需要这样

3 双token【可以考虑】

登录时一次下发两个token

token1用于用户认证,过期时间设置短些,比如1个小时

token2用于续期,过期时间可以设置长些,比如1天

token2的key可以根据自己的习惯设置,可以设置一为无相关性的key,这样能在一定程度上混淆

过程:

登录请求返回 token1、token2和token1的过期时间

前端判断,当token1快过期了,携带token2请求

后端根据token2重新续期token1

缺点:

        前端每次请求都需要先判断token1是否快过期

这篇关于Spring Security采用JWT验证时filter异常处理和JWT续期问题的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/345360

相关文章

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

Security OAuth2 单点登录流程

单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一注销(single sign-off)就是指

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

无人叉车3d激光slam多房间建图定位异常处理方案-墙体画线地图切分方案

墙体画线地图切分方案 针对问题:墙体两侧特征混淆误匹配,导致建图和定位偏差,表现为过门跳变、外月台走歪等 ·解决思路:预期的根治方案IGICP需要较长时间完成上线,先使用切分地图的工程化方案,即墙体两侧切分为不同地图,在某一侧只使用该侧地图进行定位 方案思路 切分原理:切分地图基于关键帧位置,而非点云。 理论基础:光照是直线的,一帧点云必定只能照射到墙的一侧,无法同时照到两侧实践考虑:关

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory