Angular5 JWT身份验证(Spring Boot安全性)

最新推荐文章于 2021-08-12 19:51:00 发布
最新推荐文章于 2021-08-12 19:51:00 发布
阅读量176 收藏
点赞数
文章标签: jwt java 数据库 rest shiro

欢迎使用带有Spring Security的angular5 jwt身份验证。在本教程中,我们将在一个angular5单页应用程序中使用jwt身份验证创建一个完整的堆栈应用程序,该应用程序具有由spring boot支持并集成了spring security的后备服务器。带有集成了HttpInterceptor的示例angular5示例应用程序,以拦截所有HTTP请求以在标头中添加jwt授权令牌,并且在服务器中,我们将使用Spring安全性公开和保护一些REST端点。仅当有效的jwt令牌有效时,该资源才能访问在标题中找到。我们将使用Mysql DB进行持久性存储。

本文由4个部分组成。在第一部分中,我们将使用材料设计来构建单页angular5应用程序。 在第二部分中,我们将创建一个带有示例REST端点公开的Spring Boot应用程序。 在第三部分中,我们将通过Spring Security与JWT集成,在第四部分中,将使用HttpIntrceptor与angular5进行jwt集成。

使用的技术

我们在角度和Spring启动中都进行了频繁的版本升级。 因此,让我们首先确认将用于构建此应用程序的这些技术的版本。

1. Spring Boot 1.5.8.RELEASE

2. jjwt 0.6.0

3.角5.2.0

4.角材料5.1.0

5. MySQL

6. Java 1.8

Jwt认证

JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式来作为JSON对象在各方之间安全地传输信息。无状态身份验证机制,因为用户状态永远不会保存在服务器内存中。 JWT令牌由三部分组成,并用点号(。)分隔,即Header.payload.signature

标头使用了两种部分的令牌和哈希算法。组成这两个密钥的JSON结构是Base64Encoded。 

{
  "alg": "HS256",
  "typ": "JWT"
}

有效负载包含索赔。从根本上讲,索赔有三种类型:预留索赔,公共索赔和私人索赔。 保留的声明是预定义的声明,例如iss(发布者),exp(到期时间),sub(主题),aud(听众)。在私人声明中,我们可以创建一些自定义声明,例如主题,角色等。 

{
  "sub": "Alex123",
  "scopes": [
    {
      "authority": "ROLE_ADMIN"
    }
  ],
  "iss": "http://devglan.com",
  "iat": 1508607322,
  "exp": 1508625322
}

签名可确保令牌不会在途中发生更改。例如,如果您想使用HMAC SHA256算法,则将通过以下方式创建签名: 

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

服务器的受保护路由将在Authorization标头中检查有效的JWT,如果存在该JWT,则将允许用户访问受保护的资源。每当用户要访问受保护的路由或资源时,用户代理都应发送JWT,通常在使用Bearer模式的Authorization标头中。 标头的内容应如下所示: 

Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJBbGV4MTIzIiwic2N.v9A80eU1VDo2Mm9UqN2FyEpyT79IUmhg

创建Angular5应用程序

我们已经在上一篇文章Angular5 Material App中创建了angular5应用程序 。这是一个非常简单的集成了angular material的应用程序 。在此应用程序中,我们集成了2个模块用户和具有路由的登录模块。但是这里的登录验证是在客户端应用程序本身中进行了硬编码,一旦用户成功登录,他将被重定向到用户页面,在该页面上他可以看到数据表中的用户列表。

以下是先前的项目结构以及我们现在将要构建的项目结构。

在这个例子中,我们需要首先创建一个使用REST API的HTTP客户端,为此我们将使用@angular/common/http HttpClient。 以下是我们的app.service.ts出于演示目的,我们只有一个HTTP调用来获取用户列表。 

import {Injectable} from '@angular/core';
import { HttpClient, HttpHeaders } from '@angular/common/http';
import {Observable} from 'rxjs/Observable';
import {User} from './user/user.model';


const httpOptions = {
  headers: new HttpHeaders({ 'Content-Type': 'application/json' })
};

@Injectable()
export class UserService {

  constructor(private http: HttpClient) {}

  private userUrl = 'http://localhost:8080/';

  public getUsers(): Observable {
    return this.http.get(this.userUrl + '/users');
  }

