快速上手spring-boot+spring-security+jwt

最新推荐文章于 2024-08-05 16:39:00 发布
最新推荐文章于 2024-08-05 16:39:00 发布
阅读量417 收藏 1
点赞数
分类专栏: 快速上手 文章标签: jwt 安全 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coder_py/article/details/106101386
版权
这篇博客介绍了如何快速上手使用Spring Boot、Spring Security和JWT进行安全认证。内容涵盖了数据库表设计,包括用户、角色和用户角色表,实体类的创建,特别是实现了UserDetails的用户类,以及安全配置和JWT token的处理,特别是使用过滤器进行token验证的流程。
摘要由CSDN通过智能技术生成

快速上手spring-boot+spring-security+jwt

数据库表设计

三张表:

  • 用户表 user

  • 角色表 role

  • 用户角色表 user_roles

图示:

图1.png

实体类

用户类


@Entity
public class User implements UserDetails {

    @Id
    @GeneratedValue
    private Long id;

    private String username;

    private String password;

    // 角色
    @ManyToMany(cascade = {CascadeType.REFRESH},fetch = FetchType.EAGER)
    private List<Role> roles;

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }
    
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> authorities = new ArrayList<>();
        for (Role role : roles) {
            authorities.add( new SimpleGrantedAuthority( role.getName() ) );
        }
        return authorities;
    }

