Spring Security采用JWT验证时filter异常处理和JWT续期问题

问题描述

security+jwt进行身份认证授权时,在登录前通常增加一个jwtfilter进行jwt验证,filter中的异常并不会被全局异常捕获,导致返回数据格式与统一格式不对

具体描述为: jwtfilter中对分发的token进行验证时抛出的异常捕获统一返回

问题出现原因

通常的filter时java web提供,并不被spring接管

解决方案 将异常抛给controller

JWTFilter中处理异常并跳转到异常处理控制器,再由控制器抛出异常,最终被全局异常捕获,统一返回格式

jwt验证时通常会抛出4中异常

  • ExpiredJwtException token过期时抛出
  • MalformedJwtException token的格式错误,即token被篡改
  • SignatureException token签名错误,生成 token 和解析 token 使用的 SECRET 签名不一致就会报这个错误
  • UnsupportedJwtException jwt不支持

在进行jwt验证时捕获这4种异常,再处理异常信息抛给controller处理

具体步骤

1 在JwtAuthenticationTokenFilter extends OncePerRequestFilter 中
try {
                Claims claims = JwtUtil.parseJWT(token);
}catch (ExpiredJwtException exception){
                log.error("身份验证过期"+exception);
                request.setAttribute("jwtFilter.error",new BaseException("身份验证过期"));
                request.getRequestDispatcher("/error/jwtFilter").forward(request,response);
}catch (MalformedJwtException exception){
                log.error("JWT Token格式不对"+exception);
                request.setAttribute("jwtFilter.error",new BaseException("JWT Token格式不对"));
                request.getRequestDispatcher("/error/jwtFilter").forward(request,response);
}catch (SignatureException exception){
                //生成 token 和解析 token 使用的 SECRET 签名不一致就会报这个错误
                log.error("JWT 签名错误"+exception);
                request.setAttribute("jwtFilter.error",new BaseException("JWT 签名错误"));
                request.getRequestDispatcher("/error/jwtFilter").forward(request,response);
}catch (UnsupportedJwtException exception){
                log.error("不支持的 Jwt "+exception);
                request.setAttribute("jwtFilter.error",new BaseException("不支持的 Jwt"));
                request.getRequestDispatcher("/error/jwtFilter").forward(request,response);
}catch (Exception e) {
                log.error("jwt验证:"+e);
                request.setAttribute("jwtFilter.error",new BaseException("JWT 验证失败"));
                request.getRequestDispatcher("/error/jwtFilter").forward(request,response);
          
}
2 FilterExceptionController 中 最终被抛出,会被全局异常处理器处理返回统一的数据格式
    @RequestMapping("/error/jwtFilter")
    public void jwtFilterException(HttpServletRequest reques){
        log.warn("jwt controller ");
        Exception e = (Exception) reques.getAttribute("jwtFilter.error");
        log.warn(e.getMessage());
        throw e;
    }

其他相关

security在认证授权时抛出的异常

认证时 重写 AuthenticationEntryPoint

授权时 重写 AccessDeniedHandler

@Component
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json");
        httpServletResponse.getWriter().println(JSON.toJSON(BaseResponse.fail("1005",e.getMessage())));
        httpServletResponse.getWriter().flush();
    }
}



@Component
public class CustomAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json");
        httpServletResponse.getWriter().println(JSON.toJSON(BaseResponse.fail("1004",e.getMessage())));
        httpServletResponse.getWriter().flush();
    }
}

在security配置中加入

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)//EnableGlobalMethodSecurity开启全局方法级别授权控制,prePostEnabled在执行方法前进行授权
public class SecurityConfig  extends WebSecurityConfigurerAdapter {
     @Override
    protected void configure(HttpSecurity http) throws Exception {
      //认证失败时的提示返回自定义信息
        http.exceptionHandling()
                .accessDeniedHandler(customAccessDeniedHandler)
                .authenticationEntryPoint(customAuthenticationEntryPoint);


    }
}

JWT续期问题

当jwt token快过期时,可以选择不续期,那么过期后需要用户重新登录再次下发token

续期方案

1 每次请求时续期 【完全不考虑】

即每次请求都重新下发新的token

缺点:下发频率太高,影响性能

2 快过期时续期【可以考虑】

比如30分钟过期时间,当还剩10分钟以内时请求过来进行续期

缺点:

        a. 泄露后容易导致token一直活跃

        b. 且如果是并发请求,容易导致下发多个token        

关于该方案泄露的补丁

可以在token中添加ip或者地域等信息【这些信息应该被加密】,一旦改变ip或者地域就需要重新登录

但是这样如果客户经常更换ip,就需要频繁登录,体验感会不好;可以让用户选择安全模式,如果选择安全模式就需要这样

3 双token【可以考虑】

登录时一次下发两个token

token1用于用户认证,过期时间设置短些,比如1个小时

token2用于续期,过期时间可以设置长些,比如1天

token2的key可以根据自己的习惯设置,可以设置一为无相关性的key,这样能在一定程度上混淆

过程:

登录请求返回 token1、token2和token1的过期时间

前端判断,当token1快过期了,携带token2请求

后端根据token2重新续期token1

缺点:

        前端每次请求都需要先判断token1是否快过期

你可能感兴趣的:(其它,spring,java)