}

不要忘记在app.module.ts的提供程序中包含userService和HttpClientModule

同样,在user.component.ts我们对服务进行了以下更改并填充了数据表。还要注意的一件事是,我们在spring安全配置中禁用了/ users端点的身份验证。 

import {Component, OnInit} from '@angular/core';
import {MatTableDataSource} from '@angular/material';
import {User} from './user.model';
import {UserService} from '../app.service';
import {Router} from '@angular/router';

@Component({
  selector: 'app-root',
  templateUrl: './user.component.html',
  styleUrls: ['./user.component.css']
})
export class UserComponent implements OnInit {
  displayedColumns = ['id', 'username', 'salary', 'age'];
  dataSource = new MatTableDataSource();
  constructor(private router: Router, private userService: UserService) {
  }
  ngOnInit(): void {
    this.userService.getUsers().subscribe(
      data => {
        this.dataSource.data = data;
      }
    );
  }
}

现在,有了这样的实现,我们应该能够在URL的数据表中显示用户列表– http:// localhost:4200 / user

创建Spring Boot应用程序

首先,检查以下项目结构。 这是我们在spring boot jwt认证教程期间构建的项目。

Spring Boot应用程序的端点在控制器类的/ users中公开。 这是一个简单的实现,此外,我们为angular启用了CORS,并且用户模型类具有4个属性,如id,用户名,年龄和薪水。

UserController.java 

package com.devglan.controller;

import com.devglan.model.User;
import com.devglan.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;

import java.util.List;

@CrossOrigin(origins = "http://localhost:4200", maxAge = 3600)
@RestController
public class UserController {

    @Autowired
    private UserService userService;

    @RequestMapping(value="/users", method = RequestMethod.GET)
    public List listUser(){
        return userService.findAll();
    }
}

Spring安全配置

现在,我们将配置安全性以保护我们的应用程序。 现在,我们将允许/users端点进行公共访问,以便稍后可以验证jwt身份验证并在数据表中显示用户列表(如上图所示)。所有这些配置已在我的上一篇文章中讨论过-Spring Boot Security JWT身份验证。这里authenticationTokenFilterBean()无效,因为我们允许/users端点进行公共访问。 

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource(name = "userService")
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtAuthenticationEntryPoint unauthorizedHandler;

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Autowired
    public void globalUserDetails(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
                .passwordEncoder(encoder());
    }

    @Bean
    public JwtAuthenticationFilter authenticationTokenFilterBean() throws Exception {
        return new JwtAuthenticationFilter();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable().
                authorizeRequests()
                .antMatchers("/token/*").permitAll()
                .anyRequest().authenticated()
                .and()
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        http
                .addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    public BCryptPasswordEncoder encoder(){
        return new BCryptPasswordEncoder();
    }

}

在Spring Security中添加JWT身份验证

JWT的简单实现是编写一个过滤器类,该类将拦截所有请求并查找JWT授权令牌,如果在标头中找到该令牌,它将提取该令牌,解析该令牌以查找与用户相关的信息,例如username令牌被验证后,它将准备spring安全上下文,并将请求转发到过滤器链中的下一个过滤器。

因此,为此目的,我们提供了OncePerRequestFilter类,该类每个请求执行一次。 在过滤器中,我们正在对角色进行硬编码,但在实时应用程序中,我们可以从JWT令牌的自定义范围中提取它,或者在UserDetailsService进行数据库查找

JwtAuthenticationFilter.java 

public class JwtAuthenticationFilter extends OncePerRequestFilter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest req, HttpServletResponse res, FilterChain chain) throws IOException, ServletException {
        String header = req.getHeader(HEADER_STRING);
        String username = null;
        String authToken = null;
        if (header != null && header.startsWith(TOKEN_PREFIX)) {
            authToken = header.replace(TOKEN_PREFIX,"");
            try {
                username = jwtTokenUtil.getUsernameFromToken(authToken);
            } catch (IllegalArgumentException e) {
                logger.error("an error occured during getting username from token", e);
            } catch (ExpiredJwtException e) {
                logger.warn("the token is expired and not valid anymore", e);
            } catch(SignatureException e){
                logger.error("Authentication Failed. Username or Password not valid.");
            }
        } else {
            logger.warn("couldn't find bearer string, will ignore the header");
        }
        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

