Spring Security的搭建(整合JWT)

最新推荐文章于 2024-04-22 10:14:07 发布
最新推荐文章于 2024-04-22 10:14:07 发布
阅读量348 收藏 1
点赞数 1
分类专栏: SpringSecurity 文章标签: spring java json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C_r_ush/article/details/128339095
版权

Spring Security的搭建

文章目录

一. 认证

1.1 引入依赖

<!--springboot整合security坐标-->
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>

1.2 创建一个service类 实现UserDetailsService接口

重写loadUserByUsername(String account)方法

@Service
public class SecurityLoginService implements UserDetailsService {

    @Autowired(required = false)
    private PasswordEncoder passwordEncoder;

    @Autowired(required = false)
    private UserDao userDao;

    /**
     * 根据页面传过来的account 去数据库查询该账号信息,放到security提供的user对象中
     * @param account 账号
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String account) throws UsernameNotFoundException {
        Users users = userDao.queryUserInfoAndAuths(account);
        if (users!=null){
            String auths = String.join(",", users.getAuth());
            return new User(users.getAccount(),passwordEncoder.encode(users.getPassword()),
                    AuthorityUtils.commaSeparatedStringToAuthorityList(auths));
        }else{
            throw new UsernameNotFoundException("用户名和密码错误!");
        }

    }
}

1.3 创建一个config类 继承WebSecurityConfigurerAdapter

重写configure(AuthenticationManagerBuilder auth)方法

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private SecurityLoginService securityLoginService;

    @Bean
    public PasswordEncoder getPassword(){
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(securityLoginService).passwordEncoder(getPassword());
    }
}

二. 认证(自定义登录页面,非前后端分离项目用)

2.1 在SecurityConfig中重写configure(HttpSecurity http)方法

@Override
    protected void configure(HttpSecurity http) throws Exception {
        //告诉security使用自定义登录页面
        http.formLogin()
                .loginPage("/login.html") //指定用户登录页面地址
                .loginProcessingUrl("/doLogin") //表单提交地址,对应表单Action属性
                .permitAll();//除了上面配置的地址,其他请求都会被拦截

        http.authorizeRequests()
                .anyRequest().authenticated();//所有请求都被拦截

        http.csrf().disable();//关闭跨站脚本攻击
    }

三. 配置处理类

3.1 登录成功返回处理类

package com.woniu.handler;

import com.alibaba.fastjson.JSON;
import com.woniu.util.ResponseResult;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * 前后端分离的项目情况下,登录成功后返回的不再是一个页面,而是一个json
 * 处理用户登录成功后返回给前端的数据:比如用户名等信息
 */
@Component
public class LoginSuccessHandler implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        //设置字符集
        httpServletResponse.setContentType("application/json;charset=utf-8");
        PrintWriter pw = httpServletResponse.getWriter();

        String json = JSON.toJSONString(ResponseResult.SECCUSS);

        pw.print(json);
        pw.flush();
        pw.close();

    }
}

3.2 登录失败返回处理类

package com.woniu.handler;

import com.alibaba.fastjson.JSON;
import com.woniu.util.ResponseResult;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * 登录失败后返回给前端的提示信息
 */
public class LoginFailHandler implements AuthenticationFailureHandler
{
    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        httpServletResponse.setContentType("application/json;charset=utf-8");
        PrintWriter pw = httpServletResponse.getWriter();

        String json = JSON.toJSONString(ResponseResult.FAIL);

        pw.print(json);
        pw.flush();
        pw.close();
    }
}

3.3 拦截没有权限访问该资源的操作

package com.woniu.handler;

import com.alibaba.fastjson.JSON;
import com.woniu.util.ResponseResult;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * 虽然知道用户名密码
 * 拦截没有权限访问该资源的操作
 */
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.setContentType("application/json;charset=utf-8");
        PrintWriter pw = httpServletResponse.getWriter();

