spring security验证刷新token spring security app认证token

前面我们实现了给客户端下发token，虽然客户端拿到了token，但我们还没处理客户端下一次携带token请求时如何验证，我们想要实现拿得到token之后，只需要验证token，不需要用户再携带用户名和密码了。

1. 禁用 UsernamePasswordAuthenticationFilter

由上图可以看出，当用户访问了相关路径之后，Spring内部会自己创建一个UsernamePasswordAuthenticationFilter给我们，现在我们不想通过username和password进行认证了，我们想通过token进行验证，那就需要把内部创建的UsernamePasswordAuthenticationFilter给禁用了。

添加formLogin().disable到过滤链中：

为什么添加了这行代码就禁用了那个东西了呢？这是因为如果不禁用formLogin，它就会创建一个UsernamePasswordAuthenticationFilter

2. 创建自己的认证过滤器

禁用了UsernamePasswordAuthenticationFilter之后，我们就需要创建自己的过滤器，并把它添加到过滤链中，我们的验证过程就是在我们自己编写的过滤器中进行。

@Slf4j
@Component
public class JWTAuthenticationFilter extends OncePerRequestFilter {

    @Resource
    RedisTemplate redisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //如果是要登录，放行到登录页面
        if("/login2".equals(request.getRequestURI())){
            filterChain.doFilter(request, response);
            return;
        }
        //不是进行登录，说明前端会携带token
        String token = request.getHeader("Authorization");
        if(StrUtil.isEmpty(token))
            throw new RuntimeException("token 为空");
        //token类型：postman前端传来的token会在前面加一个类型和一个空格
        if(!StrUtil.startWith(token, "Bearer"))
            throw new RuntimeException("token 类型错误");
        
        //1. 验证token
        token = token.substring(7);
        JWTSigner jwtSigner = JWTSignerUtil.hs512("testttttt".getBytes(StandardCharsets.UTF_8));
        if (!JWTUtil.verify(token, jwtSigner)) {
            throw new RuntimeException("token 无效");
        }
        //2. 从token中取出用户名
        String username = (String) JWTUtil.parseToken(token).getPayload().getClaim("username");
        
        //3. 根据用户名从redis中取出password(登录时可以将UserDetails存储到redis)
        String password = (String) redisTemplate.opsForHash().get("user-details", username);
        if(password == null) throw new RemoteException("token 过期");
        log.info("--------> get password= {}", password);

        //4. new一个UserDetails，这个UserDetails会被存储到SecurityContextHolder中
        MyUserDetails userDetails = new MyUserDetails(new MyUser(1, username, password));
        
        //5. 将UserDetails存储到SecurityContextHolder中
        SecurityContextHolder.getContext().setAuthentication(UsernamePasswordAuthenticationToken.authenticated(userDetails
        , null, null));
        filterChain.doFilter(request, response);
    }
}

注意，代码中的第5步决定是否放行请求，只有将UserDetails存储到SecurityContextHolder中，过滤器才会放行。

将编写好的过滤器添加到过滤器链中：

.addFilterAt(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);

3. 测试

可以看到，用户首次登录之后，后端成功返回一个token

接下来携带token请求另一个页面。

成功返回结果：

---

EX++++++++++++++

经过测验发现，放行和不放行完全取决于这行代码：

SecurityContextHolder.getContext().setAuthentication(UsernamePasswordAuthenticationToken.authenticated(userDetails, null, null));

我甚至可以直接写成

SecurityContextHolder.getContext().setAuthentication(new UsernamePasswordAuthenticationToken(userDetails, null, null));

因为UsernamePasswordAuthenticationToken.authenticated(userDetails, null, null)这个函数在底层就是会直接new一个UsernamePasswordAuthenticationToken