Spring Security之前后端分离(二)JWT令牌

最新推荐文章于 2024-08-07 17:18:08 发布
最新推荐文章于 2024-08-07 17:18:08 发布
阅读量444 收藏 1
点赞数
分类专栏: Security 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MostSnails/article/details/126332106
版权
本文详细介绍了在Spring Security中如何配置JWT令牌进行前后端分离的认证。内容包括配置Token拦截器、JWT工具类的创建、Security配置的调整以及登录获取和使用Token的流程。同时提供了GitHub链接供读者查阅完整代码。
摘要由CSDN通过智能技术生成

Spring Security之前后端分离(二)JWT令牌

传送门:

  1. 有关于Spring Security 基础配置:https://blog.csdn.net/MostSnails/article/details/126312877
  2. 基础配置默认官方使用Session方式,分布式服务请求是无状态故Session有点满足要求。本期实践JWT以Token方式请求认证。
  3. 什么是JWT、采用哪些部分组成?这里就不多叙述,自行百度。

如何配置

  1. 配置Token拦截器,在UsernamePasswordAuthenticationFilter过滤器前先执行Token拦截器,UsernamePasswordAuthenticationFilter在基础配置中有讲过。

  2. JWT生成器、解析器、Login请求下发Token

  3. Security配置主要关闭Session、添加Token拦截器入配置

配置Token拦截器

  1. 需要实现OncePerRequestFilter接口,拦截所有请求,检测Header中Authorization属性、验证属性(过期、非法)、放行进入UsernamePasswordAuthenticationFilter

  2. 没有Authorization属性,直接放行,进入下一个过滤器属于Security,Security会去验证当前URL是否可匿名访问或需要权限访问。

/**
 * Token过滤器
 * desc:验证请求Token合法性
 */
@Component
public class TokenPerRequestFilter extends OncePerRequestFilter {
   

    @Autowired
    private UserService userService;



    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
   
        //  获取Authorization属性
        String token = request.getHeader("Authorization");
        if (StringUtils.isNotEmpty(token)) {
   
            //解析Token获取载荷
            try {
   
                Claims claims = JwtUtil.parseJWT(token);
                //获取用户信息 在创建Token Subject是传入json  这里可以获取你json值 Subject是可以任何,怎么set 就怎么get
                String userName = claims.getSubject();
                UserDetails userDetails = userService.loadUser(userName);
                UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                //放入上下文
                SecurityContextHolder.getContext().setAuthentication(authenticationToken);

