02_学习springdoc与SpringSecurity配合_使用访问令牌来认证

已于 2023-10-11 18:51:18 修改
阅读量3.6k 收藏 16
点赞数 9
分类专栏: 接口文档 文章标签: 学习 spring java springdoc
于 2023-02-08 16:47:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ShiJunzhiCome/article/details/128935028
版权

文章目录

1 前言

  为了搞懂 springdoc 与 spring security 如何配合,我又学了一遍 spring security 的 JWT 相关的知识。🤣为什么学完就忘呢🤣,也许反反复复是普通人的常态吧,毕竟铁杵磨成针,那得费老大劲儿了~

  上一篇《01_学习springdoc的基本使用》 留了一点“遗憾” —— 没有写 springdoc 与 spring security 如何配合。现在“搞定”它了,我们可以愉快地使用 JWT 的访问令牌 accessToken 请求需要认证的 API 接口了~

2 提纲

  本文主要内容如下:

  • springdoc 的简单配置
  • 在 Spring Security 设置访问 swagger 页面时,不需要认证授权
  • springdoc 与 Spring Security 的配合

3. 准备工作

3.1 maven 依赖

<!-- security -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-test</artifactId>
    <scope>test</scope>
</dependency>

<!-- security jwt -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>${jjwt.version}</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>${jjwt.version}</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>${jjwt.version}</version>
    <scope>runtime</scope>
</dependency>

<!-- spring doc -->
<dependency>
    <groupId>org.springdoc</groupId>
    <artifactId>springdoc-openapi-ui</artifactId>
    <version>${springdoc.version}</version>
</dependency>
<dependency>
    <groupId>org.springdoc</groupId>
    <artifactId>springdoc-openapi-security</artifactId>
    <version>${springdoc.version}</version>
</dependency>

3.2 Spring Security 与 JWT

  这一部分需要做到:

  1. 能够使用 Jwts 创建和解析 token;
  2. 能够使用 refreshToken 获取新的 accessToken;
  3. 能够自定义一个 JwtFilter ,从请求头 Authorization: Bearer xxx.xxx.xxx 中拿到 accessToken,然后解析它,构建 UsernamePasswordAuthenticationToken,最后把它放到 SecurityContextHolder 中, 完成认证。

  由于本文的重点不是怎么使用 Spring Security ,而且相关的代码也多,所以上述3点就略过了。如果此时的你感觉无从下手,那我推荐在 慕课网 搜索 spring security 来学习。慕课网的这门课,课很好,🤣奈何我愚笨,学了2遍了,刚刚会了 JWT(估计过一阵子就又忘了😂),对后面的 oauth2 还是懵懵懂懂。路漫漫其修远兮,吾将上下而求索。

  经过努力😁,springdoc 与 oauth2 的结合,也OK了,链接如下 《04_学习springdoc与oauth结合_简述》

4 springdoc 的简单配置

import io.swagger.v3.oas.models.Components;
import io.swagger.v3.oas.models.OpenAPI;
import io.swagger.v3.oas.models.info.Info;
import io.swagger.v3.oas.models.info.License;
import io.swagger.v3.oas.models.security.SecurityScheme;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class MySpringDocConfig {
    /**
     * 一个自定义的 OpenAPI 对象
     *
     * @return 一个自定义的 OpenAPI 对象
     */
    @Bean
    public OpenAPI customOpenApi() {
        return new OpenAPI()
                .components(new Components()
                        // 设置 spring security jwt accessToken 认证的请求头 Authorization: Bearer xxx.xxx.xxx
                        .addSecuritySchemes("authScheme", new SecurityScheme()
                                .type(SecurityScheme.Type.HTTP)
                                .bearerFormat("JWT")
                                .scheme("bearer")))
                // 设置一些标题什么的
                .info(new Info()
                        .title("学习 Activiti 7 的 API")
                        .version("1.0.0")
                        .description("加油↖(^ω^)↗")
                        .license(new License()
                                .name("Apache 2.0")
                                .url("https://www.apache.org/licenses/LICENSE-2.0")));
    }
}

  效果如下图:

