SpringBoot-整合Security和JWT(学习笔记)

最新推荐文章于 2024-05-29 21:37:00 发布
最新推荐文章于 2024-05-29 21:37:00 发布
阅读量477 收藏 1
点赞数
分类专栏: SpringSecurity 文章标签: spring boot java jwt
原文链接:https://blog.csdn.net/mengxianglong123/article/details/112463172
版权

SpringBoot整合Security和JWT

转自

https://blog.csdn.net/mengxianglong123/article/details/112463172
在这里插入图片描述

1.导入相关的依赖和基础配置

1.1导入依赖

	<parent>
        <artifactId>spring-boot-starter-parent</artifactId>
        <groupId>org.springframework.boot</groupId>
        <version>2.3.4.RELEASE</version>
        <relativePath/>
    </parent>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
        </dependency>
        <!--security-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!--jtw-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
        <!--json-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.76</version>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-web</artifactId>
        </dependency>
    </dependencies>

1.2 相关配置

# 生成token的相关配置
jwt:
  header: Authorization  #请求头
  base64Secret: wsl_  #盐值
  tokenValidityInSeconds: 3600000 #过期时间 10秒

token配置类

@Component
@Data
@ConfigurationProperties(prefix = "jwt")
public class JwtProperties {

    /** Request Headers : Authorization */
    private String header;

    /** Base64对该令牌进行编码 */
    private String base64Secret;

    /** 令牌过期时间 此处单位/毫秒 */
    private Long tokenValidityInSeconds;
}

实现security中的UserDetails类,方便后续使用

@Data
public class JwtUser implements UserDetails {   //实现UserDeails接口
    //用户名
    private String username;
    //密码
    private String password;
    // 权限(角色)列表
    Collection<? extends GrantedAuthority> authorities;

    public JwtUser(String stuId, String password, List<GrantedAuthority> grantedAuthorities) {
        this.username = stuId;
        this.password = password;
        this.authorities = grantedAuthorities;
    }


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.authorities;
    }

    @Override
    public String getUsername() {
        return this.username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

token 生成工具,用来生成和解析token

@Component
public class JWTUtils {

    @Resource
    private  JwtProperties jwtProperties;


    /**
     * 生成token
     * @param name 用户名称
     * @return
     */
    public  String generateToken(String name){
        Map<String,Object> map = new HashMap<>();
        map.put("username",name);
//        map.put("password",user.getPassword());
        return Jwts.builder()
                //设置用户信息
                .setClaims(map)
                //token过期时间
                .setExpiration(new Date(System.currentTimeMillis()+jwtProperties.getTokenValidityInSeconds()))
                //设置主题
                .setSubject("Wsl_system")
                //设置签名
                .signWith(SignatureAlgorithm.HS512,jwtProperties.getBase64Secret().getBytes(StandardCharsets.UTF_8))
                .compact();
    }

    /**
     * 解析token
     * @param token token
     */
    public   String analysisToken(String token){
        Claims body = Jwts.parser()
                .setSigningKey(jwtProperties.getBase64Secret().getBytes(StandardCharsets.UTF_8))
                .parseClaimsJws(token)
                .getBody();

        return body.get("username").toString();
    }


}

2.创建自定义权限不足处理类

实现AccessDeniedHandler类,重写里面的handle方法,源码中的注解
在这里插入图片描述

@Component
public class JwtAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        Map<String,Object> ret = new HashMap<>();
        ret.put("code",401);
        ret.put("message","权限不足");
        ret.put("data",null);
        response.setContentType("text/json;charset=utf-8");
        response.getWriter().write(JSON.toJSONString(ret));
    }
}

3.创建认证失败处理类

实现AuthenticationEntryPoint接口重写这个commence方法,用于验证token失败之后会进入到这个commence方法中。源码注释
在这里插入图片描述