            UserDetails userDetails = userDetailsService.loadUserByUsername(username);

            if (jwtTokenUtil.validateToken(authToken, userDetails)) {
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, Arrays.asList(new SimpleGrantedAuthority("ROLE_ADMIN")));
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(req));
                logger.info("authenticated user " + username + ", setting security context");
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        }

        chain.doFilter(req, res);
    }
}

完成此实现后,我们实际上可以从WebSecurityConfig.java删除“ / users”并验证在尝试将数据加载到角度数据表中时将得到401。

在Spring Security中创建JWT令牌

我们定义了这个控制器来生成JWT令牌。该控制器will方法将在登录请求期间从客户端调用。 它将使用用户名和密码组合从数据库验证用户,并相应地生成JWT令牌。

AuthenticationController.java 

@RestController
@RequestMapping("/token")
public class AuthenticationController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    @Autowired
    private UserService userService;

    @RequestMapping(value = "/generate-token", method = RequestMethod.POST)
    public ResponseEntity register(@RequestBody LoginUser loginUser) throws AuthenticationException {

        final Authentication authentication = authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(
                        loginUser.getUsername(),
                        loginUser.getPassword()
                )
        );
        SecurityContextHolder.getContext().setAuthentication(authentication);
        final User user = userService.findOne(loginUser.getUsername());
        final String token = jwtTokenUtil.generateToken(user);
        return ResponseEntity.ok(new AuthToken(token));
    }

}

Angular5 JWT授权

现在,当要在带有Spring Security的angular5中进行JWT授权集成时,首先我们需要发出POST请求以使用用户名和密码登录。 在响应中,服务器将在成功身份验证后为您提供JWT令牌。一旦获得此令牌,我们便可以将其缓存在浏览器中以供以后的API调用重用。现在让我们定义我们的authservice,它将在以下位置请求JWT令牌登录。

验证服务 

import {Injectable} from '@angular/core';
import {Observable} from 'rxjs/Observable';
import { HttpClient, HttpHeaders } from '@angular/common/http';

@Injectable()
export class AuthService {

  baseUrl: 'http://localhost:8080/email2sms/';

  constructor(private http: HttpClient) {
  }

  attemptAuth(ussername: string, password: string): Observable {
    const credentials = {username: ussername, password: password};
    console.log('attempAuth ::');
    return this.http.post('http://localhost:8080/token/generate-token', credentials);
  }

}

现在,在登录期间,我们将通过调用spring security AUTH API来调用此服务以对用户进行身份验证。

login.component.ts 

import { Component, OnInit } from '@angular/core';
import {Router} from '@angular/router';
import {MatDialog} from '@angular/material';
import {AuthService} from '../core/auth.service';
import {TokenStorage} from '../core/token.storage';

@Component({
  selector: 'app-login',
  templateUrl: './login.component.html',
  styleUrls: ['./login.component.css']
})
export class LoginComponent {

  constructor(private router: Router, public dialog: MatDialog, private authService: AuthService, private token: TokenStorage) {
  }

  username: string;
  password: string;

  login(): void {
    this.authService.attemptAuth(this.username, this.password).subscribe(
      data => {
        this.token.saveToken(data.token);
        this.router.navigate(['user']);
      }
    );
  }

}

手动在所有API请求的标头中添加此令牌并不是一种更干净的方法。 因此,我们将实现一个HTTPInterceptor,它将拦截所有rquest并将此JWT授权令牌添加到标头中。 此外,我们可以拦截响应,对于任何未经授权的请求或过期的令牌,我们都可以将用户重定向到登录页面。此外,要在本地存储此令牌,我们可以使用sessionstorage – sessionStorage对象仅存储一个会话的数据(该数据将被删除当浏览器标签关闭时)。 拦截器将实现HttpInterceptor接口,并重写intercept() 。 在这里,我们正在克隆设置所需标题的请求,下面是拦截器的实现。

应用拦截器 

import { Injectable } from '@angular/core';
import {HttpInterceptor, HttpRequest, HttpHandler, HttpSentEvent, HttpHeaderResponse, HttpProgressEvent,
  HttpResponse, HttpUserEvent, HttpErrorResponse} from '@angular/common/http';
import { Observable } from 'rxjs/Observable';
import { Router } from '@angular/router';
import {TokenStorage} from './token.storage';
import 'rxjs/add/operator/do';

const TOKEN_HEADER_KEY = 'Authorization';

