SpringSecurity集成JWT认证框架

最新推荐文章于 2024-04-22 10:14:07 发布
最新推荐文章于 2024-04-22 10:14:07 发布
阅读量2.4k 收藏 10
点赞数
分类专栏: SpringSecurity+jwt 文章标签: servlet java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duomu_DAT/article/details/127267813
版权

1. JWT

        JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。

        JWT的由,header(标头),payload(有效载荷),singnature(签名),三个部分组成的一个Stirng类型的字符串。可以通过对字符串的编码和解密,完成WEB端的登录认证和授权。

        JWT的工作流程如下图所示。

        JWT实现的核心代码有两个,一个是实现拦截器接口,一个是将拦截器注入Spring容器中运行。

        以下是实现拦截器接口,方法是重写前置拦截器,从请求头中获取token的数据进行判断,数据无误可放行,数据不对进行拦截。

public class JWTInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //获取请求头中令牌
        String token = request.getHeader("token");
        try {
            JWTUtils.verify(token);//验证令牌
            return true;//放行请求
        }catch (Exception e){
            e.printStackTrace();
        }
        return false;
    }
}

将拦截器注入Spring容器中,下面需要配置将JWT拦截器进行添加,然后添加下面需要拦截的路径和不需要拦截的路劲。

public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/user/test")         //其他接口token验证
                .excludePathPatterns("/user/login");  //排除拦截路径
    }
}

2. SpringSecurity

        SpringSecurity是一个安全框架,它有认证授权这两个核心功能。

        用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录。

        用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。通俗点讲就是系统判断用户是否有权限去做某些事情。

        SpringSecurity有三个重要个实现类和一个接口,我们可以通过重写实现类里面的方法对SpringSecurity进行的配置。他们的调用流程如下。

        第一个类名是UsernamePasswordAuthenticationFilter的过滤器,这个可以通过这个这类获取登录页面提交的账号和密码进行处理,并且可以配置方法的成功和失败。

public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {

    public TokenLoginFilter() {
        this.setPostOnly(false);
        this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/admin/acl/login","POST"));
    }
    
	//1 获取表单提交用户名和密码
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException {
        //获取表单提交数据
        User user = new ObjectMapper().readValue(request.getInputStream(), User.class);
        return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(),user.getPassword(),
                    new ArrayList<>()));
    }
    
	//2 认证成功调用的方法
    @Override
    protected void successfulAuthentication(HttpServletRequest request, 
                                            HttpServletResponse response, FilterChain chain, Authentication authResult)
            throws IOException, ServletException {
        //认证成功,得到认证成功之后用户信息
        //设置token或者设置cookie都在这
    }

    //3 认证失败调用的方法
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed)
            throws IOException, ServletException {
    }
    
}

        第二个接口是UserDetailsServie的接口,这是接口是SrpingSecurity的用户数据认证接口,需要重写里面的loadUserByUsername方法,在数据库中找到相应的用户数据,复制到UserDetails的类型中返回,就可以对账号就行认证。

public class UserDetailsServiceImpl implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据用户名查询数据
        //将数据库的数据复制到UserDetails的类型中
        UserDetails userDetails = new UserDetails();
        return userDetails;
    }

第三个类是BasicAuthenticationFilter的实现类,重写doFilterInternal方法,这个就是配置权限的方法了,除了登录方法排除在外,其他方法都会进入到这个方法加载权限。然后SpringSecurity就会根据这个权限来判断请求的方法是否可以继续访问。

public class TokenAuthFilter extends BasicAuthenticationFilter {
     @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        //获取当前认证成功用户权限信息
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken();
        //判断如果有权限信息,放到权限上下文中
        SecurityContextHolder.getContext().setAuthentication(authRequest);
        
        chain.doFilter(request,response);
    }
}

        第四个配置类是WebSecurityConfigurerAdapter对SpringSecurity进行注入到Spring的容器中运行,需要重写configure的方法,配置数据。

public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter {
     @Override
    protected void configure(HttpSecurity http) throws Exception {
        //配置特定权限
        http.authorizeRequests()
                .antMatchers("/admin/acl/user/**").hasAuthority("user.list")
             //没有权限访问   
            .and().exceptionHandling()
                .authenticationEntryPoint(new UnauthEntryPoint())
                //跨域问题
            .and().csrf().disable()
               //退出路径 
            .authorizeRequests()
                .anyRequest().authenticated()
                .and().logout().logoutUrl("/admin/acl/index/logout")
                .addLogoutHandler(new TokenLogoutHandler(tokenManager,redisTemplate))
                //添加自定义过滤器
            .and().addFilter(new TokenLoginFilter(authenticationManager(), tokenManager, redisTemplate))
                .addFilter(new TokenAuthFilter(authenticationManager(), tokenManager, redisTemplate)).httpBasic();
    }
}

