前后端分离使用SpringSecurity(BCrypt加密)+jjwt+拦截器(jwt)实现认证和方法级别授权

最新推荐文章于 2024-08-05 19:09:24 发布
最新推荐文章于 2024-08-05 19:09:24 发布
阅读量920 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/douxubao/article/details/105012124
版权

技术栈:AOP,拦截器,自定义注解,
实现思路:
SpringSecurity只用它的BCrypt对密码加密,用户注册的时候
jjwt用来在登录的时候利用jjwt.builder生成token返回
拦截器用jjwt.parse方法来验证token,并把role放到request域中
自定义注解+AOP主要用来实现判断当前role是否有权限造作该方法
核心依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
 </dependency>

工具类:jjwtutil参考之前文章
在这里插入图片描述在这里插入图片描述在这里插入图片描述 在这里插入图片描述在这里插入图片描述jjwt拦截器

@Component
public class JwtFilter extends HandlerInterceptorAdapter {
@Autowired    
private JwtUtil jwtUtil;    
@Override    
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
   
 
System.out.println("经过了拦截器");        
final String authHeader = request.getHeader("Authorization");        
if (authHeader != null &&  authHeader.startsWith("Bearer ")) {        
final String token = authHeader.substring(7); // The part
after "Bearer "
           
Claims claims = jwtUtil.parseJWT(token);            
if (claims != null) {            
if("admin".equals(claims.get("roles"))){//如果是管理员                
request.setAttribute("role", "admin");                    
}                
if("user".equals(claims.get("roles"))){//如果是用户                
request.setAttribute("role", "user");                    
}                
}            
}        
return true;        
}    
}