    @Override
    public String getUsername() {
        retu
最低0.47元/天 解锁文章
Coder_py
关注
专栏目录
Springboot+Spring-Security+JWT实现登录和权限校验
liangshitian的博客
10-12 3369
JWT 请查阅这篇文章介绍:https://blog.csdn.net/qq_33612228/article/details/108853525 Spring Security Spring SecuritySpring 全家桶中一个功能强大且高度可定制的身份验证和访问控制框架。与所有 Spring 项目一样,我们可以轻松扩展 Spring Security 以满足自定义要求。由于 Spring Security 功能十分强大,相比于其他技术来说很难上手,很多刚接触 Spring Securi
springboot+springsecurity+jwt
03-27 427
1 新建类SecurityConfiguration import com.jwtmybatis.demo.demo.system.dao.SystemUserDao; import com.jwtmybatis.demo.demo.system.entity.SystemUser; import com.jwtmybatis.demo.demo.system.pojo.SecurityUse...
SpringBoot 整合 Spring SecurityJWT 实现认证、权限控制
最新发布
2301_76419561的博客
08-05 1050
Spring SecurityJWT 实现认证、权限控制是一种在Web应用中保障安全的重要手段。Spring Security是一个功能强大的身份验证和访问控制框架,它提供了完善的认证机制和方法级的授权功能。JWT(JSON Web Token)则是一种基于Token的认证方案,用于在通信双方之间传递安全信息。将Spring SecurityJWT整合,可以实现有效的认证和权限管理,提升系统的安全性。Spring Security的核心是一系列过滤器链,不同的功能经由不同的过滤器实现。例如,
spring boot +spring security + jwt 实现认证模块
weixin_33738982的博客
06-03 306
我在使用spring进行开发时,通常是使用 aop+jwt 模式来对调用者身份进行确认。前几天接触到一个开源商城源码(github地址)里面使用spring security +jwt 来进行权限的验证。但是源码中只实现了简单的用户名密码验证,关于权限的略过了。虽然以前了解过spring security但是没有实际使用过,借着这个机会整合了一下spring security j...
Spring Boot+Spring Security+JWT实现系统认证与授权
Cloud-Future的博客
08-03 3003
Spring Boot+Spring Security+JWT实现系统认证与授权 Spring Boot整合Spring Security实现JWT认证 Spring Boot项目使用JWT认证 JWT认证 OAuth2 JWT认证
springboot+springsecurity+jwt整合之springsecurity三种鉴权表达式
klz
05-02 789
目录springboot+springsecurity+jwt整合项目method鉴权表达式url 鉴权表达式web的rabc鉴权表达式不足 springboot+springsecurity+jwt整合项目 springboot+springsecurity+jwt整合:https://gitee.com/klzshow/springboot_springsecurity_jwt metho...
SpringSecurity框架教程-Spring Security+JWT实现项目级前端分离认证授权
m0_45209551的博客
05-10 986
SpringSecurity框架使用到讲解
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 7830
SpringsecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
Spring Security+JWT简述
m0_67266585的博客
09-08 2176
Spring SecuritySpring家族的一个安全管理框架, 相比于另一个安全框架Shiro, 它具有更丰富的功能。一般中大型项目都是使用SpringSecurity安全框架, 而Shiro上手比较简单spring security 的核心功能:认证(你是谁): 只有你的用户名或密码正确才能访问某些资源授权(你能干嘛): 当前用户具有哪些功能, 将资源进行划分, 如在公司中分为普通资料和高级资料, 只有经理用户以上才能访文高级资料, 其他人只能拥有访问普通资料的权限。
SpringBoot+Mybatis+SpringSecurity+JWT
09-12
SpringBoot2.0.4 +Mybatis+SpringSecurity+JWT实现权限管理及登陆管理
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
主要介绍了详解SpringBoot+SpringSecurity+jwt整合及初体验,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot整合securityjwt
08-05
springboot2.0整合securityjwt, 还整合了redis,与swagger-ui
SpringBoot+Security+JWT src code
05-20
copy from https://blog.csdn.net/sxdtzhaoxinguo/article/details/77965226 thanks 迷彩风情
spring boot + spring security + Jwt
qq_36722687的博客
06-30 719
spring boot + spring security + Jwt主要依赖标题新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 主要依赖 <dependency> <grou
详细!SpringBoot整合SpringSecurity实现JWT认证
MarkerHub的博客
01-02 1150
小Hub领读:最近做了个security项目,参考了一下这个例子,还可以作者:智慧zhuhuixhttps://blog.csdn.net/jpgzhu/article/details/...
springboot+spring security+JWT实现方式
qq_35530330的博客
09-16 172
本教程值值详细讲解spring security的实现,没有任何杂质,只是用于记录。不公开!! SpringBoot项目的创建就不在说了,直接跳过 一、引入相关依赖 <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> &lt...
Spring boot Security Jwt
何xiao树
05-31 1534
Spring Security 整合开发 引入 security 启动器,默认拦截所有资源,启动项目会生成一个默认密码,账号 user <!-- 引入Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-.
Spring Boot Security OAuth2 JWT单点登录完整示例
05-25
Spring Boot Security OAuth2 JWT 单点登录是一个非常实用的功能。下面是一个完整的示例,帮助你快速上手。 首先,我们需要在 pom.xml 文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth.boot</groupId> <artifactId>spring-security-oauth2-autoconfigure</artifactId> <version>2.1.0.RELEASE</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.10.7</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.10.7</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.10.7</version> <scope>runtime</scope> </dependency> ``` 然后,我们需要创建一个名为 `SecurityConfig` 的类,继承 `WebSecurityConfigurerAdapter` 类,并重写 `configure` 方法。在这个方法中,我们可以配置 Spring Security 的一些基本设置,如登录页面、用户认证等。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailsService userDetailsService; @Autowired private CustomOAuth2UserService oAuth2UserService; @Autowired private OAuth2AuthenticationSuccessHandler oAuth2AuthenticationSuccessHandler; @Autowired private OAuth2AuthenticationFailureHandler oAuth2AuthenticationFailureHandler; @Autowired private HttpCookieOAuth2AuthorizationRequestRepository httpCookieOAuth2AuthorizationRequestRepository; @Override protected void configure(HttpSecurity http) throws Exception { http .cors() .and() .csrf() .disable() .formLogin() .disable() .httpBasic() .disable() .exceptionHandling() .authenticationEntryPoint(new HttpStatusEntryPoint(HttpStatus.UNAUTHORIZED)) .and() .authorizeRequests() .antMatchers("/", "/error", "/webjars/**").permitAll() .antMatchers("/oauth2/**").permitAll() .anyRequest().authenticated() .and() .oauth2Login() .authorizationEndpoint() .baseUri("/oauth2/authorize") .authorizationRequestRepository(cookieAuthorizationRequestRepository()) .and() .redirectionEndpoint() .baseUri("/oauth2/callback/*") .and() .userInfoEndpoint() .userService(oAuth2UserService) .and() .successHandler(oAuth2AuthenticationSuccessHandler) .failureHandler(oAuth2AuthenticationFailureHandler); } @Bean