3.集成JWT

        SpringSecurity+jwt的集成,登录的整个流程。

        集成jwt就是在SpringSecurity架构认证成功之后去添加token返回给前端,这个认证成功的方法就是successfulAuthentication,在这里去添加token返回。

    protected void successfulAuthentication(HttpServletRequest request, 
                                            HttpServletResponse response, FilterChain chain, Authentication authResult)
            throws IOException, ServletException {
        //认证成功,得到认证成功之后用户信息
        SecurityUser user = (SecurityUser)authResult.getPrincipal();
        //根据用户名生成token
        String token = tokenManager.createToken(user.getCurrentUserInfo().getUsername());
        //把用户名称和用户权限列表放到redis
        redisTemplate.opsForValue().set(user.getCurrentUserInfo().getUsername(),user.getPermissionValueList());
        //返回token
        ResponseUtil.out(response, R.ok().data("token",token));
    }

        返回给前端后,前端会将token设置在请求头,之后在每次请求都会发送回来。我们可以在授权前对token进行校验,看是否授权。

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        //获取当前认证成功用户权限信息
        UsernamePasswordAuthenticationToken authRequest = getAuthentication(request);
        //判断如果有权限信息,放到权限上下文中
        if(authRequest != null) {
            SecurityContextHolder.getContext().setAuthentication(authRequest);
        }
        chain.doFilter(request,response);
    }

private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
        //从header获取token
        String token = request.getHeader("token");
        if(token != null) {
            //从token获取用户名
            String username = tokenManager.getUserInfoFromToken(token);
            //从redis获取对应权限列表
            List<String> permissionValueList = (List<String>)redisTemplate.opsForValue().get(username);
            Collection<GrantedAuthority> authority = new ArrayList<>();
            for(String permissionValue : permissionValueList) {
                SimpleGrantedAuthority auth = new SimpleGrantedAuthority(permissionValue);
                authority.add(auth);
            }
            return new UsernamePasswordAuthenticationToken(username,token,authority);
        }
        return null;
    }

4. 附件

  1. 资源文件:百度云
  2. 不清楚的可以看视频

bilibili htmicon-default.png?t=M85Bhttps://player.bilibili.com/player.html?aid=202502517&bvid=BV15a411A7kP&cid=256421944&page=1