在这里插入图片描述

5 在 Spring Security 设置访问 swagger 页面时,不需要认证授权

import com.example.activiti7learn.security.filter.JwtFilter;
import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.boot.autoconfigure.security.servlet.PathRequest;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityCustomizer;
import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.DelegatingPasswordEncoder;
import org.springframework.security.crypto.password.MessageDigestPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import java.util.HashMap;
import java.util.Map;

@Slf4j
@Configuration
@RequiredArgsConstructor
public class MySecurityConfig {
    private final JwtFilter jwtFilter;

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        return http
                .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                .authorizeHttpRequests(auth -> auth
                        .antMatchers("/auth/**").permitAll()
                        .anyRequest().authenticated())
                .csrf(AbstractHttpConfigurer::disable)
                .formLogin(AbstractHttpConfigurer::disable)
                .httpBasic(AbstractHttpConfigurer::disable)
                // 在普通的用户名密码验证之前, 把 jwt 的过滤器加上
                .addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class)
                .build();
    }

    @Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
        // 忽略 /error 页面
        return web -> web.ignoring().antMatchers("/error",
                        // 忽略 swagger 接口路径
                        "/swagger-ui/**", "/v3/api-docs/**", "/swagger-ui.html")
                // 忽略常见的静态资源路径
                .requestMatchers(PathRequest.toStaticResources().atCommonLocations());
    }
}

6 springdoc 与 Spring Security 的配合

  在第 4 部分,已经有一个 springdoc 的简单配置,其中有和 JWT 相关的配置,代码片断如下(这个是从 springdoc 官网上学到的):

// 设置 spring security jwt accessToken 认证的请求头 Authorization: Bearer xxx.xxx.xxx
.addSecuritySchemes("authScheme", new SecurityScheme()
        .type(SecurityScheme.Type.HTTP)
        .bearerFormat("JWT")
        .scheme("bearer")))

  有了上面的配置,算是成功第一步了。接下来我们还要给 Controller 的方法加注解,如下:

import com.example.activiti7learn.common.JsonResult;
import com.example.activiti7learn.domain.common.PageInfo;
import com.example.activiti7learn.domain.common.PageReq;
import com.example.activiti7learn.domain.req.def.BpmnXmlReq;
import com.example.activiti7learn.domain.req.def.ProcessDefReq;
import com.example.activiti7learn.domain.resp.def.BpmnXmlResp;
import com.example.activiti7learn.service.ProcessDefinitionService;
import io.swagger.v3.oas.annotations.Operation;
import io.swagger.v3.oas.annotations.Parameter;
import io.swagger.v3.oas.annotations.responses.ApiResponse;
import io.swagger.v3.oas.annotations.responses.ApiResponses;
import io.swagger.v3.oas.annotations.security.SecurityRequirement;
import io.swagger.v3.oas.annotations.tags.Tag;
import lombok.RequiredArgsConstructor;
import org.activiti.api.process.model.ProcessDefinition;
import org.springframework.http.MediaType;
import org.springframework.web.bind.annotation.*;
import org.springframework.web.multipart.MultipartFile;

@RestController
@RequiredArgsConstructor
@Tag(name = "流程定义", description = "流程定义 API")
@ApiResponses(@ApiResponse(responseCode = "200", description = "接口请求成功"))
@RequestMapping(path = "/process-definition", produces = MediaType.APPLICATION_JSON_VALUE)
public class ProcessDefinitionController {
    private final ProcessDefinitionService processDefinitionService;

    // 重点在下面的 @SecurityRequirement, 其 name 就是前面 MySpringDocConfig addSecuritySchemes() 配置的 key
    @Operation(summary = "分页查询流程定义数据", security = @SecurityRequirement(name = "authScheme"))
    @PostMapping("/def-page-data")
    public JsonResult<PageInfo<ProcessDefinition>> findProcessDefinitionPage(@RequestBody PageReq<ProcessDefReq> req) {
        return processDefinitionService.findProcessDefinitionPage(req);
    }
}

  写到这里,🤣不得不吐槽一下,使用 springdoc 之后,代码里面的注解是真的多,这么多圈儿 @ 都快要把我绕晕了。上面最重要的一句是 @Operation(summary = "分页查询流程定义数据", security = @SecurityRequirement(name = "authScheme")) ,authScheme 就是前面 MySpringDocConfig .addSecuritySchemes("authScheme" 的 authScheme。

