springsecurity+jwt实现登录权限认证

已于 2023-06-13 16:42:13 修改
阅读量577 收藏 4
点赞数 1
文章标签: java spring boot
于 2023-06-13 16:41:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anan_yyds/article/details/131191221
版权
本文介绍了使用SpringSecurity框架集成JWT进行登录认证的步骤,包括引入相关依赖、配置JWT参数、创建JWT工具类以生成和验证token,以及编写登录过滤器验证用户权限。同时,文章还展示了如何处理未登录和无权限的异常情况。
摘要由CSDN通过智能技术生成

springsecurity+jwt实现登录权限认证,token鉴权

本文记录一下自己使用springsecurity框架实现登录认证的过程和一些问题。

首先导入security框架的依赖

<dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
	    <groupId>io.jsonwebtoken</groupId>
	    <artifactId>jjwt</artifactId>
	    <version>0.9.1</version>
</dependency>

在yml配置文件中编写关于token管理的基本配置

jwt:
  #  JWT存储请求头
  tokenHeader: Authorization
  #  JWT加密使用的密钥,自设即可
  secret: ????
  #  JWT超期限时间(60*60*24)
  expiration: 604800
  #  JWT负载中拿到开头
  tokenHead: Bearer

创建jwt工具类

@Component
public class JwtTokenUtil {
    private static final String CLAIM_KEY_USERNAME="sub";
    private static final String CLAIM_KEY_CREATED="created";
    @Value("${jwt.secret}")
    private String secret;
    @Value("${jwt.expiration}")
    private Long expiration;

    /**
     * 根据用户信息生成token
     */
    public String generateToken(UserDetails userDetails){
        Map<String,Object> claims=new HashMap<>();
        claims.put(CLAIM_KEY_USERNAME,userDetails.getUsername());
        claims.put(CLAIM_KEY_CREATED,new Date());
        return generateToken(claims);
    }

//    根据荷载JWT生成token
    public String generateToken(Map<String,Object> claims){
//        Jwts去生成token
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate())
                .signWith(SignatureAlgorithm.HS256,secret)
                .compact();
    }

//    生成token失效时间
    private Date generateExpirationDate() {
        return new Date(System.currentTimeMillis()+expiration*1000);
    }

//    从token中获取登录名
    public String getUserNameByToken(String token){
        String userName;
        try{
            Claims claims=getClaimsFromToken(token);
            userName=claims.getSubject();
        }catch (Exception e){
            userName=null;
        }
        return userName;
    }

//    从token中获取荷载
    private Claims getClaimsFromToken(String token) {
        Claims claims=null;
        try {
            claims=Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        }catch (Exception e){
            e.printStackTrace();
        }
        return claims;
    }
//    验证token是否有效
    public boolean validateToken(String token,UserDetails userDetails){
        String username=getUserNameByToken(token);
        return username.equals(userDetails.getUsername())&&!isTokenExpired(token);
    }

//    验证token是否失效
    private boolean isTokenExpired(String token) {
        Date expireDate=getExpiredDateFromToken(token);
        return  expireDate.before(new Date());
    }

//    从token中获取失效时间
    private Date getExpiredDateFromToken(String token) {
        Claims claims=getClaimsFromToken(token);
        return claims.getExpiration();
    }
//    判断token是否可以被刷新
    public boolean canRefresh(String token){
        return !isTokenExpired(token);
    }

//    刷新token
    public String refreshToken(String token){
        Claims claims=getClaimsFromToken(token);
        claims.put(CLAIM_KEY_CREATED,new Date());
        return generateToken(claims);
    }
}

创建登录过滤器,验证token登录权限,注意该类不需要添加@Component
@Configuration注解来注入bean,否则后续会导致security放行失败从而拦截了登录接口

