使用security和jwt进行安全登录

最新推荐文章于 2024-05-30 17:40:59 发布
最新推荐文章于 2024-05-30 17:40:59 发布
阅读量658 收藏
点赞数
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Proxbj/article/details/120452184
版权

**

使用security和jwt进行安全登录

**

总结

1.for循环的时候可能会报空指针异常,在获取遍历项的时候尽量使用if判断

登录流程

一、首先security进行用户验证和授权
jwt负责颁发令牌与校验,判断用户登录状态,如果有令牌则代表已经登录

在这里插入图片描述

二、登录
1.首先从数据库获取用户名和密码,判断用户名和密码是否正确。再将前端传回的用户名的角色和权限提取出来赋值给数据库查出来的用户对象,将密码置为空串(密码不能存在jwt的头部和载荷),接着生成令牌(令牌包含用户对象,私钥,有效时间),这个令牌交给客户端会保存在localstoryge或者sessionstoryge或者cookie中。
此时访问登录页面会401,原因是登录页面被拦截,没有登录,接着就配置security配置类。

2.过滤链最后一个过滤器检验上下文是否有用户信息
配置security配置类,针对FilterSecurityIntercepter(最后一个过滤器),放行静态资源(包含swagger的静态资源,需要放行)和系统资源(登录请求路径),此时访问登录页面403,需要关闭csrf跨站请求伪造.

3.访问登陆页面可以获取令牌,但是访问其他页面403,因为此时security没有解析令牌,上下文中没有基本信息和角色权限。下一步进行解析令牌

三、认证
自定义Basic Authentication Filter过滤器,拦截所有请求,只要带令牌了就解析令牌,将令牌中的信息解析到上下文中,没有就拒绝访问。
1)放行登录请求(登录请求不用携带令牌)
2)从请求头中获取令牌
3)解析令牌:获取用户的角色和权限信息,角色以ROLE_开头。将用户角色和权限放入context中。
需要将此实现的过滤器放入IOC容器,但是会报错,因此只能在security的配置类中配置该配置类。

四、授权
粗粒度(角色)和细粒度(权限)授权
粗粒度:(角色)@PreAuthorize(“hasAnyRole(‘ROLE_ADMIN’)”)
细粒度:(权限)@PreAuthorize(“hasAnyAuthority(‘copy’)”)
授权注解需要扫描,在security配置类开启:
@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true,jsr250Enabled = true)//开启授权的注解

