Spring security+jwt+前后端分离的登录

最新推荐文章于 2024-09-02 14:18:03 发布
最新推荐文章于 2024-09-02 14:18:03 发布
阅读量1k 收藏 1
点赞数 2
文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a6671164/article/details/119930969
版权



本文以springboot+spring securit +jwt 实现前后端分离的场景,登录之后返回token完成之后的鉴权

1.入门知识

spring-security
├── 核心 - spring-security-core.jar
├── Remoting - spring-security-remoting.jar
├── Web - spring-security-web.jar
├── 配置 - spring-security-config.jar
├── LDAP - spring-security-ldap.jar
├── OAuth 2.0核心 - spring-security-oauth2-core.jar
├── OAuth 2.0客户端 - spring-security-oauth2-client.jar
├── OAuth 2.0 JOSE - spring-security-oauth2-jose.jar
├── ACL - spring-security-acl.jar
├── CAS - spring-security-cas.jar
├── OpenID - spring-security-openid.jar
└── 测试 - spring-security-test.jar


[

](https://docs.spring.io/spring-security/site/docs/5.3.3.BUILD-SNAPSHOT/reference/html5/)

2.配置

1.核心配置类

@EnableWebSecurity 开启Spring Security的功能
需要继承WebSecurityConfigurerAdapter

@Configuration
@EnableWebSecurity // 开启Spring Security的功能

//prePostEnabled = true表明开启 @PreAuthorize(方法之前验证授权),@PostAuthorize(授权方法之后被执行),@PostFilter(在方法执行之后执行,用于过滤集合),@PreFilter(在方法执行之前执行,用于过滤集合);功能强大,所以其使用需要借助spring的EL表达式;
//securedEnabled = true,表明使用 @Secured 注解 开启权限
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class WebSecurityConfig  extends WebSecurityConfigurerAdapter  {

    @Autowired
    @Qualifier("myUserDetailService")
    private UserDetailsService userDetailsService;
    @Autowired
    private UnauthorizedEntryPoint unauthorizedEntryPoint;
    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    //放行名单
    private final static String[] WHITE_URL_LIST = {
            "/swagger-ui.html/**",
            "/api/**",
            "/resources/**",
            "/auth/**",
            "/doc.html*",
            "/v2/api-docs",
            "/swagger-resources/**",
            "/static/**",
            "/**/*.js",
            "/**/*.html",
            "/**/*.css",
            "/*.txt",
            "/login/**",
            "/auth/**",

    };


    /**
     * 核心配置
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        System.out.println("我进来了");

        http.csrf().disable().cors()
                .and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) //session创建策略,永不
                .and()
                .httpBasic()
                // 未经过认证的用户访问受保护的资源
                .authenticationEntryPoint(unauthorizedEntryPoint)
                .and()
                .authorizeRequests()
                .antMatchers(WHITE_URL_LIST).permitAll() //auth服务放行名单
                .anyRequest().authenticated()
                .and()
                .formLogin().disable()
                .logout().logoutSuccessHandler((httpServletRequest, httpServletResponse, authentication) ->
                ResponseUtils.responseReturn(httpServletResponse, Result.ok("注销成功")))
                .permitAll();
        //异常处理
        http.exceptionHandling()
                // 已经认证的用户访问自己没有权限的资源处理
                .accessDeniedHandler((httpServletRequest, httpServletResponse, e) ->
                        ResponseUtils.responseReturn(httpServletResponse, Result.error(ResultEnum.FORBIDDEN.getCode(),ResultEnum.FORBIDDEN.getMsg())))
                .and().addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);

        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry
                = http.authorizeRequests();

    }


    /**
     * 认证管理器配置
     */

    @Bean(name = BeanIds.AUTHENTICATION_MANAGER)
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * 密码处理
     *
     * @param auth
     * @throws Exception
     */

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }


    /**
     * 装载BCrypt密码编码器,官方推荐的,
     *  是基于 Hash 算法实现的单向加密。可以通过 strength 控制加密强度,默认 10.
     *
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }


}

其中有三个组件

a.UserDetailsService

通过实现该接口完成自定义的身份认证,若不配置则有 spring security 自定义生成;

/**
 * Security身份认证之UserDetailsService
 *
 */

@Service("myUserDetailService")
public class MyUserDetailService implements UserDetailsService {

    @Resource
    private UserService userService;