哆木
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合springsecurityjwt权限验证
08-10
该资源包整合基于springboot整合springsecurity结合jwt做权限验证、配置完善,可以直接作为项目的基础框架集成使用,使用mybatis作为持久层框架,基础框架搭建完成,只需要写业务代码集合,便于快捷开发。
动力节点最新SpringSecurity框架教程配套资料分享
07-25
Spring Security是一个功能强大的认证和访问控制框架,提供基于Spring应用程序的...通过此课程的学习,你将学习到Spring Security的常用用法,JWT的使用以及Spring Security集成JWT实现单点登录等现实应用场景的使用。
Spring Security 6 JWT身份验证
weixin_52019286的博客
01-26 771
基于JWT 实现身份认证和授权,是当前流行的一种技术解决方案。使用这种方案,要求用户先发来用户名与密码,当用户名与密码校验通过时,服务器端返回一个JWT给客户端。客户端拿到JWT之后,将其放到HTTP 请求名为Authorization的Header 中,随后继请求一起发给服务端服务端先校验JWT的有效性,有效之后,开放资源给客户端访问。public static final String JWT_KEY="这是我的一个私有密钥,用于生成JWT";//设置放在HTTP请求Header的名字。
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
最新发布
小威的博客
04-22 1万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
SpringBoot + SpringSecurity+JWT整合(微服务适用)
weixin_42372860的博客
09-26 1160
SpringSecurity基于表单的登录认证流程如下图: 大致过程是在UsernamePasswordAuthenticationFilter将username和password封装成UsernamePasswordAuthenticationToken,之后会在AuthenticationProvider(接口,需要自己实现)的authenticate方法中拿到且校验(一般是查数据库,对比账号密码),而校验成功则返回Authentication接口对象(一般情况是直接返回UsernamePassw
SpringSecurityJWT整合
热门推荐
BLU_111的博客
12-06 18万+
SpringSecurityJWT整合 数据库基于:SpringSecurity从数据库中获取用户信息进行验证 依赖: <dependencies> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <ver
Spring Security 超详细整合 JWT,能否拿下看你自己!
08-31 5729
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 3197
SpringSecurity+JWT快速入门
厉害,我带的实习生仅用四步就整合SpringSecurity+JWT实现登录认证
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecuritySpring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
Spring Security + JWT基础整合
weixin_45565886的博客
02-08 1364
Spring Security + JWT基础整合
配置 Spring SecurityJWT(二)
qiuweifan的博客
03-28 860
下面的类是我们安全实现的关键。它包含了我们项目所需的几乎所有安全配置。 让我们首先在包中创建以下SecurityConfig类com.example.config,然后我们将通过代码并了解每个配置的作用
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
SpringBoot集成Spring SecurityJWT令牌实现登录和鉴权的方法
08-19
主要介绍了SpringBoot集成Spring SecurityJWT令牌实现登录和鉴权的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
RuoYi-Vue-Multi-Tenant:基于RuoYi-Vue扩展的多租户框架SpringBoot,Spring SecurityJWT,Vue&Element的前所有权分离权限管理系统)
03-31
基于RuoYi-Vue扩展的多租户框架SpringBoot,Spring SecurityJWT,Vue&Element的前所有权分离权限管理系统) 环境准备 1.clone项目到本地 2.找到项目目录下脚本文件/ruo-yi-vue-multi-tenant/ruoyi/multi_tenant...
calm-cloud:实践搭建:springcloud + nacos +网关+ springsecurity
03-30
平静的云 ...冷静的父母包括:swagger,redis,jasypt,email,jwt,nacos,openfeign,springboot-admin 冷静-常见包括:言行,安全 镇静核心包括:mysql,mybatis-plus,mybatis-plus-dynamic-dataso
Spring Security 6 配置方法,废弃 WebSecurityConfigurerAdapter
markvivv随笔
03-26 1万+
Spring Security 5.7.0-M2中,Spring就废弃了WebSecurityConfigurerAdapter,因为Spring官方鼓励用户转向基于组件的安全配置。本文整理了一下新的配置方法。在下面的例子中,我们使用Spring Security lambda DSL和HttpSecurity#authorizeHttpRequests方法来定义我们的授权规则,从而遵循最佳实践。
SpringSecurity+JWT实现前后端分离认证和授权 第二部分:测试+流程分析
Eriksen的博客
07-18 1128
SpringSecurity+JWT
全面前后端分离项目中springSecurity集成jwt认证搭建 (springboot)
NullPointer
03-31 275
前后端分离场景中的springsecurity整合jwt的权限校验
Spring Security + jwt
08-19
Spring SecurityJWT(JSON Web Token)是一种常见的组合,用于实现身份验证和授权机制。 JWT是一种轻量级的身份验证和授权的解决方案,它使用JSON格式来定义安全声明。JWT通常由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部包含算法和令牌类型等信息,载荷包含用户身份和其他相关信息,签名用于验证令牌的完整性和真实性。 Spring Security提供了对JWT的支持,并可以与Spring Boot框架无缝集成。您可以通过以下步骤来实现Spring Security + JWT集成: 1. 添加依赖:在项目的构建文件中,添加Spring SecurityJWT相关的依赖,如spring-boot-starter-security和jjwt。 2. 配置Spring Security:创建一个继承自WebSecurityConfigurerAdapter的配置类,并重写configure方法来配置Spring Security。在该方法中,您可以定义身份验证和授权规则。 3. 创建JWT工具类:创建一个JWT工具类,用于生成、解析和验证JWT。您可以使用jjwt库来处理JWT操作。 4. 实现用户认证:在Spring Security配置类中,您可以实现UserDetailsService接口,并重写loadUserByUsername方法来根据用户名加载用户信息。在该方法中,您可以从数据库或其他数据源中获取用户信息,并构建一个UserDetails对象返回。 5. 实现JWT过滤器:创建一个自定义的过滤器,用于解析和验证传入请求中的JWT。在该过滤器中,您可以使用JWT工具类来解析JWT,并将用户信息添加到Spring Security的上下文中。 6. 配置Spring Security过滤器链:在Spring Security配置类中,将JWT过滤器添加到过滤器链中,以确保每个请求都经过JWT验证。 通过以上步骤,您可以实现Spring SecurityJWT集成,实现基于JWT的身份验证和授权机制。这样,您可以使用JWT生成和验证令牌,并通过Spring Security保护您的应用程序资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值