第12章 Spring Security JWT登录

最新推荐文章于 2024-08-22 15:10:51 发布
最新推荐文章于 2024-08-22 15:10:51 发布
阅读量209 收藏
点赞数
分类专栏: Spring Security 文章标签: spring java restful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/buffeer/article/details/121000866
版权
什么是JWT

JWS 是 JSON Web Token 的缩写,用JSON作为对象在系统之间安全地传输信息。关于JWT更多信息,请参考阮一峰的 JSON Web Token 入门教程

注意:本章是基于第三章 Spring Security基于数据库登录实现的

Maven依赖
<!-- 新增redis依赖 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<!-- 新增jwt依赖 -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.10.7</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.10.7</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.10.7</version>
</dependency>
新增JWT工具类
public class JwtTokenUtils {

    public static final String JWT_SECRET_KEY = "C*F-JaNdRgUkXn2r5u8x/A?D(G+KbPeShVmYq3s6v9y$B&E)H@McQfTjWnZr4u7w";
    private static final byte[] API_KEY_SECRET_BYTES = DatatypeConverter.parseBase64Binary(JWT_SECRET_KEY);
    // 秘钥
    private static final SecretKey SECRET_KEY = Keys.hmacShaKeyFor(API_KEY_SECRET_BYTES);

    private static final long EXPIRATION = 20 * 1000;
    public static final String TOKEN_HEADER = "Authorization";
    public static final String TOKEN_PREFIX = "Bearer ";
    public static final String TOKEN_TYPE = "JWT";
    public static final String ROLE_CLAIMS = "rol";

    public static String createToken(String username, Integer id, List<String> roles) {

        Date now = new Date();
        Date expirationDate = new Date(now.getTime() + EXPIRATION);
        String tokenPrefix = Jwts.builder()
                .setHeaderParam("type", TOKEN_TYPE)
                .signWith(SECRET_KEY, SignatureAlgorithm.HS256)
                .claim(ROLE_CLAIMS, String.join(",", roles))
                .setId(id.toString())
                .setIssuer("butterflyzh")
                .setIssuedAt(now)
                .setSubject(username)
                .setExpiration(expirationDate)
                .compact();
        return TOKEN_PREFIX + tokenPrefix;
    }

    public static UsernamePasswordAuthenticationToken getAuthentication(String token) {
        Claims claims = getClaims(token);
        List<SimpleGrantedAuthority> authorities = getAuthorities(claims);
        String username = claims.getSubject();
        return new UsernamePasswordAuthenticationToken(username, token, authorities);
    }

    private static List<SimpleGrantedAuthority> getAuthorities(Claims claims) {
        String roles = (String) claims.get(ROLE_CLAIMS);
        return Arrays.stream(roles.split(","))
                .map(SimpleGrantedAuthority::new)
                .collect(Collectors.toList());
    }

    public static String getId(String token) {
        Claims claims = getClaims(token);
        return claims.getSubject() + ":" + claims.getId();
    }

    private static Claims getClaims(String token) {
        return Jwts.parser().setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
    }
}
RedisConfig配置
@Configuration
public class RedisConfig {
    @Bean
    public RedisTemplate<String, String> redisTemplate(RedisConnectionFactory factory) {
        RedisTemplate<String, String> redisTemplate = new RedisTemplate<>();
        redisTemplate.setConnectionFactory(factory);
        return redisTemplate;
    }
}
新增Jwt过滤器链

这里我们需要在 UsernamePasswordAuthenticationFilter 过滤器之前新增 JwtAuthenticationFilter 过滤器链。该过滤器主要工作:解析请求头中 Authorization 字段,然后从Redis中取出服务器存储token,最后比对请求携带的token和服务器存储的token是否一样。