    @Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {


        String regPattern =  "^((13[0-9])|(14[5,7,9])|(15([0-3]|[5-9]))|(166)|(17[0,1,3,5,6,7,8])|(18[0-9])|(19[8|9]))\\d{8}$";
        Pattern pattern = Pattern.compile(regPattern);
        Matcher matcher = pattern.matcher(userName);
        boolean isMatch = matcher.matches();

        //若是手机号
        if (isMatch){

            final com.fufu.idea.entity.user.User user = userService.selectByPhone(userName);

            //TODO 后期需要查询出权限列表?或者其他放是实现后台权限
            if (ObjectUtils.isEmpty(user)){
                throw new UsernameNotFoundException(String.format("账号'%s'不存在", userName));
            }
            // TODO 查该用户拥有的角色,来分配具体的访问权限(或者没有手机号登录的账号不返回token直接放开可以浏览的接口)
             return new User(userName,  BCrypt.hashpw(userName, BCrypt.gensalt()),new ArrayList<>());
        }else {
            throw new UsernameNotFoundException(String.format("账号'%s'不存在", userName));
        }

    }
}

该接口只有一个 loadUserByUsername() 方法,返回UserDetails类型,实现中需要具体返回org.springframework.security.core.userdetails.User类,不要和项目中的User类搞混;

构造函数中的三个参数:
username:用户名

password: 密码

authorities: 权限集合

若自定义的用户名没有查到具体的账号信息需要抛出 UsernameNotFoundException 这样可以使用通用配置后的统一异常返回;这里建议用户名查找设置为系统里用户的唯一值来进行查找,例如手机号或者登录账号;


b.AuthenticationEntryPoint

当用户请求了一个受保护的资源,但是用户认证没有通过,那么抛出异常就会被 ExceptionTranslationFilter 捕获,之后会调用 AuthenticationEntryPoint.Commence()方法;
security异常统一处理方式,实现AuthenticationEntryPoint接口

/**
 * <p>
 * security异常统一处理方式
 * </p>
 *
 * @author chenziyuan
 * 
 */
@Component
public class UnauthorizedEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException,
            ServletException {
        httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", "token, Accept, Origin, X-Requested-With, Content-Type, Last-Modified");
            if (e instanceof BadCredentialsException) {
            ResponseUtils.responseReturn(httpServletResponse, Result.error(ResultEnum.LOGIN_ERROR.getCode(), ResultEnum.LOGIN_ERROR.getMsg()));
        } else {
            ResponseUtils.responseReturn(httpServletResponse,  Result.error(ResultEnum.FORBIDDEN.getCode(), ResultEnum.FORBIDDEN.getMsg()));
        }

    }
}



c.OncePerRequestFilter

OncePerRequestFilter是Spring Boot里面的一个过滤器抽象类,其同样在Spring Security里面被广泛用到,通常用到只执行一次的请求;
重写 doFilterInternal 方法:
主要是解析token里的信息是否正确

/**
 * @Author: chenziyuan.
 * @Description: 登录验证令牌解析过滤器
 * @Date: 2020/4/9
 */
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {


    private UserDetailsService userDetailsService;

    @Autowired
    public JwtAuthenticationTokenFilter(@Qualifier("myUserDetailService") UserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String authHeader = request.getHeader(SysConstant.TOKEN_HEADER);
       /* if(SpringContextUtil.getBean(Environment.class).getActiveProfiles()[0].equals(ProfileConstant.PROFILE_DEV)){
            //测试环境下免登录
            UserDetails userDetails = userDetailsService.loadUserByUsername(ProfileConstant.PROFILE_DEV_USER);
            UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
            authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            SecurityContextHolder.getContext().setAuthentication(authentication);
            UserInfo userInfo = new UserInfo();
            userInfo.setAccount(ProfileConstant.PROFILE_DEV_USER);
            userInfo.setUserId(1);
            userInfo.setRoleId(1);
            userInfo.setPassword("123456");
            response.setHeader(SysConstant.TOKEN_HEADER, JwtHelper.generateToken(userInfo));

        }else{*/
        //&& authHeader.startsWith(TOKEN_PREFIX)
        if (authHeader != null && !"null".equals(authHeader)) {
            String authToken = authHeader;
            //令牌登录的用户信息
            String userName = JwtUtils.getUsernameFromToken(authToken);


            if (StringUtils.isEmpty(userName)) {
                ResponseUtils.responseReturn(response, 401, Result.error(401, "token无效"));
            }
            //获取过期时间

            if (JwtUtils.isTokenExpired(authToken)) {
                ResponseUtils.responseReturn(response, 401, Result.error(401, "token过期"));
            }
            //获取生成的自定义token信息