@Configuration
public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        Map<String,Object> ret = new HashMap<>();
        ret.put("code",401);
        ret.put("message","无效token");
        ret.put("data",null);
        response.setContentType("text/json;charset=utf-8");
        response.getWriter().write(JSON.toJSONString(ret));
    }
}

4.创建登录成功处理器

实现AuthenticationSuccessHandler接口,用户登录成功之后进入到onAuthenticationSucess方法,主要生成token,将token给到前端。源码注释
在这里插入图片描述

@Configuration
public class JwtAuthenticationSuccessHandler implements AuthenticationSuccessHandler {


    @Autowired
    private JWTUtils jwtUtils;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        String name = authentication.getName();
        //生成token
        String token = jwtUtils.generateToken(name);

        //将生成的authentication放入容器中,生成安全的上下文
        SecurityContextHolder.getContext().setAuthentication(authentication);

        Map<String,Object> ret = new HashMap<>();
        ret.put("code",200);
        ret.put("message","登录成功");
        ret.put("data",token);
        httpServletResponse.setContentType("text/json;charset=utf-8");
        httpServletResponse.getWriter().write(JSON.toJSONString(ret));
    }
}

5.创建Token过滤器

继承OncePerRequestFilter类,重写doFilterInternal方法。主要作用是用户登录完成之后,拿着token来访问资源,对token的解析

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private JwtUserServiceImpl jwtUserService;

    @Autowired
    private JwtProperties jwtProperties;

    @Autowired
    private JWTUtils jwtUtils;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //获取token
        String token = request.getHeader(jwtProperties.getHeader());
        //解析token
        try {
            String name = jwtUtils.analysisToken(token);
            //当token中的username不为空时进行验证token是否是有效的token
            if (name != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                UserDetails userDetails = jwtUserService.loadUserByUsername(name);
                //认证
                UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(authenticationToken);
            }

        }catch (Exception e){
            e.printStackTrace();
        }finally {
            filterChain.doFilter(request,response);
        }
    }
}

6.自定义登录逻辑

实现UserDetailsService接口,重写loadUserByUsername方法。这里暂时写死了,正常做法应该查询数据库。源码部分太多。

@Component
public class JwtUserServiceImpl  implements UserDetailsService {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {
        //占时写死 admin
        if(!"admin".equals(name)){
            throw new UsernameNotFoundException("用户名或密码不存在");
        }
        List<GrantedAuthority> list = new ArrayList<>();
        //设置admin角色 角色前面加 ROLE_
        list.add(new SimpleGrantedAuthority("ROLE_admin"));
//        list.add(new SimpleGrantedAuthority("add"));
        return new JwtUser(
                name,
                passwordEncoder.encode("123"),
                list
        );
    }
}

7.创建登录失败后的处理器

实现AuthenticationFailureHandler 接口重写onAuthenticationFailure方法。主要登录失败了之后给友好的提示.源码注释如下:
在这里插入图片描述

@Configuration
public class LoginFailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        Map<String,Object> ret = new HashMap<>();
        ret.put("code",401);
        ret.put("message","用户名或密码错误");
        ret.put("data",null);
        response.setContentType("text/json;charset=utf-8");
        response.getWriter().write(JSON.toJSONString(ret));
    }
}

8.配置WebSecurityConfigurer类

继承WebSecurityConfigrerAdaper 重写configure(HttpSecurity http)方法和将AuthenticationManager注入到Spring中。将上面的处理器和过滤器添加到这个配置类中,以及配置拦截和放行路径

@Configuration
@EnableWebSecurity
//开启注解权限控制
@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private JwtAuthenticationSuccessHandler jwtAuthenticationSuccessHandler;

    @Autowired
    private LoginFailureHandler loginFailureHandler;

    @Autowired
    private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Autowired
    private JwtAccessDeniedHandler jwtAccessDeniedHandler;