五、自定义异常处理
1.实现AccessDeniedHandler接口
2.在security的配置类自定义accessdenied异常处理

六、Swagger处理
swagger需要携带令牌才能访问接口

Proxbj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springserity 放行登录接口_Spring Security 两种资源放行策略,千万别用错了
weixin_39634351的博客
01-25 1164
事情的起因是这样,有小伙伴在微信上问了松哥一个问题:就是他使用 Spring Security 做用户登录,等成功后,结果无法获取到登录用户信息,松哥之前写过相关的文章(奇怪,Spring Security 登录成功后总是获取不到登录用户信息?),但是他似乎没有看懂。考虑到这是一个非常常见的问题,因此我想今天换个角度再来和大伙聊一聊这个话题。Spring Security 中,到底该怎么样给资源额...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录和权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
基于Spring SecurityJWT实现单点登录
weixin_51140686的博客
03-07 596
使用Spring Security框架实现登录权限认证
关于Spring SecurityJWT(JSON Web Token)
最新发布
m0_56277423的博客
05-30 300
Spring SecurityJWT(JSON Web Token)可以很好地结合在一起,实现基于令牌的身份验证和权限校验。
Spring security 整合JWT登录流程
m0_46937429的博客
01-13 4829
Spring security 的工作流程 说明 客户端发起一个请求,进入Security 过滤器链 当到LogoutFilter 的时候判断是否是登出的路径,如果是登出路径则到logoutHandler ,如果登出成功则到logoutSuccessHandler 登出成功处理,如果不是登出路径则直接进入下一个过滤器 当到UsernamePasswordSuthenticationFilter 的时候判断是否为登录路径,如果是,则进入该过滤器登录操作,如果失败则到SuthenticationFailur
springboot+springsecurity+jwt 完整登录验证流程 小白都会!
Caryll的博客
07-15 797
Spingboot+springsecurity+jwt 学习参考
项目mall学习——SpringSecurity+JWT实现登录认证
TonegawaKaiji的博客
06-05 579
项目mall中使用SpringSecurityJWT实现登录认证
Jwt整合Secirity实现用户登陆(拿捏篇)
qq_45690761的博客
04-08 241
轻松拿捏SpringSecurity整合Jwt
Spring Security基于JWT实现SSO单点登录详解
08-25
在实际应用中,可以使用 Spring Security 框架和 JWT 技术,实现 SSO 单点登录系统,提高用户体验和安全性。 在 DEMO 中,我们创建了一个 SSO 单点登录系统,包括认证服务器(sso-server)、资源服务器(sso-client...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现是认证流程中的一种重要式,它可以帮助我们实现安全的认证和授权。通过使用SpringSecurity+JWT,我们可以实现基于token的认证式,以便更好地保护我们的系统。 七、参考资料 * ...
SpringSecurityJWT实现token认证和授权.zip
08-09
Spring Security的过滤器链会拦截这些请求,检查Authorization头中的JWT,并使用相同的密钥进行验证。如果验证成功,过滤器会解析JWT,创建一个代表当前用户的Authentication对象,并将其放入Spring Security的...
SpringBoot集成Spring SecurityJWT令牌实现登录和鉴权的
08-19
在本文中,我们将深入探讨如何在SpringBoot应用中集成Spring Security使用JWT(Json Web Token)来实现用户登录和鉴权。首先,我们先理解JWT的基本概念。 **1. JWT概念** JWT是一种开放标准(RFC 7519),用于在...
使用jwtsecurity登录功能的实现
lmxx9939的博客
06-05 985
登录功能的实现
通过JWT+SpringSecurity实现用户登录
qq_45266399的博客
08-19 496
通过JWT+SpringSecurity实现用户登录
SpringSecurity+JWT 登录授权
小蘑菇&浪天涯的博客
11-04 764
SpringSecurity+JWT 登录授权过滤器
SpringSecurity+JWT使用步骤及心得
qq_35213765的博客
05-06 1230
1、添加相关依赖 主要是springsecurityjwt依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://mav
SpringBoot+Security+Jwt登录认证与权限控制(一)
weixin_48568302的博客
06-21 1364
SpringBoot+Security+Jwt登录认证与权限控制
JWT和Spring Security登录功能落地实现
湟同学你好的博客
12-28 332
服务端维护用户登录状态,一般有基于session和token两种式 一、传统的web项目用session+cookies机制来维护用户登录状态,当然有一定的不足: session是保持在服务端内存中的,也就是意味着用户下次请求必须还得在这台服务器上,才能拿到授权的资源,对于分布式系统来说是一个难以处理的点。 随着认证用户的增加,服务端的开销也会增大。 二、基于token的鉴权机制 客户端拿账号密码请求服务端 服务端校验账号密码,如果校验Ok的话,给客户端颁发token 客户端拿到服务端颁发的toke
SpringSecurity实现JWT模式的登录
P_ning的博客
03-16 376
SpringSecurity实现JWT模式的登录的简单实现步骤 源码代码托管在gitee上了源码可自行下载 写好common的工具类模块 写好RsaKeyProperties配置 (1)重写父类UsernamePasswordAuthenticationFilter的attemptAuthentication认证法: 原本认证信息是从post表单获取,现在要从异步请求中获取 (2)重写的UsernamePasswordAuthenticationFilter父类AbstractAuthenticatio
