SpringSecurity学习三 SpringSecurity 结合jwt

最新推荐文章于 2024-03-26 09:51:28 发布
最新推荐文章于 2024-03-26 09:51:28 发布
阅读量425 收藏
点赞数
分类专栏: spring security 文章标签: jwt java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YellowShite/article/details/117283317
版权

上一篇::SpringSecurity学习二 SpringSecurity部署数据库

目录

SpringSecurity 结合jwt

前面文章搭配数据库实现了SpringSecurity的基本使用,默认使用的还是cookie/session,现在改为jwt认证。实际中根据需求不一定用到jwt,但是学习改造成jwt很能加深对SpringSecurity的理解。

项目源码gitte地址: https://gitee.com/xiang_Gitee/spring-security-learn(子工程token)

JWT

简单介绍

  • JWT是Json web token的缩写,Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权。
  • 简单来讲就是用户登录成功之后,服务器根据自己设定的密钥和jwt的规则生成一个凭证,并把这个凭证返回给用户,用户再访问时候附带上设个凭证,服务器根据自己的密钥和jwt规则解析这个凭证,判断凭证是否通过。

和传统验证的最大区别就在于服务器不需要存储任何数据(除了密钥),单纯通过字符串的编码、解码来进行认证,所以JWT是“无状态的”。

JWT数据格式

JWT包含三部分数据:

  1. Header:头部,通常头部有两部分信息:

    	声明类型,声明这是JWT类型
	算法,使用的算法名称,用于生成第三部分签名

    对头部用Base64Url编码,得到第一部分数据

  2. Payload:载荷,就是有效数据,在官方文档中(RFC7519),这里给了7个示例信息:

    	iss (issuer):表示签发人
	exp (expiration time):表示token过期时间
	sub (subject):主题
	aud (audience):受众
	nbf (Not Before):生效时间
	iat (Issued At):签发时间
	jti (JWT ID):编号

    对这部分也用Base64Url编码,得到第二部分数据。

  3. Signature:签名,是整个数据的认证信息。
    一般根据前两步的数据,再加上服务的的密钥secret(密钥保存在服务端,不能泄露给客户端),通过Header中配置的加密算法生成Signature,用这个Signature验证整个数据完整和可靠性。

JWT 缺点

由于采用jwt服务器就不保存会话状态,所以

  1. 一旦JWT签发,在有效期内将会一直有效,不能取消,所以无法注销一个jwt,虽然可通过服务端修改secret的方法注销,但修改之前的jwt也会由于密钥不一致而全部失效。
  2. 传统的cookie+session的方案天然的支持续签,但是jwt的状态保存在本身,无法单纯通过后端得以续签。
  3. 密码更改前的jwt仍然可用,这倒是可以通过将secret设置成密码来解决。

JWT使用

以后端的角度,在用户登录成功的时候生成有效的JWT,在用户访问的时候验证前端附带的JWT是否有效,就这么简单,即 生成jwt、验证jwt

相关依赖

较之前加入了java-jwt

<!-- jwt依赖 -->
    <dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>3.16.0</version>
    </dependency>
<!-- 基本依赖 -->
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
      <version>RELEASE</version>
      <scope>compile</scope>
    </dependency>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-cache</artifactId>
    </dependency>

    <dependency>
      <groupId>org.projectlombok</groupId>
      <artifactId>lombok</artifactId>
      <version>${lombok.version}</version>
    </dependency>

    <!--数据库-->
    <dependency>
      <groupId>mysql</groupId>
      <artifactId>mysql-connector-java</artifactId>
      <version>${mysql.version}</version>
    </dependency>
    <dependency>
      <groupId>com.alibaba</groupId>
      <artifactId>druid-spring-boot-starter</artifactId>
      <version>${druid.version}</version>
    </dependency>
    <dependency>
      <groupId>com.baomidou</groupId>
      <artifactId>mybatis-plus-boot-starter</artifactId>
      <version>${mybatisplus.version}</version>
    </dependency>

    <dependency>
      <groupId>com.github.pagehelper</groupId>
      <artifactId>pagehelper-spring-boot-starter</artifactId>
      <version>1.3.0</version>
    </dependency>

