SpringBoot集成Spring Security用JWT令牌实现登录和鉴权 [ 附源码 ]

最新推荐文章于 2024-05-31 09:30:00 发布
最新推荐文章于 2024-05-31 09:30:00 发布
阅读量6.6k 收藏 64
点赞数 15
分类专栏: 框架 文章标签: 过滤器 jwt 安全 spring boot spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Piconjo/article/details/106156383
版权
本文介绍了如何在SpringBoot项目中使用Spring Security和JWT进行用户登录及鉴权。首先解释JWT的基本概念,包括JWT的组成和校验流程。接着详细讲解了项目配置,包括导入依赖、实体类、Utils工具类、UserDetailsService实现、两个拦截器(JWTAuthenticationFilter和JWTAuthorizationFilter)的设置,以及自定义无权限处理类。最后,提供了一个简单的对外接口示例,并提醒实际开发中要注意密码加密和使用Redis存储Token等细节。
摘要由CSDN通过智能技术生成

最近在做项目的过程中 需要用JWT做登录和鉴权 查了很多资料 都不甚详细
有的是需要在application.yml里进行jwt的配置 但我在导包后并没有相应的配置项 因而并不适用
在踩过很多坑之后 稍微整理了一下 做个笔记

一、概念

1、什么是JWT

Json Web Token (JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)
该token被设计为紧凑且安全的 特别适用于分布式站点的单点登录(SSO)场景

随着JWT的出现 使得校验方式更加简单便捷化
JWT实际上就是一个字符串 它由三部分组成:头部 载荷签名
用[.]分隔这三个部分 最终的格式类似于:xxxx.xxxx.xxxx

在服务器直接根据token取出保存的用户信息 即可对token的可用性进行校验 使得单点登录更为简单

2、JWT校验的过程

  • 1、浏览器发送用户名和密码 发起登录请求
  • 2、服务端验证身份 根据算法将用户标识符打包生成token字符串 并且返回给浏览器
  • 3、当浏览器需要发起请求时 将token一起发送给服务器
  • 4、服务器发现数据中携带有token 随即进行解密和鉴权
  • 5、校验成功 服务器返回请求的数据

二、使用

1、首先是导包

<!-- Spring Security -->
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>

<!-- Spring Security和JWT整合 -->
<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-jwt</artifactId>
	<version>1.0.10.RELEASE</version>
</dependency>

<!-- JWT -->
<dependency>
	<groupId>io.jsonwebtoken</groupId>
	<artifactId>jjwt</artifactId>
	<version>0.9.1</version>
</dependency>

<!-- 字符串转换需要用到此包 -->
<dependency>
	<groupId>org.apache.commons</groupId>
	<artifactId>commons-lang3</artifactId>
	<version>3.4</version>
</dependency>

2、实体类

两个实体类 一个是用户 另一个是权限

public class User {
   
    private Integer id;
    private String username;
    private String password;
    
	省略gettersetter之类的代码...
}

public class Role {
   
    private Integer id;
    private String username;
    private String name;
    
	省略gettersetter之类的代码...
}

3、然后需要一个Utils工具类

该类用于进行Token的加密和解密 可在此类中单元测试

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtTokenUtil {
   
    // Token请求头
    public static final String TOKEN_HEADER = "Authorization";
    // Token前缀
    public static final String TOKEN_PREFIX = "Bearer ";

    // 签名主题
    public static final String SUBJECT = "piconjo";
    // 过期时间
    public static final long EXPIRITION = 1000 * 24 * 60 * 60 * 7;
    // 应用密钥
    public static final String APPSECRET_KEY = "piconjo_secret";
    // 角色权限声明
    private static final String ROLE_CLAIMS = "role";
    
    /**
     * 生成Token
     */
    public static String createToken(String username,String role) {
   
        Map<String,Object> map = new HashMap<>();
        map.put(ROLE_CLAIMS, role);