            //获取userDetail
            if (SecurityContextHolder.getContext().getAuthentication() == null) {
                UserDetails userDetails = userDetailsService.loadUserByUsername(userName);

                if (JwtUtils.validateToken(authToken)) {
                    //判断令牌是否有效
                    if (validateToken(userName,userDetails)) {
                        UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                        authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                        SecurityContextHolder.getContext().setAuthentication(authentication);
                    } else {
                        //TODO 将来若要存缓存则记得将缓存中的token删除
                        ResponseUtils.responseReturn(response, 401, Result.error(401, "token无效"));
                    }
                }
            }
        }
        filterChain.doFilter(request, response);
    }


    /**
     * 校验令牌信息
     *
     * @param userName         登录用户名
     * @param
     * @param userDetails 用户信息
     * @return boolean
     */
    private boolean validateToken(String userName, UserDetails userDetails) {


        String regPattern = "^((13[0-9])|(14[5,7,9])|(15([0-3]|[5-9]))|(166)|(17[0,1,3,5,6,7,8])|(18[0-9])|(19[8|9]))\\d{8}$";
        Pattern pattern = Pattern.compile(regPattern);

        Matcher matcher = pattern.matcher(userDetails.getUsername());
        boolean isMatch = matcher.matches();

        //若是手机号
        if (isMatch) {
            return userDetails.getUsername().equals(userName);
        }

        return false;

    }


}



3. 登录入口处理

登录接口要生成token,并将用户信息spring security中的上下文供以后验证用

    @ApiOperation("登录")
    @PostMapping()
    public Result login(@Validated @RequestBody UserLoginDTO dto){
        //获取spring security 上下文
        final SecurityContext context = SecurityContextHolder.getContext();
		
        //生成token
        final String token = JwtUtils.generateToken(dto.getPhone());
		
        final UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(dto.getPhone(),dto.getPhone());
        context.setAuthentication(usernamePasswordAuthenticationToken);
        return Result.ok("登录成功",token);