@Injectable()
export class Interceptor implements HttpInterceptor {

  constructor(private token: TokenStorage, private router: Router) { }

  intercept(req: HttpRequest, next: HttpHandler):
    Observable | HttpUserEvent> {
    let authReq = req;
    if (this.token.getToken() != null) {
      authReq = req.clone({ headers: req.headers.set(TOKEN_HEADER_KEY, 'Bearer ' + this .token.getToken())});
    }
    return next.handle(authReq).do(
        (err: any) => {
          if (err instanceof HttpErrorResponse) {
           
            if (err.status === 401) {
              this.router.navigate(['user']);
            }
          }
        }
      );
  }

}

不要错过在app.module.ts中注册该拦截器的机会。

要将此令牌存储在浏览器存储中,让我们定义我们的token.storage.ts 

import { Injectable } from '@angular/core';


const TOKEN_KEY = 'AuthToken';

@Injectable()
export class TokenStorage {

  constructor() { }

  signOut() {
    window.sessionStorage.removeItem(TOKEN_KEY);
    window.sessionStorage.clear();
  }

  public saveToken(token: string) {
    window.sessionStorage.removeItem(TOKEN_KEY);
    window.sessionStorage.setItem(TOKEN_KEY,  token);
  }

  public getToken(): string {
    return sessionStorage.getItem(TOKEN_KEY);
  }
}

还有客户端jwt令牌验证器,我们可以使用它来检查令牌到期。 这样做,我们不必依赖服务器来检查令牌到期。

结论

在本文中,我们了解了如何将JWT令牌与Angular5应用程序集成在一起,并具有支持的Spring Boot安全性。 如果您喜欢这篇文章,我很乐意在评论部分回覆。

翻译自: https://www.javacodegeeks.com/2018/03/angular5-jwt-authentication-spring-boot-security.html

