Spring boot微服务体系下使用 Spring Security结合JWT技术实现权限认证方案

最新推荐文章于 2024-09-09 11:31:18 发布
最新推荐文章于 2024-09-09 11:31:18 发布
阅读量649 收藏 2
点赞数
文章标签: java
原文链接:https://my.oschina.net/wtfshy/blog/3059849
版权

 

    项目采用spring boot 为基础微服务框架 spring security为安全控制框架 同时基础前后端分离的设计使用JWT来支持Token相关需求,但是了spring security并不支持这种无状态凭证,但是项目又需要用到这种无状态的身份认证及权限鉴定,所有有了如下方案。

方案大概流程如下图:

311b85508004a3df2061fe54a29d4379958.jpg

鉴权服务只负责发放和解析Token,任何一个服务的相关接口被访问前(包括内部服务访问和外部访问)都会先将Token传递给鉴权服务进行解析,当前服务拿到解析后的数据后注入到当前安全上下文后续的流程就交给spring security框架来处理了,具体的实现见下文。

为了实现上述方案,我们需要指定spring security拦截器的顺序通过查看文档得到下图

4d2935f783e45713ea1a9034b0def2e3189.jpg

其中SecurityContextPersistenceFilter很关键,这个拦截器负责从SecurityContextRepository中加载SecurityContext和保存SecurityContext,所以我们在这个地方实现SecurityContext注入是最好的,但是分析发现默认SecurityContextRepository的实现只有HttpSessionSecurityContextRepository和NullSecurityContextRepository,显然既然要无状态HttpSessionSecurityContextRepository不可以,NullSecurityContextRepository就是啥也不做所以也没用,那只能自己实现一个RemoteSecurityContextRepository

public class RemoteSecurityContextRepository implements SecurityContextRepository {
    private boolean isContext = false;
    

    @Override
    public SecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder) {
        String token = Optional.ofNullable(requestResponseHolder.getRequest().getHeader(TokenConst.HEADER_STRING)).orElse("");
        JwtAuthenticationToken authentication = null;
        //TODO 这里实现从远程接口回去Token解析内容
        SecurityContextImpl context = new SecurityContextImpl();
        context.setAuthentication(authentication);
        isContext = true;
        return context;
    }

    @Override
    public void saveContext(SecurityContext context, HttpServletRequest request, HttpServletResponse response) {
        //不用保存
    }

    @Override
    public boolean containsContext(HttpServletRequest request) {
        return isContext;
    }
}

JwtAuthenticationToken 只要继承AbstractAuthenticationToken就好了可以自己随意添加属性。接下来将我们自己实现的RemoteSecurityContextRepository配置到框架内:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private JwtAuthenticationProvider JwtAuthenticationProvider;
    @Autowired
    private SecurityContextRepository jwtSecurityContextRepository;


    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity.csrf().disable().sessionManagement().disable().formLogin().disable().cors().disable();
        httpSecurity.securityContext().securityContextRepository(jwtSecurityContextRepository);
        httpSecurity.authorizeRequests()
                .antMatchers("/v2/api-docs").hasAuthority("ROLE_DEV")
                .antMatchers("/monitor").hasAuthority("ROLE_MONITOR")
                .antMatchers("/api/private/**", "/api/protected/**").authenticated()
                .and().authenticationProvider(JwtAuthenticationProvider)
                .exceptionHandling().authenticationEntryPoint(new JwtAuthenticationEntryPoint());

    }


}

jwtSecurityContextRepository就是RemoteSecurityContextRepository的实例bean,这样当需要被验证接口请求到达时就会进行Token解析然后讲返回的信息添加到安全上下文,后续spring security会进行接管,但是这样就够了吗?显然不行。

如果只进行到毫无意外spring security会一律返回http 403 ,为什么了?在JwtAuthenticationToken中有一个很关键的属性叫Authenticated,当Authenticated的值是true时表示当前安全上下文是经过验证的后续只需要进行权限判断(AccessDecisionManager),但是这个时候我们还不清楚请求所携带的身份信息是否合法,是否过期,那怎么办了?这就需要配置AuthenticationProvider实例并且将Authenticated设置为false。

当然框架默认提供的AuthenticationProvider实例所支持的功能也是够的但是不能满足细化的控制结果要求,所以我们自己实现一个

public class JwtAuthenticationProvider implements AuthenticationProvider {


    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        if (ObjectUtil.isEmptyObject(authentication)) {
            throw new AuthenticationCredentialsNotFoundException("");
        }
        JwtAuthenticationToken jwtToken = (JwtAuthenticationToken) authentication;

        //非法证书 返回403
        if (!jwtToken.isCredentialsAuthorized()) {
            throw new BadCredentialsException("");
        }
        //凭证过期 从新登陆
        if (jwtToken.isCredentialsExpired()) {
            throw new CredentialsExpiredException("");
        }
        //账户异常 从新登陆
        if (!jwtToken.isAccountNormal()) {
            throw new CredentialsExpiredException("");
        }
        jwtToken.setAuthenticated(true);
        return jwtToken;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return authentication.isAssignableFrom(JwtAuthenticationToken.class);
    }
}

这样我们就可以针对不同的情况进行不同的返回,但是到这你会发现不管抛出什么异常,spring security都只给http 403 ,这显然不行,那怎么办了,通过阅读文档发现有一个属性在干这个事AuthenticationEntryPoint,通过该属性设置的bean会接管所有验证阶段抛出的异常,我们就可以自定义实现一个类并设置来达到针对不同的异常进行不同的返回。

public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        if (authException instanceof CredentialsExpiredException) {
            response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());
        } else if (authException instanceof BadCredentialsException) {
            response.sendError(HttpStatus.FORBIDDEN.value(), HttpStatus.FORBIDDEN.getReasonPhrase());
        } else if (authException instanceof AuthenticationCredentialsNotFoundException) {
            response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());
        } else if (authException instanceof AuthenticationCredentialsNotFoundException) {
            response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());
        } else {
            log.error(authException.getLocalizedMessage(), authException);
            response.sendError(HttpStatus.INTERNAL_SERVER_ERROR.value(), HttpStatus.INTERNAL_SERVER_ERROR.getReasonPhrase());
        }

