SpringBoot3 + SpringSecurity6 + JWT

最新推荐文章于 2024-07-08 19:14:05 发布
最新推荐文章于 2024-07-08 19:14:05 发布
阅读量399 收藏 2
点赞数 10
文章标签: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TaylorY/article/details/138275554
版权
本文介绍了如何在SpringSecurity框架下使用Maven引入依赖,创建用户业务逻辑、自定义密码验证、JWT服务和过滤器,以及配置安全认证和登录API,展示了从基础设置到实际应用的完整流程。
摘要由CSDN通过智能技术生成

相关链接

Spring Security mvnrepository

1. pom 引入

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>5.8.27</version>
</dependency>

2. 创建 UserBO 实现 UserDetails(spring security 中)

public class UserBO implements UserDetails {
    private String password;
    private String username;
    private List<GrantedAuthority> authorities;
    private boolean accountNonExpired;
    private boolean accountNonLocked;
    private boolean credentialsNonExpired;
    private boolean enabled;
}

3. 创建 service 实现 UserDetailsService

@Service
public class UserDetailsDetailsService implements IUserDetailsService {

    @Autowired
    IAccountInfoService accountInfoService;
    
    @Override
    public UserBO loadUserByUsername(String username) throws UsernameNotFoundException {
        AccountInfo ai = accountInfoService.findByUsername(username);
        if (null == ai) {
            throw new UsernameNotFoundException("用户名/密码错误");
        }
        return UserBO.trans(ai);
    }
}

4. 创建自定义密码校验

@Component
public class CustomPasswordEncoder implements PasswordEncoder {
    @Override
    public String encode(CharSequence rawPassword) {
        // 自定义加密方法
        return rawPassword.toString();
    }

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        String[] pwd = encodedPassword.split("&");
        return new BCryptPasswordEncoder().matches(rawPassword.toString() + "&" + pwd[1], pwd[0]);
        // 自定义验证方法
    }
}

6. 创建 jwt 服务(可以按照自己的来)

public interface IJwtService {

    /**
     * 用户名
     *
     * @param token 令牌
     * @return 名称
     */
    String extractUsername(String token) throws AuthenticationException;

    /**
     * 验证
     *
     * @param token 令牌
     * @return 结果
     */
    Boolean validateToken(String token);

    /**
     * 获取token
     *
     * @param payload 信息
     * @return token
     */
    String generateToken(Object payload);
}

7. 创建 jwt 实例 (可以按照自己的来)

@Service
public class JwtService implements IJwtService {

    static final JWTSigner JWT_SIGNER = JWTSignerUtil.hs256("!34ADASfhsrujwstrfhwdg@#$$@#efh3".getBytes());


    @Override
    public String extractUsername(String token) throws AuthenticationException {
        JWTPayload payload = JWTUtil.parseToken(token).getPayload();
        if (null != payload) {
            return payload.getClaim("username").toString();
        }
        throw new AuthenticationException();
    }

    @Override
    public Boolean validateToken(String token) {
        return JWTUtil.verify(token, JWT_SIGNER);
    }

    @Override
    public String generateToken(Object payload) {
        return JWTUtil.createToken(BeanUtil.beanToMap(payload, "id", "username", "authorities"), JWT_SIGNER);
    }
}

8. 创建 jwt 过滤器 (可以自定义)

@Component
public class JwtAuthFilter extends OncePerRequestFilter {

    @Autowired
    private IJwtService jwtService;

    @Autowired
    IUserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String authHeader = request.getHeader("Authorization");
        String token = null;
        String username = null;
        if(authHeader != null && authHeader.startsWith("Bearer ")){
            token = authHeader.substring(7);
            username = jwtService.extractUsername(token);
        }

        if(username != null && SecurityContextHolder.getContext().getAuthentication() == null){
            UserDetails details = userDetailsService.loadUserByUsername(username);
            if(jwtService.validateToken(token)){
                UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(details, null, details.getAuthorities());
                authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(authenticationToken);
            }

        }

        filterChain.doFilter(request, response);
    }
}

9. 创建认证config

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Autowired
    JwtAuthFilter jwtAuthFilter;

    @Autowired
    IUserDetailsService userDetailsService;

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        return http.csrf(AbstractHttpConfigurer::disable)
                .authorizeHttpRequests((ahrc) ->
                        ahrc.requestMatchers("/auth/login")
                                .permitAll()
                                .requestMatchers("/**")
                                .authenticated())
                .authenticationProvider(authenticationProvider())
                .addFilterBefore(jwtAuthFilter, UsernamePasswordAuthenticationFilter.class)
                .sessionManagement((smc) -> smc.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                .build();

    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new CustomPasswordEncoder();
    }

    @Bean
    public AuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
        authenticationProvider.setUserDetailsService(userDetailsService);
        authenticationProvider.setPasswordEncoder(passwordEncoder());
        return authenticationProvider;
    }

    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration config) throws Exception {
        return config.getAuthenticationManager();
    }

}

10. 编写登陆API

@RestController
@RequestMapping("/auth")
public class AuthController {

    @Autowired
    IJwtService jwtService;

    @Autowired
    AuthenticationManager authenticationManager;

