背景,jHipster自动生成的springBoot和angularJs前后台端分离的项目。java后台为了取到当前登录者的信息,所以后台开放了

MicroserviceSecurityConfiguration.java 这个类的注解
//开放前

#@Configuration

#@EnableWebSecurity

#@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)

public class MicroserviceSecurityConfiguration extends WebSecurityConfigurerAdapter {

    private final TokenProvider tokenProvider;

    public MicroserviceSecurityConfiguration(TokenProvider tokenProvider) {

        this.tokenProvider = tokenProvider;

    }

    @Override

    public void configure(WebSecurity web) throws Exception {

        web.ignoring()

            .antMatchers(HttpMethod.OPTIONS, "/**")

            .antMatchers("/app/**/*.{js,html}")

            .antMatchers("/bower_components/**")

            .antMatchers("/i18n/**")

            .antMatchers("/content/**")

            .antMatchers("/swagger-ui/index.html")

            .antMatchers("/test/**")

            .antMatchers("/h2-console/**");

    }

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http

            .csrf()

            .disable()

            .headers()

            .frameOptions()

            .disable()

        .and()

            .sessionManagement()

            .sessionCreationPolicy(SessionCreationPolicy.STATELESS)

        .and()

            .authorizeRequests()

            .antMatchers("/api/**").authenticated()

            .antMatchers("/management/health").permitAll()

            .antMatchers("/management/**").hasAuthority(AuthoritiesConstants.ADMIN)

            .antMatchers("/swagger-resources/configuration/ui").permitAll()

        .and()

            .apply(securityConfigurerAdapter());

    }

    private JWTConfigurer securityConfigurerAdapter() {

        return new JWTConfigurer(tokenProvider);

    }

    @Bean

    public SecurityEvaluationContextExtension securityEvaluationContextExtension() {

        return new SecurityEvaluationContextExtension();

    }

}
//开放后

package com.famessoft.oplus.cac.config;

import com.famessoft.oplus.cac.security.AuthoritiesConstants;

import com.famessoft.oplus.cac.security.jwt.JWTConfigurer;

import com.famessoft.oplus.cac.security.jwt.TokenProvider;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.http.HttpMethod;

import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.builders.WebSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.config.http.SessionCreationPolicy;

import org.springframework.security.data.repository.query.SecurityEvaluationContextExtension;

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)

public class MicroserviceSecurityConfiguration extends WebSecurityConfigurerAdapter {

    private final TokenProvider tokenProvider;

    public MicroserviceSecurityConfiguration(TokenProvider tokenProvider) {//开放注解后,这里会报,could not autowire,no beans of 'TokenProvider' type found.不用管这个错,这个错不影响程运行

        this.tokenProvider = tokenProvider;

    }

    @Override

    public void configure(WebSecurity web) throws Exception {

        web.ignoring()

            .antMatchers(HttpMethod.OPTIONS, "/**")

            .antMatchers("/app/**/*.{js,html}")

            .antMatchers("/bower_components/**")

            .antMatchers("/i18n/**")

            .antMatchers("/content/**")

            .antMatchers("/swagger-ui/index.html")

            .antMatchers("/test/**")

            .antMatchers("/h2-console/**");

    }

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http

            .csrf()

            .disable()

            .headers()

            .frameOptions()

            .disable()

        .and()

            .sessionManagement()

            .sessionCreationPolicy(SessionCreationPolicy.STATELESS)

        .and()

            .authorizeRequests()

            .antMatchers("/api/**").authenticated()

            .antMatchers("/management/health").permitAll()

            .antMatchers("/management/**").hasAuthority(AuthoritiesConstants.ADMIN)

            .antMatchers("/swagger-resources/configuration/ui").permitAll()

        .and()

            .apply(securityConfigurerAdapter());

    }

    private JWTConfigurer securityConfigurerAdapter() {

        return new JWTConfigurer(tokenProvider);

    }

    @Bean

    public SecurityEvaluationContextExtension securityEvaluationContextExtension() {

        return new SecurityEvaluationContextExtension();

    }

}

然后使用

SecurityUtils.getCurrentUserLogin()获取系统当前登录者信息

我在本地测试没问题。但是打包放到生产就报下面这个错,很郁闷,找了一下午才找到原因

  c.f.o.cac.security.jwt.TokenProvider     : Invalid JWT signature.

原来是我生产的配置文件配的不对

application-dev.yml

jhipster:

    http:

        version: V_1_1 # To use HTTP/2 you will need SSL support (see above the "server.ssl" configuration)

    cache: # Cache configuration

        hazelcast: # Hazelcast distributed cache

            time-to-live-seconds: 3600

            backup-count: 1

    # CORS is disabled by default on microservices, as you should access them through a gateway.

    # If you want to enable it, please uncomment the configuration below.

    cors:

        allowed-origins: "*"

        allowed-methods: "*"

        allowed-headers: "*"

        # exposed-headers: "Authorization"

        # allow-credentials: true

        max-age: 1800

    security:

        authentication:

            jwt:

                secret: my-secret-token-to-change-in-production

                # Token is valid 24 hours

                token-validity-in-seconds: 86400

                token-validity-in-seconds-for-remember-me: 2592000

application-prod.yml

jhipster:

    http:

        version: V_1_1 # To use HTTP/2 you will need SSL support (see above the "server.ssl" configuration)

        cache: # Used by the CachingHttpHeadersFilter

            timeToLiveInDays: 1461

    cache: # Cache configuration

        hazelcast: # Hazelcast distributed cache

            time-to-live-seconds: 3600

            backup-count: 1

    # CORS is disabled by default on microservices, as you should access them through a gateway.

    # If you want to enable it, please uncomment the configuration below.

    cors:

        allowed-origins: "*"

        allowed-methods: "*"

        allowed-headers: "*"

