SpringBoot 整合 Spring Security 、JWT 实现认证、权限控制

于 2024-08-05 16:39:00 发布
阅读量1k 收藏 19
点赞数 22
分类专栏: Spring Boot实战 文章标签: spring boot spring java 后端 mysql github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76419561/article/details/140930737
版权

 ​

博客主页:     南来_北往

系列专栏:Spring Boot实战

前言

Spring Security 和 JWT 实现认证、权限控制是一种在Web应用中保障安全的重要手段

Spring Security是一个功能强大的身份验证和访问控制框架,它提供了完善的认证机制和方法级的授权功能。JWT(JSON Web Token)则是一种基于Token的认证方案,用于在通信双方之间传递安全信息。将Spring Security与JWT整合,可以实现有效的认证和权限管理,提升系统的安全性。

Spring Security的核心是一系列过滤器链,不同的功能经由不同的过滤器实现。例如,UsernamePasswordAuthenticationFilter负责登录认证处理,而FilterSecurityInterceptor则用于权限授权判断。这些过滤器形成了一道安全屏障,确保只有经过身份验证的用户才能访问应用程序的特定部分。

JWT在这种体系结构中扮演了重要角色。它是一种简洁且URL安全的方式,用于传递声明性陈述。一个JWT实际上就是一个字符串,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部一般包含令牌的类型(例如JWT)和所使用的加密算法(如HMAC SHA256或RSA);载荷则包含了声明信息,例如用户ID、用户名和其他属性;签名则用于验证令牌的合法性,确保令牌在传输过程中未被篡改。

在生成JWT令牌时,可以使用对称加密(例如HMAC)或非对称加密(例如RSA)。对称加密使用相同的密钥进行加密和解密,而非对称加密则使用一对公钥和私钥。公钥加密的内容只能通过私钥解密,反之亦然。为了增加安全性,许多应用采用非对称加密算法,将公钥放在客户端,而将私钥保存在服务器端。

当用户成功登录后,服务器会生成一个JWT令牌并返回给客户端。客户端将该令牌存储在本地(例如浏览器的Local Storage),并在随后的请求中将其放在HTTP请求头的Authorization字段中发送给服务器。服务器接收到带有JWT的请求后,会通过一系列的过滤器来验证令牌的有效性。如果令牌有效且用户拥有相应的权限,请求将继续执行;否则,请求将被拒绝。

使用Spring Security和JWT进行认证及权限控制的优势在于其灵活性和扩展性。Spring Security提供了丰富的定制化选项,可以根据具体需求配置所需的过滤器和认证流程。同时,JWT的无状态特性使得系统易于扩展,特别是在微服务架构中,无需在不同服务间同步用户的会话信息。

综上所述,Spring Security结合JWT提供了一种高效且安全的认证和权限控制方案。通过理解其核心原理和正确配置相关组件,开发者可以构建出既安全又易维护的Web应用。

案例 

要在SpringBoot中整合Spring Security和JWT实现认证和权限控制,你需要按照以下步骤进行: 

1、在你的pom.xml文件中添加以下依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

 2、创建一个名为JwtUtil的工具类,用于生成和解析JWT令牌。

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;

public class JwtUtil {
    private static final String SECRET_KEY = "your_secret_key";
    private static final long EXPIRATION_TIME = 86400000L; // 1 day in milliseconds

    public static String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();
    }

    public static String getUsernameFromToken(String token) {
        Claims claims = Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
        return claims.getSubject();
    }

    public static boolean validateToken(String token) {
        try {
            Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token);
            return true;
        } catch (Exception e) {
            return false;
        }
    }
}

 3、创建一个实现UserDetailsService接口的类,用于加载用户信息。

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class CustomUserDetailsService implements UserDetailsService {
    // Load user from database or other data source
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // Implement your logic to load user details by username
        // For example, you can fetch user details from the database and return a UserDetails object
    }
}

4、创建一个名为SecurityConfig的配置类,继承WebSecurityConfigurerAdapter,并覆盖相应的方法。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private CustomUserDetailsService userDetailsService;

    @Autowired
    private JwtRequestFilter jwtRequestFilter;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/api/auth/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

5、创建一个名为JwtRequestFilter的过滤器类,继承OncePerRequestFilter,并覆盖doFilterInternal方法。

import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class JwtRequestFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        final String authorizationHeader = request.getHeader("Authorization");
        String username = null;
        String jwt = null;

        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            jwt = authorizationHeader.substring(7);
            username = JwtUtil.getUsernameFromToken(jwt);
        }

        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
            if (JwtUtil.validateToken(jwt)) {
                Authentication authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        }
        filterChain.doFilter(request, response);
    }
}

