Comment créer mon propre filtre avec Spring MVC?

J'utilise Spring MVC (4.0.1) comme un backend pour le reste des services et angularjs comme le frontend.

chaque demande de mon serveur backend a un http en-tête avec un id de session

Je peux lire cet en-tête dans mon serveur backend avec le code suivant:

@Autowired
protected HttpServletRequest request;
String xHeader=request.getHeader("X-Auth-Token"); //returns the sessionID from the header

Maintenant j'appelle cette méthode getPermission(xHeader) il uniquement retourner true ou false. Si l'utilisateur existe dans ma DB, il return true else false!

Je veux maintenant créer un filtre avec ce comportement, qui vérifie à chaque demande, si l'utilisateur d'avoir la permission d'accéder à mon contrôleurs! Mais si la méthode renvoie false, elle doit renvoyer une erreur 401 et de ne pas atteindre mes contrôleur de!

Comment puis-je faire cela et de créer mon propre filtre? Je n'utilise que Java Config et pas de XML.

Je pense que je dois ajouter le filtre:

public class WebInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {
    @Override
    protected Filter[] getServletFilters() {
        MyOwnFilter=new MyOwnFilter();
        return new Filter[] {MyOwnFilter};
    }
}
  • Pourquoi ne pas utiliser le Printemps de Sécurité à la place?
  • Je n'ai pas d'activité wie printemps de sécurité et il n'est pas facile avec java config. Ou pouvez-vous me donner un exemple simple comment je peux utiliser le printemps de sécurité à mettre en œuvre le comportement dans mon premier post ?
  • parce que l'ensemble de la OAuth approche est un énorme exagéré pour une simple séance de filtre. Aussi, le Printemps en manque un à l'exemple de point sur ce.
  • Printemps de sécurité qui ne sont pas nécessairement les moyens d'authentification OAuth, vous pouvez faire de l'Authentification Basique, par exemple.
  • Je sais que le Printemps de sécurité a un peu d'une courbe d'apprentissage, mais si vous êtes sérieux java backend developer, c'est une très bonne technologie et de savoir, principalement parce que la sécurité n'est pas facile, je sais beaucoup de choses sur elle et préfère les laisser à d'autres. Si vous n'avez pas le temps d'apprendre le Printemps de sécurité, je voudrais aller avec le filtre approche par Avinash ci-dessous
  • caisse a accepté de répondre ici, et la section des commentaires a un repo git stackoverflow.com/questions/28242604/...

InformationsquelleAutor user2115378 | 2014-08-18
  1. 28

    Alternative aux Filtres, vous pouvez utiliser HandlerInterceptor.

    public class SessionManager implements HandlerInterceptor{

    //This method is called before the controller
    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {

        String xHeader = request.getHeader("X-Auth-Token");
        boolean permission = getPermission(xHeader);
        if(permission) {
            return true;
        }
        else {
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            return false;
            //Above code will send a 401 with no response body.
            //If you need a 401 view, do a redirect instead of
            //returning false.
            //response.sendRedirect("/401"); //assuming you have a handler mapping for 401

        }
        return false;
    }

    @Override
    public void postHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler,
            ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request,
            HttpServletResponse response, Object handler, Exception ex)
            throws Exception {

    }
}

    Puis ajouter l'intercepteur à votre webmvc config.

    @EnableWebMvc
@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

    @Bean
    SessionManager getSessionManager() {
         return new SessionManager();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(getSessionManager())
        .addPathPatterns("/**")
        .excludePathPatterns("/resources/**", "/login");
     //assuming you put your serve your static files with /resources/mapping
     //and the pre login page is served with /login mapping
    }

}
    • comme op demandé dans l'autre réponse, Is it possible to create my own Annotation for this Interceptor ? ?
    • Où serait cette annotation être appliquée? Sur Controllers?
    • oui, ou, de préférence, sur RequestMapping méthodes. J'ai juste fait quelques recherches moi-même, il n'a pas l'air comme il est originaire façon de le faire
    • Oui, les annotations peuvent être créés, mais encore une fois, vous aurez à rédiger un intercepteur pour définir le comportement de cette annotation. L'approche ci-dessus vous donne toute la flexibilité d'inclure et d'exclure nécessaire mappages.
    • pourquoi avez-vous le SessionManager comme un haricot? est-ce nécessaire? Je vous remercie. +1
    • Non dans ce cas, il n'est pas nécessaire.

