spring boot 集成 security +jwt 认证授权

最新推荐文章于 2024-04-22 22:08:08 发布
最新推荐文章于 2024-04-22 22:08:08 发布
阅读量835 收藏
点赞数
分类专栏: 认证授权 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ayayazzz/article/details/124137474
版权

前言

最近在写登录、注册接口,所以就写了这个demo来练练手,实际开发还是需要根据不同环境做调整
鄙人记性差,写这个正好回顾一下 ,网上找了很多资料,还是谢谢各路大神的指引
已经自测过,登录和权限认证都没问题

spring boot 集成security

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.78</version>
        </dependency>

最基础的导包
连接数据库,配置jdbc,mybatisplus这些我就不多说了

1. 认证流程

首先网上抄个JWTUtil token生成工具,然后配置redis(用于存储token)这里就随意了
认证流程我就不走一遍了,有兴趣的网上搜一搜,贴点主要的
首先进入UsernamePasswordAuthenticationFilter

	@Override
	public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
			throws AuthenticationException {
		if (this.postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
		}
		String username = obtainUsername(request);
		username = (username != null) ? username : "";
		username = username.trim();
		String password = obtainPassword(request);
		password = (password != null) ? password : "";
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);
		return this.getAuthenticationManager().authenticate(authRequest);
	}

注意的是,这里是表单提交才能获取到username和password,我被坑了好久才找到原因
而且提交参数必须和这个一致
然后进入this.getAuthenticationManager().authenticate(authRequest);

public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {
@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
	for (AuthenticationProvider provider : getProviders()) {
		.......篇幅太长就省略了
		result = provider.authenticate(authentication);
		return result;
		}
	}
}

这里交给了AuthenticationProvider的实现类 来处理
大概意思就是多种认证方式,只要有一个成功了,就放入Authentication中去
后面的手机号码登录、第三方登录会用到
第二个是不是特别很眼熟
AbstractUserDetailsAuthenticationProvider

public abstract class AbstractUserDetailsAuthenticationProvider implements 	AuthenticationProvider{
	protected abstract void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication) throws AuthenticationException;
}

这是一个抽象方法,又交给它的子类(工具人)来干实事
DaoAuthenticationProvider

public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
@Override
	@SuppressWarnings("deprecation")
	protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			this.logger.debug("Failed to authenticate since no credentials provided");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
		String presentedPassword = authentication.getCredentials().toString();
		if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			this.logger.debug("Failed to authenticate since password does not match stored value");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
	}
	@Override
	protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		prepareTimingAttackProtection();
		try {
			UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
}

2.认证开始

additionalAuthenticationChecks方法中两个参数UserDetails 是我们从数据库查询出来的用户数据
UsernamePasswordAuthenticationToken 是用户填写的时提交的账户密码,交给security封装好的
这里就比对一下密码是否一样,当然账户比对在前面已经做了。
那么首先就是创建一个UserDetails 来封装我们从数据库里查到的用户信息

public class LoginUser implements UserDetails {
		//存储用户信息
    private User user;
    //存储 securityContext所需权限的集合
    private List<SimpleGrantedAuthority> authorities;
    
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

然后就是从哪里获取这些值,请注意

this.getUserDetailsService().loadUserByUsername(username);

所以需要实现UserDetailsService

@Service
public class UserDetailServiceImp implements UserDetailsService {

    @Autowired
    UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        log.info("username:{}",username);
        User user = userRepository.selectByUserName(username);
        if(Objects.isNull(user))
            throw new UsernameNotFoundException("用户名或密码错误");
        LoginUser loginUser = new LoginUser();
        loginUser.setUser(user);
        return loginUser;
    }
}

经过过滤链,如果认证成功,那么你可以在Security上下文中获取到用户信息
在自己的登录service中获取

	//这里会在config配置里注入
    @Autowired
    private AuthenticationManager authenticationManager;
    
	Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		//如果不用表单提交,则可以用这种方式
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(username, password);
       
        Authentication authentication = authenticationManager.authenticate(authenticationToken);
        