现在,你已经成功地在SpringBoot项目中整合了Spring Security和JWT,可以实现认证和权限控制。

Deh0rs
关注
  • 22
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot + spring security + jwt实现api权限控制
qq_35494808的博客
08-09 2万+
1、在pom.xml中添加securityjwt的相关依赖,并在启动类上添加注解@EnableWebSecurity <!-- 权限相关依赖(securityjwt)--> <dependency> <groupId>org.springframework.boot</groupId> ...
整合springbootSecurityJWT实现登录认证权限管理
rainlua的博客
01-31 882
1.组件简介 SpringSecurity SpringSecurity是一个强大的可高度定制的认证和授权框架,对于Spring应用来说它是一套Web安全标准。SpringSecurity注重于为Java应用提供认证和授权功能,像所有的Spring项目一样,它对自定义需求具有强大的扩展性。 JWT JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种...
SpringBoot+SpringSecurity整合实现了登录认证权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,请自行导入mysql中。 运行SpringBootMainClass启动后,请在地址栏访问http://ip:port,在页面中登录,成功后会跳转至下一个页面,此时需要后退到刚才的页面,点击各个超链接来试验用户的授权情况。未登录时点击任何链接都会跳回首页。 一共提供了4个用户: 1.admin:可以访问所有请求 2.user1:只能访问user1Call请求 3.user2:只能访问user2Call请求 4.user3:只能访问user3Call请求 具体代码配置逻辑和说明,详见代码的注释
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
SpringBoot+SpringSecurity+JWT整合实现单点登录SSO史上最全详解
程序员闪充宝
01-05 4449
作者:波波烤鸭blog.csdn.net/qq_38526573/article/details/103409430一、什么是单点登陆单点登录(Single Sign On),简称为 S...
SpringBoot项目使用SpringSecurityJWT实现登录功能
最新发布
viperd的博客
03-27 981
使用SrpingSecurityJWT实现登录校验功能
Spring Security学习笔记
Shawn的个人博客
05-09 2788
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
springboot整合securityjwt
08-05
springboot2.0整合securityjwt, 还整合了redis,与swagger-ui
SpringBoot2.7.X整合SpringSecurity+JWT(入门级简单易懂)
zyyxiaoxiao的博客
04-12 5010
SpringBoot2.7.9整合SpringSecurity+JWT、入门级简单易懂
springBoot整合spring security+JWT实现单点登录与权限管理前后端分离--筑基中期
qq_43788185的博客
09-05 1562
写在前面 在前一篇文章当中,我们介绍了springBoot整合spring security单体应用版,在这篇文章当中,我将介绍springBoot整合spring secury+JWT实现单点登录与权限管理。 本文涉及的权限管理模型是基于资源的动态权限管理。数据库设计的表有 user 、role、user_role、permission、role_permission。 单点登录当中,关于访问者信息的存储有多种解决方案。如将其以key-value的形式存储于redis数据库中,访问者令牌中存放key。校验
SpringBoot 集成 SpringSecurity+JWT
asksl的博客
11-29 4363
SpringBoot 集成 SpringSecurity+JWT
SpringBoot整合Spring Security + JWT实现用户认证
leveretz的博客
07-13 1686
SpringBoot整合Spring Security + JWT实现用户认证
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring Security与OAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring SecurityJWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
SpringBoot整合SpringSecurity实现JWT认证
热门推荐
我的博客
03-30 3万+
前言 微服务架构,前后端分离目前已成为互联网项目开发的业界标准,其核心思想就是前端(APP、小程序、H5页面等)通过调用后端的API接口,提交及返回JSON数据进行交互。 在前后端分离项目中,首先要解决的就是登录及授权的问题。微服务架构下,传统的session认证限制了应用的扩展能力,无状态的JWT认证方法应运而生,该认证机制特别适用于分布式站点的单点登录(SSO)场景 目录 该文会通过创建...
SpringBoot框架篇】16.security整合jwt实现对前后端分离的项目进行权限认证
皓亮君的博客
08-01 4744
使用Spring Security+JWT实现对前后端分离的项目进行权限认证
JWT及和Spring Security整合
如果你想拥有更多的人生选择,你必须拥有更多的知识。-- 来自u011437883的博客
05-03 2722
JWT,全称是Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权: 解析jwt的官网:https://jwt.io/
springboot+springsecurity的基础上+JWT(私钥加密,公钥解密)
furenqiang的博客
12-23 3440
一、已经完成了springboot+springsecurity的工作若没完成,请移步 security的使用:三个工具类 ,放在项目专门存放工具类的包下面 (1)、jwtUtils.java: JWT生成TOKEN package com.aliyun.vuelogin.util; import com.aliyun.vuelogin.common.Payload; import io.js...
springboot整合springsecurity + jwt
10-13
实现Spring Boot整合Spring SecurityJWT,需要进行以下步骤: 1. 添加Spring SecurityJWT的依赖 2. 创建一个实现UserDetailsService接口的类,用于从数据库或其他数据源中获取用户信息 3. 创建一个JwtTokenUtil类,用于生成和验证JWT token 4. 创建一个JwtAuthenticationFilter类,用于拦截请求并验证token 5. 配置Spring Security,包括禁用CSRF保护、配置登录和注销等 6. 在Controller中添加需要进行权限控制的接口,并使用@PreAuthorize注解进行权限控制
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值