步骤

SpringSecurity的所有控制都是用过spring的Filter链实现的,也就是说所有配置主要就是通过在Filter链上加减替换Filter。
应用jwt所要进行的具体操作是:

  1. 禁用session。jwt是无状态的登录,依靠jwt本身携带的信息判断登录情况,这里先禁掉session排除干扰。
  2. 拦截登录请求,自定义实现登录过程,产生jwt返回给用户。
  3. 拦截所有请求,自定义验证过程,主要是检查请求附带的jwt。

按过滤器链的顺序来说,第3步拦截是在第2步拦截之前。
这里主要是按登录顺序来讲。

SecurityConfig 配置

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Resource
private UserService userService;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf()//禁用跨域保护策略,默认开启
                .disable()
                .authorizeRequests()//认证需求路径
                .antMatchers("/", "/home")
                .permitAll()
                .anyRequest()
                .authenticated();
                
      //SpringSecurity中的Session管理有几种状态,默认`ifRequired`,表示有需要就创建Session。‘STATELESS’表示从不创建和使用Session。
      http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
      //在UsernamePasswordAuthenticationFilter这个过滤器之前添加自定义的认证拦截器TokenFilter,这个拦截器是自定义的
      http.addFilterBefore(new TokenFilter(),UsernamePasswordAuthenticationFilter.class);
      //用自定义的loginFilter代替UsernamePasswordAuthenticationFilter,源码注释说addFilterAt这个操作不会覆盖原来的过滤器,但实际似乎会?
      http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    LoginFilter loginFilter() throws Exception {
        LoginFilter loginFilter = new LoginFilter();
        loginFilter.setFilterProcessesUrl("/dosignin");
        loginFilter.setAuthenticationManager(authenticationManagerBean());
        return loginFilter;
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //用自定义的userDetailsService,并设置一个无加密的加密器
        auth.userDetailsService(userService)
        .passwordEncoder(NoOpPasswordEncoder.getInstance());
    }

}

这里已经完成了第一步,禁用session。
在这里插入图片描述

需要注意的是在自定义登录认证之后SecurityConfig 里原来配置的loginProcessingUrl、failureUrl、defaultSuccessUrl就失效了,上面贴的SecurityConfig 也可以看到这几句配置已经删去。登录成功/失败的处理配置定义在了LoginFilter 过滤器中。
以及logout登出配置,使用jwt之后这个配置也没有意义了。

第二第三步的配置也紧跟其后,但是第二第三步的TokenFilter和LoginFilter 还没实现,下面贴出。

过滤器

先准备一个Jwt的工具类

这里是简单配置的,实际使用按自己的需要设置私钥、过期时间和改变生成逻辑等。


public class JwtUtils {

    // 过期时间5分钟
    private static final long EXPIRE_TIME = 5 * 60 * 1000;

    // 私钥
    public static final String SECRET = "SECRET_VALUE";

    // 请求头
    public static final String AUTH_HEADER = "authToken";

    /**
     * 验证token是否正确
     */
    public static DecodedJWT verify(String token) throws JWTVerificationException {
        Algorithm algorithm = Algorithm.HMAC256(SECRET);
        JWTVerifier verifier = JWT.require(algorithm).build();
        DecodedJWT jwt = verifier.verify(token);
        return jwt;
    }

    /**
     * 获得token中的自定义信息,无需secret解密也能获得
     */
    public static String getClaimFiled(String token, String filed) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim(filed).asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }

    /**
     * 生成jwt
     */
    public static String createToken(String username) {
        try {
            //过期时间
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            // 附带username,nickname信息
            return JWT.create().withClaim("username", username).withJWTId(UUID.randomUUID().toString()).withExpiresAt(date).sign(algorithm);
        } catch (JWTCreationException e) {
            return null;
        }
    }

    /**
     * 获取 token的签发时间
     */
    public static Date getIssuedAt(String token) {
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getIssuedAt();
        } catch (JWTDecodeException e) {
            return null;
        }
    }

    /**
     * 验证 token是否过期
     */
    public static boolean isTokenExpired(String token) {
        Date now = Calendar.getInstance().getTime();
        DecodedJWT jwt = JWT.decode(token);
        return jwt.getExpiresAt().before(now);
    }