		//认证通过,生成一个token
        LoginUser principal = (LoginUser) authentication.getPrincipal();
        User user = principal.getUser();
        String userId = user.getUserId();
        String token = JWTUtil.createToken(userId);
        //把user放入redis中
        redisUtil.set(userId,user,60*60);
        return   JsonResult.success(token);

最后就是jwt过滤

public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
 @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //获取token
        String token = request.getHeader("base_token");
        if(StringUtils.isEmpty(token)){
            //如果token为空,放行,给security拦截,因为有可能是登录
            filterChain.doFilter(request,response);
            return;
        }
        //解析token
        Claims claims = JWTUtil.parseToken(token);
        String userId = claims.getSubject();
        //从数据库获取到user信息
        User user = (User)redisUtil.get(userId);
        if(Objects.isNull(user)){
            throw  new UsernameNotFoundException("用户未登录");
        }
        //第三个参数是权限,后面鉴权会加上去
         UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(user,null,null);

        SecurityContextHolder.getContext().setAuthentication(authenticationToken);

        //放行
        filterChain.doFilter(request,response);
        }
}

最后就是配置securityConfig

@EnableWebSecurity(debug = true)
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
    @Autowired
    private UserDetailServiceImp userDetailServiceImp;
    
    @Bean
    protected PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
		 @Override
    protected void configure(HttpSecurity http) throws Exception {
        //放行登录接口 user/login   anonymous()只能未登录的状态访问
        http.authorizeRequests()
                .antMatchers("/login").anonymous()
                //permitAll() 所有人能访问(登录和未登录)
                .antMatchers("/index").permitAll()
                //除上述外所有请求都要认证
                .and().authorizeRequests();
               
        //基于表单提交的login会进入UsernamePasswordAuthenticationFilter
        //http.formLogin().loginPage("/login");
        //csrf  关闭session获取到securityContext
        http.csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        //注销 并回到首页
        http.logout().logoutUrl("/");
        //记住我功能
        http.rememberMe();
        //把自定义的jwt过滤器 放在 UsernamePasswordAuthenticationFilter 之前执行
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        //允许跨域
        http.cors();
    }
    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.userDetailsService(userDetailServiceImp);
    }


    @Override
    public void configure(WebSecurity web) throws Exception {
        //放行所需要用到的静态资源,允许访问 swagger相关
        web.ignoring().antMatchers( "/swagger-ui.html",
                "/swagger-ui/*",
                "/swagger-resources/**",
                "/v2/api-docs",
                "/v3/api-docs",
                "/webjars/**");
    }
}

