springboot+springsecurity+jwt 完整登录验证流程 小白都会!

最新推荐文章于 2024-06-29 11:28:02 发布
最新推荐文章于 2024-06-29 11:28:02 发布
阅读量810 收藏 6
点赞数
文章标签: spring boot java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Caryll/article/details/125724838
版权

导入springsecurity的依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

在这里插入图片描述打
就会有安全管理验证密码
直接上localhost
账号:user 密码:刚刚生成的:密码字段
登录成功说明导入依赖成功!
二:去实体类实现UserDetails接口
在这里插入图片描述
并实现它的方法!
在这里插入图片描述
第三步编写controller以及service login登录实现方法

    @Override
    public Result login(LoginVo loginVo) {
        log.info("1.开始登录");
        UserDetails userDetails = userDetailsService.loadUserByUsername(loginVo.getUsername());
        log.info("2.判断账号密码是正确");
        if(userDetails == null || !passwordEncoder.matches(loginVo.getPassword(),userDetails.getPassword())){
              return Result.fail("账号或密码错误,请重新输入!");
        }
        if(!userDetails.isEnabled()){
            return Result.fail("该账号已经被禁用,请联系管理员!");
        }
        log.info("3.将该数据存入security容器中");
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(userDetails, null);
        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
        log.info("4.根据登录信息获取token");
        String token="";
        HashMap<String, String> map = new HashMap<>();
        map.put("tokenHead",tokenHead);
        map.put("token",token);
        return Result.success("登录成功!",map);
    }

这里的token需要后面jwt生成的token
以及yml配置jwt相应的信息

jwt:
  #请求头
  tokenHeader: Authorization
  #签名加密
  secret: 123456
  #过期时间
  expiration: 1800
  #token头部
  tokenHead: 'Bearer '

编写utils.jwt工具类

package com.intelligent.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * jwt生成token
 */
@Component
public class JwtTokenUtil {

    private static final String CLAIM_KEY_USERNAME = "username";
    private static final String CLAIM_KEY_CREATED = "created";

    @Value("${jwt.secret}")
    private String secret;

    @Value("${jwt.expiration}")
    private Long expiration;

    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();
        claims.put(CLAIM_KEY_USERNAME, userDetails.getUsername());
        claims.put(CLAIM_KEY_CREATED, new Date());
        return generateJwt(claims);
    }

    /**
     * 根据荷载生成token
     * @param claims
     * @return
     */
    public String generateJwt(Map<String, Object> claims) {
        return Jwts.builder()
                .setClaims(claims)
                .signWith(SignatureAlgorithm.HS512, secret)
                .setExpiration(new Date(System.currentTimeMillis() + expiration * 1000))
                .compact();
    }

    /**
     * 从token中获取用户名
     * @param token
     * @return
     */
    public String getUserNameFromToken(String token) {
        Claims tokenBody = getTokenBody(token);
        String username = (String) tokenBody.get(CLAIM_KEY_USERNAME);
        return  username;
    }

    /**
     * token是否过期
     * @param token
     * @return
     */
    public boolean isExpiration(String token) {
        return getTokenBody(token).getExpiration().before(new Date());
    }

    /**
     * 验证token是否有效
     * @param token
     * @param userDetails
     * @return
     */
    public boolean validateToken(String token, UserDetails userDetails) {
        String username = getUserNameFromToken(token);
        return username.equals(userDetails.getUsername()) && !isExpiration(token);
    }

    /**
     * 判断token是否可以被刷新
     * @param token
     * @return
     */
    public boolean canRefresh(String token) {
        return !isExpiration(token);
    }

    /**
     * 刷新token
     * @param token
     * @return
     */
    public String refreshToken(String token) {
        Claims claims = getTokenBody(token);
        claims.setExpiration(new Date());
        return generateJwt(claims);
    }

    /**
     * 获取token中的信息
     * @param token
     * @return
     */
    public Claims getTokenBody(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            return null;
        }

