SpringSecurity学习三 SpringSecurity 结合jwt

最新推荐文章于 2023-04-24 09:44:37 发布
最新推荐文章于 2023-04-24 09:44:37 发布
阅读量425 收藏
点赞数
分类专栏: spring security 文章标签: jwt java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YellowShite/article/details/117283317
版权

上一篇::SpringSecurity学习二 SpringSecurity部署数据库

目录

SpringSecurity 结合jwt

前面文章搭配数据库实现了SpringSecurity的基本使用,默认使用的还是cookie/session,现在改为jwt认证。实际中根据需求不一定用到jwt,但是学习改造成jwt很能加深对SpringSecurity的理解。

项目源码gitte地址: https://gitee.com/xiang_Gitee/spring-security-learn(子工程token)

JWT

简单介绍

  • JWT是Json web token的缩写,Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权。
  • 简单来讲就是用户登录成功之后,服务器根据自己设定的密钥和jwt的规则生成一个凭证,并把这个凭证返回给用户,用户再访问时候附带上设个凭证,服务器根据自己的密钥和jwt规则解析这个凭证,判断凭证是否通过。

和传统验证的最大区别就在于服务器不需要存储任何数据(除了密钥),单纯通过字符串的编码、解码来进行认证,所以JWT是“无状态的”。

JWT数据格式

JWT包含三部分数据:

  1. Header:头部,通常头部有两部分信息:

    	声明类型,声明这是JWT类型
	算法,使用的算法名称,用于生成第三部分签名

    对头部用Base64Url编码,得到第一部分数据

  2. Payload:载荷,就是有效数据,在官方文档中(RFC7519),这里给了7个示例信息:

    	iss (issuer):表示签发人
	exp (expiration time):表示token过期时间
	sub (subject):主题
	aud (audience):受众
	nbf (Not Before):生效时间
	iat (Issued At):签发时间
	jti (JWT ID):编号

    对这部分也用Base64Url编码,得到第二部分数据。

  3. Signature:签名,是整个数据的认证信息。
    一般根据前两步的数据,再加上服务的的密钥secret(密钥保存在服务端,不能泄露给客户端),通过Header中配置的加密算法生成Signature,用这个Signature验证整个数据完整和可靠性。

JWT 缺点

由于采用jwt服务器就不保存会话状态,所以

  1. 一旦JWT签发,在有效期内将会一直有效,不能取消,所以无法注销一个jwt,虽然可通过服务端修改secret的方法注销,但修改之前的jwt也会由于密钥不一致而全部失效。
  2. 传统的cookie+session的方案天然的支持续签,但是jwt的状态保存在本身,无法单纯通过后端得以续签。
  3. 密码更改前的jwt仍然可用,这倒是可以通过将secret设置成密码来解决。

JWT使用

以后端的角度,在用户登录成功的时候生成有效的JWT,在用户访问的时候验证前端附带的JWT是否有效,就这么简单,即 生成jwt、验证jwt

相关依赖

较之前加入了java-jwt

<!-- jwt依赖 -->
    <dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>3.16.0</version>
    </dependency>
<!-- 基本依赖 -->
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
      <version>RELEASE</version>
      <scope>compile</scope>
    </dependency>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-cache</artifactId>
    </dependency>

    <dependency>
      <groupId>org.projectlombok</groupId>
      <artifactId>lombok</artifactId>
      <version>${lombok.version}</version>
    </dependency>

    <!--数据库-->
    <dependency>
      <groupId>mysql</groupId>
      <artifactId>mysql-connector-java</artifactId>
      <version>${mysql.version}</version>
    </dependency>
    <dependency>
      <groupId>com.alibaba</groupId>
      <artifactId>druid-spring-boot-starter</artifactId>
      <version>${druid.version}</version>
    </dependency>
    <dependency>
      <groupId>com.baomidou</groupId>
      <artifactId>mybatis-plus-boot-starter</artifactId>
      <version>${mybatisplus.version}</version>
    </dependency>

    <dependency>
      <groupId>com.github.pagehelper</groupId>
      <artifactId>pagehelper-spring-boot-starter</artifactId>
      <version>1.3.0</version>
    </dependency>