    /**
     * 刷新 token的过期时间
     */
    public static String refreshTokenExpired(String token, String secret) {
        DecodedJWT jwt = JWT.decode(token);
        Map<String, Claim> claims = jwt.getClaims();
        try {
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            Algorithm algorithm = Algorithm.HMAC256(secret);
            JWTCreator.Builder builer = JWT.create().withExpiresAt(date);
            for (Map.Entry<String, Claim> entry : claims.entrySet()) {
                builer.withClaim(entry.getKey(), entry.getValue().asString());
            }
            return builer.sign(algorithm);
        } catch (JWTCreationException e) {
            return null;
        }
    }

    /**
     * 生成随机盐
     */
    public static String generateSalt() {
        String uuid = UUID.randomUUID().toString();
        //String hex = uuid.nextBytes(16).toHex();
        return uuid;
    }
}

LoginFilter 登录过滤

这个过滤器用以拦截登录url,处理验证逻辑并返回一个有效的jwt。在前两篇文章中都没有主动去配置登录过滤器,是因为SpringSecurity过滤链上已经有一个默认的登录过滤器了,名称为UsernamePasswordAuthenticationFilter。

现在我们要继承这个UsernamePasswordAuthenticationFilter得到一个自定义的Filter,并且用来代替过滤链上的UsernamePasswordAuthenticationFilter,这样就可以实现我们想要的登录逻辑了。


public class LoginFilter extends UsernamePasswordAuthenticationFilter {

    @Resource
    private UserMapper userMapper;

    @SneakyThrows
    @Override
    public Authentication attemptAuthentication(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse) throws AuthenticationException {
        //User user = new ObjectMapper().readValue(httpServletRequest.getInputStream(), User.class);
        User user = new User();
        user.setUsername(httpServletRequest.getParameter("username"));
        user.setPassword(httpServletRequest.getParameter("password"));
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword());
        Authentication authenticate = getAuthenticationManager().authenticate(usernamePasswordAuthenticationToken);
        return authenticate;
    }

    //登录成功
    @Override
    protected void successfulAuthentication(HttpServletRequest req, HttpServletResponse resp, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        resp.setContentType("application/json;charset=utf-8");
        PrintWriter out = resp.getWriter();
        User hr = (User) authResult.getPrincipal();
        hr.setPassword(null);
        out.write(hr.getUsername()+"登录成功!");
        resp.setHeader("authToken",JwtUtils.createToken(hr.getUsername()));
        out.flush();
        out.close();
    }
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest req, HttpServletResponse resp, AuthenticationException failed) throws IOException, ServletException {
        resp.setContentType("application/json;charset=utf-8");
        PrintWriter out = resp.getWriter();
        out.write("登录失败!");
        out.flush();
        out.close();
    }
}

LoginFilter 重写了UsernamePasswordAuthenticationFilter 的三个方法:

  • .attemptAuthentication
    核心方法,生成凭证。
    看返回值类型是Authentication,翻译过来是“认证”的意思,用来存储认证信息,作用类似于shiro中的AuthorizationInfo。
    从登录参数中提取出用户名密码封装在Authentication中(演示代码用实现类UsernamePasswordAuthenticationToken ),然后调用AuthenticationManager.authenticate()方法进行自动校验。【校验逻辑其实就在前一篇文章中UserService.loadUserByUsername(String username)实现

  • .successfulAuthentication
    这个方法用来处理登录成功的情况,如果attemptAuthentication的校验成功,就会调用该方法,这里就使用JwtUtils生成了一个有效的jwt放在头部返回。前端在登录成功之后的请求就需要注意带上authToken这个头部了,另一个过滤器提取jwt参数也是用这里定义的参数名。