    }

}

开始编写 Security相关的配置文件

package com.intelligent.security;

import com.intelligent.entity.SysUser;
import com.intelligent.handler.JwtAccessDeniedHandler;
import com.intelligent.handler.JwtAuthenticationEntryPoint;
import com.intelligent.handler.JwtAuthenticationFilter;
import com.intelligent.mapper.SysUserMapper;
import com.intelligent.security.content.SecurityContents;
import com.intelligent.service.SysUserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;


//权限的基本配置
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig  extends WebSecurityConfigurerAdapter {

    @Autowired
    private JwtAccessDeniedHandler jwtAccessDeniedHandler;

    @Autowired
    private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

    @Autowired
    private JwtAuthenticationFilter jwtAuthenticationFilter;

//
    @Override
    public void configure(WebSecurity web)  {

        web.ignoring().mvcMatchers(SecurityContents.WHITE_LIST)
                .antMatchers(SecurityContents.WHITE_LIST);
//        web.ignoring()
//                .antMatchers("/doc.html",
//                                        "/webjars/**",
//                                        "/img.icons/**",
//                                        "/swagger-resources/**",
//                                        "/v2/api-docs");



    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        // 1.使用jwt 关闭跨域攻击
        http.csrf().disable();
        //关闭session
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        //3.请求需要认证才能访问
        http.authorizeRequests().anyRequest().authenticated();
        //4.关闭缓存
        http.headers().cacheControl();
        //5.token过滤器,校验token
        http.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
        //6.没有登录,没有权限访问资源自定义
        http.exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).accessDeniedHandler(jwtAccessDeniedHandler);


    }

    //将自定义的登录 将它放入security中进行认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder());
    }


    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }


}

以及需要放行的SecurityContents文件内容

package com.intelligent.security.content;

public class SecurityContents {

    public static  final String[] WHITE_LIST = {
            //登录接口
            "/user/login",
            "/user/captcha",
            "/user/captcha1",
            "/user/test",
            "/api/user/login",

            //swagger
            "/doc.html",
            "/favicon.ico",
            "/swagger-ui.html",
            "/webjars/**",
            "/swagger-resources/**",
            "/v2/*",
            "/configuration/ui",
            "/configuration/security",

    };

}

再重新实现UserDetails loadUserByUsername的方法

package com.intelligent.security.service;

import com.intelligent.entity.SysRole;
import com.intelligent.entity.SysUser;
import com.intelligent.mapper.SysUserMapper;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;

@Service
@Slf4j
public class UserDetailServiceImpl implements UserDetailsService {

    @Autowired
    private SysUserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        SysUser user = userMapper.findByUsername(username);
        if(user==null){
            throw new UsernameNotFoundException("账号或者密码错误!");
        }
        if(user.getAdmin()){
            ArrayList<SysRole> list = new ArrayList<>();
            SysRole role = new SysRole();
            role.setCode("admin");
            list.add(role);
            user.setRoles(list);
            //user.setMenus();
        }else {
            user.setRoles(userMapper.findRoles(user.getId()));
            user.setPermissions(userMapper.findPermissionById(user.getId()));

        }

        return user;
    }
}

因为Security需要过滤前端传入的接口数据所以要配置三个配置类结构
在这里插入图片描述
jwt的三个配置类分别过滤权限,token,以及过期时间,登录功能

package com.intelligent.handler;


import com.fasterxml.jackson.databind.ObjectMapper;
import com.intelligent.utils.Result;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * 查看是否有对应的权限和功能
 */
@Component
public class JwtAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setStatus(403);
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        PrintWriter writer = response.getWriter();
        writer.write(new ObjectMapper().writeValueAsString(Result.fail("权限不足,请联系管理员")));
        writer.flush();
        writer.close();
    }
}


package com.intelligent.handler;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.intelligent.utils.Result;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;


//当用户未登录和token过期 时访问资源
@Component
public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.setStatus(401);
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        PrintWriter writer = response.getWriter();
        writer.write(new ObjectMapper().writeValueAsString(Result.fail("您尚未登录,请登录")));
        writer.flush();
        writer.close();
    }
}


package com.intelligent.handler;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.intelligent.utils.Result;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;