步骤

SpringSecurity的所有控制都是用过spring的Filter链实现的,也就是说所有配置主要就是通过在Filter链上加减替换Filter。
应用jwt所要进行的具体操作是:

  1. 禁用session。jwt是无状态的登录,依靠jwt本身携带的信息判断登录情况,这里先禁掉session排除干扰。
  2. 拦截登录请求,自定义实现登录过程,产生jwt返回给用户。
  3. 拦截所有请求,自定义验证过程,主要是检查请求附带的jwt。

按过滤器链的顺序来说,第3步拦截是在第2步拦截之前。
这里主要是按登录顺序来讲。

SecurityConfig 配置

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Resource
private UserService userService;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf()//禁用跨域保护策略,默认开启
                .disable()
                .authorizeRequests()//认证需求路径
                .antMatchers("/", "/home")
                .permitAll()
                .anyRequest()
                .authenticated();
                
      //SpringSecurity中的Session管理有几种状态,默认`ifRequired`,表示有需要就创建Session。‘STATELESS’表示从不创建和使用Session。
      http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
      //在UsernamePasswordAuthenticationFilter这个过滤器之前添加自定义的认证拦截器TokenFilter,这个拦截器是自定义的
      http.addFilterBefore(new TokenFilter(),UsernamePasswordAuthenticationFilter.class);
      //用自定义的loginFilter代替UsernamePasswordAuthenticationFilter,源码注释说addFilterAt这个操作不会覆盖原来的过滤器,但实际似乎会?
      http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    LoginFilter loginFilter() throws Exception {
        LoginFilter loginFilter = new LoginFilter();
        loginFilter.setFilterProcessesUrl("/dosignin");
        loginFilter.setAuthenticationManager(authenticationManagerBean());
        return loginFilter;
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //用自定义的userDetailsService,并设置一个无加密的加密器
        auth.userDetailsService(userService)
        .passwordEncoder(NoOpPasswordEncoder.getInstance());
    }

}

这里已经完成了第一步,禁用session。
在这里插入图片描述

需要注意的是在自定义登录认证之后SecurityConfig 里原来配置的loginProcessingUrl、failureUrl、defaultSuccessUrl就失效了,上面贴的SecurityConfig 也可以看到这几句配置已经删去。登录成功/失败的处理配置定义在了LoginFilter 过滤器中。
以及logout登出配置,使用jwt之后这个配置也没有意义了。

第二第三步的配置也紧跟其后,但是第二第三步的TokenFilter和LoginFilter 还没实现,下面贴出。

过滤器

先准备一个Jwt的工具类

这里是简单配置的,实际使用按自己的需要设置私钥、过期时间和改变生成逻辑等。


public class JwtUtils {

    // 过期时间5分钟
    private static final long EXPIRE_TIME = 5 * 60 * 1000;

    // 私钥
    public static final String SECRET = "SECRET_VALUE";

    // 请求头
    public static final String AUTH_HEADER = "authToken";

    /**
     * 验证token是否正确
     */
    public static DecodedJWT verify(String token) throws JWTVerificationException {
        Algorithm algorithm = Algorithm.HMAC256(SECRET);
        JWTVerifier verifier = JWT.require(algorithm).build();
        DecodedJWT jwt = verifier.verify(token);
        return jwt;
    }

    /**
     * 获得token中的自定义信息,无需secret解密也能获得
     */
    public static String getClaimFiled(String token, String filed) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim(filed).asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }

    /**
     * 生成jwt
     */
    public static String createToken(String username) {
        try {
            //过期时间
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            // 附带username,nickname信息
            return JWT.create().withClaim("username", username).withJWTId(UUID.randomUUID().toString()).withExpiresAt(date).sign(algorithm);
        } catch (JWTCreationException e) {
            return null;
        }
    }

    /**
     * 获取 token的签发时间
     */
    public static Date getIssuedAt(String token) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getIssuedAt();
        } catch (JWTDecodeException e) {
            return null;
        }
    }

    /**
     * 验证 token是否过期
     */
    public static boolean isTokenExpired(String token) {
        Date now = Calendar.getInstance().getTime();
        DecodedJWT jwt = JWT.decode(token);
        return jwt.getExpiresAt().before(now);
    }