public class JwtDecoderFilter extends OncePerRequestFilter {

    @Value("${jwt.tokenHead}")
    private String tokenHead;
    @Value("${jwt.tokenHeader}")
    private String tokenHeader;
    @Autowired
    private JwtTokenUtil jwtTokenUtil;
    @Autowired
    private SecurityUserService securityUserService;
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String authHeader = request.getHeader(tokenHeader);
        //判断是否能根据Header拿到对应的值以及值的开头是否为tokenHead
        if(authHeader != null && authHeader.startsWith(tokenHead)){
            //存在token
            String authToken = authHeader.substring(tokenHead.length());
            String username = jwtTokenUtil.getUserNameByToken(authToken);
            //token存在用户名但未登录
            if(username != null && SecurityContextHolder.getContext().getAuthentication() == null){
                UserDetails userDetails = securityUserService.loadUserByUsername(username);
                //验证token是否有效,重新设置用户对象
                if(jwtTokenUtil.validateToken(authToken,userDetails)){
                    UsernamePasswordAuthenticationToken authenticationToken =
  new UsernamePasswordAuthenticationToken(userDetails,null,userDetails.getAuthorities());
                    authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    SecurityContextHolder.getContext().setAuthentication(authenticationToken);
                }
            }
        }
        // 放行
        filterChain.doFilter(request, response);
    }
}

创建springsecurity配置类,在这里使用@Bean注解来注入过滤器的bean,交给spring管理

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder bCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }
    @Autowired
    private RestAuthorizationEntryPoint point;
    @Autowired
    private RestfulAccessDeniedHandler handler;

    @Bean
    public JwtDecoderFilter jwtDecoderFilter(){
        return new JwtDecoderFilter();
    }
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring()
                .antMatchers("/login","/logout");
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.csrf()
                .disable() //csrf关闭 如果自定义登录 需要关闭
                .authorizeRequests() //开启登录认证
                .anyRequest() //所有请求
                .authenticated()
                .and()//需要登录才能访问
                .cors(); //允许跨域配置,前后端分离项目注意添加
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        // 添加JWT 登录授权过滤器
        http.addFilterBefore(jwtDecoderFilter(), UsernamePasswordAuthenticationFilter.class);
        //添加自定义未授权和未登录返回结果
        http.exceptionHandling()
                .accessDeniedHandler(handler)
                .authenticationEntryPoint(point);
    }
}

可以自定义添加未授权和未登录的返回结果

/**
 * 当未登录或者token失效时,访问接口自定义返回结果
 */
@Component
public class RestAuthorizationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        PrintWriter out = response.getWriter();
        Result<Object> error = Result.fail(ResultCodeEnum.LOGIN_AUTH);
        out.write(new ObjectMapper().writeValueAsString(error));
        out.flush();
        out.close();
    }
}


