springsecurity+jwt 的 helloworld demo工作流程

最新推荐文章于 2024-07-30 17:25:47 发布
最新推荐文章于 2024-07-30 17:25:47 发布
阅读量181 收藏 1
点赞数 1
分类专栏: springsecurity+jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xeon_CC/article/details/109688648
版权
本文详细解析了SpringBoot集成JWT实现用户认证的流程。从客户端发送POST请求携带用户名和密码,到服务器验证凭证,生成JWT Token,再到后续请求中验证Token的合法性,确保安全访问受保护资源。涉及关键步骤包括AuthenticationManager的认证、JwtTokenUtil的生成与验证以及JwtRequestFilter的过滤操作。
摘要由CSDN通过智能技术生成

参考原文Spring Boot Security + JWT Hello World Example: https://www.javainuse.com/spring/boot-jwt 

自我总结:

① 客户端发送POST请求,在POSTman的requestBody里边以json字符串作为参数发送请求,参数有username和password

② 在JwtAuthenticationController里边,这是用来验证用户名密码的controller,请求参数是 @RequestBody JwtRequest authenticationRequest,在第①步骤发送的json字符串被转化称对象,传进authenticationRequest,因为JwtRequest这个model已经实现了Serializable接口,所以发送post请求的json字符串可以转化为对象类型

③ 接收到JwtRequet对象(自定义model类)jwtRequest以后,通过 jwtRequest.getUsername() 和 jwtRequest.getPassword() 方法获取用户名和密码,把这些用户名和密码传入AuthenticationManager接口的 authenticate(new UsernamePasswordAuthenticationToken( jwtRequest.getUsername()  ,  jwtRequest.getPassword() )) 方法,这个AuthenticationManager接口的authenticate方法的作用是对用户的未授信凭据进行认证,认证通过则返回授信状态的凭据

④ 通过 调用 userDetailsService.loadUserByUsername(jwtRequest.getUsername());  返回一个User类型(springsecurity源码类), 将这个返回值赋值给UserDetails接口的对象 userDetails 。userDetails里面可以获取用户详细信息。代码:

final UserDetails userDetails = userDetailsService.loadUserByUsername(jwtRequest.getUsername());

⑤ 通过使用 jwtTokenUtil工具类调用generateToken方法,传入userDetails对象,生成token字符串,最后返回一个token字符串。代码:

final String token = jwtTokenUtil.generateToken(userDetails);

⑥ 生成token字符串以后,在请求头带着token去发送get请求以访问目标业务,那么这个token是否合法呢?怎么验证token是否合法呢,那么首先要通过JwtRequestFilter过滤器

⑦ 在JwtRequestFilter过滤器里边,JwtRequestFilter继承了OncePerRequestFilter,实现了doFilterInternal方法,方法里面有3个参数,分别是

HttpServletRequest request, HttpServletResponse response, FilterChain chain

那么我们带着token发送get请求去执行业务的时候,通过这三个参数里边的HttpServletRequest request 去获取请求头信息,即:

final String requestTokenHeader = request.getHeader("Authorization");

(1)判断1:首先判断 requestTokenHeader (请求头信息,其实就是token字符串有关信息)是否非空,而且判断requestTokenHeader是否以字符串 "Bearer " 开头,如果满足条件

那么去掉前面7个字符串,得到字符串 jwtToken (真正的token),通过 jwtToken工具类调用 jwtTokenUtil.getUsernameFromToken(jwtToken); 方法,从token里面获取username

(2)判断2:再次判断 username 是否非空, SecurityContextHolder.getContext().getAuthentication() 是否为空,如果满足条件

那么通过  this.jwtUserDetailsService.loadUserByUsername(username) 方法返回User类型的对象,赋值给UserDetails接口对象,即通过username去获取用户信息详情,可以通过userDetails对象取获取用户名、密码、授予哪些权限,代码:

System.out.println("userDetails的密码:"+userDetails.getPassword());
System.out.println("userDetails的用户名:"+userDetails.getUsername());
//获取userDetails的授权有哪些,返回的是一个数组
System.out.println("userDetails的授权:"+userDetails.getAuthorities());

(3)判断2的子判断:判断 jwtTokenUtil.validateToken(jwtToken, userDetails) 是否返回true,即通过token和userDetails对象来验证其合法性,如果合法,执行以下代码通过验证:

UsernamePasswordAuthenticationToken uPAT = new UsernamePasswordAuthenticationToken(
        userDetails, null, userDetails.getAuthorities()
);

uPAT.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

SecurityContextHolder.getContext().setAuthentication(uPAT);

最后 chain.doFilter(request, response);

⑧ 允许访问HelloWorldController的业务

 

