Spring Security 登录 、登出、动态刷新JWT

于 2024-08-12 11:50:04 发布
阅读量396 收藏 7
点赞数 5
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80389811/article/details/141127561
版权

根据需要引入必要的依赖

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.12.3</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

建表

这里大家自由发挥,只要有用户名和密码即可。

INSERT INTO study.tb_user VALUES (1, 'Lebron', '$2a$10$IOBCJNs4S3GeQKh/lARzBO.ed6up6GrEufxB.KYzG2VMxd.oaoYPm', '山羊', 1);
INSERT INTO study.tb_user VALUES (2, 'Stephen', '$2a$10$D5A6eBhX3RZLHjH5uxxOO.baVrrZ88MKzrquO19iNk4qTozCEb/yi', '库日天', 1);
INSERT INTO study.tb_user VALUES (3, 'Kevin', '$2a$10$BcfPaEioGF2i1FbuPo2DCOZ33KcqXG9OyVLvkgU5HoMqahWc9os9K', '包工头', 1);

其中密码使用BCryptPasswordEncoder加密,并手动插入数据库。

    @Test
    void testGenerate(){
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        String Jpassword = "James";
        String Cpassword = "Curry";
        String Dpassword = "Durant";

        String encodedJPassword = encoder.encode(Jpassword);
        String encodedCPassword = encoder.encode(Cpassword);
        String encodedDPassword = encoder.encode(Dpassword);

        System.out.println("James: " + encodedJPassword);//$2a$10$IOBCJNs4S3GeQKh/lARzBO.ed6up6GrEufxB.KYzG2VMxd.oaoYPm
        System.out.println("Curry: " + encodedCPassword);//$2a$10$D5A6eBhX3RZLHjH5uxxOO.baVrrZ88MKzrquO19iNk4qTozCEb/yi
        System.out.println("Durant: " + encodedDPassword);//$2a$10$BcfPaEioGF2i1FbuPo2DCOZ33KcqXG9OyVLvkgU5HoMqahWc9os9K
    }

SpringSecurity配置

package com.example.mzhusecurity.config;

import com.example.mzhusecurity.filter.JwtRequestFilter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.Customizer;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
public class SecurityConfiguration {
    @Autowired
    private JwtRequestFilter jwtRequestFilter;
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // 禁用csrf
        http.csrf(AbstractHttpConfigurer::disable);
        // 禁用session会话
        http.sessionManagement(session -> session
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS));
        // 所有请求都需要认证,认证方式:httpBasic
        http.authorizeHttpRequests((auth) -> {
            auth.requestMatchers("/auth/login","/auth/refresh","/register").permitAll() // 登录接口放行, 不然会被拦截
            .anyRequest().authenticated();
        }).httpBasic(Customizer.withDefaults());
        // 在 UsernamePasswordAuthenticationFilter 之前添加 JwtRequestFilter
        http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
        return http.build();
    }
}

redis配置

package com.example.mzhusecurity.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.serializer.GenericJackson2JsonRedisSerializer;
import org.springframework.data.redis.serializer.StringRedisSerializer;

@Configuration
public class RedisConfig {
    @Bean
    public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory connectionFactory) {
        RedisTemplate<String, Object> template = new RedisTemplate<>();
        template.setConnectionFactory(connectionFactory);
        template.setKeySerializer(new StringRedisSerializer());
        template.setValueSerializer(new GenericJackson2JsonRedisSerializer());
        return template;
    }
}

JWT工具类和JwtRequestFilter

JWT工具类主要用来生成和验证token,登出后的token失效会被放入黑名单中,黑名单用redis存放

package com.example.mzhusecurity.util;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.JwsHeader;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.security.Keys;
import io.jsonwebtoken.security.SecureDigestAlgorithm;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;

import javax.crypto.SecretKey;
import java.time.Instant;
import java.util.Date;
import java.util.UUID;