    /**
     * 刷新 token的过期时间
     */
    public static String refreshTokenExpired(String token, String secret) {
        DecodedJWT jwt = JWT.decode(token);
        Map<String, Claim> claims = jwt.getClaims();
        try {
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            Algorithm algorithm = Algorithm.HMAC256(secret);
            JWTCreator.Builder builer = JWT.create().withExpiresAt(date);
            for (Map.Entry<String, Claim> entry : claims.entrySet()) {
                builer.withClaim(entry.getKey(), entry.getValue().asString());
            }
            return builer.sign(algorithm);
        } catch (JWTCreationException e) {
            return null;
        }
    }

    /**
     * 生成随机盐
     */
    public static String generateSalt() {
        String uuid = UUID.randomUUID().toString();
        //String hex = uuid.nextBytes(16).toHex();
        return uuid;
    }
}

LoginFilter 登录过滤

这个过滤器用以拦截登录url,处理验证逻辑并返回一个有效的jwt。在前两篇文章中都没有主动去配置登录过滤器,是因为SpringSecurity过滤链上已经有一个默认的登录过滤器了,名称为UsernamePasswordAuthenticationFilter。

现在我们要继承这个UsernamePasswordAuthenticationFilter得到一个自定义的Filter,并且用来代替过滤链上的UsernamePasswordAuthenticationFilter,这样就可以实现我们想要的登录逻辑了。


public class LoginFilter extends UsernamePasswordAuthenticationFilter {

    @Resource
    private UserMapper userMapper;

    @SneakyThrows
    @Override
    public Authentication attemptAuthentication(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse) throws AuthenticationException {
        //User user = new ObjectMapper().readValue(httpServletRequest.getInputStream(), User.class);
        User user = new User();
        user.setUsername(httpServletRequest.getParameter("username"));
        user.setPassword(httpServletRequest.getParameter("password"));
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword());
        Authentication authenticate = getAuthenticationManager().authenticate(usernamePasswordAuthenticationToken);
        return authenticate;
    }

    //登录成功
    @Override
    protected void successfulAuthentication(HttpServletRequest req, HttpServletResponse resp, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        resp.setContentType("application/json;charset=utf-8");
        PrintWriter out = resp.getWriter();
        User hr = (User) authResult.getPrincipal();
        hr.setPassword(null);
        out.write(hr.getUsername()+"登录成功!");
        resp.setHeader("authToken",JwtUtils.createToken(hr.getUsername()));
        out.flush();
        out.close();
    }
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest req, HttpServletResponse resp, AuthenticationException failed) throws IOException, ServletException {
        resp.setContentType("application/json;charset=utf-8");
        PrintWriter out = resp.getWriter();
        out.write("登录失败!");
        out.flush();
        out.close();
    }
}

LoginFilter 重写了UsernamePasswordAuthenticationFilter 的三个方法:

  • .attemptAuthentication
    核心方法,生成凭证。
    看返回值类型是Authentication,翻译过来是“认证”的意思,用来存储认证信息,作用类似于shiro中的AuthorizationInfo。
    从登录参数中提取出用户名密码封装在Authentication中(演示代码用实现类UsernamePasswordAuthenticationToken ),然后调用AuthenticationManager.authenticate()方法进行自动校验。【校验逻辑其实就在前一篇文章中UserService.loadUserByUsername(String username)实现

  • .successfulAuthentication
    这个方法用来处理登录成功的情况,如果attemptAuthentication的校验成功,就会调用该方法,这里就使用JwtUtils生成了一个有效的jwt放在头部返回。前端在登录成功之后的请求就需要注意带上authToken这个头部了,另一个过滤器提取jwt参数也是用这里定义的参数名。

  • .unsuccessfulAuthentication
    顾名思义自然就是认证不成功的处理方法。

TokenFilter 令牌校验过滤器

这个过滤器算是普通的spring Filter了,直接继承GenericFilterBean在doFilter方法中实现jwt的校验逻辑。

public class TokenFilter extends GenericFilterBean {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        //1.获取jwt
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        String authToken = request.getHeader("authToken");
        if (authToken==null||authToken.isEmpty()){
            filterChain.doFilter(servletRequest,servletResponse);
            return;
        }
        String username;
        // 2.验证JWT签名
        try{
            DecodedJWT jwt = JwtUtils.verify(authToken);
            username = jwt.getClaim("username").asString();
        }catch (JWTVerificationException e){
            PrintWriter writer = servletResponse.getWriter();
            writer.write("token认证错误,请重新登录");
            writer.flush();
            writer.close();
            return;
        }
        // 3.将认证信息封装成AuthenticationToken放进上下文,否则仍会跳转到登录链接
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, null,null);
        SecurityContextHolder.getContext().setAuthentication(token);
        //4.继续执行过滤链
        filterChain.doFilter(servletRequest,servletResponse);