        String token = Jwts
                .builder()
                .setSubject(username)
                .setClaims(map)
                .claim("username",username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRITION))
                .signWith(SignatureAlgorithm.HS256, APPSECRET_KEY).compact();
        return token;
    }

    /**
     * 校验Token
     */
    public static Claims checkJWT(String token) {
   
        try {
   
            final Claims claims = Jwts.parser().setSigningKey(APPSECRET_KEY).parseClaimsJws(token).getBody();
            return claims;
最低0.47元/天 解锁文章
Piconjo_Official
关注
  • 15
    点赞
  • 64
    收藏
    觉得还不错? 一键收藏
  • 19
    评论
专栏目录
SpringBoot集成SpringSecurity+JWT实现多服务单点登录,原来这么easy
墩墩分墩
09-25 2216
- **单点登录(SingleSignOn,SSO)**,当用户在身份`认证服务器`上登录一次以后,即可**获得访问单点登录系统中其他关联系统和应用软件的权限**,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,`用户只需一次登录就可以访问所有相互信任的应用系统`。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的一种**分布式登录方式**。
springBoot整合spring security+JWT实现单点登录与权限管理前后端分离--筑基中期
qq_43788185的博客
09-05 1425
写在前面 在前一篇文章当中,我们介绍了springBoot整合spring security单体应用版,在这篇文章当中,我将介绍springBoot整合spring secury+JWT实现单点登录与权限管理。 本文涉及的权限管理模型是基于资源的动态权限管理。数据库设计的表有 user 、role、user_role、permission、role_permission。 单点登录当中,关于访问者信息的存储有多种解决方案。如将其以key-value的形式存储于redis数据库中,访问者令牌中存放key。校验
springboot+springsecurity的基础上+JWT(私钥加密,公钥解密)
furenqiang的博客
12-23 3373
一、已经完成了springboot+springsecurity的工作若没完成,请移步 security的使用:三个工具类 ,放在项目专门存放工具类的包下面 (1)、jwtUtils.java: JWT生成TOKEN package com.aliyun.vuelogin.util; import com.aliyun.vuelogin.common.Payload; import io.js...
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
最新发布
qq_44005305的博客
05-31 780
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌实现身份验证。这个工具我们在前面的文章中也提起过。
Spring boot Security Jwt
何xiao树
05-31 1512
Spring Security 整合开发 引入 security 启动器,默认拦截所有资源,启动项目会生成一个默认密码,账号 user <!-- 引入Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-.
SpringBoot SpringSecurity JWT+Redis+RSA授权登录登出 验证码 前后端分离 分布式
qq_50909707的博客
10-08 3876
对于微服务来说,私钥放在认证服务上,其他服务只需要存公钥即可。因为其他服务只做校验,不加密JWT。私钥加密,公钥解密。公钥和私钥放到服务器上,私钥用于授权服务器授权token时加密,其他服务器仅需要通过公钥便可对加密内容进行解析了。服务器通过用户输入的验证码结果和redis中的缓存进行比较得出是否验证码正确。只要安装了JDK,就有这个工具。携带错误的token测试:可以看到错误的token会被服务器警告。退出登录后,redis中缓存的用户信息将被删除。这里我们便实现登录逻辑。复制文本,重命名文件。
springboot + spring security + jwt + redis详细(一)
qq_38324424的博客
04-24 856
作为一个刚入门,没多久的新手小白,由于项目需要,所以学习了一下spring security,基本上此篇文章是根据各路大神撰写的博客结合而来,为了同样刚接触的新手小白少踩点坑,有什么问题还请大神们多多指点 创建用户表: CREATE TABLE `sys_user` ( `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT, `...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