下面是权限控制
参考这篇文章
https://blog.csdn.net/zhanglf02/article/details/89787937

都旭宝
关注
【java】java的Jaas授权与鉴权
九师兄
12-29 1656
文章目录1.概述2. 概念预览3.SecurityManager应用场景2. 测试2.1 无安全测试2.2 安全测试2.1 绑定授权策略文件3. 其他java权限4.优化5.再次优化错误集锦1.11.2 1.概述 Jaas主要负责的是 Authentication 和 Authorization。Java平台提供的认证授权服务(Java Authentication and Authorizat...
【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)
黄团团的个人博客
07-28 5552
最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!
SpringSecurity+jwt实现前后分离 适配Resful API的权限控制
TheJam的博客
03-13 684
前言 SpringSecurity默认采用的基于表单的认证形式,以session识别 从用户登录授权、鉴权等都与表单相关。而当前许多应用都采用SpringBoot 基于Resful API风格的开发,使用默认的SpringSecurity无法直接使用满足。解决方案:不采用默认的登录鉴权方式,而通过覆写增加其中的过滤器Filter来实现 登录和鉴权,并将JWTJSON WEB TOKEN)作为认证...
SpringSecurity + JWT实战(前后端分离
最新发布
As_Yua的博客
08-05 1832
先来聊一聊什么是SpringSecurity ,在上一篇文章中已经聊过了,大家可以去看看接下来我们聊聊什么是JWTJson web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且的,特别适用于。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密
BCrypt 加密实现
习惯
05-04 7883
Bcrypt百度百科: bcrypt,是一个跨平台的文件加密工具。由它加密的文件可在所有支持的操作系统和处理器上进行转移。它的口令必须是8至56个字符,并将在内部被转化为448位的密钥。 除了对您的数据进行加密,默认情况下,bcrypt 在删除数据之前将使用随机数据三次覆盖原始输入文件,以阻挠可能会获得您的计算机数据的人恢复数据的尝试。如果您不想使用此功能,可设定禁用此功能。 bcrypt
SpringBoot整合JWT+Spring Security+Redis实现登录拦截(一)登录认证
郝南过的博客
12-25 3104
Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等。实际操作时经常需要实现XXXFilter来自定义的登录以及访问控制。什么是身份认证身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。常见的身份认证一般要求用户提供用户名和密码。
SpringBoot security 安全认证(二)——登录拦截器
朗朗的博客
02-01 1998
本节内容:实现登录拦截器,除了登录接口之外所有接口访问都要携带Token,并且对Token合法性进行验证,实现登录状态的保持。核心内容:1、要实现登录拦截器,从Request请求中获取token,从缓存中获取Token并验证登录是否过期,若验证通过则放行;2、实现拦截器配置,SpringBoot 安全模块使用HttpSecurity 来完成请求安全管理。
spring boot+spring security+jwt+vue整合前后端分离token权限认证项目详细过程代码 含AES加密
m0_47576928的博客
07-21 1353
准备前提条件:已搭好一个spring boot后台项目及vue前台项目 目录 一、后台 1、依赖 2、继承WebSecurityConfigurerAdapter适配器 3、自定义用户名密码校验 MyAuthenticationProvider 4、登录成功处理逻辑 CustomizeAuthenticationSuccessHandler 5、登录失败处理逻辑 CustomizeAuthenticationFailureHandler 6、匿名用户访问无权限资源时的异常处理 Customi
(原创)springboot+springsecurity+redis+jwt+vue+iframe 做一个前后端分离的SSO单点登陆鉴权系统 类似淘宝天猫单点登陆
xuexishaguo的博客
12-20 3万+
1 前言 单点登陆系统,简单说就是用户登陆了www.aaa.com之后,再登陆www.bbb.com,就不需要重新输入用户名密码进行登陆,中间会有一个www.sso.com的验证中心。这点类似于淘宝 ,天猫,当然淘宝的验证中心域名是login.taobao.com,和www.taobao.com是同一个域名。要做到无缝登陆,就需要iframe这个技术,淘宝天猫也是用的iframe,iframe还...
前后端分离 SpringBoot + SpringSecurity + JWT + RBAC 实现用户无状态请求验证
热门推荐
IT小村
07-16 4万+
一、前言 修改自前文,十分贴近公司开发的生产环境 前后端分离 SpringBoot + SpringSecurity 权限解决方案 二、代码 代码已经放在 github 上了:https://github.com/larger5/SpringBoot_SpringSecurity_JWT_RBAC.git 1.pom &amp;amp;amp;amp;amp;amp;lt;!--安全框架--&amp;amp;amp;amp;amp;amp;gt;
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
m0_67392182的博客
07-29 1435
token是无状态的,后端不需要记录信息,每次请求过来进行解密就能得到对应信息。session是有状态的,需要后端每次去检索id的有效性。不同的session都需要进行保存,但也可以设置单点登录,减少保存的数据。session与token的选择是空间与时间博弈,为什么这么说呢,是因为token不需要保存,不占存储空间,但每次访问都需要进行解密,消耗了一定的时间。在一般的前后端分离项目中,token展现出了它的优势,成为了比session更好的选择userlist')")});}...
java授权框架
10-30
对java应用进行授权的一个框架,方便对java应用进行license控制。
vue+springboot前后端分离实例.zip
03-20
实现了登录以及基本的增删改查功能,table-project是用webstorm打开,table-server可以用idea或者是eclipse打开,账号和密码是123。
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
使用BCrypt加密,让你更安全的储存密码
懒得安分的博客
07-27 1826
bcrypt是一个跨平台的文件加密工具。Bcrypt生成的密文是60位的,并且不会想MD5那样重复。
Spring Security - 使用 Bcrypt 代替 MD5/SHA1
LeoSong121的博客
12-27 970
前言: 如果数据库被“拖库”明文存储的密码就变得不安全。之前的做法是使用 md5 散列的方式,因为 md5 不可逆,无法从密文推出原文。 MD5/SHA1为什么不安全: HASH 算法最大的问题是,会发生撞库,也就是说,有可能出现多个原文得到同一个密码。 下面这个式子是存在的,如果原文是 M1,只需要另外一个同样 HASH 值的密码即可登录。 MD5(M1) = MD5(M2) ...
登录校验功能(JWT令牌,拦截器(Interceptor)、异常处理)
weixin_70475124的博客
07-19 573
1、定义拦截器实现HandlerInterceptor接口,并重写其所有方法。2、让启动类实现WebMvcConfigurer接口,注册拦截器,配置拦截路径。​ 2、生成JWT,校验JWT
springsecurity 中的 BCrypt 加密算法
ChineseSoftware的博客
02-21 3417
一、简介 1️⃣BCrypt 加密:一种加盐的单向 Hash,不可逆的加密算法,同一种明文,每次加密后的密文都不一样,而且不可反向破解生成明文,破解难度很大。每次加密的时候首先会生成一个随机数就是盐,之后将这个盐值与明文密码进行 hash,得到 一个hash值存到数据库中。其中生成的 hash 值中包含了之前生成的盐值(22个字符),用于后续 hash 值验证。 2️⃣MD5 加密:是不加盐的单向 Hash,不可逆的加密算法,同一个密码经过 hash 的时候生成的是同一个 hash 值,在大多数的情况下,有
JSD-2204-关于Spring SecurityBCrypt-Day11
TheNewSystrm的博客
08-05 371
JSD-2204-关于Spring SecurityBCrypt-Day11
Spring Security整合JWT实现无状态认证
在现代Web开发中,随着前后端分离和移动应用的普及,JSON Web Token (JWT) 成为了实现用户认证授权的一种流行方式。JWT允许用户在无需携带传统Session Cookie的情况下进行安全的身份验证。Spring-Security作为Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值