    }
}

注释3处的代码,生成UsernamePasswordAuthenticationToken的时候一共有三个参数,分别是用户名、密码、权限(角色)信息,由于这里还没涉及权限后两个参数都填的null,有需要的话在登录时将权限信息封装在jwt,这里解析时再取出即可。

到这里需要的配置完毕了,在basic子工程的基础上,只新增/更改了这三个文件。
在这里插入图片描述

演示

启动服务器,用postman简单验证效果。
用户名和密码:
在这里插入图片描述

  1. 输入错误的用户名,登录失败
    在这里插入图片描述

  2. 输入正确的用户名和密码,登录成功
    在这里插入图片描述
    得到jwt
    在这里插入图片描述

  3. 不附带jwt访问接口
    在这里插入图片描述

  4. 带上jwt访问,访问成功
    在这里插入图片描述

  5. jwt输错或者过期
    在这里插入图片描述

La-La-La-La-La vida
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springSecurityjwt机制及应用详解
2401_84092666的博客
05-04 701
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!这种格式是OAuth2附带token的一种规范格式至于什么是OAuth2,那是另一个话题了这样一来,服务器就能够收到这个令牌了,通过对令牌的验证,即可知道该令牌是否有效。它们的完整交互流程是非常简单清晰的:令牌的组成为了保证令牌的安全性,jwt令牌由三个部分组成,分别是:header:令牌头部,记录了整个令牌的类型和签名算法payload:令牌负荷,记录了保存的主体信息,比如你要保存的用户信息就可以放到这里s
Spring Security 超详细整合 JWT,能否拿下看你自己!
最新发布
08-31 6874
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT 的认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecurity 在 Spring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
Spring Security整合JWT实现权限认证和授权
weixin_45818966的博客
11-05 4164
关于spring security整合jwt实现前后端权限认证和授权管理
3.Spring Security实现JWT token验证
相互学习 共同进步
04-24 3263
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
SpringBoot整合Spring Security + JWT实现用户认证
leveretz的博客
07-13 1643
SpringBoot整合Spring Security + JWT实现用户认证
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
SpringBoot2.6整合SpringSecurity+JWT
01-11
在本文中,我们将深入探讨如何在SpringBoot 2.6版本中整合Spring Security与JSON Web Token(JWT)技术。Spring Security是Spring框架的一个模块,提供了一套强大的安全控制机制,而JWT则是一种轻量级的身份验证和...
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现 SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者...
Spring Security结合JWT的方法教程
08-28
Spring Security 结合 JWT 的方法教程 Spring Security 是一个基于 Java 的安全框架,提供了强大的身份验证和授权机制,而 JWT(JSON Web Token)是一种基于 Token 的身份验证机制,两者的结合可以提供更加安全、...
SpringSecurity整合Jwt过程图解
08-25
"SpringSecurity整合Jwt过程图解" 在本文中,我们将详细介绍SpringSecurity整合Jwt的...本文通过详细的示例代码和配置示例,帮助读者快速了解和掌握SpringSecurity整合Jwt的过程图解,提高了读者的学习和工作效率。
spring-security-jwt, 演示如何在 Spring Security 中使用 JWT.zip
09-18
spring-security-jwt, 演示如何在 Spring Security 中使用 JWT Spring Security 和JWT教程这里代码主要用于使用 Spring Security 和 JWT 教程补充无状态身份验证。如果你选择了代码,还可以使用这个库发现添加XSRF保护的策略,以及在Java项目中注册/登录功能的策
配置 Spring Security 和 JWT(三)
qiuweifan的博客
03-29 370
创建自定义 Spring 安全类、过滤器和注解 在上一节中,我们使用许多自定义类和过滤器配置了 Spring Security。在本节中,我们将一一定义这些类。
[SpingBoot guides系列翻译]文件上传
weixin_30604651的博客
05-06 608