@Component
public class JwtUtil {

    private static final int ACCESS_EXPIRE = 600; // 10 minutes
    private static final int REFRESH_EXPIRE = 3600; // 1 hour

    private final static SecureDigestAlgorithm<SecretKey, SecretKey> ALGORITHM = Jwts.SIG.HS256;
    /**
     * at least 32 bits, randomly generated, with no regular pattern
     */
    private final static String SECRET = "K7GVa4n1dJ+3eMZ4VJGds0sFI/gQ9K5J3k3PZ3eW5iU=";

    public static final SecretKey KEY = Keys.hmacShaKeyFor(SECRET.getBytes());

    public final static String JWT_ISS = "mzhu";

    public final static String SUBJECT = "noSubject";
    /**
    * store tokens added to black list because of logging out
    */
    @Autowired
    private RedisTemplate<String, Object> redisTemplate;

    public String generateAccessToken(String username) {
        return generateJWT(username, ACCESS_EXPIRE);
    }

    public String generateRefreshToken(String username) {
        return generateJWT(username, REFRESH_EXPIRE);
    }

    public static String generateJWT(String username, int expireTime) {
        String uuid = UUID.randomUUID().toString();
        Date exprireDate = Date.from(Instant.now().plusSeconds(expireTime));

        return Jwts.builder()
                .header()
                .add("typ", "JWT")
                .add("alg", "HS256")
                .and()
                .claim("username", username)
                .id(uuid)
                .expiration(exprireDate)
                .issuedAt(new Date())
                .subject(SUBJECT)
                .issuer(JWT_ISS)
                .signWith(KEY, ALGORITHM)
                .compact();
    }

    public static Jws<Claims> parseClaim(String token) {
        return Jwts.parser()
                .verifyWith(KEY)
                .build()
                .parseSignedClaims(token);
    }

    public static JwsHeader parseHeader(String token) {
        return parseClaim(token).getHeader();
    }

    public static Claims parsePayload(String token) {
        return parseClaim(token).getPayload();
    }

    public static boolean validateToken(String token) {
        try {
            parseClaim(token);
            return true;
        } catch (Exception e) {
            return false;
        }
    }

    public boolean addToBlackList(String token) {
        redisTemplate.opsForValue().set(token, "blacklist");
        return true;
    }

    public boolean isBlackList(String token) {
        //这里为了方便只判断了是否为空因为当前redis村的只有blacklist token,后续如果redis存了其他还要再判断是不是"blacklist"
        return redisTemplate.opsForValue().get(token) != null;
    }
}

JwtRequestFilter作为过滤链中的一环,从请求头中提取jwt进行解析并验证访问时间是否有效或者是否存在于黑名单。

package com.example.mzhusecurity.filter;

import com.example.mzhusecurity.util.JwtUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import java.io.IOException;
import java.util.ArrayList;

@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    protected void doFilterInternal(jakarta.servlet.http.HttpServletRequest request, jakarta.servlet.http.HttpServletResponse response, jakarta.servlet.FilterChain filterChain) throws jakarta.servlet.ServletException, IOException {
        final String requestTokenHeader = request.getHeader("Authorization");

        String username = null;
        String jwtToken = null;
        boolean blackflag = false;

        // JWT Token is in the form "Bearer token". Remove Bearer word and get only the Token
        if (requestTokenHeader != null && requestTokenHeader.startsWith("Bearer ")) {
            jwtToken = requestTokenHeader.substring(7);
            // check if the token is in black list, i.e. it has been added to the black list when logging out
            if (jwtUtil.isBlackList(jwtToken)) {
                System.out.println("The token has expired. JWT Token is in black list");
                blackflag = true;
            }
            // Parse the JWT Token
            try {
                username = jwtUtil.parsePayload(jwtToken).get("username", String.class);
            } catch (Exception e) {
                System.out.println("Unable to get JWT Token or JWT Token has expired");
            }
        } else {
            logger.warn("JWT Token does not begin with Bearer String");
        }

        // Once we get the token validate it.
        if (!blackflag && username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            if (jwtUtil.validateToken(jwtToken)) {
                // If the token is valid configure Spring Security to manually set authentication
                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
                        username, null, new ArrayList<>());
                usernamePasswordAuthenticationToken
                        .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        filterChain.doFilter(request, response);
    }
}