//当用户未登录和token过期 时访问资源
@Component
public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.setStatus(401);
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        PrintWriter writer = response.getWriter();
        writer.write(new ObjectMapper().writeValueAsString(Result.fail("您尚未登录,请登录")));
        writer.flush();
        writer.close();
    }
}

三个类分别过滤以及再上述的SecurityConfig中配置
上述配置好后记得修改SysUserServiceImpl 里面token ,将“” 改成用token工具类生产的工具
在这里插入图片述
前端访问获取到token信息 获取成功!以后每个资源访问都必须带上这个头部信息

Caryll
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
SpringBoot】集成SpringSecurity+JWT实现多服务单点登录,原来这么easy
墩墩分墩
09-25 2355
- **单点登录(SingleSignOn,SSO)**,当用户在身份`认证服务器`上登录一次以后,即可**获得访问单点登录系统中其他关联系统和应用软件的权限**,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,`用户只需一次登录就可以访问所有相互信任的应用系统`。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的一种**分布式登录方式**。
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9793
springboot整合springsecurity实现用户登录认证和鉴权
SpringSecurity认证详解,保姆级教学
m0_72568513的博客
05-31 2584
Spring Security 是一个基于 Spring 框架的安全框架,用于实现身份验证、授权、攻击防护等功能。它提供了一套全面的安全解决方案,可以帮助开发者构建安全可靠的应用程序。 Spring Security 的主要特性包括: 认证(Authentication):Spring Security 提供了多种认证方式,如用户名密码认证、LDAP 认证、OAuth 认证等。它还支持自定义认证机制,可以根据具体需求进行扩展。 授权(Authorization):Spring Security 支持基
从零开始学Spring Boot系列-集成Spring Security实现用户认证与授权
最新发布
欢迎来到“代码匠心”!我是您的博客主,一名专注于后端技术的程序员。在这里,我将与您分享我在Java、大数据和系统架构等领域的学习心得、实践经验以及技术前沿动态。
06-29 1026
在Web应用程序中,安全性是一个至关重要的方面。Spring SecuritySpring框架的一个子项目,用于提供安全访问控制的功能。通过集成Spring Security,我们可以轻松实现用户认证、授权、加密、话管理等安全功能。本篇文章将指导大家从零开始,在Spring Boot项目中集成Spring Security,并通过MyBatis-Plus从数据库中获取用户信息,实现用户认证与授权。
Spring Boot 如何使用 Spring Security 进行认证和授权
it_xushixiong的博客
06-23 4699
在 Web 应用程序中,认证和授权是非常重要的功能。Spring Security 是一个基于 Spring 框架的强大的安全框架,它提供了完整的认证和授权解决方案,并且可以轻松地集成到 Spring Boot 应用程序中。本文将介绍如何在 Spring Boot 中使用 Spring Security 进行认证和授权,并提供示例代码。
Spring Boot + Spring-Security实现前后端分离双重身份认证初学者指南(手机号密码JWT + 短信验证码)
u013652550的博客
08-30 2794
初学者想快速理解Spring-Security原理?如果学过基本的ioc思想、mvc思想、aop思想等等,不妨读一读本文吧
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
通过这种方式,Spring Security处理用户的登录认证,而JWT则负责在后续的API请求中传递用户信息,实现无状态的身份验证Spring Security OAuth2库可以进一步扩展功能,例如实现OAuth2的授权流程,以便在多应用...
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
因此,本文将详细介绍如何将SpringSecurityjwt整合到SpringBoot项目中,以提供一个安全的身份验证和授权机制。 什么是SpringSecuritySpringSecurity是一个基于Java的安全框架,它提供了一个灵活的安全机制来...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring SecurityJWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