    }
陈二喜的代码人生
关注
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
SpringSecurity前后端分离登录认证
风间琉璃の博客
06-06 5449
SpringBoot使用的是2.7.0版本 依赖: 创建一个: 访问测试:可以看到可以访问成功 重启项目之后发现接口无法再次进行访问,取而代之的是Security登录页。 此时的默认用户名是,密码会在控制台输出。核心过滤器: 1.2案例认证流程: 登录流程: 校验过程: 引入redis:如果认证之后害需要通过JWT中的对数据库进行查询,消耗太大,可以存储入到redis中。 实体类: 引入数据库相关依赖: 配置mapper 添加注解扫描 构建登录接口:实现中的类,自己实现登录逻辑 封装登
Spring Security 过滤器 `OncePerRequestFilter` 和 `UsernamePasswordAuthenticationFilter`区别介绍
最新发布
qq_42631788的博客
09-02 975
适合用于需要在每个请求中执行自定义逻辑的情况,比如令牌验证和请求修改。适用于表单登录认证,它自动处理用户名和密码的验证。根据你的具体需求来选择合适的过滤器,能让你的 Spring Boot 应用更加安全和高效。希望这个文档能帮助你更好地理解这两个过滤器,并在开发中做出明智的选择。如果还有其他问题,欢迎提问!
Spring Security + JWT实现前后端分离登录处理】
清风ikl的博客
08-11 1281
JSON Web Tokens 是JSON格式的加密字符串,用于加密验证信息,在前后端进行通信分为三个部分1) 头部2) 负载3) 指纹Java后台使用jjwt包来实现JWT的操作JWT工具类/*** JWT工具类*//*** 私钥加密token*/}/*** 从token解析用户** @return*/}}RSA是一种非对称式的加密算法对称式加密只有一个秘钥,加密和解密都通过该秘钥完成非对称式加密有两个秘钥,公钥和私钥,加密和解密由公钥和私钥分开完成。...
SpringSecurity+JWT实现前后端分离认证和授权 第二部分:测试+流程分析
Eriksen的博客
07-18 1216
SpringSecurity+JWT
oauth2 单点登录_前后端分离基于Oauth2的SSO单点登录怎样做?
weixin_39533795的博客
12-05 574
作者简介:陶陶老师10年后端工作经验,专注JavaSpringBootSpringCloud、分布式系统/微服务、中间件等领域。掘金专栏:zlt2000 的个人主页 - 掘金一、说明单点登录顾名思义就是在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统,免除多次登录的烦恼;本文主要介绍跨域间的 前后端分离 项目怎样实现单点登录,并且与 非前后端分离 的差异在那里?需要解决什么问...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统
04-30
基于当前流行技术组合的前后端分离商城系统:SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含商城、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券...
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip
07-02
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+...
Springboot + Spring Security 实现前后端分离登录认证及权限控制
热门推荐
I_am_Hutengfei的博客
09-05 11万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制前言本文主要的功能文章目录一、数据库表设计建表语句初始化表数据语句二、Spring Security核心配置:WebSecurityConfig三、用户登录认证逻辑:UserDetailsService1、创建自定义UserDetailsService2、准备service和dao层方法(1)根据用户名查询...
Spring Security前后端分离最佳实践(登录+JWT)
Java技术栈,分享不断学习、不断超越、不断积累的历程!
03-31 2044
目录Spring Security前后端分离最佳实践(登录+JWT)开发环境jar包依赖Spring Security配置继承WebSecurityConfigurerAdapter登录过滤器LoginAuthenticationFiltertoken校验过滤器JwtTokenAuthenticationFilter**main()**函数启动类测试验证总结 Spring Security前后端分离最佳实践(登录+JWT) 现在前后端分离的Web应用越来越流行,后端提供一系列API,前端通过调用这些API
使用spring Security + JWT 实现前后端分离登录(纯代码无原理)
良子的博客
03-09 5058
构建项目 代码已上传gitee 如果你看到了该文章说明对spring框架有一定了解,相信你已经知道如何通过springboot进行项目构建 springboot想要支持安全验证以及web支持只需要在pom(如果是maven)文件中引入以下starter maven //安全包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starte
SpringSecurity前后端分离(包含token和验证码登录
qq_57907966的博客
02-10 5745
实现从数据库中获取用户的信息,自定义登录逻辑@Service@Autowired@Autowired@Autowired@Autowired@Override//需要构造出 org.springframework.security.core.userdetails.User 对象并返回/*** String username:用户名* String password: 密码* boolean enabled: 账号是否可用。
权限框架SpringSecurity(二)——前后端分离登录
scorpio的博客
05-16 4950
权限框架SpringSecurity(二)——前后端分离登录
Spring-SecurityJWT 前后端分离
竹林幽深
01-13 742
https://mp.weixin.qq.com/s/h6hLe9d2yNXvxG_DpcSPxg
SpringBoot Security前后端分离登录验证
兰陵笑笑生的博客
07-02 1万+
SpringBoot Security前后端分离登录验证 本文是转载的。写的非常好,简单易懂 最近一段时间在研究OAuth2的使用,想整个单点登录,从网上找了很多demo都没有实施成功,也许是因为压根就不懂OAuth2的原理导致。有那么几天,越来越没有头绪,又不能放弃,转过头来一想,OAuth2是在Security的基础上扩展的,对于Security自己都是一无所知,干脆就先研究一下Security吧,先把Security搭建起来,找找感觉。 说干就干,在现成的SpringBoot 2.1.4..
Spring Security整合JWT实现前后端分离认证和权限管理(超详细)
mengxianglong123的博客
01-11 1万+
核心步骤 创建项目 配置pom.xml 在配置文件中写入jwt相关配置,并创建JWT的配置类,使用@ConfigurationProperties(prefix = “jwt”)与配置文件关联起来 创建自己的用户类 创建自己的认证失败类 创建自己的权限不足类 创建自己的认证成功处理类 创建自己的UserDetailsService 创建JWT工具类 创建自定义的Token过滤器 创建自己的Spring Secrity配置类(将之前的自定义的配置全部设置进去) 一、创建项目 默认创建Spring B
【深入浅出 Spring Security(十三)】使用 JWT 进行前后端分离认证(附源码)
qq_63691275的博客
07-07 4312
使用JWT进行前后端分离认证实现,其后端主要实现其实就是分为俩步(在已经封装好JWT生成和验证工具类的基础上),第一步就是登录认证成功后如何将生成的 jwt 响应给前端?——在AuthenticationSuccessHandler中进行实现;第二步就是前端携带该 jwt 向服务器端发送请求后,如何去认证该请求?——去重写BasicAuthenticationFilter中的doFilterInternal方法,在此方法中进行认证即可...
实战教程:构建SpringSecurity+JWT+Vue前后端分离项目
资源摘要信息:"本资源提供了从零开始完整开发一个基于Spring SecurityJWT(JSON Web Tokens)技术栈,并结合Vue前端框架的前后端分离项目的过程教学。在这个过程中,将详细介绍各个技术的安装、配置和使用方法,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值