        # exposed-headers: "Authorization"

        # allow-credentials: true

        max-age: 1800

    security:

        authentication:

            jwt:

                # secret: e2d66542649f38de03a5443a6bddd1ce18f0fe13          #####这是改之前的代码,后台不认识这串字符串,所以secret的命名前后最后一致(默认就是my-secret-token-to-change-in-production), 这里最后命名为字符常规可读的字符串,不需要加密
          secret: my-secret-token-to-change-in-production 
          # Token is valid 24 hours 
          token-validity-in-seconds: 86400 
          token-validity-in-seconds-for-remember-me: 2592000

Jhipster token签名异常——c.f.o.cac.security.jwt.TokenProvider : Invalid JWT signature.的更多相关文章

  1. Spring Cloud OAuth2.0 微服务中配置 Jwt Token 签名/验证

    关于 Jwt Token 的签名与安全性前面已经做了几篇介绍,在 IdentityServer4 中定义了 Jwt Token 与 Reference Token 两种验证方式(https://www ...

  2. ASP.NET WebApi 基于OAuth2.0实现Token签名认证

    一.课程介绍 明人不说暗话,跟着阿笨一起玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将是我们需要思考的问题.为了保护我们的WebApi数 ...

  3. ASP.NET WebApi 基于JWT实现Token签名认证

    一.前言 明人不说暗话,跟着阿笨一起玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NET WebServi ...

  4. ASP.NET WebApi 基于分布式Session方式实现Token签名认证

    一.课程介绍 明人不说暗话,跟着阿笨一起学玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NETWebSer ...

  5. ERROR org.hibernate.hql.internal.ast.ErrorCounter unexpected token: form 异常解决

    ERROR org.hibernate.hql.internal.ast.ErrorCounter unexpected token: form 异常解决 根据异常提示:我找了我的MySQL语句:果然 ...

  6. ASP.NET WebApi 基于分布式Session方式实现Token签名认证(发布版)

    一.课程介绍 明人不说暗话,跟着阿笨一起学玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NETWebSer ...

  7. 【转】App开放接口api安全性—Token签名sign的设计与实现

    前言 在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等, ...

  8. App开放接口api安全性—Token签名sign的设计与实现

    前言 在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等, ...

  9. App开放接口API安全性 — Token签名sign的设计与实现

    在app开放接口API的设计中,避免不了的就是安全性问题. 一.https协议 对于一些敏感的API接口,需要使用https协议. https是在http超文本传输协议加入SSL层,它在网络间通信是加 ...

随机推荐

  1. 基于canvas的原生JS时钟效果

    概述 运用html5新增画布canvas技术,绘制时钟效果,无需引用任何插件,纯js. 详细 代码下载:http://www.demodashi.com/demo/11935.html 给大家介绍一个 ...

  2. Android异步下载

    概述 实现App常见下载公共 支持通知栏显示 支持 暂停.取消功能,使用Service.AsyncTask实现异步下载.特点简单.实用.方便源码扩展修改 详细 代码下载:http://www.demo ...

  3. CallableStatement简单使用

    直接上存储过程.函数 --运行不带參数但带返回值的存储过程 CREATE OR REPLACE PROCEDURE proc_getUserCount(v_totalCount OUT NUMBER) ...

  4. python--标准库 时间与日期 (time, datetime包)

    Python具有良好的时间和日期管理功能.实际上,计算机只会维护一个挂钟时间(wall clock time),这个时间是从某个固定时间起点到现在的时间间隔.时间起点的选择与计算机相关,但一台计算机的 ...

  5. Python isdecimal() 方法

    描述 Python isdecimal() 方法检查字符串是否只包含十进制字符.这种方法只存在于unicode对象. 注意:定义一个十进制字符串,只需要在字符串前添加 'u' 前缀即可. 语法 isd ...

  6. STM32出现HardFault故障的解决方法

    https://wenku.baidu.com/view/a4a7499afad6195f312ba6d2.html https://wenku.baidu.com/view/085b6fbe5022 ...

  7. unity, 内置shader下载地址

    在unity的download页面上能找到Built in shaders的下载连接.

  8. Atitit.各种 数据类型 ( 树形结构,表形数据 ) 的结构与存储数据库 attilax 总结

    Atitit.各种  数据类型 ( 树形结构,表形数据  ) 的结构与存储数据库 attilax  总结 1. 数据结构( 树形结构,表形数据,对象结构 ) 1 2. 编程语言中对应的数据结构 jav ...

  9. 线程相关函数(2)-pthread_self()获取调用线程ID

    获取调用线程tid #include <pthread.h>pthread_t pthread_self(void); 示例: #include <pthread.h> #in ...

  10. JVM基础学习之类的加载、链接和初始化

    本文我们一起讨论Java类的加载.链接和初始化. Java字节代码的表现形式是字节数组(byte[]),而Java类在JVM中的表现形式是 java.lang.Class类 的对象.一个Java类从字 ...