SpringBoot SpringSecurity JWT+Redis+RSA授权登录登出 验证码 前后端分离 分布式
qq_50909707的博客
10-08 3911
对于微服务来说,私钥放在认证服务上,其他服务只需要存公钥即可。因为其他服务只做校验,不加密JWT。私钥加密,公钥解密。公钥和私钥放到服务器上,私钥用于授权服务器授权token时加密,其他服务器仅需要通过公钥便可对加密内容进行解析了。服务器通过用户输入的验证码结果和redis中的缓存进行比较得出是否验证码正确。只要安装了JDK,就有这个工具。携带错误的token测试:可以看到错误的token被服务器警告。退出登录后,redis中缓存的用户信息将被删除。这里我们便实现了登录逻辑。复制文本,重命名文件。
Spring Security登录认证方式(spring boot篇)
m0_64783594的博客
10-07 269
springmvc版本的配置现在用得少了,可以私信,尽量帮助大家解决,也希望大家不吝赐教。第二步准备实体类(建议账号为username,密码为password):略。第三种:自定义编写实现类。第一种:通过配置文件。
SpringBoot集成Spring SecurityJWT令牌实现登录和鉴权的方法
bobozai86的博客
05-23 2048
一、概念 1、什么是JWT Json Web Token (JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519) 该token被设计为紧凑且安全的 特别适用于分布式站点的单点登录(SSO)场景 随着JWT的出现 使得校验方式更加简单便捷化 JWT实际上就是一个字符串 它由三部分组成:头部 载荷和签名 用[.]分隔这三个部分 最终的格式类似于:xxxx.xxxx.xxxx 在服务器直接根据token取出保存的用户信息 即可对token的可用性进行校验 使得单点登
SpringBoot整合JWT+Spring Security+Redis实现登录拦截(一)登录认证
郝南过的博客
12-25 2469
Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等。实际操作时经常需要实现XXXFilter来自定义的登录以及访问控制。什么是身份认证身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。常见的身份认证一般要求用户提供用户名和密码。
整合SpringSecurity+JWT实现登录认证
qq_64948664的博客
03-28 1697
这个类的主要作用就是告诉 SpringSecurity 那些路径不需要拦截,除此之外的,都要进行 RestfulAccessDeniedHandler(登录校验)、RestAuthenticationEntryPoint(权限校验)和 JwtAuthenticationTokenFilter(JWT 过滤)。第二步,在需要登录认证的模块里添加 CodingmoreSecurityConfig 类,继承自 codingmore-security 模块中的 SecurityConfig 类。
使用securityjwt进行安全登录
Proxbj的博客
09-24 667
** 使用securityjwt进行安全登录 ** 一、首先security进行用户验证和授权 jwt负责颁发令牌与校验,判断用户登录状态,如果有令牌则代表已经登录 二、 1.首先从数据库获取用户名和密码,判断用户名和密码是否正确。再将前端传回的用户名的角色和权限提取出来赋值给数据库查出来的用户对象,将密码置为空串(密码不能存在jwt的头部和载荷),接着生成令牌,这个令牌交给客户端保存在localstoryge或者sessionstoryge或者cookie中。 此时访问登录页面401,原因是登录页面
通过JWT+SpringSecurity实现用户登录
qq_45266399的博客
08-19 504
通过JWT+SpringSecurity实现用户登录
JWTSpring Security登录功能落地实现
湟同学你好的博客
12-28 337
服务端维护用户登录状态,一般有基于session和token两种方式 一、传统的web项目用session+cookies机制来维护用户登录状态,当然有一定的不足: session是保持在服务端内存中的,也就是意味着用户下次请求必须还得在这台服务器上,才能拿到授权的资源,对于分布式系统来说是一个难以处理的点。 随着认证用户的增加,服务端的开销也增大。 二、基于token的鉴权机制 客户端拿账号密码请求服务端 服务端校验账号密码,如果校验Ok的话,给客户端颁发token 客户端拿到服务端颁发的toke
SpringBoot+SpringSecurity+JWT
09-19
SpringBoot是一个开源的Java开发框架,它简化了Spring应用程序的创建和配置过程。...6. 配置SpringSecurity:在SpringBoot的配置文件中配置SpringSecurity的相关属性,例如登录路径、认证路径和权限配置等。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值