    InformationsquelleAutor ares
  2. 8

    Ci-dessous est le filtre à effectuer la logique que vous avez mentionné

    @WebFilter("/*")
public class AuthTokenFilter implements Filter {

    @Override
    public void destroy() {
        //...
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        //
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        String xHeader = ((HttpServletRequest)request).getHeader("X-Auth-Token");
        if(getPermission(xHeader)) {
            chain.doFilter(request, response);
        } else {
            request.getRequestDispatcher("401.html").forward(request, response);
        }
    }
}

    Et vous avez obtenu ce droit, le printemps config devrait être la suite.

    public class MyWebInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {
    @Override
    protected Filter[] getServletFilters() {
        return new Filter[]{new AuthTokenFilter()};
    }
}
    InformationsquelleAutor Avinash
  3. 6

    Printemps peut l'utilisation de filtres, mais ils vous recommandons d'utiliser leur version de filtres, connu comme un intercepteur

    http://viralpatel.net/blogs/spring-mvc-interceptor-example/

    Il y a une course rapide à travers de la façon dont ils travaillent. Ils sont presque identiques pour les filtres, mais conçu pour fonctionner à l'intérieur de la Spring MVC cycle de vie.

    • Salut, ok je vais essayer ça, mais comment puis-je prévenir si mon chèque renvoie la valeur false, que la demande atteint mon contrôleur ? si mon chèque retourne false, elle doit renvoyer une erreur 401 à mon frontend(angularjs) et il ne faut pas appeler le contrôleur!
    • Et j'ai trouvé un deuxième problème, la demande de mon login ou bien enregistrez la page n'a pas d'id de session, comment puis-je dire à mon interceptor que ces deux demandes ne doit pas être cochée ?
    • Ok je pense avoir résolu mon problème maintenant. j'ai écrit mon propre preHandle Intercepteur. Et avec de registre.addInterceptor(myInterceptor()).addPathPatterns("/**").excludePathPatterns("/**/login"); je ne peux exclure de ma page de Connexion. Est-il possible de créer mon propre Annotation pour l'Intercepteur ?
    InformationsquelleAutor Ben Potter
  4. 6

    Je suppose que vous essayez de mettre en œuvre une sorte de Protocole de sécurité qui est basé sur jwt jeton.

    De nos jours il existe plusieurs façons de le faire, mais voici mon préféré:

    Ici est de savoir comment le filtre ressemble: 

    import java.io.IOException;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import org.springframework.web.filter.GenericFilterBean;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureException;
public class JwtFilter extends GenericFilterBean {
@Override
public void doFilter(final ServletRequest req,
final ServletResponse res,
final FilterChain chain) throws IOException, ServletException {
final HttpServletRequest request = (HttpServletRequest) req;
final String authHeader = request.getHeader("Authorization");
if (authHeader == null || !authHeader.startsWith("Bearer ")) {
throw new ServletException("Missing or invalid Authorization header.");
}
final String token = authHeader.substring(7); //The part after "Bearer "
try {
final Claims claims = Jwts.parser().setSigningKey("secretkey")
.parseClaimsJws(token).getBody();
request.setAttribute("claims", claims);
}
catch (final SignatureException e) {
throw new ServletException("Invalid token.");
}
chain.doFilter(req, res);
}
}