验证过程

package com.example.mzhusecurity.security;

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

import org.springframework.stereotype.Component;

@Component
@Slf4j
public class UserAuthenticationProvider implements AuthenticationProvider {
    @Autowired
    private UserDetailsService userService;
    
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        // 从Authentication 对象中获取用户名和密码
        String username = authentication.getName();
        String password = authentication.getCredentials().toString();
        System.out.println(username + "---" + password);
        //根据用户名从数据库中加载出来对应user,这里不做过多演示
        UserDetails user = userService.loadUserByUsername(username);
        //随机的盐值不一样,加密后的密码也会有不同,但是同一个hash值所以能成功匹配
        System.out.println("db password: " + user.getPassword());
        System.out.println("encoded password: " + this.passwordEncoder().encode(password));

        if (this.passwordEncoder().matches(password, user.getPassword())) {
            System.out.println("Access Success: " + user);
            return new UsernamePasswordAuthenticationToken(username, password, user.getAuthorities());
        } else {
            System.out.println("Access Denied: The username or password is wrong!");
            throw new BadCredentialsException("The username or password is wrong!");
        }
    }
    @Override
    public boolean supports(Class<?> authentication) {
        return authentication.equals(UsernamePasswordAuthenticationToken.class);
    }
}

测试接口

验证接口

package com.example.mzhusecurity.controller;

import com.example.mzhusecurity.common.CommonResult;
import com.example.mzhusecurity.controller.vo.RefreshRequestVO;
import com.example.mzhusecurity.controller.vo.TokenResponseVO;
import com.example.mzhusecurity.security.UserAuthenticationProvider;
import com.example.mzhusecurity.util.JwtUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.web.bind.annotation.*;
import com.example.mzhusecurity.controller.vo.AuthRequestVO;

@RestController
@RequestMapping("/auth")
public class AuthController {
    @Autowired
    private UserAuthenticationProvider userAuthenticationProvider;
    @Autowired
    private JwtUtil jwtUtil;
    @PostMapping("/login")
    public CommonResult<TokenResponseVO> createToken(@RequestBody AuthRequestVO authRequestVO) throws Exception {
        try {
            System.out.println(authRequestVO.getUsername() + ": " + authRequestVO.getPassword());
            Authentication authentication = userAuthenticationProvider.authenticate(
                    new UsernamePasswordAuthenticationToken(authRequestVO.getUsername(), authRequestVO.getPassword()));
            System.out.println(authentication);
        } catch (AuthenticationException e) {
            throw new Exception("Invalid username or password");
        }
        String accessToken = jwtUtil.generateAccessToken(authRequestVO.getUsername());
        String refreshToken = jwtUtil.generateRefreshToken(authRequestVO.getUsername());

        TokenResponseVO tokenResponse = new TokenResponseVO(accessToken, refreshToken);
        return CommonResult.success(tokenResponse, "Login successful");
    }
    @PostMapping("/refresh")
    public CommonResult<TokenResponseVO> refreshToken(@RequestBody RefreshRequestVO refreshRequestVO) throws Exception {
        String refreshToken = refreshRequestVO.getRefreshToken();
        if (jwtUtil.validateToken(refreshToken)) {
            String username = jwtUtil.parsePayload(refreshToken).get("username", String.class);
            String newAccessToken = jwtUtil.generateAccessToken(username);
            TokenResponseVO tokenResponse = new TokenResponseVO(newAccessToken, refreshToken);
            return CommonResult.success(tokenResponse, "Token refreshed successfully");
        } else {
            return CommonResult.failed("Invalid refresh token");
        }
    }
    @PostMapping("/logout")
    public CommonResult<Void> logout(@RequestHeader("Authorization") String token) {
        if (token != null && token.startsWith("Bearer ")) {
            String jwtToken = token.substring(7);
            jwtUtil.addToBlackList(jwtToken);
            return CommonResult.success(null, "Logout successful");
        }
        return CommonResult.failed("Invalid token");
    }
}

页面接口测试

@RestController
public class PageController {
    @GetMapping("/somePage")
    public String index(){
        return "Welcome to the page, you are authorized to access";
    }
}

