一个人如何创建一个接受基本auth标头或oauth2访问令牌的端点?

时间:2019-02-19 14:50:52

标签: java spring-boot spring-security oauth-2.0

我已经使用Spring Boot安全性设置了OAuth2身份验证服务器,并且一切正常。接下来,我要创建一个超级用户,该用户可以仅通过基本身份验证标头将请求发送到每个端点,而不会影响其他用户的身份验证流程。 Spring Boot安全性可以做到这一点吗?

谢谢, 克里斯

1 个答案:

答案 0 :(得分:2)

是的,有可能。

一个选项是使用ROLES,因此您可以选择哪个用户使用@Secured注释访问每个端点。

其他选项包括实现自己的过滤器以在请求之前运行。 这是一个使用JWT令牌过滤器和验证的简单示例:

public class JWTConfigurer extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {

@Override
    public void configure(HttpSecurity http) {
        JWTFilter customFilter = new JWTFilter();
        http.addFilterBefore(customFilter, UsernamePasswordAuthenticationFilter.class);
    }

}

public class JWTFilter extends GenericFilterBean {

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
        throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
// Here go your implementation
        String jwt = resolveToken(httpServletRequest);
        if (isTokenValid(jwt)) {
            Authentication authentication = getAuthenticationFromToken(jwt);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }
        filterChain.doFilter(servletRequest, servletResponse);
    }

private String resolveToken(HttpServletRequest request) {
        String bearerToken = request.getHeader("YOUR-AUTHORIZATION-HEADER");
        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7, bearerToken.length());
        }
        return null;
    }