springboot前后端分离项目集成Security框架和JWT完成用户校验

最新推荐文章于 2024-01-16 21:31:39 发布
最新推荐文章于 2024-01-16 21:31:39 发布
阅读量277 收藏
点赞数
分类专栏: 项目从0到1 文章标签: spring boot 后端 java spring servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fangl1109/article/details/132031726
版权

文章目录

前言

Java流行的安全框架有两种Apache Shiro和Spring Security,其中Shiro对于前后端分离项目不是很友好,最终选用了Spring Security。SpringBoot提供了官方的spring-boot-starter-security,能够方便的集成到SpringBoot项目中,但是企业级的使用上,还是需要稍微改造下,本文实现了如下功能:

  • 匿名用户访问无权限资源时的异常处理
  • 登录用户是否有权限访问资源
  • 集成JWT实现登陆授权访问
  • token过期处理
  • 自定义用户登陆逻辑

SpringSecurity简介

Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它实际上是保护基于sprin的应用程序的标准。

Spring Security是一个框架,侧重于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring安全性的真正强大之处在于它可以轻松地扩展以满足定制需求

Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理

1. 引入必要依赖

<!--spring security-->
<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!-- redis 缓存操作 -->
<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

spring-boot-starter-security用于集成security, spring-boot-starter-data-redis用于实现redis缓存

2. 实现AuthenticationEntryPoint

实现AuthenticationEntryPoint,控制用户无权限时的操作

/**
* 认证失败处理类 返回未授权
*
* @author fanglei
* @Date 2023年7月31日17:54:39
*/
@Component
    public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint, Serializable
{
    private static final long serialVersionUID = -8970718410437077606L;

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e)
    throws IOException
    {
        int code = HttpStatus.UNAUTHORIZED;
        String msg = StringUtils.format("请求访问:{},认证失败,请联系管理员", request.getRequestURI());
        ServletUtils.renderString(response, JSON.toJSONString(ApiResult.error(code, msg)));
    }
}

3. 实现UserDetailsService

实现了UserDetailsService,判断用户是否存在,完成用户自定义登陆

/**
 * 用户验证处理
 *
 * @author fanglei
 */
@Service
@Slf4j
public class UserDetailsServiceImpl implements UserDetailsService
{
     private static final String isEnable ="1";

    @Autowired
    private SysUserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException
    {
        SysUser user = userService.getBaseMapper().selectOne(new QueryWrapper<SysUser>().eq("user_name", username));
        if (StringUtils.isNull(user))
        {
            log.info("登录用户:{} 不存在.", username);
            throw new BaseException("登录用户:" + username + " 不存在");
        }
        else if (isEnable.equals(user.getIsDel()))
        {
            log.info("登录用户:{} 已被删除.", username);
            throw new BaseException("对不起,您的账号:" + username + " 已被删除");
        }
        else if (isEnable.equals(user.getStatus()))
        {
            log.info("登录用户:{} 已被停用.", username);
            throw new BaseException("对不起,您的账号:" + username + " 已停用");
        }
        return new LoginUser(user.getUserId(), user,null);
    }

}

/**
 * @author 方磊
 */
@Data
public class LoginUser implements UserDetails {
    private static final long serialVersionUID = 1L;

    /**
     * 用户ID
     */
    private Long userId;

    /**
     * 租户id
     */
    private Long tenantId;

    /**
     * 用户唯一标识
     */
    private String token;

    /**
     * 登录时间
     */
    private Long loginTime;

    /**
     * 过期时间
     */
    private Long expireTime;

    /**
     * 登录IP地址
     */
    private String ipaddress;

    /**
     * 登录地点
     */
    private String loginLocation;

    /**
     * 权限列表
     */
    private Set<String> permissions;

    /**
     * 用户信息
     */
    private SysUser user;

    public LoginUser(SysUser user, Set<String> permissions)
    {
        this.user = user;
        this.permissions = permissions;
    }

    public LoginUser(Long userId, SysUser user, Set<String> permissions)
    {
        this.userId = userId;
        this.user = user;
        this.permissions = permissions;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @JSONField(serialize = false)
    @Override
    public String getPassword()
    {
        return user.getPassword();
    }

    @Override
    public String getUsername()
    {
        return user.getUserName();
    }

    /**
     * 账户是否未过期,过期无法验证
     */
    @JSONField(serialize = false)
    @Override
    public boolean isAccountNonExpired()
    {
        return true;
    }

    /**
     * 指定用户是否解锁,锁定的用户无法进行身份验证
     *
     * @return
     */
    @JSONField(serialize = false)
    @Override
    public boolean isAccountNonLocked()
    {
        return true;
    }