public HttpCookieOAuth2AuthorizationRequestRepository cookieAuthorizationRequestRepository() { return new HttpCookieOAuth2AuthorizationRequestRepository(); } @Bean public JwtEncoder jwtEncoder() { return new JwtEncoder(); } @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/resources/**"); } @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Autowired public void globalUserDetails(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(encoder()); } @Bean public PasswordEncoder encoder() { return new BCryptPasswordEncoder(); } } ``` 接下来,我们需要创建一个名为 `CustomUserDetailsService` 的类,实现 `UserDetailsService` 接口,并重写 `loadUserByUsername` 方法。在这个方法中,我们可以实现自己的用户认证逻辑。 ```java @Service public class CustomUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("User not found with username : " + username)); return UserPrincipal.create(user); } @Transactional public UserDetails loadUserById(Long id) { User user = userRepository.findById(id).orElseThrow( () -> new ResourceNotFoundException("User", "id", id) ); return UserPrincipal.create(user); } } ``` 然后,我们需要创建一个名为 `CustomOAuth2UserService` 的类,实现 `OAuth2UserService` 接口,并重写 `loadUser` 方法。在这个方法中,我们可以实现自己的第三方登录逻辑,比如从 Facebook 或 Google 获取用户信息。 ```java @Service public class CustomOAuth2UserService extends DefaultOAuth2UserService { @Autowired private UserRepository userRepository; @Override public OAuth2User loadUser(OAuth2UserRequest oAuth2UserRequest) throws OAuth2AuthenticationException { OAuth2User oAuth2User = super.loadUser(oAuth2UserRequest); try { return processOAuth2User(oAuth2UserRequest, oAuth2User); } catch (Exception ex) { throw new OAuth2AuthenticationException(ex.getMessage(), ex); } } private OAuth2User processOAuth2User(OAuth2UserRequest oAuth2UserRequest, OAuth2User oAuth2User) { OAuth2UserInfo oAuth2UserInfo = OAuth2UserInfoFactory.getOAuth2UserInfo( oAuth2UserRequest.getClientRegistration().getRegistrationId(), oAuth2User.getAttributes() ); if(StringUtils.isEmpty(oAuth2UserInfo.getEmail())) { throw new OAuth2AuthenticationProcessingException("Email not found from OAuth2 provider"); } Optional<User> userOptional = userRepository.findByEmail(oAuth2UserInfo.getEmail()); User user; if(userOptional.isPresent()) { user = userOptional.get(); if(!user.getProvider().equals(AuthProvider.valueOf(oAuth2UserRequest.getClientRegistration().getRegistrationId()))) { throw new OAuth2AuthenticationProcessingException("Looks like you're signed up with " + user.getProvider() + " account. Please use your " + user.getProvider() + " account to login."); } user = updateExistingUser(user, oAuth2UserInfo); } else { user = registerNewUser(oAuth2UserRequest, oAuth2UserInfo); } return UserPrincipal.create(user, oAuth2User.getAttributes()); } private User registerNewUser(OAuth2UserRequest oAuth2UserRequest, OAuth2UserInfo oAuth2UserInfo) { User user = new User(); user.setProvider(AuthProvider.valueOf(oAuth2UserRequest.getClientRegistration().getRegistrationId())); user.setProviderId(oAuth2UserInfo.getId()); user.setUsername(oAuth2UserInfo.getName()); user.setEmail(oAuth2UserInfo.getEmail()); user.setImageUrl(oAuth2UserInfo.getImageUrl()); return userRepository.save(user); } private User updateExistingUser(User existingUser, OAuth2UserInfo oAuth2UserInfo) { existingUser.setUsername(oAuth2UserInfo.getName()); existingUser.setImageUrl(oAuth2UserInfo.getImageUrl()); return userRepository.save(existingUser); } } ``` 接着,我们需要创建一个名为 `OAuth2UserInfo` 的接口,定义一些获取第三方登录用户信息的方法。 ```java public interface OAuth2UserInfo { String getId(); String getName(); String getEmail(); String getImageUrl(); } ``` 然后,我们需要创建一个名为 `OAuth2UserInfoFactory` 的工厂类,根据不同的第三方登录平台,返回不同的实现类。 ```java public class OAuth2UserInfoFactory { public static OAuth2UserInfo getOAuth2UserInfo(String registrationId, Map<String, Object> attributes) { if(registrationId.equalsIgnoreCase(AuthProvider.google.toString())) { return new GoogleOAuth2UserInfo(attributes); } else if (registrationId.equalsIgnoreCase(AuthProvider.facebook.toString())) { return new FacebookOAuth2UserInfo(attributes); } else { throw new OAuth2AuthenticationProcessingException("Sorry! Login with " + registrationId + " is not supported yet."); } } } ``` 最后,我们需要创建一个名为 `JwtEncoder` 的类,实现 `TokenEnhancer` 接口,并重写 `enhance` 方法。在这个方法中,我们可以创建一个 JWT Token,并将用户信息存储在 Token 中。 ```java public class JwtEncoder implements TokenEnhancer { @Override public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) { User user = (User) authentication.getPrincipal(); Map<String, Object> additionalInfo = new HashMap<>(); additionalInfo.put("id", user.getId()); additionalInfo.put("username", user.getUsername()); ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo); return accessToken; } } ``` 至此,我们的 Spring Boot Security OAuth2 JWT 单点登录示例就完成了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值