最终效果

登录请求设置参数username和password

在这里插入图片描述

通过上图accessToken访问PageController中的接口,可以看到访问成功

在这里插入图片描述

如果过了有效时间(设置的是十分钟),但没到refresh token过期的时间(设置的是一小时),可以通过refresh token请求新的access token

在这里插入图片描述
在这里插入图片描述

logout 后token就失效了

在这里插入图片描述
在这里插入图片描述

2302_80389811
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【第八篇】SpringSecurity基于JWT实现Token
筱白爱学习!的博客
06-14 637
SpringBoot项目中基于SpringSecurity作为认证授权框架的情况下如何整合JWT来实现Token的处理
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 7803
SpringsecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
Spring Security+redis+jwt的简单使用(登入登出及token验证)
weixin_65247941的博客
09-22 2036
​ 自定义的登入接口放行@Autowired//创建BCryptPasswordEncoder 注入容器@Bean //注入IOC容器@Overridehttp//关闭csrf//不通过Session获取SecurityContext.and()// 对于登录接口 允许匿名访问// 除上面外的所有请求全部需要鉴权认证//把token校验过滤器添加到过滤器链中http@Override@Bean//用户认证后的封装@Autowired。
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JWT登出
一边工作一边考研
10-22 3318
场景: 用户在登录系统后,想要登出这个系统; JWT有一个过期时间, 但是token还没有失效,应该怎么实现JWT登出呢? 使用zuul+redis的方案来实现 第三方应用向网关发送请求获取token 网关把请求发送给授权服务器 授权服务器把token发给zuul zuul把token发送给第三方应用,并且把token存放在redis中 第三方应用再次访问资源服务器,此次携带了token,...
JWT登出问题
Leon_Jinhai_Sun的博客
05-31 1185
Jwt 使用起来不难,而且让我们将“无状态”的概念更贴切的展示出来了,但是实践就真的这么完美吗?不是,因为jwt登出问题。 何为登出:就是用户自己点击登出后,或用户的角色/权限改变后,该token 仍然是有效的。你可以选择在前端清除该token,但是,如果用户是有技术背景的黑客呢?之前的token他保存一边,在没有过期(时间过期)时,他仍然可以使用该token。 解决方案: 登出怎么做?聪明的你是否有答案吗? 就是删除该用户存储在redis 里面登录的token 数据,so easy 。
SpringSecurity结合JwtToken验证(后端部分)
jakelihua
08-31 332
简介:本文在SpringSecurity基础公共之上,整合JwtToken功能,本文是后端部分。项目代码地址:https://gitee.com/geek-li-hua/code-in-blog.git。
11.SpringSecurity基于JWT实现Token的处理
飘然渡沧海的博客
03-06 1075
SpringSecurity基于JWT实现Token的处理
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring SecurityJWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
SpringSecurityJWT实现token认证和授权.zip
08-09
在这个主题中,我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证和授权。 JWT 是一种轻量级的、安全的、无状态的身份验证机制,常用于API的鉴权。它通过在客户端和服务器之间传递令牌...
Spring boot+Spring security+JWT实现前后端分离登录认证及权限控制
m0_54849806的博客
08-02 5929
基本上没讲什么底层实现,这篇是使用篇,后续会出SpringSecurity的底层源码讲解,并且如果本帖有问题的有疑问的读者可以在评论区留言,本人会积极处理。您的支持是我最大的动力,本人一直在努力的更新各种框架的使用和框架的源码解读~!先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。httpshttpshttps。...
jwt实现oauth2.0 java_SpringSecurity实现OAuth2+JWT
weixin_28696185的博客
02-17 319
