SpringBoot Security+JWT授权验证模块使用

已于 2022-07-04 15:58:19 修改
阅读量1.5k 收藏 4
点赞数
分类专栏: 教程 文章标签: jwt spring
于 2020-12-23 18:59:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Logicr/article/details/111591816
版权
简介

通过JWT每次请求带上token可以进行无状态登录,不必保存Session等。

创建

在IDEA中使用Spring Initializr创建一个Security项目,注意,创建之后maven是不可用的,还需要添加maven支持,模块右键,Add Framework Support,选择maven

依赖

添加JWT依赖,和一个web依赖包,毕竟要用来登录认证。

		<!--jwt-->
		<dependency>
			<groupId>io.jsonwebtoken</groupId>
			<artifactId>jjwt</artifactId>
			<version>0.9.1</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
准备

提前准备好一些实体类,和一些常量。
User实体类,实现了Spring SecurityUserDetails接口,其实没用到这些方法,不实现也可以。

@Entity
public class User implements UserDetails {
   
    private String username;
    private String password;

    public void setUsername(String username) {
   
        this.username = username;
    }

    public void setPassword(String password) {
   
        this.password = password;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
   
        return null;
    }

    @Override
    public String getPassword() {
   
        return password;
    }

    @Override
    public String getUsername() {
   
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
   
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
   
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
   
        return true;
    }

    @Override
    public boolean isEnabled() {
   
        return true;
    }
}

一些常量,SECRET token签名用的,以及token过期时间等。

public class SecurityConstants {
   
    public static final String SECRET = "SecretKeyToGenJWTs";
    public static final long EXPIRATION_TIME = 864_000_000; // 10 days
    public
最低0.47元/天 解锁文章
spring boot 集成jwt,security进行安全控制
zhuguang10的博客
03-18 589
spring boot 集成jwt security 文章结构 开门见山 数据流程 开门见山 这一部分直接展示代码,及将哪些代码进行修改就可以直接移值到自己的项目进行安全验证 代码目录结构 Auth AuthController LoginUser JWT JwtUtil Security AuthFilter SecurityConfig UserDetailsImpl UserDetai...
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
SpringBoot整合SpringSecurity实现JWT认证
Java笔记虾
01-04 8047
作者:智慧zhuhuixblog.csdn.net/jpgzhu/article/details/105200598前言微服务架构,前后端分离目前已成为互联网项目开发的业界标准,其核心思...
基于JWT令牌和filter过滤器实现用户登录状态验证,拦截非登录状态操作
最新发布
kzf_studyhard的博客
03-21 961
springboot项目中基于JWT令牌和filter过滤器实现用户登录状态验证,拦截非登录状态操作
spring boot + spring security + Jwt
qq_36722687的博客
06-30 797
spring boot + spring security + Jwt主要依赖标题新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 主要依赖 <dependency> <grou
详细!SpringBoot整合SpringSecurity实现JWT认证
MarkerHub的博客
01-02 1290
小Hub领读:最近做了个security项目,参考了一下这个例子,还可以作者:智慧zhuhuixhttps://blog.csdn.net/jpgzhu/article/details/...
Spring boot Security Jwt
何xiao树
05-31 1598
Spring Security 整合开发 引入 security 启动器,默认拦截所有资源,启动项目会生成一个默认密码,账号 user <!-- 引入Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-.
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定.zip
02-04
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定”是一个综合性的解决方案,它结合了Spring Boot、Spring Security、JSON Web Token (JWT)以及Redis四种技术,以实现微信小程序用户的登录验证与...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
2. **Spring Security**:是Spring生态系统的安全模块,提供了全面的安全管理功能,包括身份验证授权、CSRF防护等。 3. **JWT**:是一种轻量级的身份验证机制,用于在不同系统之间安全地传递信息。它包含用户信息...
SpringBoot+Security+Cas
09-07
SpringBoot+Security+Cas是一个集成解决方案,用于构建安全的Web应用程序。这个Demo是为那些希望了解如何在Spring Boot应用中整合Spring Security和CAS(Central Authentication Service)服务的开发者准备的。下面...
SpringBoot使用Jwt来进行安全验证机制
A169388842的博客
06-19 765
一. HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth 二.OAuth OAuth(开放授权)是一个开放的授权标准,允许用户让第三方应用访问该用户在
SpringBoot集成SpringSecurity实现Jwt认证
_TMOON_的博客
02-28 324
SpringBoot集成SpringSecurity实现Jwt认证 SpringBoot集成SpringSecurity实现Jwt认证
SpringBoot使用SpringSecurity+JWT
qq_42757083的博客
04-05 764
一、JWT 前提知识 1.1. 对称加密,非对称加密,加盐。 1.2. 报文鉴别,数字签名,身份认证等数据安全。 1.3. jwt介绍 JWT的作用 2.1. 就是把签证解密之后与头部和载荷对应,从而确认身份。 二、SpringSecurity 前提知识 1.1. 了解是什么,知道自定义登陆等 三、实践 添加依赖 <!-- springSecurity依赖:安全框架--> <dependency>
Springboot+Security+Jwt
热门推荐
点点的博客
12-13 1万+
工程目录 文章目录 工程目录 前言 一、Security是什么? 二、使用步骤 1.引入pom.xml文件 2.application.yml文件 。。。。。。 总结:代码足够详细,有耐心的可以看,没耐心的浪费时间! 前言 随着业务的发展,传统的不分离前后端的Java项目逐渐减少,更多的时候是做到前后端分离,会话管理也就从传统的Session会话管理变为Jwt管理会话,本篇文章就是SpringBoot使用Jwt管理会话同时整合Security,完成权限操作。
Spring Boot2 Security JWT(持续更新)
shenhuxi10000的博客
04-08 659
文章目录JWT入门例子整合Springboot整合数据库 JWT入门例子 整合Springboot 整合数据库
springboot+springsecurity+jwt
03-27 473
1 新建类SecurityConfiguration import com.jwtmybatis.demo.demo.system.dao.SystemUserDao; import com.jwtmybatis.demo.demo.system.entity.SystemUser; import com.jwtmybatis.demo.demo.system.pojo.SecurityUse...