        String json = JSON.toJSONString(ResponseResult.NOAUTH);

        pw.print(json);
        pw.flush();
        pw.close();
    }
}

3.4用户未登录直接访问系统资源

package com.woniu.handler;

import com.alibaba.fastjson.JSON;
import com.woniu.util.ResponseResult;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * 前后端分离
 * 用户未登录直接访问系统资源
 * 会被该类拦截
 */
public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        httpServletResponse.setContentType("application/json;charset=utf-8");
        PrintWriter pw = httpServletResponse.getWriter();

        String json = JSON.toJSONString(ResponseResult.NOLOGIN);

        pw.print(json);
        pw.flush();
        pw.close();
    }
}

3.5 用户退出处理

package com.woniu.handler;

import com.alibaba.fastjson.JSON;
import com.woniu.util.ResponseResult;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * 用户退出
 */
public class MyLogoutSuccessHandler implements LogoutSuccessHandler {
    @Override
    public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        httpServletResponse.setContentType("application/json;charset=utf-8");
        PrintWriter pw = httpServletResponse.getWriter();

        String json = JSON.toJSONString(ResponseResult.LOGOUT);

        pw.print(json);
        pw.flush();
        pw.close();
    }
}

四. 整合JWT

4.1 导入JWT依赖和Redis依赖

<!--JWT依赖-->
<dependency>
	<groupId>com.nimbusds</groupId>
	<artifactId>nimbus-jose-jwt</artifactId>
	<version>9.11.1</version>
</dependency>
<!--redis依赖-->
		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <!-- 使用 lettuce 时要加这个包;使用 jedis 时则不需要。-->
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-pool2</artifactId>
        </dependency>

4.2 导入JWT工具类

package com.woniu.util;

import com.nimbusds.jose.*;
import com.nimbusds.jose.crypto.MACSigner;
import com.nimbusds.jose.crypto.MACVerifier;

import java.util.HashMap;
import java.util.Map;

/**
 * 生成JWT工具类
 * 1: 创建jwt
 * 2: 校验jwt是否合法
 * 3: 返回载荷部分
 */
public class JWTUtil {

    private static final String KEY="lfasdkjafjlfjdslafjaslfjsaflsjflsjlasjfljlasfjlsfjlsl";

    public static String createJWT(String username) throws Exception {
        /**
         * 第一部分:头部
         */
        //创建JWT的头部
        JWSHeader jwsHeader = new JWSHeader.Builder(JWSAlgorithm.HS256)
                .type(JOSEObjectType.JWT).build();

        /**
         * 第二部分: 搭载用户信息的地方
         */
        Map map=new HashMap();
        map.put("username",username);
        Payload payload=new Payload(map);

        /**
         * 第三个部分:
         */
        //1.先把头部和载荷加到一起
        JWSObject jwsObject=new JWSObject(jwsHeader,payload);
        //2.创建一个密钥放到JWSSigner中去
        JWSSigner jwsSigner=new MACSigner(KEY);
        //3.根据密钥把jwsObject加密
        jwsObject.sign(jwsSigner);
        //4.把jwt序列化成一个字符串
        String serialize = jwsObject.serialize();
        return serialize;

    }

    /**
     * 拿到参数jwt,根据密钥解码
     */
    public static boolean decode(String jwt) throws Exception {
        JWSVerifier jwsVerifier = new MACVerifier(KEY);
        //把jwt字符串转成一个jwt对象
        JWSObject parse = JWSObject.parse(jwt);
        boolean verify = parse.verify(jwsVerifier);
        return verify;

    }

    /**
     * 获取jwt载荷
     */
    public static Map getPayload(String jwt) throws Exception {
        JWSObject jwsObject = JWSObject.parse(jwt);
        Map map = jwsObject.getPayload().toJSONObject();
        return map;
    }

}

4.3 登录成功处理 返回jwt

package com.woniu.handler;

import com.alibaba.fastjson.JSON;
import com.woniu.util.JWTUtil;
import com.woniu.util.ResponseResult;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.concurrent.TimeUnit;

/**
 * 前后端分离的项目情况下,登录成功后返回的不再是一个页面,而是一个json
 * 处理用户登录成功后返回给前端的数据:比如用户名等信息
 */
@Component
public class LoginSuccessHandler implements AuthenticationSuccessHandler {