Xeon_CC
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity+jwt权限管理demo
saienenen的博客
03-27 607
一,前言 我发现很多开源项目在权限安全这方面用的都是Spring-Security。所以这段时间学习了 Spring-Security ,做了一个权限管理demo巩固一下。之前有做过一个 shiro 的权限管理demo,前端就是借用那个项目的,只有一点地方改变。shiro 二,代码实践 1,POM 不止有这几个依赖,后面会提供源码 <dependency> <groupId>org.springframework.boot</grou
适合新手入门Spring Security With JWTdemo(确定不收藏?)
yuandengta的博客
07-07 200
Spring SecuritySpring 全家桶中非常强大的一个用来做身份验证以及权限控制的框架,我们可以轻松地扩展它来满足我们当前系统安全性这方面的需求。 但是 Spring Security 相比于其他一些技术比如 JPA 来说更难上手,很多人初学的时候很难通过看视频或者文档发就很快能独立写一个 Demo 出来,于是后面可能就放弃了学习这个东西。 刚来公司的时候的入职培训实战项目以及现在正在做的项目都用到了 Spring Security 这个强大的安全验证框架,可以看出这个框架在身份验证以及
springsecurity Oauth2.0 + jwt 极简入门demo
asfasfasgjkl的博客
08-18 1496
springsecurity Oauth2.0 服务器和客户端 极简入门demo
Spring Security With JWT 入门 Demo
Star's Tech Blog
10-05 1274
spring security jwt GitHub :https://github.com/yifanzheng/spring-security-jwt.git 概述 Spring SecuritySpring 全家桶中一个功能强大且高度可定制的身份验证和访问控制框架。与所有 Spring 项目一样,我们可以轻松扩展 Spring Security 以满足自定义要求。 由于 Spring ...
springsecurity+jwt权限系统demo.zip
11-19
springsecurity+jwt权限系统demo,只有后端,测试请使用postman,未登录情况下不可以访问指定路径的接口,用户登录之后不可以访问管理员接口,管理员可以访问其角色一下的所有接口,角色可以继承
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
适合初学者入门 Spring Security With JWTDemo
编码行者的博客
10-22 126
https://github.com/Snailclimb/spring-security-jwt-guide
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
jwt + spring security 登陆验证和权限管理
04-19
一个Spring Security+JWT认证和授权的demo,此demoSpring安全性与OAuth(1a)和OAuth2结合使用提供了支持。它提供了在Spring安全编程模型和配置下实现分布式无状态授权。
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j,密码:123。用户、角色、及菜单权限都是代码中指定的,未实现查询数据库相关数据。正常开发需要和现有系统数据库结合,这里只是简单说明整体用户认证、授权流程逻辑说明。 仓库地址:https://gitee.com/JakeRhino/spring-security-jwt-demo
SpringSecurity+JWT使用步骤及心得
qq_35213765的博客
05-06 1244
1、添加相关依赖 主要是springsecurityjwt依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://mav
SpringSecurity+JWT 身份验证及动态权限解决方案(很实用)
Java知音
08-04 1165
点击关注公众号,实用技术文章及时了解花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo,并按照自己的想法完成了动态权限问题。在写这个Demo之初,使用的是SpringSecurity自带的注解权限,但是这样权限就显得不太灵活,在实现之后,感觉也挺复杂的,欢迎大家给出建议。认证流程及授权流程我画了个建议的认证授权流程图,后面会结合代码进行解释整个...
Spring Security衍生--JJWT使用Demo
images_whj的博客
12-23 376
我们刚才的例子只是存储了id和subject两个信息,如果你想存储更多的信息(例如角色)可以自定义claims。
Spring Security学习笔记(三)Spring Security+JWT认证授权流程代码实例
最新发布
飞!!!的博客
07-30 342
JWT(JSON Web Token),是一种开放标准(RFC 7519),用于在网络应用环境间安全地传输信息。本质上是一个经过数字签名的JSON对象,能够携带并传递状态信息(如用户身份验证、授权等)上篇文章已经介绍过Spring Security的认证和鉴权架构。Spring Security的认证主要由AuthenticationManager -> AuthenticationProvider流程
SpringSecurity + JWT(前后端分离)
HGW的博客
09-30 5438
想必大四的小伙伴们陆陆续续开始写毕业设计了,对于网络安全框架SpringSecurity在网上的资源都是前后端不分离的,这里记录一下小伟的前后端分离版。
springboot+springsecurity+oauth2.0+jwt代码demo
weixin_45528152的博客
12-07 1313
springboot、springsecurity、oauth2.0、jwt
spring security+jwt登录流程
03-24
Spring Security JWT 登录流程如下: 1. 用户在前端页面输入用户名和密码,通过 POST 请求发送到后端。 2. 后端接收到请求后,通过 Spring Security 的 UsernamePasswordAuthenticationToken 进行校验,如果校验通过,则生成一个认证信息(Authentication),将其保存在 SecurityContextHolder 中。 3. 后端使用 JWT 生成工具生成一个 JSON Web Token,将认证信息设置为 JWT 的 payload,并设置有效期等其它信息。 4. 后端把生成的 JWT 返回给前端。 5. 前端在以后的每次请求中都需要携带 JWT,在请求的 Header 中添加 Authorization 字段,其值为 "Bearer " + JWT。 6. 后端在接收到请求后通过 JWT 的验证工具来验证 JWT 的有效性和内容,并对请求进行权限校验。 7. 如果 JWT 验证通过,后端处理请求并返回结果。 以上就是 Spring Security JWT 登录流程的基本步骤。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值