spring boot 集成 security +jwt 认证授权

最新推荐文章于 2024-05-09 14:34:12 发布
最新推荐文章于 2024-05-09 14:34:12 发布
阅读量835 收藏
点赞数
分类专栏: 认证授权 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ayayazzz/article/details/124137474
版权

前言

最近在写登录、注册接口,所以就写了这个demo来练练手,实际开发还是需要根据不同环境做调整
鄙人记性差,写这个正好回顾一下 ,网上找了很多资料,还是谢谢各路大神的指引
已经自测过,登录和权限认证都没问题

spring boot 集成security

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.78</version>
        </dependency>

最基础的导包
连接数据库,配置jdbc,mybatisplus这些我就不多说了

1. 认证流程

首先网上抄个JWTUtil token生成工具,然后配置redis(用于存储token)这里就随意了
认证流程我就不走一遍了,有兴趣的网上搜一搜,贴点主要的
首先进入UsernamePasswordAuthenticationFilter

	@Override
	public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
			throws AuthenticationException {
		if (this.postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
		}
		String username = obtainUsername(request);
		username = (username != null) ? username : "";
		username = username.trim();
		String password = obtainPassword(request);
		password = (password != null) ? password : "";
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);
		return this.getAuthenticationManager().authenticate(authRequest);
	}

注意的是,这里是表单提交才能获取到username和password,我被坑了好久才找到原因
而且提交参数必须和这个一致
然后进入this.getAuthenticationManager().authenticate(authRequest);

public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {
@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
	for (AuthenticationProvider provider : getProviders()) {
		.......篇幅太长就省略了
		result = provider.authenticate(authentication);
		return result;
		}
	}
}

这里交给了AuthenticationProvider的实现类 来处理
大概意思就是多种认证方式,只要有一个成功了,就放入Authentication中去
后面的手机号码登录、第三方登录会用到
第二个是不是特别很眼熟
AbstractUserDetailsAuthenticationProvider

public abstract class AbstractUserDetailsAuthenticationProvider implements 	AuthenticationProvider{
	protected abstract void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication) throws AuthenticationException;
}

这是一个抽象方法,又交给它的子类(工具人)来干实事
DaoAuthenticationProvider

public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
@Override
	@SuppressWarnings("deprecation")
	protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			this.logger.debug("Failed to authenticate since no credentials provided");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
		String presentedPassword = authentication.getCredentials().toString();
		if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			this.logger.debug("Failed to authenticate since password does not match stored value");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
	}
	@Override
	protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		prepareTimingAttackProtection();
		try {
			UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
}

2.认证开始

additionalAuthenticationChecks方法中两个参数UserDetails 是我们从数据库查询出来的用户数据
UsernamePasswordAuthenticationToken 是用户填写的时提交的账户密码,交给security封装好的
这里就比对一下密码是否一样,当然账户比对在前面已经做了。
那么首先就是创建一个UserDetails 来封装我们从数据库里查到的用户信息

public class LoginUser implements UserDetails {
		//存储用户信息
    private User user;
    //存储 securityContext所需权限的集合
    private List<SimpleGrantedAuthority> authorities;
    
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

然后就是从哪里获取这些值,请注意

this.getUserDetailsService().loadUserByUsername(username);

所以需要实现UserDetailsService

@Service
public class UserDetailServiceImp implements UserDetailsService {

    @Autowired
    UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        log.info("username:{}",username);
        User user = userRepository.selectByUserName(username);
        if(Objects.isNull(user))
            throw new UsernameNotFoundException("用户名或密码错误");
        LoginUser loginUser = new LoginUser();
        loginUser.setUser(user);
        return loginUser;
    }
}

经过过滤链,如果认证成功,那么你可以在Security上下文中获取到用户信息
在自己的登录service中获取

	//这里会在config配置里注入
    @Autowired
    private AuthenticationManager authenticationManager;
    
	Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		//如果不用表单提交,则可以用这种方式
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(username, password);
       
        Authentication authentication = authenticationManager.authenticate(authenticationToken);
        
		//认证通过,生成一个token
        LoginUser principal = (LoginUser) authentication.getPrincipal();
        User user = principal.getUser();
        String userId = user.getUserId();
        String token = JWTUtil.createToken(userId);
        //把user放入redis中
        redisUtil.set(userId,user,60*60);
        return   JsonResult.success(token);

最后就是jwt过滤

public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
 @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //获取token
        String token = request.getHeader("base_token");
        if(StringUtils.isEmpty(token)){
            //如果token为空,放行,给security拦截,因为有可能是登录
            filterChain.doFilter(request,response);
            return;
        }
        //解析token
        Claims claims = JWTUtil.parseToken(token);
        String userId = claims.getSubject();
        //从数据库获取到user信息
        User user = (User)redisUtil.get(userId);
        if(Objects.isNull(user)){
            throw  new UsernameNotFoundException("用户未登录");
        }
        //第三个参数是权限,后面鉴权会加上去
         UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(user,null,null);

        SecurityContextHolder.getContext().setAuthentication(authenticationToken);

        //放行
        filterChain.doFilter(request,response);
        }
}

最后就是配置securityConfig

@EnableWebSecurity(debug = true)
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
    @Autowired
    private UserDetailServiceImp userDetailServiceImp;
    
    @Bean
    protected PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
		 @Override
    protected void configure(HttpSecurity http) throws Exception {
        //放行登录接口 user/login   anonymous()只能未登录的状态访问
        http.authorizeRequests()
                .antMatchers("/login").anonymous()
                //permitAll() 所有人能访问(登录和未登录)
                .antMatchers("/index").permitAll()
                //除上述外所有请求都要认证
                .and().authorizeRequests();
               