/**
 * 当访问接口没有权限时,自定义返回结果
 */
@Component
public class RestfulAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        PrintWriter out = response.getWriter();
        Result<Object> error = Result.fail(ResultCodeEnum.PERMISSION);
        out.write(new ObjectMapper().writeValueAsString(error));
        out.flush();
        out.close();
    }
}
anan_yyds
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
spring security+jwt 实现认证授权
IT_cdc的博客
03-10 5070
目录结构 具体代码 config 配置类 DefaultControllerAdvice.java package com.stu.manage.demo.config; import com.stu.manage.demo.result.Result; import com.stu.manage.demo.result.ResultEnum; import com.stu.manage.demo.result.ResultUtil; import org.springframework.w
Spring Security 构建基于 JWT登录认证
热门推荐
Mr. David 专栏
07-15 2万+
一言以蔽之,JWT 可以携带非敏感信息,并具有不可篡改性。可以通过验证是否被篡改,以及读取信息内容,完成网络认证的三个问题:“你是谁”、“你有哪些权限”、“是不是冒充的”。为了安全,使用它需要采用 Https 协议,并且一定要小心防止用于加密的密钥泄露。采用 JWT认证方式下,服务端并不存储用户状态信息,有效期内无法废弃,有效期到期后,需要重新创建一个新的来替换。所以它并不适合做长期状态保持,不适合需要用户踢下线的场景,不适合需要频繁修改用户信息的场景。
Spring Security 超详细整合 JWT,能否拿下看你自己!
最新发布
m0_62113349的博客
07-02 333
Spring Security是一个功能强大并且高度可定制的Java安全框架,用于保护基于Spring的应用程序。JWT(JSON Web Tokens)是一种用于在网络应用环境间传递声明的一种紧凑的、URL安全的方式。将Spring SecurityJWT整合可以为应用程序提供一个安全且高效的认证机制。整合Spring SecurityJWT涉及到许多细节,上述步骤提供了一个大致的框架。确保你的开发环境中已经包含了Spring BootSpring Security的依赖。
SpringSecurity+JWT登录认证
张氏小毛驴的博客
08-11 1990
其实,到了这里我们就差将我们自定义的Filter和Provider添加到SpringSecurity的主配置中,就实现认证了,但我们这次用的是JWT方式,服务器端并没有记录登录用户的信息,因此我们需要多一个过滤器,用来拦截请求,验证Token的,如果请求携带了Token,并且token里的信息是正确的,我们才将Authentication设置已认证,让SpringSecurity过滤器链去做后续的鉴权啥的。​ 俺今天是要使用SpringSecurity实现JWT认证,前后端分离,使用JSON交互。...
项目mall学习——SpringSecurity+JWT实现登录认证
TonegawaKaiji的博客
06-05 602
项目mall中使用SpringSecurityJWT实现登录认证
第四章 SpringBoot快速开发框架 - Spring Security + JWT实现登录权限认证
暗夜91的博客
05-01 462
SpringBoot集成Spring Security + JWT实现登录权限认证
Springboot+SpringSecurity+JWT实现用户登录权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring SecurityJWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
单点登录SSO解决方案之SpringSecurity+JWT实现.docx
10-26
### 单点登录SSO解决方案之SpringSecurity+JWT实现 #### 一、单点登录(SSO)概述 单点登录(Single Sign-On,简称SSO)是一种认证机制,允许用户仅通过一次登录就能访问同一域下的多个应用程序和服务。这种机制...
jwt + spring security 登陆验证和权限管理
04-19
一个Spring Security+JWT认证和授权的demo,此demo为Spring安全性与OAuth(1a)和OAuth2结合使用提供了支持。它提供了在Spring安全编程模型和配置下实现分布式无状态授权。
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
m0_67392182的博客
07-29 1401
token是无状态的,后端不需要记录信息,每次请求过来进行解密就能得到对应信息。session是有状态的,需要后端每次去检索id的有效性。不同的session都需要进行保存,但也可以设置单点登录,减少保存的数据。session与token的选择是空间与时间博弈,为什么这么说呢,是因为token不需要保存,不占存储空间,但每次访问都需要进行解密,消耗了一定的时间。在一般的前后端分离项目中,token展现出了它的优势,成为了比session更好的选择userlist')")});}...
SpringSecurity整合JWT
胡峻峥的博客
01-19 1082
一、前言   最近负责支付宝小程序后端项目设计,这里主要分享一下用户会话、接口鉴权的设计。参考过微信小程序后端的设计,会话需要依靠redis。相关的开发人员和我说依靠Redis并不是很靠谱,redis在业务高峰期不稳定,容易出现问题,总会出现用户会话丢失、超时的问题。之前听过JWT相关的设计,决定尝试一下。 二、什么是JWT   JSON Web Token(JWT)是一个开放标准(RFC ...
Spring Security-JWT验证
alofe_11的博客
03-29 238
我们需要自定义一个过滤器,这个过滤器会去获取请求头中的token,对token进行解析取出其中的uuid。使用userid去redis中获取对应的User对象。然后封装Authentication对象存入SecurityContextHolder
Spring Security + JWT实现安全认证授权流程
weixin_51093734的博客
06-30 193
Spring Security + JWT实现安全认证授权流程
spring security jwt
u014007760的博客
02-28 106
spring security jwt
Spring securityJWT
weixin_45400340的博客
08-08 1008
全称 JSON Web Token,简称JWT,是一个基于RFC7519的爱看i发数据标准,定义了一种宽松且紧凑的数据组合方式是一种加密后的数据载体,可在各应用之间进行数据传输最常应用于授权认证,一旦用户登录,每个请求都将包含JWT,系统每次处理用户请求都会及逆行JWT安全检验,通过之后在进行处理。
spring-sercurity实现JWT登录
lizsy的博客
04-18 145
基于上述流程图,我们需要实现一个登录的接口,代码如下。JWT的生成方式请参考。
Spring Security+JWT实现
08-20
- *1* *2* [厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证](https://blog.csdn.net/qing_gee/article/details/124016059)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值