一、基本概念1.1 认证方式1.1.1 基于session方式认证他的流程是:用户认证成功后,服务端生成相应的用户数据保存在session中,发给客户端的session_id保存在cookie中。这样用户请求时只要带上session_id就可以验证服务端是否存在session,以此完成用户的校验。当用户退出系统或session过期时,客户端的session_id也就无效了。1.1.2 基于toke...
Jwt登录退出
10000guo的博客
06-09 1385
【代码】Jwt登录退出。
关于Spring SecurityJWT(JSON Web Token)
m0_56277423的博客
05-30 326
Spring SecurityJWT(JSON Web Token)可以很好地结合在一起,实现基于令牌的身份验证和权限校验。
Springboot集成JWT实现登录注册的示例代码
最新发布
chinaherolts2008的博客
08-11 11
到此这篇关于Springboot集成JWT实现登录注册的示例代码的文章就介绍到这了,更多相关Springboot JWT登录注册内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持。本文主要介绍了Springboot集成JWT实现登录注册的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。记录一下使用Springboot集成JWT实现登录注册,以后有用到直接copy即可。
JWT 的退出登录方法
热门推荐
纠缠AI的亮子
10-29 1万+
JWT 登录之后,服务器发放 token。在到期时间之前,token 一直有效,那么如何才能实现用户登出(让 token 失效)? 黑名单校验 凡是退出登录的token都放入黑名单中,定期清理。 每次用户请求服务器都校验token是否在黑名单 版本号校验 访问时从token中取出版本号和用户id 和 redis中存储 用户id和版本号 做对比,不一致则不给访问。 用户登出的时候在redis中把用户版本号加一。 过期时间校验 登录时token附带创建时间。访问时校验redis存储的过期时间,如果创建时间大于过
SpringSecurity】十二、集成JWT搭配Redis实现退出登录
llg___的博客
09-03 1939
因为JWT的无状态,服务端无法在使用过程中主动废止某个 token,或者更改 token 的权限。也就是说,目前,一旦 JWT 签发了,就只能等它到过期时间才能作废,即使用户已经退出登录。③ 用户每次访问时,先校验jwt是否合法,如果合法再从redis里面取出logintoken:jwt判断这个jwt还存不存在,如果不存在就说是用户已经退出登录了。注意过期时间和jwt的过期时间保持一致,jwt过期时间可查看下创建jwt时的withExpiresAt方法。,key的过期时间和token自身过期时间一致。
Spring Boot Security JWT 项目教程
gitblog_00104的博客
08-10 378
Spring Boot Security JWT 项目教程 springboot-security-jwtToken-based authentication using Spring Boot and JWT.项目地址:https://gitcode.com/gh_mirrors/sp/springboot-security-jwt 项目介绍 Spring Boot Security JWT ...
写一个springsecurity整合jwt的权限管理认证
03-29
很抱歉,作为AI语言模型,我无法提供实际的编程代码。但我可以为你提供一个基本的Spring Security整合JWT的权限管理认证的思路: 1. 添加依赖:在pom.xml文件中添加Spring SecurityJWT的依赖。 2. 配置Spring Security:创建一个配置类,实现WebSecurityConfigurerAdapter,并覆盖configure()方法。在该方法中,配置Spring Security的行为和规则,如认证方式、授权规则、登录登出等。 3. 创建JWT工具类:实现JWT的生成、解析、验证等功能。在生成JWT时,可以将用户信息、角色、权限等信息加入到JWT中。 4. 在登录成功后,生成JWT并返回给客户端:在Spring Security登录认证成功后,使用JWT工具类生成JWT,并将JWT返回给客户端。 5. 在客户端请求时,携带JWT:客户端在每次请求时,需要将JWT携带在请求头中。可以在前端通过localStorage或cookie保存JWT。 6. 配置JWT过滤器:在Spring Security的配置类中,添加一个JWT过滤器,用于验证请求中的JWT,并将用户信息、角色、权限等信息加入到Spring Security的上下文中。 7. 配置权限控制:在Spring Security的配置类中,配置URL的访问规则和权限控制。可以使用注解或XML配置。 8. 在业务逻辑中使用权限注解:在业务逻辑代码中,可以使用Spring Security提供的注解进行权限控制,如@PreAuthorize、@PostAuthorize等。 9. 配置登出:在Spring Security的配置类中,配置登出行为,包括清除Session、清除Cookie、重定向等操作。 以上是一个基本的Spring Security整合JWT的权限管理认证的思路,具体实现可以根据项目需求进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值