  大功告成了,是不是觉得有点快,有点突然😁。效果如下图:

在这里插入图片描述

7 验证

7.1 登录一个用户

  首先在登录API里面登录一个用户,如下图:

在这里插入图片描述

  由图可知 accessToken 是 eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJzbWl0aCIsImF1dGhvcml0aWVzIjpbIlJPTEVfQUNUSVZJVElfVVNFUiJdLCJpYXQiOjE2NzU4MzM2NjIsImV4cCI6MTY3NTg1MTY2Mn0.aW4ui_kEzrvxxSQbx4XZAfR6UGU-5Q7avyOM4oDnf2IdKB4nvA8Vt0DLo1JwKMtzyvZe_4Zwi6v5s_9HUvTpiQ

7.2 给 springdoc 设置 accessToken

  把 7.1 的 accessToken 设置到 springdoc 中,如下图,粘贴好 accessToken 之后,点 Authorize 按钮就行。

在这里插入图片描述

7.3 请求一个需要认证的接口

  这个时候,再请求一个需要认证的接口,就会发现,它自动加上了请求头 Authorization: Bearer xxx.xxx.xxx,如下 curl 代码所示:

curl -X 'POST' \
  'http://localhost:8081/process-definition/def-page-data' \
  -H 'accept: application/json' \
  -H 'Authorization: Bearer eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJzbWl0aCIsImF1dGhvcml0aWVzIjpbIlJPTEVfQUNUSVZJVElfVVNFUiJdLCJpYXQiOjE2NzU4MzM2NjIsImV4cCI6MTY3NTg1MTY2Mn0.aW4ui_kEzrvxxSQbx4XZAfR6UGU-5Q7avyOM4oDnf2IdKB4nvA8Vt0DLo1JwKMtzyvZe_4Zwi6v5s_9HUvTpiQ' \
  -H 'Content-Type: application/json' \
  -d '{
  "currentPage": 1,
  "pageSize": 20,
  "req": {
    "processDefinitionId": null,
    "processDefinitionKey": "ProcessRuntimeDefKey",
    "processDefinitionKeys": null
  }
}'