        //基于表单提交的login会进入UsernamePasswordAuthenticationFilter
        //http.formLogin().loginPage("/login");
        //csrf  关闭session获取到securityContext
        http.csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        //注销 并回到首页
        http.logout().logoutUrl("/");
        //记住我功能
        http.rememberMe();
        //把自定义的jwt过滤器 放在 UsernamePasswordAuthenticationFilter 之前执行
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        //允许跨域
        http.cors();
    }
    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.userDetailsService(userDetailServiceImp);
    }


    @Override
    public void configure(WebSecurity web) throws Exception {
        //放行所需要用到的静态资源,允许访问 swagger相关
        web.ignoring().antMatchers( "/swagger-ui.html",
                "/swagger-ui/*",
                "/swagger-resources/**",
                "/v2/api-docs",
                "/v3/api-docs",
                "/webjars/**");
    }
}

这里使用的BCryptPasswordEncoder,所以在设置密码的时候也要用这个来编码
下次有空再把授权补上吧

ayayazzz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot 集成SpringSecurity JWT
weixin_55765992的博客
07-01 1036
1. 简介 今天ITDragon分享一篇在Spring Security 框架中使用JWT,以及对失效Token的处理方法。 1.1 SpringSecurity Spring SecuritySpring提供的安全框架。提供认证授权和常见的攻击防护的功能。功能丰富和强大。 Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-fa
spring security+jwt 实现认证授权
IT_cdc的博客
03-10 5055
目录结构 具体代码 config 配置类 DefaultControllerAdvice.java package com.stu.manage.demo.config; import com.stu.manage.demo.result.Result; import com.stu.manage.demo.result.ResultEnum; import com.stu.manage.demo.result.ResultUtil; import org.springframework.w
SpringBoot整合SpringSecurityJWT
hello,word!
03-03 4372
SpringBoot整合SpringSecurityJWTSpringSecurity提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限。
SpringBoot整合SpringSecurity+JWT实现web应用中的认证授权
最新发布
weixin_61779644的博客
05-09 1138
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更 丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证授权认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作。
springboot集成springsecurity + jwt的使用
hjh15827475896的博客
06-07 1665
当项目中要用到用户的认证及权限的时候我们一般会使用 springSecurity来解决。
SpringBoot+SpringSecurity+JWT整合
热门推荐
seeyouagain_的博客
01-04 1万+
SpringSecurity入门简单案例适合新手学习
SpringBoot 集成 SpringSecurity+JWT
asksl的博客
11-29 4196
SpringBoot 集成 SpringSecurity+JWT
SpringBoot+SpringSecurity+Jwt权限认证---认证
python6_quanzhan的博客
12-10 512
1. 整体逻辑 1. SpringSecurity认证的逻辑规则 启动项目时,SpringBoot自动检索所有带@Configuration的注解,所以就将我们的WebSecurityConfig给加载了,这个config中,我们需要在configure(AuthenticationManagerBuilder auth)方法中注册一个继承自UserDetailsService的接口,这个接口中只有一个方法,那就是使用username获取到数据库中用户信息并返回成UserDetail实体。这个方法需要.
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
spring-boot-security-jwt:使用Spring Boot + Security + JWT用于REST端点的项目
01-30
Spring启动安全性使用Spring Boot + Security + JWT进行REST端点身份验证/授权的项目。关于例子Spring Boot 1.5.4。发布Sprign Framework 4.3.9。发布Spring Security 4.2.3。发布Tomcat嵌入8.5.15 乔达日期时间...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring SecurityJWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
Spring Security学习笔记
Shawn的个人博客
05-09 1911
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
SpringBoot整合SpringSecurity+JWT
qq_43975645的博客
07-18 685
注意:SIGNATURE是生成token的公钥,当外部token进来时需要公钥解密。
Spring Boot+Spring Security+JWT实现系统认证授权
Cloud-Future的博客
08-03 2956
Spring Boot+Spring Security+JWT实现系统认证授权 Spring Boot整合Spring Security实现JWT认证 Spring Boot项目使用JWT认证 JWT认证 OAuth2 JWT认证
SpringBoot+SpringSecurity+JWT整合实现单点登录SSO史上最全详解
程序员闪充宝
01-05 4253
作者:波波烤鸭blog.csdn.net/qq_38526573/article/details/103409430一、什么是单点登陆单点登录(Single Sign On),简称为 S...
SpringBoot整合SpringSecurity+JWT(三更草堂)
hwp_ing的博客
08-11 3186
b站学习三更草堂springsecurity的笔记相关代码.我这就不废话了,估计各位也不想了解太深.这里我整合springboot,直接提供视频里demo.clone下来应该可以直接跑起来.稍微改一下就可以加入到自己的项目里.具体代码实现原理可以去看视频.这里默认读者对jwtsecurity都有一点点概念demo地址。.........
Springboot集成Spring Security实现JWT认证
南瓜慢说
06-22 324
我最新最全的文章都在 南瓜慢说 www.pkslow.com ,欢迎大家来喝茶! 1 简介 Spring Security作为成熟且强大的安全框架,得到许多大厂的青睐。而作为前后端分离的SSO方案,JWT也在许多项目中应用。本文将介绍如何通过Spring Security实现JWT认证。 用户与服务器交互大概如下: 客户端获取JWT,一般通过POST方法把用户名/密码传给server; 服务端接收到客户端的请求后,会检验用户名/密码是否正确,如果正确则生成JWT并返回;不正确则返回错误; 客户端拿到.
Spring-Boot结合Security+JWT
09-07
这样,你就可以在Spring Boot应用程序中使用Spring SecurityJWT来实现认证授权了。当用户登录时,会生成一个JWT,并在以后的请求中使用该JWT进行身份验证。 请注意,以上代码只是一个简单的示例,你可能需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值