文件上传 这节的任务是做一个文件上传服务。 概况 参考链接 原文 thymeleaf spring-mvc-flash-attributes @ControllerAdvice 你构建的内容 分两部分, 服务端,由springboot构建。 客户端,是一个简单的html网页用来测试上传文件。 你需要的东西 大约15min 喜欢的编辑器或IDE(这里用IntelliJ) jdk1.8+ Mav...
SpringSecurity+JWT
Ycy的博客
09-17 799
前端将用户名密码发送给后端,后端核对成功后根据用户信息生成一个JWT(Token),后端将JWT作为登陆成功返回结果给前端,前端保存在本地localStorage或sessionStorage上(退出登录时前端删除保存的JWT即可),前端之后每次请求时将JWT放入HTTP Header中,后端校验JWT有效性,如签名是否正确、Token是否过期、检查Token的接收方是否是自己等,后端验证成功后使用JWT中的用户信息完成相关请求操作。默认的登录请求url是"/login",并且只允许POST方式的请求。
springboot + spring security + jwt实现api权限控制
qq_35494808的博客
08-09 2万+
1、在pom.xml中添加security和jwt的相关依赖,并在启动类上添加注解@EnableWebSecurity <!-- 权限相关依赖(security和jwt)--> <dependency> <groupId>org.springframework.boot</groupId> ...
spring-security中jwt的使用
qq_36872322的博客
01-13 404
** 1 什么是jwt? 这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 1 header 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {“typ”:“JWT”,“alg”:“HS256”} 2 载荷(playload) 载荷就是存放有效信息的地方。...
spring-security-jwt的总结与实现
V539413949的博客
04-24 1554
jwt的总结与实现 请求和响应 请求实体-规定的客户端传给jwt认证服务器的参数 响应实体-规定了jwt服务端颁发给客户端的jwt token的结果 jwtUtil类 主要提供了jwt的实现方法,如加密规则,生成token,获取token等 SecurityConfigurer类 主要设置了加密方法,用户信息读取方法,配置路由的授权规则等 过滤器JwtRequestFilter 对指定的http请求进行拦截和用户认证等 测试类 可以使用postman类似的工具进行jwt的测试 post http://
SpringSecurity、Spring Social、SpringSession、TX-LCN、Spring Cloud Data Flow、JWT 架构(三)
陈大伟的博客
07-26 222
继续SpringSecurity,今天我们来聊聊退出登录时的页面跳转和session注销。SpringSecurity提供了这方面的支持。在上一篇文章的基础之上直接来聊聊: springsecrity.xml <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http:...
Spring Security结合JWT
07-29
Spring Security结合JWT是一种常见的后台用户登录和授权的实现方式。JWT(Json Web Token)是一种基于token的请求验证机制,它可以安全传输的小巧和自包含的JSON对象。在Spring Security中,我们可以使用JWT来进行用户认证和授权。 首先,我们需要了解Spring Security的架构和使用流程。Spring Security是一个功能强大的安全框架,它提供了一套完整的认证和授权解决方案。在使用Spring Security时,我们可以通过配置文件或编程方式定义安全规则,包括用户认证、角色授权等。 然后,我们需要集成JWT到Spring Security中。在集成过程中,我们可以使用Spring Security提供的过滤器来验证JWT的有效性,并根据JWT中的信息进行用户认证和授权。具体来说,我们可以通过自定义的过滤器来解析JWT,并将解析后的用户信息存储在Spring Security的上下文中,以便后续的权限验证和资源访问控制。 总结起来,Spring Security结合JWT可以实现后台用户的登录和授权功能。JWT提供了一种基于token的请求验证机制,而Spring Security提供了一套完整的认证和授权解决方案。通过集成JWT到Spring Security中,我们可以实现用户认证和授权的功能,并保证请求的安全性和可信任性。 #### 引用[.reference_title] - *1* [SpringSecurity整合JWT实现认证和授权](https://blog.csdn.net/weixin_44909963/article/details/124464640)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [SpringSecurity 整合 JWT](https://blog.csdn.net/niceyoo/article/details/90743199)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值