springboot使用securityjwt
06-28
### 回答1: Spring Boot可以使用Spring SecurityJWT来实现安全认证和授权。 Spring Security是一个基于Spring框架的安全框架,它提供了一系列的安全功能,包括认证、授权、攻击防护等。在Spring Boot中,可以通过添加spring-boot-starter-security依赖来集成Spring SecurityJWT(JSON Web Token)是一种基于JSON的开放标准,用于在网络上安全地传输信息。它由三部分组成:头部、载荷和签名。在Spring Boot中,可以使用jjwt库来生成和验证JWT使用Spring SecurityJWT可以实现以下功能: 1. 用户认证:用户可以使用用户名和密码进行认证,认证成功后可以获取JWT。 2. 授权:使用JWT可以实现无状态的授权,即在每个请求中都携带JWT,服务器可以根据JWT中的信息进行授权。 3. 攻击防护:Spring Security提供了一系列的攻击防护功能,包括CSRF、XSS、SQL注入等。 总之,Spring Boot使用Spring SecurityJWT可以实现安全可靠的Web应用程序。 ### 回答2: Spring Boot是一种非常受欢迎的Java企业应用程序框架,可以帮助开发人员在构建应用程序时更快地完成编程工作。Spring Boot结合Spring Framework和Spring MVC等其他众多技术,并且提供很多特性的支持,比如整合securityjwt,使应用程序的开发和使用变得更加简单和高效。 Security是一种用于身份验证和授权的开放式框架,使得开发人员可以轻松地保护自己的应用程序免受未经授权的访问和攻击。Spring Security提供了很多安全特性,可以在您的应用程序中用来进行身份验证和授权。 通过使用安全组件,可以实现基于角色的访问控制,并且可以配置基于HTTPS的安全通信。Spring Security还可以集成Spring Boot中应用程序授权的功能,并且提供多种身份验证式。 JWT是一种基于JSON的标准,主要用于在不同的应用程序之间传递安全令牌。它可以使得应用程序在授权用户访问时变得简单和高效,并且可以向其他无需经验证的应用程序发送授权证书,以允许他们访问您的应用程序资源。使用JWT,您可以轻松地传递身份验证数据,并确保这些数据不会被篡改。同时,JWT是通用的、标准化的,并且可以在大多数现代编程语言中使用。 在Spring Boot开发中使用Spring SecurityJWT,可以充分发挥它们的优势,实现更好的开发效率和安全性。Spring Security可以用来保护您的应用程序免受未经授权的访问和攻击,同时可以为授权用户提供访问控制。JWT提供了一种轻量级的安全机制,用于传递身份验证令牌,使得应用程序之间的交互变得更加灵活和安全。 总的来说,Spring Boot和其整合了的Spring SecurityJWT,为开发人员提供了完整的快速开发框架、安全性、实用性和扩展性,是一种非常理想的解决案,可以支持各种高性能的企业级Java web应用程序。 ### 回答3: SpringBoot是使用Java语言开发的一款便快捷的应用开发框架。SecurityJWT是其重要的安全保障工具,下面详细介绍它们如何在SpringBoot中使用。 一、Spring Security Spring Security是Spring官推出的安全框架,提供了一整套安全性认证和授权工具。包括用户身份认证(Authentication)、访问权限控制(Authorization)、密码加密、用户管理、认证式等多面,有效地提高了应用的安全性。 在SpringBoot中,添加Spring Security的依赖后,我们可以通过在配置文件配置好的认证信息和权限信息来管理访问控制。下面是一个简单的配置认证信息的例子: @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("user").password("password").roles("USER") .and() .withUser("admin").password("password").roles("USER", "ADMIN); } } 上面的代码中,我们首先添加了Spring Security的依赖,然后通过@EnableWebSecurity注解来启用Web安全,继承了WebSecurityConfigurerAdapter类后并重写configureGlobal(AuthenticationManagerBuilder auth)法来配置好需要认证的用户信息。其中,username为user,password为password的用户具有USER角色,username为admin,password为password的用户具有USER和ADMIN的角色。 二、JWT(JSON Web Token) JSON Web Token(JWT)是一种为Web应用程序提供认证及授权的开放标准,专门针对跨域应用场景下的单点登录、API 签名等场景。JWT本身是一个开放标准( RFC 7519),定义了用于在网络应用间传递声明的一种基于JSON的标准。 在SpringBoot中,我们可以通过引入JWT依赖后,结合Spring Security来实现JWT安全认证功能。下面是一个简单示例: @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenProvider jwtTokenProvider; @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable().authorizeRequests() .antMatchers("/api/authenticate").permitAll() .anyRequest().authenticated() .and() .apply(new JwtConfigurer(jwtTokenProvider)); } } 上述代码可以实现一个基于Spring SecurityJWT认证功能。我们使用jwtTokenProvider来生成和验证JWT Token,然后通过configure(HttpSecurity http)法来设定这个认证服务的安全策略。其中,访问/api/authenticate接口的请求不需要认证,而其他所有请求都需要已认证的访问者才能访问。 总结: Spring SecurityJWT是SpringBoot中两种主要的安全保障工具,其中Spring Security提供了传统的用户认证授权等服务,而JWT则更适合跨应用的API认证和授权场景。这两种工具可以结合使用,提高应用在安全面的保障。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值