    Assez simple, il s'agit de l'utilisateur contrôleur également où vous pouvez trouver de la méthode de connexion:

    import java.util.Arrays;
import java.util.Date;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import javax.servlet.ServletException;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
@RestController
@RequestMapping("/user")
public class UserController {
private final Map<String, List<String>> userDb = new HashMap<>();
public UserController() {
userDb.put("tom", Arrays.asList("user"));
userDb.put("sally", Arrays.asList("user", "admin"));
}
@RequestMapping(value = "login", method = RequestMethod.POST)
public LoginResponse login(@RequestBody final UserLogin login)
throws ServletException {
if (login.name == null || !userDb.containsKey(login.name)) {
throw new ServletException("Invalid login");
}
return new LoginResponse(Jwts.builder().setSubject(login.name)
.claim("roles", userDb.get(login.name)).setIssuedAt(new Date())
.signWith(SignatureAlgorithm.HS256, "secretkey").compact());
}
@SuppressWarnings("unused")
private static class UserLogin {
public String name;
public String password;
}
@SuppressWarnings("unused")
private static class LoginResponse {
public String token;
public LoginResponse(final String token) {
this.token = token;
}
}
}

    Bien sûr, nous avons où vous pouvez voir le filtre bean: 

    import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.boot.context.embedded.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
@EnableAutoConfiguration
@ComponentScan
@Configuration
public class WebApplication {
@Bean
public FilterRegistrationBean jwtFilter() {
final FilterRegistrationBean registrationBean = new FilterRegistrationBean();
registrationBean.setFilter(new JwtFilter());
registrationBean.addUrlPatterns("/api/*");
return registrationBean;
}
public static void main(final String[] args) throws Exception {
SpringApplication.run(WebApplication.class, args);
}
}

    Dernier mais non le moins, il est un exemple de contrôleur: 

    import io.jsonwebtoken.Claims;
import java.util.List;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("/api")
public class ApiController {
@SuppressWarnings("unchecked")
@RequestMapping(value = "role/{role}", method = RequestMethod.GET)
public Boolean login(@PathVariable final String role,
final HttpServletRequest request) throws ServletException {
final Claims claims = (Claims) request.getAttribute("claims");
return ((List<String>) claims.get("roles")).contains(role);
}
}

    Ici est un lien vers GitHub tous, grâce à nielsutrecht pour le grand travail que j'ai utilisé ce projet comme base de départ et il fonctionne parfaitement.

    InformationsquelleAutor Lazar Lazarov
  5. 2

    Vous pouvez également l'appliquer à l'aide d'un aspect avec une coupe transverse (pointcut) qui vise une certaine annotation. J'ai écrit une bibliothèque qui vous permet d'utiliser des annotations qui effectuent des vérifications d'autorisation basé sur un JWT jeton.

    Vous pouvez trouver le projet avec l'ensemble de la documentation sur: https://github.com/nille85/jwt-aspect. J'ai utilisé cette méthode plusieurs fois afin d'obtenir un REPOS Backend qui est consommée par une single page application.

    J'ai également documentée sur mon blog comment vous pouvez l'utiliser dans un Spring MVC de l'Application: http://www.nille.be/security/creating-authorization-server-using-jwts/

    Ce qui suit est un extrait de l'exemple de projet sur https://github.com/nille85/auth-server

    L'exemple en-dessous contient une méthode protégée getClient. L'annotation @Autoriser que l'aspect utilise vérifie si la valeur de la "aud jwt réclamation" correspond à la clientId paramètre qui est annoté avec @ClaimValue. Si elle correspond, la méthode peut être entré. Sinon une exception est levée.

    @RestController
@RequestMapping(path = "/clients")
public class ClientController {
private final ClientService clientService;
@Autowired
public ClientController(final ClientService clientService) {
this.clientService = clientService;
}
@Authorize("hasClaim('aud','#clientid')")
@RequestMapping(value = "/{clientid}", method = RequestMethod.GET, produces = "application/json")
@ResponseStatus(value = HttpStatus.OK)
public @ResponseBody Client getClient(@PathVariable(value = "clientid") @ClaimValue(value = "clientid") final String clientId) {
return clientService.getClient(clientId);
}
@RequestMapping(value = "", method = RequestMethod.GET, produces = "application/json")
@ResponseStatus(value = HttpStatus.OK)
public @ResponseBody List<Client> getClients() {
return clientService.getClients();
}
@RequestMapping(path = "", method = RequestMethod.POST, produces = "application/json")
@ResponseStatus(value = HttpStatus.OK)
public @ResponseBody Client registerClient(@RequestBody RegisterClientCommand command) {
return clientService.register(command);
}
}