    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .successHandler(jwtAuthenticationSuccessHandler)
                .failureHandler(loginFailureHandler)
                .loginProcessingUrl("/login")
                //关闭csrf
                .and()
                .csrf().disable()
                // 自定义认证失败类
                .exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint)
                // 自定义权限不足处理类
                .accessDeniedHandler(jwtAccessDeniedHandler).and()
                //设置无状态登录
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                //过滤登录退出请求
                .authorizeRequests()
                .antMatchers(HttpMethod.OPTIONS,"/**").permitAll()
                .antMatchers("/login/**").permitAll()
                //所有请求都需要拦截
                .anyRequest()
                .authenticated();
		//添加token验证过期器,并指定过滤器的类型是UsernamePasswordAuthenticationFilter
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

9编写测试接口

@RequestMapping("/test")
@RestController
public class TestController {

    @GetMapping("/get")
    public String  get(){
        return "SUCCESS";
    }

    @GetMapping("/delete")
    //需要admin角色
    @PreAuthorize("hasAnyRole('admin')")
    public String delete(){
        return "操作成功";
    }


    @PostMapping("/add")
    //需要add权限
    @PreAuthorize("hasAnyAuthority('add')")
    public String add(){
        return "操作成功";
    }

}

10 测试

先登录
在这里插入图片描述
带着token访问
在这里插入图片描述
不带token访问
在这里插入图片描述
访问没有权限的接口
在这里插入图片描述

推荐讲解Security原理比较好的一个博主

https://blog.csdn.net/qq_40794973/category_9356579.html

Sparkle_wsl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot】集成SpringSecurity+JWT实现多服务单点登录,原来这么easy
墩墩分墩
09-25 2226
- **单点登录(SingleSignOn,SSO)**,当用户在身份`认证服务器`上登录一次以后,即可**获得访问单点登录系统中其他关联系统和应用软件的权限**,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,`用户只需一次登录就可以访问所有相互信任的应用系统`。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的一种**分布式登录方式**。
Springboot+Security+Jwt
点点的博客
12-13 1万+
工程目录 文章目录 工程目录 前言 一、Security是什么? 二、使用步骤 1.引入pom.xml文件 2.application.yml文件 。。。。。。 总结:代码足够详细,有耐心的可以看,没耐心的浪费时间! 前言 随着业务的发展,传统的不分离前后端的Java项目逐渐减少,更多的时候是做到前后端分离,会话管理也就从传统的Session会话管理变为Jwt管理会话,本篇文章就是SpringBoot使用Jwt管理会话同时整合Security,完成权限操作。
Spring boot Security Jwt
何xiao树
05-31 1513
Spring Security 整合开发 引入 security 启动器,默认拦截所有资源,启动项目会生成一个默认密码,账号 user <!-- 引入Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-.
Spring Boot + Spring Security + JWT 从零开始
最新发布
喵喵分享师
05-29 1222
这个LDAP服务器将在内存中保存所有信息,这对于开发目的来说就够了,当我们构建一个连接到这个本地LDAP服务器的应用程序时,我们所构建的东西可以轻松地指向一个真实的LDAP服务,然后仍然可以工作相同的方式。所以我要做的是去我的POM文件,添加一些依赖项。这篇笔记中,我们将学习如何从头开始设置一个带有Spring SecuritySpring Boot应用程序,它连接到一个LDAP身份验证的Spring Security身份验证提供程序,这将是即将出现的,这个连接和工作都是开箱即用的。
SpringBoot+SpringSecurity+JWT实RESTfulAPI权限控制
热门推荐
林老师带你学编程
10-26 4万+
关于什么是jwt(json web token),还有jwt的工作流程我这边就不多介绍,主要给大家介绍一下SpringBoot中如何整合Security然后在添加jwt的支持。 想学习分布式、微服务、JVM、多线程、架构、java、python的童鞋,千万不要扫码,否则后果自负~ 通过SpringBoot+Security+JWT来实现token校验的过程。在生产环境中,对发布API增加授...