  • .unsuccessfulAuthentication
    顾名思义自然就是认证不成功的处理方法。

TokenFilter 令牌校验过滤器

这个过滤器算是普通的spring Filter了,直接继承GenericFilterBean在doFilter方法中实现jwt的校验逻辑。

public class TokenFilter extends GenericFilterBean {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        //1.获取jwt
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        String authToken = request.getHeader("authToken");
        if (authToken==null||authToken.isEmpty()){
            filterChain.doFilter(servletRequest,servletResponse);
            return;
        }
        String username;
        // 2.验证JWT签名
        try{
            DecodedJWT jwt = JwtUtils.verify(authToken);
            username = jwt.getClaim("username").asString();
        }catch (JWTVerificationException e){
            PrintWriter writer = servletResponse.getWriter();
            writer.write("token认证错误,请重新登录");
            writer.flush();
            writer.close();
            return;
        }
        // 3.将认证信息封装成AuthenticationToken放进上下文,否则仍会跳转到登录链接
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, null,null);
        SecurityContextHolder.getContext().setAuthentication(token);
        //4.继续执行过滤链
        filterChain.doFilter(servletRequest,servletResponse);

    }
}

注释3处的代码,生成UsernamePasswordAuthenticationToken的时候一共有三个参数,分别是用户名、密码、权限(角色)信息,由于这里还没涉及权限后两个参数都填的null,有需要的话在登录时将权限信息封装在jwt,这里解析时再取出即可。