用户登录后,Spring Security会生成一个JWT令牌,用于后续请求的身份验证。 3. **JWT**: JWT是一种轻量级的身份认证和授权机制,通常用于无状态API。它包含用户信息,如用户名,角色等,并通过签名确保令牌安全...
SpringBoot-JWT-Token:JWT令牌Spring-Security
03-22
本篇文章将深入探讨如何在Spring Boot应用中结合Spring Security实现JWT令牌的认证和授权。 首先,JWT令牌是一种轻量级的身份验证标准,它允许信息在多个服务之间安全地传输,而无需在服务器上存储会话信息。JWT...
springboot_springsecurity_jwt_demo:源码主要用于学习SpringBoot + Spring Security JWT基于数据库的自定义用户详细信息服务实现Spring安全认证,内容包括自定义JWT拦截器,在请求到达目标之前对令牌进行校验,在请求超过的时候,解析请求头中的令牌,重新解析令牌以获得用户信息,再存入SecurityContextHolder中,以及使用BCryptPasswordEncoder方法对密码进行加密与密码匹配,以及AuthenticationEntr
03-23
标题 "springboot_springsecurity_jwt_demo" 涉及的核心技术是Spring BootSpring Security以及JSON Web Token(JWT)的集成应用,这是一个用于构建安全Web服务的示例项目。在这个项目中,开发者将学习如何利用...
springboot +安全+ jwt +复述,实现微信小程序登录令牌权限鉴定
01-27
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定 tips:这是实战篇,默认各位看官具备相应的基础(文中使用了Lombok插件,如果使用源码请先安装插件) @[TOC] 项目配置 依赖 <groupId>org.spring...
SpringBoot集成Spring SecurityJWT令牌实现登录鉴权的方法
08-19
主要介绍了SpringBoot集成Spring SecurityJWT令牌实现登录鉴权的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot单点登录的项目
12-20
基于springboot几种实现单点登录的方式都有:1.用redis缓存实现2.基于jwt实现sso3.基于spring-security oauth实现单点登录4.基于shiro实现单点登录
spring boot如何基于JWT实现单点登录详解
08-25
主要介绍了spring boot如何基于JWT实现单点登录详解,用户只需登录一次就能够在这两个系统中进行操作。很明显这就是单点登录(Single Sign-On)达到的效果,需要的朋友可以参考下
SpringBoot集成SpringSecurityJWT做登陆鉴权实现
08-19
主要介绍了SpringBoot集成SpringSecurityJWT做登陆鉴权实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Boot Security OAuth2 实现支持JWT令牌的授权服务器源码.zip
03-25
3. **实现JWT令牌生成**:引入如`jjwt`库,用于生成和验证JWT令牌。在OAuth2的令牌颁发过程中,当用户成功认证后,服务器将生成一个JWT并返回给客户端。 4. **配置安全拦截器**:设置Spring Security的HTTP安全配置...
url 微信公众号开发 配置失效_(java)配置微信测试号时(URL,token) 提示配置失败,在自己的公众号是可以的...
weixin_39993322的博客
12-21 547
服务器的错误日志:org.dom4j.DocumentException: Error on line 1 of document : Premature end of file. Nested exception: Premature end of file.at org.dom4j.io.SAXReader.read(SAXReader.java:482)at org.dom4j.io.SAX...
SpringBoot整合JWT+Spring Security+Redis实现登录拦截(一)登录认证
郝南过的博客
12-25 2063
Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等。实际操作时经常需要实现XXXFilter来自定义的登录以及访问控制。什么是身份认证身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。常见的身份认证一般要求用户提供用户名和密码。
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
beeworkshop的博客
03-16 1528
SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种。 JWT是在Web应用中安全传递信息的规范,从本质上来说是Token的演变,是一种生成加...
springboot集成springsecurity jwt示例
06-01
好的,下面是一个简单的 Spring Boot 集成 Spring SecurityJWT 的示例: 1. 添加依赖 在项目的 pom.xml 文件中添加以下依赖: ``` <groupId>org.springframework.boot <artifactId>spring-boot-starter-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值