一文搞懂SpringSecurity+JWT前后端分离~
weixin_45647685的博客
04-27 1万+
1、简介 SpringSecurity属于Spring家族中的一款安全管理框架,,它提供了一套Web应用安全性的完整解决方案。主要的功能是认证和授权。 **认证 *验证当前访问系统的是不是本系统的用户,并且要确定具体是哪个用户。 **授权 *经过认证后判断当前用户是否有权限进行某个操作。 2、快速入门 2.1、创建一个SpringBoot工程 1、先创建一个最基本的SpringBoot工程,配置好相关数据库,并且编写一个Controller进行测试。 ① 导入依赖 ...
springboot-springsecurity-jwt-demo
01-28
一:RestApi接口增加JWT认证功能 ...传统的方法是在认证通过后,创建sesstion,并给客户端返回cookie。...[输入图片说明](https://gitee.com/uploads/images/2018/0211/154315_241cd6b2_130820.png "jwt-4.png")
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
因此,本文将详细介绍如何将SpringSecurityjwt整合SpringBoot项目中,以提供一个安全的身份验证和授权机制。 什么是SpringSecuritySpringSecurity是一个基于Java的安全框架,它提供了一个灵活的安全机制来...
springboot-oauth2-jwt-example:通过JWT令牌学习Oauth2
05-03
总结起来,这个“springboot-oauth2-jwt-example”项目提供了学习如何在Spring Boot应用中实施OAuth2和JWT的实践案例。通过这个项目,开发者能够理解如何配置授权服务器和资源服务器,如何生成和验证JWT,以及如何...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring SecurityJWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
SpringBoot集成Spring SecurityJWT令牌实现登录和鉴权的方法
08-19
主要介绍了SpringBoot集成Spring SecurityJWT令牌实现登录和鉴权的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
SpringBoot + SpringSecurity+JWT整合(微服务适用)
weixin_42372860的博客
09-26 1181
SpringSecurity基于表单的登录认证流程如下图: 大致过程是在UsernamePasswordAuthenticationFilter将username和password封装成UsernamePasswordAuthenticationToken,之后会在AuthenticationProvider(接口,需要自己实现)的authenticate方法中拿到且校验(一般是查数据库,对比账号密码),而校验成功则返回Authentication接口对象(一般情况是直接返回UsernamePassw
SpringBoot + SpringSecurity + JWT认证
Eden 的博客
08-13 137
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。至此,spring-security 整合 jwt 认证 就已经完成了。负载中包含了所有用户所需要的信息,避免了多次查询数据库。application.properties 配置。简洁(Compact)
SpringBoot+SpringSecurity+JWT整合实现单点登录SSO史上最全详解
程序员闪充宝
01-05 4255
作者:波波烤鸭blog.csdn.net/qq_38526573/article/details/103409430一、什么是单点登陆单点登录(Single Sign On),简称为 S...
SpringBoot 集成SpringSecurity JWT
weixin_55765992的博客
07-01 1036
1. 简介 今天ITDragon分享一篇在Spring Security 框架中使用JWT,以及对失效Token的处理方法。 1.1 SpringSecurity Spring SecuritySpring提供的安全框架。提供认证、授权和常见的攻击防护的功能。功能丰富和强大。 Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-fa
SpringBoot整合Spring Security + JWT实现用户认证
leveretz的博客
07-13 1640
SpringBoot整合Spring Security + JWT实现用户认证
Spring Security 超详细整合 JWT,能否拿下看你自己!
08-31 6711
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT 的认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
JWT及和Spring Security整合
如果你想拥有更多的人生选择,你必须拥有更多的知识。-- 来自u011437883的博客
05-03 2310
JWT,全称是Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权: 解析jwt的官网:https://jwt.io/
springboot整合springsecurityjwt
04-28
1. 在pom.xml中引入spring-securityjwt相关依赖 ```xml <!-- Spring Security --> <groupId>org.springframework.security <artifactId>spring-security-web ${spring-security.version} <groupId>org....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值