    @PostMapping("/login")
    public IResult<?> login(@RequestParam("username") String username, @RequestParam("password") String password) {
        Authentication authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password));
        if(authentication.isAuthenticated()){
            Map<String, String> params = new HashMap<>();
            params.put("username", username);
            params.put("token", jwtService.generateToken(authentication.getPrincipal()));
            return ResultVO.success(params);
        } else {
            throw new UsernameNotFoundException("错误的请求");
        }
    }
}

TaylorY
关注
  • 10
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
7.基于SpringBoot3+Security6+JWT实现鉴权机制
算法小生
11-07 398
为什么要说下呢,JWT三部分组成,就要刚刚笔者参加的2023下半年系统架构师考试中考到了,然后我竟然想不起来了。。。JWT(JSON Web Token)由三个部分组成,它们分别是头部(header)、载荷(payload)和签名(signature)。头部(Header):JWT的头部是一个包含两个部分的JSON对象,用于描述签名算法和令牌类型。它通常包含以下信息:typ(类型):令牌的类型,这里通常是"JWT"。alg(算法):用于签名令牌的算法,例如HMAC、RSA或者其他加密算法。
springboot+springsecurity+jwt
weixin_43213137的博客
03-03 372
什么是JWT——What is JSON Web Token? 首先JWT全称是JSON Web Token,它是根据开放标准RFC7519所定义的一个紧凑和独立的在各方安全的传输信息的JSON格式对象。它所传递的信息能够被验证和信任,因为它是数字签证。 以上是官方解释,大白话就是它是来做安全认证的,客户端和服务端的身份认证,可以通过JSON Web Token来做,当然使用springsecur...
SpringBoot3 + SpringSecurity6 前后端分离
一起加油吧!
11-22 3486
SpringBoot3 + SpringSecurity6 前后端分离,自定义token过滤器,自定义处理器,静态资源放行。
spring boot 3.x版本中集成spring security 6.x版本进行实现动态权限控制解决方案
最新发布
C_AJing的博客
07-08 1487
框架会自动使用的方法进行用户加载,在加载用户以后,会在过滤器中的方法中,进行前端输入的用户信息和加载的用户信息进行信息对比。/*** 这里为了演示方便,模拟从数据库查询,直接设置一下权限");return new User("jack" , // 用户名称 new BCryptPasswordEncoder() . encode("123456") , //密码 list //权限列表);} }/**
基于Spring Boot 3 + Spring Security6 + JWT + Redis实现接口资源鉴权
程序员雅痞的博客
03-29 1322
紧接上一篇文章,基于Spring Boot 3 + Spring Security6 + JWT + Redis实现接口资源鉴权
基于Spring Boot 3 + Spring Security6 + JWT + Redis实现登录、token身份认证
程序员雅痞的博客
03-28 7168
基于Spring Boot3实现Spring Security6 + JWT + Redis实现登录、token身份认证。
SpringBoot3.0 + SpringSecurity6.0+JWT
热门推荐
胖胖爱吃肉~的博客
03-03 2万+
SpringBoot3.0 + SpringSecurity6.0+JWTSpring SecuritySpring 家族中的一个安全管理框架。一般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作搭建一个SpringBoot工程① 设置父工程 添加依赖 配置文件application.yml ② 创建启动类 ③ 创建Controller 启动项目,查看接口文档地址:http://localhost:4
Springboot+SpringSecurity+JWT整合
weixin_43985693的博客
02-19 442
Springboot+SpringSecurity+JWT整合 一、什么是SpringSecurityJWT SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。 为Java应用程序提供身份验证和授权 JWT(JSON Web Token)目前最流行的跨域认证解决方案。 参考资料: SpringSecurity原理剖析与权限系统设计 JSON Web Token 入门教程 二、为什么用SpringSecurit+JWT实现授权验证 基于session的认证 ht
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统
04-30
基于当前流行技术组合的前后端分离商城系统:SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含商城、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券...
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring SecurityJWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
SpringBoot3】Spring Security 详细使用实例(简单使用、JWT模式)
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-23 3520
Spring Security 使用起来非常简单,只要引入相关依赖包,然后增加注解`@EnableWebSecurity`就可以。同时提供了丰富的扩展点,可以让你自定义权限校验策略。 常见的使用场景分两类: 1. 有session模式,通常是前端不分离的项目,使用cookie + session 模式存储以及校验用户权限; 2. 无session模式,通常是前后端分离项目,使用Jwt形式的Token校验权限
Spring Boot 3 + JWT + Security 联手打造安全帝国:一篇文章让你掌握未来!
wangluoanquan111的博客
04-20 973
已经成为java后台权限校验的第一选择.今天就通过读代码的方式带大家深入了解一下Security,本文主要是基于开源项目[spring-security)来讲解Spring Security + JWT(Json Web Token).实现用户鉴权,以及权限校验.所有代码基于jdk17+构建.现在让我们开始吧!BCryptMaven从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
springboot3整合最新版jjwt(0.12.3)
m0_73376570的博客
01-31 3380
基于黑马的苍穹外卖,使用springboot3整合jjwt(0.12.3)
spring boot3.x结合spring security最新版实现jwt登录验证
qq_45635939的博客
09-02 2326
快速构建
Springboot 3 + Spring Security 6 +jwt 项目配置
05-26
好的,下面是Spring Boot 3 + Spring Security 6 + JWT的项目配置步骤: 1. 添加Spring SecurityJWT的依赖 在pom.xml文件中添加以下依赖: ``` <groupId>org.springframework.boot <artifactId>spring-boot-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值