到这里需要的配置完毕了,在basic子工程的基础上,只新增/更改了这三个文件。
在这里插入图片描述

演示

启动服务器,用postman简单验证效果。
用户名和密码:
在这里插入图片描述

  1. 输入错误的用户名,登录失败
    在这里插入图片描述

  2. 输入正确的用户名和密码,登录成功
    在这里插入图片描述
    得到jwt
    在这里插入图片描述

  3. 不附带jwt访问接口
    在这里插入图片描述

  4. 带上jwt访问,访问成功
    在这里插入图片描述

  5. jwt输错或者过期
    在这里插入图片描述

La-La-La-La-La vida
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springSecurityjwt机制及应用详解
2401_84092666的博客
05-04 701
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!这种格式是OAuth2附带token的一种规范格式至于什么是OAuth2,那是另一个话题了这样一来,服务器就能够收到这个令牌了,通过对令牌的验证,即可知道该令牌是否有效。它们的完整交互流程是非常简单清晰的:令牌的组成为了保证令牌的安全性,jwt令牌由个部分组成,分别是:header:令牌头部,记录了整个令牌的类型和签名算法payload:令牌负荷,记录了保存的主体信息,比如你要保存的用户信息就可以放到这里s
SpringSecurity入门-SpringBoot集成SpringSecurity
qf2019的博客
04-26 173
前言 至今Java能够如此的火爆Spring做出了很大的贡献,它的出现让Java程序的编写更为简单灵活,而Spring如今也形成了自己的生态圈,今天咱们探讨的是Spring旗下的一个款认证工具:SpringSecurity,如今认证框架主流“shiro”和“SpringSecurity”,由于和Spring的无缝衔接,使用SpringSecurity的企业也越来越多。 基本概念 1.什么是认证 认证是对主体/用户身份的确认,在我们的生活中随处可见认证场景,如:小区门禁卡,人脸识别,指纹识别等都是对用户身份的
spring security6+springboot3+jwt实现权限控制
qq_68534248的博客
03-15 1134
myabits-plus,redis,lombok,hutoolspring security的核心配置,包含了自定义的鉴权MyUserDetailService 自定义的权限读取类 AuthenticationProvider 提供权限校验方法类,把MyUserDetailService类和PasswordEncoder 类作为入参,实现自定义权限校验AuthenticationManager 鉴权工具的管理bean,用默认提供的就行PasswordEncoder 使用BCryptPasswordEnco
Spring Security实现接口基于路径的动态权限控制
荔枝当大佬的博客
10-24 1601
在荔枝之前的一篇博客中,已经对Spring Security的鉴证授权的相关知识进行了梳理,弄清楚了为什么使用JWT以及用户登录后台执行的相关的鉴证授权的逻辑。在下面的文章中荔枝主要是补充梳理一下在真实的项目中如何使用Spring Security来实现接口动态权限控制的功能。
SpringBoot集成SpringSecurity5和OAuth2 — 5、OAuth2集成JWT
Mr_XiMu的博客
06-08 2758
SpringBoot集成SpringSecurity5和OAuth2 — 5、OAuth2集成JWT
springSecurity整合JWT
weixin_44044929的博客
07-25 1273
JWT的原理,手写JWTSpringSecurity整合JWT
Spring Security认证之基本认证
大后生大大大的博客
11-15 787
UserDetailsService、InMemoryUserDetailsManager
0330记 SpringSecurity相关配置【SpringSecurityConfig】
momo_mo520的博客
03-31 3122
1、SpringSecurity的配置: spring为我们提供了一个抽象类WebSecurityConfigurerAdapter和一个注解@EnableWebMvcSecurity,达到同样减少bean配置的目的 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapt...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
SpringBoot2.6整合SpringSecurity+JWT
01-11
在本文中,我们将深入探讨如何在SpringBoot 2.6版本中整合Spring Security与JSON Web Token(JWT)技术。Spring SecuritySpring框架的一个模块,提供了一套强大的安全控制机制,而JWT则是一种轻量级的身份验证和...
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现 SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者...
Spring Security结合JWT的方法教程
08-28
Spring Security 结合 JWT 的方法教程 Spring Security 是一个基于 Java 的安全框架,提供了强大的身份验证和授权机制,而 JWT(JSON Web Token)是一种基于 Token 的身份验证机制,两者的结合可以提供更加安全、...
SpringSecurity整合Jwt过程图解
08-25
"SpringSecurity整合Jwt过程图解" 在本文中,我们将详细介绍SpringSecurity整合Jwt的...本文通过详细的示例代码和配置示例,帮助读者快速了解和掌握SpringSecurity整合Jwt的过程图解,提高了读者的学习和工作效率。
详细!SpringBoot整合SpringSecurity实现JWT认证
MarkerHub的博客
01-02 1126
小Hub领读:最近做了个security项目,参考了一下这个例子,还可以作者:智慧zhuhuixhttps://blog.csdn.net/jpgzhu/article/details/...
推荐项目:Spring Boot 3 JWT Security —— 强大的安全解决方案
最新发布
gitblog_00041的博客
03-26 317
推荐项目:Spring Boot 3 JWT Security —— 强大的安全解决方案 项目地址:https://gitcode.com/ali-bouali/spring-boot-3-jwt-security 该项目链接:https://gitcode.com/ali-bouali/spring-boot-3-jwt-security 项目简介 Spring Boot 3 JWT Secur...
Spring Security 超详细整合 JWT,能否拿下看你自己!
08-31 6873
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT 的认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
SpringSecurity——整合JWT
qq_41297145的博客
12-30 2264
在第4步中,通过增加JwtFilter过滤器来验证身份,允许前端通过携带正确且未过期的JwtToken进行身份验证,验证时需要同样需要通过LoadUserByUsername方法获取UserDetails对象(Principal对象),然后创建一个UsernamePasswordAuthenticationToken对象给SecurityContextHolder验证,如果和步骤2中写入的authentication一致,即验证成功,正确获取到用户权限。自定义JwtFilter拦截器,
Spring Security 初识(五)--spring securityjwt整合实现安全的resutful api
只有变秃 才能变强
01-03 2万+
Spring Security 初识(五)–spring securityjwt整合什么是 JWT json web token (JWT),是为了在网络环境中传递声明而设计的一种基于JSON的开放标准(RFC 7519),该token 被设计为紧凑且安全的.特别使用于分布式站点的登陆(SSO) 场景.JWT一般被用来在服务提供者和服务认证者之间传递身份信息,以便可以从服务器获取资
SpringBoot+SpringSecurity+JWT实现认证和授权
热门推荐
oyc的博客
01-17 5万+
一、背景: 在 B/S 系统中,登录功基本都是依靠 Cookie 来实现的,用户登录成功之后主要需要客户端和服务端完成以下两项工作: (1)服务端将登录状态记录到 Session 中,或者签发Token; (2)客户端利用Cookie保存于服务端对应的 Session ID 或 Token。之后每次请求都会带上Cookie信息(包含Session ID或者Token),当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单点登录:单点登录(Single Sign On, S.
Spring Security结合JWT
07-29
- *1* [SpringSecurity整合JWT实现认证和授权](https://blog.csdn.net/weixin_44909963/article/details/124464640)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值