    }
}

做到这里就完全实现了jwt和spring security的结合,从而实现权限控制

 

 

转载于:https://my.oschina.net/wtfshy/blog/3059849

chizhongying4015
关注
springboot+springsecurity+jwt
weixin_43213137的博客
03-03 386
什么是JWT——What is JSON Web Token? 首先JWT全称是JSON Web Token,它是根据开放标准RFC7519所定义的一个紧凑和独立的在各方安全的传输信息的JSON格式对象。它所传递的信息能够被验证和信任,因为它是数字签证。 以上是官方解释,大白话就是它是来做安全认证的,客户端和服务端的身份认证,可以通过JSON Web Token来做,当然使用springsecur...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
Spring Boot结合Spring SecurityJWT(JSON Web Token)提供了一种高效且灵活的解决方案。本文将深入探讨如何使用这些技术来构建用户登录和权限认证系统。 首先,让我们了解这三个关键组件: 1. **Spring Boot**...
spring boot + spring security + Jwt
qq_36722687的博客
06-30 729
spring boot + spring security + Jwt主要依赖标题新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 主要依赖 <dependency> <grou
JWT与传统Token机制对比:实现安全高效的用户认证
最新发布
qq_61829974的博客
09-09 1431
JWT是一种开放标准(RFC 7519),它定义了一种自包含的凭证,用于在各方之间以安全的方式传输信息。JWT由三部分组成:Header(头部)、Payload(载荷)和Signature(签名)。Header:包含了令牌类型和签名算法的信息。Payload:是JWT的主题部分,包含了一系列声明(Claims)。声明是关于主体的信息,通常用来传输用户数据。1{4}Signature:用于验证数据的完整性和确认JWT是否被篡改。
Spring boot+Spring security+JWT实现前后端分离登录认证权限控制
热门推荐
李哈zzz的博客
03-30 2万+
借鉴文章: Springboot + Spring Security 实现前后端分离登录认证权限控制_I_am_Rick_Hu的博客-CSDN博客_springsecurity前后端分离登录认证 最近一段时间,公司给我安排了一个公司子系统的后台管理系统,让我实现权限管理。此时我就考虑到Spring全家桶的Spring security权限管理。Spring security大致分为认证和授权两个功能,底层也是通过JavaWeb的Filter过滤器来实现,在Spring security中维护了一个.
springboot+springsecurity+JWT
佛说"獨" 的博客
05-07 1059
springboot+springsecurity+JWT 目录结构: springbootApplication里面的配置,如有需要可以自行添加 实现JWT功能 在pom.xml中的配置 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" ...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
总的来说,这个项目展示了如何结合Spring BootSpring SecurityJWT实现一个安全的登录认证系统,以及如何利用MyBatisPlus简化数据库操作。通过这个实现,开发者可以快速构建一个安全的、基于令牌的Web服务,为...
spring boot3.x结合spring security最新版实现jwt登录验证
09-02
本教程将详细讲解如何在Spring Boot 3.x版本中结合Spring Security的最新版实现JWT(JSON Web Token)登录验证。 首先,让我们了解JWTJWT是一种轻量级的身份认证和授权机制,它以JSON对象的形式在客户端和服务器...
新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限认证控制的项目
05-21
本项目“新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限认证控制”正是针对这一需求而设计的。以下是关于这个项目及其相关技术的详细说明。 **Spring Boot** Spring Boot简化了Spring应用的...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring Security、OAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
spring boot +spring Security+ jwt+oauth2.rar
06-13
下载可以直接运行。使用mysql保存数据。包括数据文件、测试过可以正常使用(API权限可控) 服务器端和客户端样例程序都有
Spring Boot + Spring Security + JWT
yuanjian0814的博客
04-10 346
1. 新建Spring Boot 项目 1.1 创建 Controller @RestController @RequestMapping(value = "/api") public class UserController { @Autowired private UserService userService; @GetMapping(value = "/user/{...
Spring Security学习笔记
Shawn的个人博客
05-09 2813
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
spring-boot+Spring-security+jwt控制权限
wcuu的博客
06-14 768
权限基于spring boot + spring security + jwt 进行权限控制,用户登录和实际权限部分,本例固定在初始化中。username + 123456 进行。 以下是相关全部源代码。如果用户需要在数据库中存取用户和权限,仅需要更新部分验证用户部分即可。 POM.xml <?xml version="1.0" encoding="UTF-8"?> <...
SpringBoot + SpringSecurity + JWT
飘然生的博客
01-24 1159
一、pom依赖 1.POM依赖 <!--security--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.2.4.RELEASE&l
springBoot+spring-security+JWT前后端分离权限管理
weixin_37544257的博客
04-14 314
spring-security+jwt前后端分离权限管理
springboot+springsecurity的基础上+JWT(私钥加密,公钥解密)
furenqiang的博客
12-23 3497
一、已经完成了springboot+springsecurity的工作若没完成,请移步 security使用:三个工具类 ,放在项目专门存放工具类的包下面 (1)、jwtUtils.java: JWT生成TOKEN package com.aliyun.vuelogin.util; import com.aliyun.vuelogin.common.Payload; import io.js...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值