在这里插入图片描述

  其实费了大半天劲,要的就是自动加上请求头 Authorization: Bearer xxx.xxx.xxx 的效果😁

8 结语

  感谢阅读~

小匠石钧知
关注
专栏目录
SpringBoot开发——整合SpringDoc实现在线接口文档
bjzhang75的博客
09-20 763
SpringBoot整合SpringDoc实现在线接口文档
Day47_Spring SecuritySpring Security的微服务使用
weixin_45014721的博客
07-13 3168
(2)基于 token,(token就是按一定规则生成的包含用户信息的字符串),基于 Session则是解析出 token,然后将当前请求加入到 Spring-security 管理的权限信息中去。这是SpringSecurity微服务中最常用的方式。上面授权的时候,把用户信息放入权限的上下文SecurityContextHolder中,那么后面就可以你可以通过SecurityContextHolder来获取当前的安全上下文,并从中获取Authentication对象,进而获取用户信息。
SpringDoc基础配置和集成OAuth2登录认证教程
云逸的博客
11-20 1314
现在大部分教程是在swagger-ui页面添加一个请求头,使用时先去获取一个token,然后再将获取的token填充至页面的token输入框内,如果是通过某个接口自己生成token的方式使用这种配置没什么太大问题,但是如果是通过OAuth2登录获取token时就比较麻烦,要填充token type和access token,所以在swagger-ui提供的页面中提供OAuth2登录的入口,OAuth2登录自动配置,一步到位。
SPRING SECURITY DOC
04-27
SPRING SECURITY DOC,相关详细资料。参考价值很高
spring-security doc logout
weixin_34295316的博客
06-28 82
18.5.3 Logging Out Adding CSRF will update the LogoutFilter to only use HTTP POST. This ensures that log out requires a CSRF token and that a malicious user cannot forcibly log out your u...
springboot springsecurity使用springdoc,从springfox迁移到springdoc,swagger2改swagger3
草叶儿的博客
03-15 2836
前提:原项目,有springsecurity,且使用jwt 1.依赖 <!--版本号--> <springdoc.version>1.6.6</springdoc.version> <!--springdoc--> <dependency> <groupId>org.springdoc</groupId>
Springdoc Swagger UI集成OAuth2认证
罗小爬的技术宝书
02-26 2920
本文主要介绍了Springdoc Swagger UI集成OAuth2认证的3种方式:Bearer Token、标准OAuth2授权码流程、集成OIDC发现端点。
Spring Security 2 配置精讲
luzhou33的专栏
01-22 263
论坛上看了不少Spring Security的相关文章。这些文章基本上都还是基于Acegi-1.X的配置方式,而主要的配置示例也来自于SpringSide的贡献。 众所周知,Spring Security针对Acegi的一个重大的改进就在于其配置方式大大简化了。所以如果配置还是基于Acegi-1.X这样比较繁琐的配置方式的话,那么我们还不如直接使用Acegi而不要去升级了。所以在这里,我将结...
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
配合压缩包中的"配套笔记_Spring Security OAuth2.0认证授权_v1.1",读者可以详细学习如何在实际项目中设置这些组件,以及如何处理授权过程的每一个步骤。笔记可能涵盖了创建自定义授权服务器和资源服务器的配置,...
zmc_security_oauth2:Spring Security OAuth2简单演示
05-26
总的来说,"zmc_security_oauth2"项目为我们提供了一个学习和实践Spring Security OAuth2的实例。通过对这个项目的深入理解和分析,我们可以更好地掌握OAuth2的原理和实践,以及如何在实际的Java应用中有效地实现...
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权 [ 附源码 ]
"✧treasure mountain✧"
05-16 6783
最近在做项目的过程中 需要用JWT做登录和鉴权 查了很多资料 都不甚详细 在踩过很多坑之后整理了一下 做个笔记 一、概念 什么是JWT Json Web Token (JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519) 该token被设计为紧凑且安全的 特别适用于分布式站点的单点登录(SSO)场景 随着JWT的出现 使得校验方式更加简单便捷化 JWT实际上就是一个字符串 它由三部分组成:头部 载荷和签名 用[.]分隔 类似于:xxxx.xxxx.xxxx 直接根据t
spring.doc.doc
06-22
Spring概述
spring_gateway_security_webflux.rar
07-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gateway采用的是纯Webflux方式,所以原有的Spring基于传统拦截器、过滤器的方式无法正常使用...
spring security设置用户jwt令牌和设置接口访问权限案例
qq_41358574的博客
10-19 1511
文章目录1.配置Swagger2.spring security配置3.用户校验逻辑注册和登录接口dao层 service层 pojo层4.加密验证逻辑5.生成令牌逻辑身份验证提供者:自定义令牌对象:6.登录认证过滤器:7.JwtToken工具类:security工具类8.权限封装:9.用户模型:10.测试生成令牌11.测试用户权限 1.配置Swagger 为了方便测试首先在swagger config中配置加入令牌项,配置token作为请求头部参数: @Configuration @EnableSwag
springsecurity-oauth2令牌 access_token验证
clonetx的博客
06-21 4346
springsecurity oauth2 令牌access_token验证源码分析
Spring WebFlux (4): 使用springdoc openapi测试登录security设置
泛泛之素
08-12 1991
首先设置在设置全局filter时,将swagger相关的网址授权: 登录设置: 1. swagger全局登录设置,在controller文件中进行设置: 设置之后可以在标红处进行登录: 登录之后便可测试api: 2. 对某个路由进行设置 设置之后,可以在红框处进行登录: ...
spring security 学习
巡山小妖008
05-02 196
spring security 学习doc:https://docs.spring.io/spring-security/site/docs/ 基于表单的认证(个性化认证流程): 一、自定义登录页面 1、在securityConfigy配置类中的config方法中添加调用链方法 @Override protected void configure(Ht...
springboot+security+openapi3
qq_59867678的博客
02-26 595
【代码】springboot+openapi3。
springdoc-openapi使用
最新发布
qq_44209563的博客
04-18 1336
展示接口页面表示成功。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值