            } catch (ExpiredJwtException exception) {
最低0.47元/天 解锁文章
MostSnails
关注
专栏目录
spring security Jwt令牌前后端分离
l1306395862的博客
09-10 655
详细流程和想了解源码 请跳转,大神写的很详细 (https://blog.csdn.net/yuanlaijike/article/details/80249235) 需要的依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency&gt
Spring Security学习笔记(八) -- JWT令牌
SuperArc1999的博客
01-15 484
6.3JWT令牌 6.3.1JWT介绍 通过前面文章的提到的,当资源服务器与授权服务器不在一起时,资源服务使用RemoteTokenServices远程请求授权服务验证token,如果访问量较大将会影响系统的性能。 解决上面的问题: 令牌采用JWT格式即可解决上面的问题,用户认证通过会得到一个JWT令牌JWT令牌中已经包括了用户相关的信息,客户端只要携带JWT访问资源服务,资源服务等根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。 1、什么是JWT? JSON We
SpringSecurity-前后端分离
最新发布
Life And Code
08-07 606
Spring SecuritySpring家族中的一个安全管理框架。相比于另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架,小项目用Shiro的比较多。相比于SpringSecurity,Shiro的上手更加简单。一般Web应用需要进行认证和授权。
Spring Security框架下jwt令牌的使用
qq_64376339的博客
05-16 1494
这个过程就是无状态认证。拿到了jwt令牌下一步就要携带令牌去访问资源服务中的资源,本项目各个微服务就是资源服务,比如:内容管理服务,客户端申请到jwt令牌,携带jwt去内容管理服务查询课程信息,此时内容管理服务要对jwt进行校验,只有jwt合法才可以继续访问。令牌采用JWT格式即可解决上边的问题,用户认证通过后会得到一个JWT令牌JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。
Spring Security】整合JWT令牌
PaoShan的博客
02-24 409
Spring Security】整合JWT令牌的步骤,依赖+俩配置类
Spring Security 真正的前后分离实现
05-10 376
点击上方“猿芯”,选择“设为星标”后台回复"1024",有份惊喜送给面试的你原文 https://www.toutiao.com/article/6894532348956803597Spring Security网络上很多前后端分离的示例很多都不是完全的前后分离,而且大家实现的方式各不相同,有的是靠自己写拦截器去自己校验权限的,有的页面是使用themleaf来实现的不是...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring SecurityJWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
使用Spring Security和OAuth2,网关可以检查每个请求的JWT令牌,确保只有经过授权的请求才能到达后端服务。 6. **微服务间的权限认证**:微服务之间需要进行权限验证,避免恶意调用。通过在服务间传递JWT,每个服务...
Spring Boot Security OAuth2 实现支持JWT令牌的授权服务器源码.zip
03-25
4. **配置安全拦截器**:设置Spring Security的HTTP安全配置,以拦截请求并验证JWT令牌。一旦请求被拦截,系统会检查JWT的有效性,包括签名、过期时间等。 5. **资源服务器配置**:如果项目同时包含资源服务器,...
SpringSecurity学习(三)自定义数据源、前后端分离案例
Huathy的博客
03-08 573
发起认证请求,携带用户名密码,请求被UsernamePasswordAuthenticationFilter拦截在UsernamePasswordAuthenticationFilter的attemptAuthentication方法将请求的用户名和密码,封装为Authentication对象,交给AuthenticationManager进行认证。
Spring Security前后端分离项目中的使用
KRYST4L123的博客
02-26 334
报错的原因:默认情况下Spring Security在获取到UserDetailsService返回的用户信息以后,会调用PasswordEncoder中的matches方法进行校验,但是此时在Spring容器中并不。并且为了让用户下回请求时能通过jwt识别出具体的是哪个用户,在返回之前,我们需要把用户信息存入redis,可以把用户id。然后设置我们的资源所需要的权限。我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。
SpringSecurity+JWT实现
relosy的博客
10-06 521
SpringSecurity+JWT JWT认证和Session认证 参考资料:什么是 JWT – JSON WEB TOKEN - 简书 (jianshu.com) JWT:JSON WEB TOKEN JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 传统Session认证存在的问题 因为http协议本身是无状态协议,即时用户第一次请求时提供了用户名和密码进
Security实现前后端分离
我的技术博客
12-09 428
​ 上一篇和上上一篇我大致介绍了一下security基础使用和oauth2的一些流程,这里在深入了解一些相关的配置项。​ 首先我们在梳理一下相关概念,首先基本的security是负责用户认证这这一环节,总而言之就是用户使用用户名密码登录后可以访问后端接口;然后引入OAuth2相关依赖之后,就有了授权服务器,客户端,资源服务器这三个概念,而且最新的官方依赖也是按照这三个概念提供统一的依赖引入,而之前的security基本认证就属于授权服务器的一个环节。问题1、首先security基本的认证方式中用户名密码
过滤器Filter和拦截器HandlerInterceptor
myfirstuser的博客
07-30 2275
1、过滤器 依赖于servlet容器。在实现上基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。 使用过滤器的目的是用来做一些过滤操作,获取我们想要获取的数据。 比如:在过滤器中修改字符编码;在过滤器中修改HttpServletRequest的一些参数,包括:过滤低俗文字、危险字符等。 Java中的Filter并不是一个标准的Servlet ,它不能处理...
Spring Security整合JWT实现权限认证和授权
weixin_45818966的博客
11-05 4226
关于spring security整合jwt实现前后端权限认证和授权管理
Spring Security框架 前后端分离
asddasddeedd的博客
11-19 3717
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
Spring Security 超详细整合 JWT,能否拿下看你自己!
08-31 8685
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT 的认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
Spring Boot 优雅集成 Spring Security 5.7(安全框架)与 JWT(双令牌机制)
欲变世界,先变其身
06-15 4716
Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IOC(控制反转),DI(依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
spring boot security oauth2 实现支持jwt令牌的授权服务器
11-16
Spring Boot Security OAuth2是基于Spring Security和OAuth2的框架,用于实现授权服务器和资源服务器。JWT令牌是一个基于JSON的开放标准,用于在各方之间安全地传输信息。 在Spring Boot Security OAuth2中实现支持JWT令牌的授权服务器,可以按照以下步骤进行: 1. 添加依赖:在项目的pom.xml文件中添加Spring Security OAuth2和JWT的相关依赖。 2. 配置授权服务器:在Spring Boot应用程序的配置文件中,配置授权服务器的基本设置,包括端点URL、客户端信息、用户认证信息等。 3. 配置JWT令牌:配置JWT令牌的签名密钥和过期时间等信息。可以使用开源库如jjwt来生成和验证JWT令牌。 4. 创建自定义的认证提供程序:实现自定义的认证提供程序来支持JWT令牌的认证机制。在认证提供程序中,可以使用JWT令牌解析并验证请求中的令牌信息。 5. 创建自定义的用户详细信息服务:实现自定义的用户详细信息服务,用于从数据库或其他存储中获取用户的详细信息。在用户详细信息服务中,可以根据JWT令牌中的信息获取用户信息。 6. 配置授权服务器的访问规则:配置授权服务器的访问规则,包括允许或禁止特定角色或权限的访问。 7. 测试访问授权服务器:使用客户端应用程序发送请求到授权服务器的端点,获取JWT令牌并验证其有效性。 通过以上步骤,可以实现一个支持JWT令牌的授权服务器。该服务器可以提供为客户端应用程序颁发和验证JWT令牌的功能,以实现安全并可靠的用户认证和授权控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值