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Angular 6集成Spring Boot 2,Spring Security,JWT和CORS系列:六、Spring Security的授权
lxhjh的专栏
12-06 507
Spring Security的授权,相对于认证来说,使用上比较简单。 一、工程中使用Spring Security的步骤: 第一步、工程依赖中引入依赖包。 第二步、继承WebSecurityConfigurerAdapter,使用@Configuration、@EnableWebSecurity声明这是一个配置文件,启用Spring Security的WebSecurity功能。 第三步...
SpringBoot使用Jwt来进行安全验证机制
A169388842的博客
06-19 687
一. HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth 二.OAuth OAuth(开放授权)是一个开放的授权标准,允许用户让第三方应用访问该用户在
angular jwt_Angular5 JWT身份验证Spring Boot安全性
最佳 Java 编程
07-02 472
angular jwt 欢迎使用带有Spring Security的angular5 jwt身份验证。在本教程中,我们将在一个angular5单页应用程序中使用jwt身份验证创建一个全栈应用程序,该应用程序具有由spring boot支持并支持spring security集成的后备服务器。带有集成了HttpInterceptor的示例angular5示例应用程序,以拦截所有HTTP请求以在标...
Angular 6集成Spring Boot 2,Spring Security,JWT和CORS
大强博客
08-14 838
http://blog.51cto.com/7308310/2072364 本文涉及Spring Boot的基础应用、CORS配置、Actuator监控、springfox-swagger集成、CI集成等,演示了如何利用Swagger生成JSON API文档,如何利用Swagger UI和Postman进行Rest API测试。介绍了Angular 6的新特性,Angular 6与Spring ...
[Angular] AuthService and AngularFire integration
weixin_30797027的博客
08-06 95
Config AngularFire, we need database and auth module from firebase. import {NgModule} from '@angular/core'; import {CommonModule} from '@angular/common'; import {RouterModule, Routes} from '@angu...
jwt超时时间 angular expiredat_SpringBoot集成JWT实现权限认证
weixin_39524842的博客
11-26 690
上一篇文章《一分钟带你了解JWT认证!》介绍了JWT的组成和认证原理,本文将介绍下SpringBoot整合JWT实现认证的过程,带你更深入的了解下JWT。一、JWT认证流程 认证流程如下:用户使用账号和密码发出post请求;服务器使用私钥创建一个jwt;服务器返回这个jwt给浏览器;浏览器将该jwt串在请求头中像服务器发送请求;服务器验证该jwt;返回响应的资源给浏览器。二、SpringBoot...
Angular内置$http服务添加拦截器
不断成长的我
10-13 9503
Angular内置$http服务添加拦截器在Angular框架中,创建团队为使用者进行了Ajax请求的封装,并通过http服务暴露出相关的接口.Angular在其官方文档中指出,http服务暴露出相关的接口.Angular在其官方文档中指出,http服务底层针对Web常见的安全攻击做出了相应的对策,也就是说使用http服务封装的Ajax为使用者提供了更为安全的保障.作为一个框架,保证框架的可用性,
JWTSpring Security 保护 REST API(2)
哈喽羊
07-11 2429
接着《JWTSpring Security 保护 REST API(1)》继续来配置,我们已经把SpringSecurity部分配置完了,现在,我们要开始配置JWT 了首先,我们我们来看下目录,大致了解下我们需要的类首先,我们要在配置文件application.yml里面进行jwt的相关配置每次客户端向服务端发送请求的时候head里面都要带上Authorization的属性,route是关于...
基于TypeScript的Angular6.X系列学习笔记- HttpClientModule
ChaITSimpleLove的博客
09-16 748
1.HttpClient 介绍: 是Angular中提供的简化版的API,用来实现HTTP客户端功能,它基于浏览器的XMLHttpRequest接口,通过HTTP协议实现前端应用和后端服务器的通讯,HttpClient在@angular/common/http中; 2.使用HttpClient: 2.1在app.module.ts中引入HttpClientModule; imp...
Spring Boot Security JWT 权限实现
weixin_34100227的博客
10-19 322
2019独角兽企业重金招聘Python工程师标准>>> ...
使用JWT的几个要点
xianfeihong1的专栏
12-26 1633
一、前端的认证及调用 在登录认证的调用中,需要把token保存在本地的localStorage中,如下所示: function setJwtToken(token) { localStorage.setItem(TOKEN_KEY, token); // 本地存储 } 2.获得token的方法 function getJwtToken() { return...
curl 手册
fabbychips的专栏
03-09 3789
DESCRIPTION curl is a tool to transfer data from or to a server, using one of the supported protocols (DICT, FILE, FTP, FTPS, GOPHER, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP,
JWT的安全问题
tomyyyyy
08-12 3053
目录JWT介绍JWT的定义JWT的由来JWT的构成HeaderPayloadSignatureJWT和Token的区别JWT使用方式JWT的安全风险1.敏感信息泄露2.未校验签名3.签名算法可被修改为none(CVE-2015-2951)4.签名密钥可被爆破5.修改非对称密码算法为对称密码算法(CVE-2016-10555)6.伪造密钥(CVE-2018-0114)JWT toolJWT的使用建...
springBoot整合springsecurity、jwt-token实现权限验证
小葫芦的博客
04-26 3572
一、jar包依赖: <!--jwt--> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-jwt</artifactId...
Angular6学习笔记8: 服务(Service)(1)
热门推荐
W先生
08-23 1万+
服务(Service) 继学习笔记7,可以使用主从组件,现在继续学习(服务)Service; 问题:为什么需要服务? 因为:组件不应该直接获取或保存数据,它们不应该了解是否在展示假数据。 它们应该聚焦于展示数据,而把数据访问的职责委托给某个服务。 这次将创建一个 HeroService,应用中的所有类都可以使用它来获取英雄列表。 不要使用 new 来创建此服务,而要依靠 Angular 的...
秒懂 JWT
程序人生的博客
09-24 1521
作者 | 喵叔 责编 | 胡巍巍 出品 | 程序人生(ID:coder_life) JWT 英文名是 Json Web Token ,是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用在跨域身份验证JWT 以 JSON 对象的形式安全传递信息。因为存在数字签名,因此所传递的信息是安全的。 在讲解 JWT 之前我们先来看一个问题。我们都知道 Inte...
探索7个Spring Boot前后端分离开源项目实例
它提供了可配置的安全管理功能,如动态秘钥加密、JWT过期刷新和用户操作监控,增强了应用安全性。项目地址:[https://gitee.com/tomsun28/bootshiro](https://gitee.com/tomsun28/bootshiro)。 4. **open-capacity-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值