    @Autowired
    private RedisTemplate<String,String> redisTemplate;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        try {
            //获取登录成功的用户信息
            User user = (User) authentication.getPrincipal();
            String username = user.getUsername();
            String jwt = JWTUtil.createJWT(username);
            //TimeUnit.SECONDS: 秒
            //TimeUnit.MINUTES: 分钟
            redisTemplate.opsForValue().set("jwt:"+user.getUsername(), jwt,1000, TimeUnit.SECONDS);

            //设置字符集
            httpServletResponse.setContentType("application/json;charset=utf-8");
            PrintWriter pw = httpServletResponse.getWriter();

            String json = JSON.toJSONString(new ResponseResult<>().ok(jwt));

            pw.print(json);
            pw.flush();
            pw.close();
        } catch (Exception e) {
            e.printStackTrace();
        }

    }
}

注:修改config类: successHandler(loginSuccessHandler),并把LoginSuccessHandler载入容器中

4.4 security 整合jwt用的过滤器

/**
 * security 整合jwt用的过滤器
 * 功能:
 * 1: 判断除登录请求外是否携带了jwt, 是: 继续执行下面的逻辑 否: 放掉不处理
 * 2: 判断携带的jwt是否合法, 是: 继续执行下面的逻辑 否: 放掉不处理
 * 3: 拿redis的jwt和请求头的jwt做对比
 *      1): redis的jwt已经过期 放掉不处理
 *      2): 再把jwt的值对比一下 放掉不处理
 */
@Component
public class JWTFilter extends OncePerRequestFilter {

    @Autowired
    private RedisTemplate<String ,String> redisTemplate;

    @Autowired
    private SecurityLoginService securityService;

    @SneakyThrows
    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {

        //在请求头拿到jwt
        String jwt = httpServletRequest.getHeader("jwt");
        //1: 判断除登录请求外是否携带了jwt, 否: 放掉不处理
        if (jwt == null){
            //放给security 其他过滤器处理, 该方法不做处理
            filterChain.doFilter(httpServletRequest,httpServletResponse);
            return;
        }

        //2: 判断携带的jwt是否合法, 否: 放掉不处理
        if (!JWTUtil.decode(jwt)){
            filterChain.doFilter(httpServletRequest,httpServletResponse);
            return;
        }

        //3: 拿redis的jwt和请求头的jwt做对比
        //3.1: 获取jwt的用户信息
        Map payload = JWTUtil.getPayload(jwt);
        String username = (String) payload.get("username");
        //3.2: 拿到redis的jwt
        String redisJWT = redisTemplate.opsForValue().get("jwt:" + username);
        //1): redis的jwt已经过期 放掉不处理
        if (redisJWT == null){
            filterChain.doFilter(httpServletRequest,httpServletResponse);
            return;
        }
        //2): 再把jwt的值对比一下 放掉不处理
        if (!jwt.equals(redisJWT)){
            filterChain.doFilter(httpServletRequest,httpServletResponse);
            return;
        }

        //给redis的jwt续期
        redisTemplate.opsForValue().set("jwt:" + username,jwt,2, TimeUnit.MINUTES);

        //获取用户名,密码,权限
        UserDetails userDetails = securityService.loadUserByUsername(username);

        //获取用户信息 生成security容器凭证
        UsernamePasswordAuthenticationToken upa=new UsernamePasswordAuthenticationToken(userDetails.getUsername(),userDetails.getPassword(),userDetails.getAuthorities());
        //往security容器放入凭证
        SecurityContextHolder.getContext().setAuthentication(upa);

        //本方法功能执行完了, 交给下一个过滤器
        filterChain.doFilter(httpServletRequest,httpServletResponse);