SpringSecurity&JWT(Springboot)
weixin_50601779的博客
03-20 4974
springboot整合安全框架SpringSecurity&JWT
Springboot利用Security+JWT实现token权限认证+用户角色认证
weixin_43120613的博客
04-19 1929
首先创建springboot项目,不多说。 Step 1 引入依赖,如下。 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency&gt...
java jwt实战,Spring Boot Security Jwt Authentication详解实战
weixin_35895485的博客
03-11 633
引言在这篇文章中,我们将通过JWT(JSOn Web Token)认证来保护我们的REST API 。我们将使用基于spring boot maven的配置来开发并保护我们的API,并提供单独的API用于注册并生成令牌。我们将扩展OncePerRequestFilter类,以使用JWT定义我们的自定义认证机制。认证机制可以应用于URL和方法。最后,我们将使用谷歌高级REST客户端测试实现。项目结构...
springboot项目+security+jwt+token
02-07
### Spring Boot Security JWT Token Integration Tutorial #### 1. 添加必要的依赖项 为了实现基于JWT的安全机制,在`pom.xml`文件中除了常规的Spring Boot Starter外,还需要加入安全模块以及JSON Web Tokens的支持。 ```xml <dependencies> <!-- Spring Boot Starter Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- JSON Web Token Support --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred --> <version>0.11.2</version> <scope>runtime</scope> </dependency> </dependencies> ``` 上述配置引入了用于创建和验证JWT令牌所需的库[^2]。 #### 2. 配置Security设置 通过自定义`WebSecurityConfigurerAdapter`类来调整默认的安全策略。这一步骤涉及定义哪些URL路径应该受到保护,并指定登录逻辑处理方式。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/authenticate").permitAll() // Allow everyone to access the authentication endpoint. .anyRequest().authenticated(); // All other requests require authentication. // Add custom filter for processing tokens before reaching controllers. http.addFilterBefore(new JwtRequestFilter(), UsernamePasswordAuthenticationFilter.class); } } ``` 此部分代码禁用了CSRF防护并设置了基本的身份验证规则,允许未授权访问特定端点(如身份验证API),而其他请求则需经过身份验证才能继续执行[^3]。 #### 3. 创建Token服务 构建一个简单的接口用来生成新的JWT实例;通常情况下会包含用户的唯一标识符作为载荷的一部分。 ```java @Service public class JwtUtil { private String secret = "your_secret_key"; public String generateToken(UserDetails userDetails){ Map<String, Object> claims = new HashMap<>(); return Jwts.builder() .setClaims(claims) .setSubject(userDetails.getUsername()) .setIssuedAt(new Date(System.currentTimeMillis())) .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10)) // Expire after 10 hours. .signWith(SignatureAlgorithm.HS512, secret).compact(); } public Boolean validateToken(String token, UserDetails userDetails){ final String username = getUsernameFromToken(token); return (username.equals(userDetails.getUsername()) && !isTokenExpired(token)); } private String getUsernameFromToken(String token){ return getAllClaimsFromToken(token).getSubject(); } private Claims getAllClaimsFromToken(String token){ return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody(); } private Boolean isTokenExpired(String token){ final Date expiration = getExpirationDateFromToken(token); return expiration.before(new Date()); } private Date getExpirationDateFromToken(String token){ return getAllClaimsFromToken(token).getExpiration(); } } ``` 这段Java程序展示了如何利用`JJWT`库中的工具方法来编码/解码token字符串,并提供了几个辅助函数来进行签名验证和其他操作[^4]。 #### 4. 实现过滤器以解析传入HTTP头内的Bearer Token 编写一个实现了`OncePerRequestFilter`接口的新组件,它会在每次收到客户端发送过来的数据包之前自动触发,从而可以从中提取出携带者凭证信息并尝试完成用户身份确认过程。 ```java @Component public class JwtRequestFilter extends OncePerRequestFilter { @Autowired private MyUserDetailsService userDetailsService; @Autowired private JwtUtil jwtUtil; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)throws ServletException, IOException{ final String authorizationHeader = request.getHeader("Authorization"); String username = null; String jwt = null; if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) { jwt = authorizationHeader.substring(7); try { username = jwtUtil.getUsernameFromToken(jwt); } catch(IllegalArgumentException e){ System.out.println("Unable to get JWT Token"); }catch(JwtException e){ System.out.println("JWT token is expired or invalid"); } }else{ logger.warn("couldn't find bearer string, will ignore the header"); } if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = this.userDetailsService.loadUserByUsername(username); if (jwtUtil.validateToken(jwt, userDetails)){ UsernamePasswordAuthenticationToken authToken = new UsernamePasswordAuthenticationToken( userDetails,null,userDetails.getAuthorities()); authToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authToken); } } chain.doFilter(request,response); } } ``` 该片段说明了一个典型的拦截链路设计模式的应用场景——即每当有新连接建立时都会先调用此类对象的方法去检查是否存在有效的认证凭据,如果存在,则更新当前线程关联的安全上下文环境以便后续业务层能够获取到已知的身份详情记录[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值