@Slf4j
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    private final StringRedisTemplate redisTemplate;
    private final RequestMatcher requestMatcher = new AntPathRequestMatcher("/login");

    public JwtAuthenticationFilter(StringRedisTemplate redisTemplate) {
        this.redisTemplate = redisTemplate;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // /login登录地址不应该拦截
        if (requestMatcher.matches(request)) {
            filterChain.doFilter(request, response);
            return;
        }
        String token = request.getHeader(JwtTokenUtils.TOKEN_HEADER);
        if (token == null || !token.startsWith(JwtTokenUtils.TOKEN_PREFIX)) {
            SecurityContextHolder.clearContext();
            filterChain.doFilter(request, response);
            return;
        }
        String tokenValue = token.replace(JwtTokenUtils.TOKEN_PREFIX, "");
        UsernamePasswordAuthenticationToken authentication = null;

        try {
            String oldToken = redisTemplate.opsForValue().get(JwtTokenUtils.getId(tokenValue));
            if (!token.equals(oldToken)) {
                SecurityContextHolder.clearContext();
                filterChain.doFilter(request, response);
                return;
            }
            authentication = JwtTokenUtils.getAuthentication(tokenValue);
        } catch (JwtException e) {
            logger.error("Invalid jwt : " + e);
        }
        SecurityContextHolder.getContext().setAuthentication(authentication);
        filterChain.doFilter(request, response);
    }
}
自定义AuthenticationSuccessHandler

分析一下,我们需要在哪里地方去生成 token 呢?我觉得在登录之后生成比较好。之前分析登录流程时,登录成功时,过滤器 AbstractAuthenticationProcessingFilter 会调用 AuthenticationSuccessHandler 处理器进行重定向。那现在我们可以自定义处理器,在完成登录时,生成 token 并存储到redis中。

public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    private StringRedisTemplate redisTemplate;

    public MyAuthenticationSuccessHandler(StringRedisTemplate redisTemplate) {
        this.redisTemplate = redisTemplate;
    }

    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {

        User user = (User) authentication.getPrincipal();
        String username = user.getUsername();
        List<String> authorities = user.getAuthorities().stream().map(GrantedAuthority::getAuthority).collect(Collectors.toList());
        String token = JwtTokenUtils.createToken(username, user.getId(), authorities);
        redisTemplate.opsForValue().set(user.getId().toString(), token);

        httpServletResponse.setHeader(JwtTokenUtils.TOKEN_HEADER, token);
    }
}
WebSecurityConfig配置

这里我修改 configure(HttpSecurity http) 方法。这里我们需要配置 sessionCreationPolicy(SessionCreationPolicy.STATELESS) 创建策略,因为使用jwt作为token,就不需要session保持状态。