    L'Aspect lui-même peut être configuré comme:

    @Bean
public JWTAspect jwtAspect() {
JWTAspect aspect = new JWTAspect(payloadService());
return aspect;
}

    La PayloadService ce qui est nécessaire peut par exemple être mis en œuvre comme:

    public class PayloadRequestService implements PayloadService {
private final JWTVerifier verifier;
public PayloadRequestService(final JWTVerifier verifier){
this.verifier = verifier;
}
@Override
public Payload verify() {
ServletRequestAttributes t = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
HttpServletRequest request = t.getRequest();
final String jwtValue = request.getHeader("X-AUTH");
JWT jwt = new JWT(jwtValue);
Payload payload =verifier.verify(jwt);
return payload;
}
}
    InformationsquelleAutor nille85
  6. 1

    Vous pouvez créer et configurer votre propre filtre en procédant comme suit.

    1) Créer votre classe par la mise en œuvre de l'interface de filtre et de redéfinir ses méthodes.

    public class MyFilter implements javax.servlet.Filter{
public void destroy(){}
public void doFilter(Request, Response, FilterChain){//do what you want to filter
}
........
}

    2) Maintenant configurer votre filtre dans web.xml

    <filter>
<filter-name>myFilter</filter-name>
<filter-class>MyFilter</filter-class>
</filter>

    3) Maintenant fournir l'url de la cartographie du filtre.

    <filter-mapping>
<filter-name>myFilter</filter-name>
<url-pattern>*</url-pattern>
</filter-mapping>

    4) Maintenant, redémarrez votre serveur et vérifiez que toutes les demande web viennent en premier à l'MyFilter, puis passez à l'respectives contrôleur.

    J'espère qu'il sera nécessaire de répondre.

    InformationsquelleAutor Web Clerisy
  7. 1

    Votre approche semble correct.

    Une fois que j'ai utilisé quelque chose de semblable à la suivante (Supprimé la plupart des lignes et gardé les choses simples).

    public class MvcDispatcherServletInitializer  extends AbstractAnnotationConfigDispatcherServletInitializer {
@Override
public void onStartup(ServletContext servletContext) throws ServletException {
super.onStartup(servletContext);
EnumSet<DispatcherType> dispatcherTypes = EnumSet.of(DispatcherType.REQUEST, DispatcherType.FORWARD, DispatcherType.ERROR);
FilterRegistration.Dynamic monitoringFilter = servletContext.addFilter("monitoringFilter", MonitoringFilter.class);
monitoringFilter.addMappingForUrlPatterns(dispatcherTypes, false, "/api/admin/*");
}
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[] { WebMvcConfig.class };
}
@Override
protected Class<?>[] getServletConfigClasses() {
return null;
}
@Override
protected String[] getServletMappings() {
return new String[] { "/" };
}
}

    Aussi vous avez besoin d'un filtre personnalisé ressemble à ci-dessous.

    public class CustomXHeaderFilter implements Filter {
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
String xHeader = request.getHeader("X-Auth-Token");
if(YOUR xHeader validation fails){
//Redirect to a view
//OR something similar
return;
}else{
//If the xHeader is OK, go through the chain as a proper request
chain.doFilter(request, response);
}
}
@Override
public void destroy() {
}
@Override
public void init(FilterConfig arg0) throws ServletException {
}
}

    Espère que cette aide.

    En outre, vous pouvez utiliser FilterRegistrationBean si vous le Printemps de Démarrage. Il fait la même chose (je crois) qui FilterRegistration.Dynamic n'.

    InformationsquelleAutor sura2k