    }
}
小Q想养猫
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot整合securityjwt
08-05
springboot2.0整合securityjwt, 还整合了redis,与swagger-ui
SpringSecurity——整合JWT
qq_41297145的博客
12-30 2156
在第4步中,通过增加JwtFilter过滤器来验证身份,允许前端通过携带正确且未过期的JwtToken进行身份验证,验证时需要同样需要通过LoadUserByUsername方法获取UserDetails对象(Principal对象),然后创建一个UsernamePasswordAuthenticationToken对象给SecurityContextHolder验证,如果和步骤2中写入的authentication一致,即验证成功,正确获取到用户权限。自定义JwtFilter拦截器,
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
最新发布
小威的博客
04-22 1万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
SpringSecurityJWT整合
热门推荐
BLU_111的博客
12-06 18万+
SpringSecurityJWT整合 数据库基于:SpringSecurity从数据库中获取用户信息进行验证 依赖: <dependencies> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <ver
spring security集成jwt
Love_Long的博客
11-09 370
1、pom依赖引入 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> &...
Spring Security整合Jwt
qq614452400的博客
09-04 364
spring-cloud-starter-oauth2里整合jwt包 编写JwtTokenStoreConfig 类 @Configuration public class JwtTokenStoreConfig { @Bean public TokenStore jwtTokenStore(){ return new JwtTokenStore(jwtAccessTokenConverter()); } //转换token字符串 @Bean
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
SpringSecurity整合JWT.docx
06-27
如果业务需要扩展,搭建了集群的话,还需要将session共享。 无状态登录 而什么是无状态登录呢,简而言之,就是服务的不需要再保存任何的用户信息,而是用户自己携带者信息去访问服务端,服务端通过这些信息来识别...
springboot整合springsecurityjwt权限验证
08-10
该资源包整合基于springboot整合springsecurity结合jwt做权限验证、配置完善,可以直接作为项目的基础框架集成使用,使用mybatis作为持久层框架,基础框架搭建完成,只需要写业务代码集合,便于快捷开发。
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
SpringSecurity整合JWT
胡峻峥的博客
01-19 1072
一、前言   最近负责支付宝小程序后端项目设计,这里主要分享一下用户会话、接口鉴权的设计。参考过微信小程序后端的设计,会话需要依靠redis。相关的开发人员和我说依靠Redis并不是很靠谱,redis在业务高峰期不稳定,容易出现问题,总会出现用户会话丢失、超时的问题。之前听过JWT相关的设计,决定尝试一下。 二、什么是JWT   JSON Web Token(JWT)是一个开放标准(RFC ...
Spring security+jwt服务鉴权完整代码.zip
09-09
Spring security+jwt服务鉴权完整代码.实现服务鉴权访问, 携带token访问服务, 缺失或无效都提示401
SpringBoot集成Spring SecurityJWT令牌实现登录和鉴权的方法
08-19
主要介绍了SpringBoot集成Spring SecurityJWT令牌实现登录和鉴权的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
【精品】SpringSecurity集成JWT
01-11 1511
0、准备工作 创建SpringBoot中项目: -Maven依赖: -app 1、创建Jwt工具类 2、创建没有权限时,Jwt拒绝访问的处理器 3、创建Jwt授权的EntryPoint 4、创建UserDetailsService 5、创建Jwt认证过滤器 6、配置SpringSecurity ...
Spring Security集成JWT实现权限认证
apple_52109766的博客
08-24 743
基于角色的访问控制(RBAC)是实施面向企业安全策略的一种有效的访问控制方式。其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。
springsecurity 整合JWT
join_null的博客
05-28 680
1.主要原理:首先登录,如果登录成功,则在响应的header中加入生成的jwt token。 然后客户在发起请求时,校验header中的token是否合法,如果合法放行,不合法则返回错误信息 2.依赖 <dependency> <groupId>org.springframework.boot</...
SpringSecurity整合jwt
qq_51705526的博客
05-02 6952
前言: 准备把权限管理写到自己的jee项目中, 索性想到了SpringSecurity框架, 就来学一下! 认证 登录校验流程 token可以存在localstoryge springsecurity完整流程 就是一个过滤链 UsernamePasswordAuthenticationFilter:(认证)处理登录页面填写了用户名和密码之后的登录请求ExcpetionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationEx
springsecurity如何整合jwt
02-13
Spring Security可以通过使用JWT来轻松实现身份验证和授权。可以使用Spring Security的Token-Based机制,结合一个可靠的JSON Web Token实现来实现对JWT的支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值