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .successHandler(new MyAuthenticationSuccessHandler(redisTemplate))
                .and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .csrf().disable();
        http.addFilterBefore(new JwtAuthenticationFilter(redisTemplate), UsernamePasswordAuthenticationFilter.class);
    }
buffeer
关注
专栏目录
SpringSecurity整合JWT
胡峻峥的博客
01-19 1142
一、前言   最近负责支付宝小程序后端项目设计,这里主要分享一下用户会话、接口鉴权的设计。参考过微信小程序后端的设计,会话需要依靠redis。相关的开发人员和我说依靠Redis并不是很靠谱,redis在业务高峰期不稳定,容易出现问题,总会出现用户会话丢失、超时的问题。之前听过JWT相关的设计,决定尝试一下。 二、什么是JWT   JSON Web Token(JWT)是一个开放标准(RFC ...
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 7968
SpringsecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
Spring Security结合JWT实现登录功能
Desiy的博客
03-11 3927
紧接着上一篇,那我们开始写我们的登录功能吧~ 目录1.登录功能1.1.导入依赖1.2.添加JWT配置1.3.添加JWT Token工具类1.4.添加公共返回对象1.5.在Admin实体类中实现UserDetails1.6.实现登录功能1.7.退出功能1.8.配置Security1.9.自定义未授权和未登录结果返回和JWT登录过滤器2.配置Swagger22.1.测试Swagger22.2重新测试项目: 1.登录功能 登录功能使用Spring Security安全框架和JWT令牌实现 整体流程: 首先是前端
spring Security + jwt使用
最新发布
wenlai123456的博客
08-22 1580
spring Security + jwt
SpringSecurity + JWT实现登录认证
qh1112的博客
05-06 639
springSecurity整合jwt+redis实现token
整合SpringSecurity+JWT实现登录认证
qq_64948664的博客
03-28 1841
这个类的主要作用就是告诉 SpringSecurity 那些路径不需要拦截,除此之外的,都要进行 RestfulAccessDeniedHandler(登录校验)、RestAuthenticationEntryPoint(权限校验)和 JwtAuthenticationTokenFilter(JWT 过滤)。第二步,在需要登录认证的模块里添加 CodingmoreSecurityConfig 类,继承自 codingmore-security 模块中的 SecurityConfig 类。
SpringSecurity + JWT 实现登录认证
牧夏的个人博客
07-18 668
Componentpublicclassextendsprivate@Overrideprotectedvoidthrows// 1.获取 JWT 令牌Stringtokenif// 2.判断 JWT 令牌正确性if// 3.获取用户信息,存储 SecurityJWTjwtifnullnull) {LonguidStringusername// 4.创建用户对象。
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
热门推荐
qq_44709990的博客
02-23 4万+
登录和用户认证是一个网站最基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Spring Security + JWT实现登录及用户认证
循序渐进学spring security 第十篇 如何用token登录JWT闪亮登场
huangxuanheng的专栏
07-31 2623
目录JWT简介JWT认证JWT的结构JWT登录流程如何引入JWTJwtHelper 工具类介绍如何创建token?如何解析token?创建项目创建项目:security-mybatis-jwt引入JWT maven依赖将登录成功,登录失败,登出等配置的handler抽取出来单独放在一个handler包创建JWT工具类登录成功后生产token返回给前端如何校验token的有效性?验证失败的处理启动测试 JWT简介 JWT是 Json Web Token 的缩写。它是基于 RFC 7519 标准定义的一种可
单点登录SSO解决方案之SpringSecurity+JWT实现
2301_82243078的博客
04-03 493
**@author: 波波烤鸭*/try {try {resultMap.put(“msg”, “用户名或密码错误!”);try {resultMap.put(“msg”, “认证通过!”);/**@author: 波波烤鸭*///如果携带错误的token,则给用户提示请登录
SpringSecurity实现JWT模式的登录
P_ning的博客
03-16 418
SpringSecurity实现JWT模式的登录的简单实现步骤 源码代码托管在gitee上了源码可自行下载 写好common的工具类模块 写好RsaKeyProperties配置 (1)重写父类UsernamePasswordAuthenticationFilter的attemptAuthentication认证方法: 原本认证信息是从post表单获取,现在要从异步请求中获取 (2)重写的UsernamePasswordAuthenticationFilter父类AbstractAuthenticatio
jwt + spring security 登陆验证和权限管理
04-19
一个Spring Security+JWT认证和授权的demo,此demo为Spring安全性与OAuth(1a)和OAuth2结合使用提供了支持。它提供了在Spring安全编程模型和配置下实现分布式无状态授权。
spring security jwt
u014007760的博客
02-28 123
spring security jwt
Spring securityJWT
weixin_45400340的博客
08-08 1436
全称 JSON Web Token,简称JWT,是一个基于RFC7519的爱看i发数据标准,定义了一种宽松且紧凑的数据组合方式是一种加密后的数据载体,可在各应用之间进行数据传输最常应用于授权认证,一旦用户登录,每个请求都将包含JWT,系统每次处理用户请求都会及逆行JWT安全检验,通过之后在进行处理。
spring security使用JWT
join_null的博客
05-24 113
https://blog.csdn.net/u010365540/article/details/81842787
SpringSecurity结合jwt完成登陆认证
weixin_43877318的博客
04-19 294
SpringBoot结合SpringSecurityJwt完成登陆认证 1.准备工作导入相关依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-bo...
JWTSpring Security
~
10-12 166
具体参考https://dev.to/keysh/spring-security-with-jwt-3j76 demo地址https://gitee.com/q975583865/springSecurityDemo.git
Spring security 整合JWT登录流程
m0_46937429的博客
01-13 4959
Spring security 的工作流程 说明 客户端发起一个请求,进入Security 过滤器链 当到LogoutFilter 的时候判断是否是登出的路径,如果是登出路径则到logoutHandler ,如果登出成功则到logoutSuccessHandler 登出成功处理,如果不是登出路径则直接进入下一个过滤器 当到UsernamePasswordSuthenticationFilter 的时候判断是否为登录路径,如果是,则进入该过滤器登录操作,如果失败则到SuthenticationFailur
SpringCloud OAuth2 JWT单点登录详解与实战
在基于JWT (JSON Web Tokens) 的单点登录实现中,Spring Cloud SecuritySpring Boot应用提供了强大的支持,使得在多个系统间实现统一的用户身份验证变得简单。 首先,单点登录(Single Sign-On, SSO)的核心思想...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值