这里使用的BCryptPasswordEncoder,所以在设置密码的时候也要用这个来编码
下次有空再把授权补上吧

ayayazzz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot + Spring Security + JWT 从零开始
喵喵分享师
05-29 1224
这个LDAP服务器将在内存中保存所有信息,这对于开发目的来说就够了,当我们构建一个连接到这个本地LDAP服务器的应用程序时,我们所构建的东西可以轻松地指向一个真实的LDAP服务,然后仍然可以工作相同的方式。所以我要做的是去我的POM文件,添加一些依赖项。这篇笔记中,我们将学习如何从头开始设置一个带有Spring SecuritySpring Boot应用程序,它连接到一个LDAP身份验证的Spring Security身份验证提供程序,这将是即将出现的,这个连接和工作都是开箱即用的。
Springboot集成Spring Security实现JWT认证
南瓜慢说
06-22 324
我最新最全的文章都在 南瓜慢说 www.pkslow.com ,欢迎大家来喝茶! 1 简介 Spring Security作为成熟且强大的安全框架,得到许多大厂的青睐。而作为前后端分离的SSO方案,JWT也在许多项目中应用。本文将介绍如何通过Spring Security实现JWT认证。 用户与服务器交互大概如下: 客户端获取JWT,一般通过POST方法把用户名/密码传给server; 服务端接收到客户端的请求后,会检验用户名/密码是否正确,如果正确则生成JWT并返回;不正确则返回错误; 客户端拿到.
SpringBoot+SpringSecurity+JWT整合
热门推荐
seeyouagain_的博客
01-04 1万+
SpringSecurity入门简单案例适合新手学习
SpringBoot整合SpringSecurity+JWT
qq_43975645的博客
07-18 688
注意:SIGNATURE是生成token的公钥,当外部token进来时需要公钥解密。
如何在自定义Filter中优雅的实现静态资源放行
qq_36450673的博客
03-03 1497
javaweb开发中,过滤器Filter比较常用于类似登录的拦截等场景。但是,当过滤器的配置不当时就会把所有的请求都拦截,静态资源也会被拦截掉,导致静态页面加载不出来。 一般的解决方案是在过滤器代码中对所有的静态资源放行,但这样硬编码的方式特别不灵活,代码复用性也不高。下面说个更优雅点的方案。 一、解决方案 如果将静态资源放行的功能做成在web.xml中可以直接配置的话,就比较方便了。因此我...
SpringSecurity&JWT(Springboot)
weixin_50601779的博客
03-20 4904
springboot整合安全框架SpringSecurity&JWT
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
spring-boot-security-jwt:使用Spring Boot + Security + JWT用于REST端点的项目
01-30
Spring启动安全性使用Spring Boot + Security + JWT进行REST端点身份验证/授权的项目。关于例子Spring Boot 1.5.4。发布Sprign Framework 4.3.9。发布Spring Security 4.2.3。发布Tomcat嵌入8.5.15 乔达日期时间...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring SecurityJWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
SpringBoot + SpringSecurity + JWT认证
Eden 的博客
08-13 137
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。至此,spring-security 整合 jwt 认证 就已经完成了。负载中包含了所有用户所需要的信息,避免了多次查询数据库。application.properties 配置。简洁(Compact)
SpringBoot+SpringSecurity+jwt整合及初体验
weixin_33814685的博客
06-01 1979
原来一直使用shiro做安全框架,配置起来相当方便,正好有机会接触下SpringSecurity,学习下这个。顺道结合下jwt,把安全信息管理的问题扔给客户端, 准备 首先用的是SpringBoot,省去写各种xml的时间。然后把依赖加入一下 <!--安全--> <dependency> <groupId>org.springframework.bo...
Spring Boot 优雅集成 Spring Security 5.7(安全框架)与 JWT(双令牌机制)
欲变世界,先变其身
06-15 4482
Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IOC(控制反转),DI(依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringBoot+Spring SecurityJWT集成实现登陆授权认证
qq_41932589的博客
01-09 454
这两天做 SpringBoot+Spring SecurityJWT集成实现登陆授权认证 ,找了很多文章,看了很多的博客都不敬人意,终于功夫不负有心人,总算是把这个授权认证做好了,特此记录一下 。具体的原理我这就不做过多阐述,感兴趣的人可以自己去看相关的文章。下面直接上代码: 导入对应依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <arti
SpringBoot整合Spring Security + JWT实现用户认证
leveretz的博客
07-13 1642
SpringBoot整合Spring Security + JWT实现用户认证
SpringSecurity + JWT 实现携带信息请求
最新发布
m0_73179389的博客
04-22 731
类型为“小型文本文件”,是某些网站为了辨别用户身份,进行 Session 跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存 的信息。考虑将用户的信息存储到服务器端,请求时只携带可以识别用户身份的身份信息就可以了,再根据用户 身份获取用户的其他资料比如:实名信息,订单信息,访问记录等。SpringSecurity框架的本质就是过滤链,所以说我们也可以自定义过滤器,放到过滤链中,完成我们自己的逻辑业务代码。是要查找用的后边请求,判断权限的时候,放置进去的数据是用户的信息。
springboot集成springSecurityjwt实现前后端分离
weixin_45624186的博客
07-26 727
spring securityjwtspringboot
记录使用springsecurity整合jwt静态资源访问及过滤器顺序异常
阳仔的博客
05-27 2206
记录使用springsecurity整合jwt静态资源访问及过滤器顺序异常 首先晒出我的security错误配置 http.addFilterBefore(new JwtLoginFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class) // 访问控制时登录状态检查过滤器 .addFilterBefore(new JwtAuthenticatio
Spring-Boot结合Security+JWT
09-07
这样,你就可以在Spring Boot应用程序中使用Spring SecurityJWT来实现认证授权了。当用户登录时,会生成一个JWT,并在以后的请求中使用该JWT进行身份验证。 请注意,以上代码只是一个简单的示例,你可能需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值