    /**
     * 指示是否已过期的用户的凭据(密码),过期的凭据防止认证
     *
     * @return
     */
    @JSONField(serialize = false)
    @Override
    public boolean isCredentialsNonExpired()
    {
        return true;
    }

    /**
     * 是否可用 ,禁用的用户不能身份验证
     *
     * @return
     */
    @JSONField(serialize = false)
    @Override
    public boolean isEnabled()
    {
        return true;
    }
}

4. 退出登陆处理

退出登陆:删除用户缓存纪录并且发送给前端

/**
 * 自定义退出处理类 返回成功
 *
 * @author fanglei
 */
@Configuration
public class LogoutSuccessHandlerImpl implements LogoutSuccessHandler
{
    @Autowired
    private TokenService tokenService;

    /**
     * 退出处理
     *
     * @return
     */
    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication)
            throws IOException, ServletException
    {
        LoginUser loginUser = tokenService.getLoginUser(request);
        if (StringUtils.isNotNull(loginUser))
        {
            String userName = loginUser.getUsername();
            // 删除用户缓存记录
            tokenService.delLoginUser(loginUser.getToken());
        }
        ServletUtils.renderString(response, JSON.toJSONString(ApiResult.success("退出成功")));
    }
}

5. 配置security配置

/**
 * spring security配置
 *
 * @author fanglei
 */
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
    /**
     * 自定义用户认证逻辑
     */
    @Autowired
    private UserDetailsService userDetailsService;

    /**
     * 认证失败处理类
     */
    @Autowired
    private AuthenticationEntryPointImpl unauthorizedHandler;

    /**
     * 退出处理类
     */
    @Autowired
    private LogoutSuccessHandlerImpl logoutSuccessHandler;

    /**
     * token认证过滤器
     */
    @Autowired
    private JwtAuthenticationTokenFilter authenticationTokenFilter;

    /**
     * 跨域过滤器
     */
    @Autowired
    private CorsFilter corsFilter;

    /**
     * 允许匿名访问的地址
     */
    @Autowired
    private PermitAllUrlProperties permitAllUrl;

    /**
     * 解决 无法直接注入 AuthenticationManager
     *
     * @return
     * @throws Exception
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception
    {
        return super.authenticationManagerBean();
    }

    /**
     * anyRequest          |   匹配所有请求路径
     * access              |   SpringEl表达式结果为true时可以访问
     * anonymous           |   匿名可以访问
     * denyAll             |   用户不能访问
     * fullyAuthenticated  |   用户完全认证可以访问(非remember-me下自动登录)
     * hasAnyAuthority     |   如果有参数,参数表示权限,则其中任何一个权限可以访问
     * hasAnyRole          |   如果有参数,参数表示角色,则其中任何一个角色可以访问
     * hasAuthority        |   如果有参数,参数表示权限,则其权限可以访问
     * hasIpAddress        |   如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
     * hasRole             |   如果有参数,参数表示角色,则其角色可以访问
     * permitAll           |   用户可以任意访问
     * rememberMe          |   允许通过remember-me登录的用户访问
     * authenticated       |   用户登录后可访问
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception
    {
        // 注解标记允许匿名访问的url
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests();
        permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll());

        httpSecurity
                // CSRF禁用,因为不使用session
                .csrf().disable()
                // 禁用HTTP响应标头
                .headers().cacheControl().disable().and()
                // 认证失败处理类
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求
                .authorizeRequests()
                // 对于登录login 注册register 验证码captchaImage 允许匿名访问
                .antMatchers("/login", "/register", "/captchaImage").permitAll()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                .and()
                .headers().frameOptions().disable();
        // 添加Logout filter
        httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
        // 添加JWT filter
        httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 添加CORS filter
        httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
        httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
    }

    /**
     * 强散列哈希加密实现
     */
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder()
    {
        return new BCryptPasswordEncoder();
    }

    /**
     * 身份认证接口
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception
    {
        auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
    }
}

6. 生成token

    /**
     * 创建令牌
     *
     * @param loginUser 用户信息
     * @return 令牌
     */
    public String createToken(LoginUser loginUser)
    {
        String token = IdUtils.fastUUID();
        loginUser.setToken(token);
        setUserAgent(loginUser);
        refreshToken(loginUser);

        Map<String, Object> claims = new HashMap<>();
        claims.put(Constants.LOGIN_USER_KEY, token);
        return createToken(claims);
    }

    /**
     * 从数据声明生成令牌
     *
     * @param claims 数据声明
     * @return 令牌
     */
    private String createToken(Map<String, Object> claims)
    {
        String token = Jwts.builder()
                .setClaims(claims)
                .signWith(SignatureAlgorithm.HS512, secret).compact();
        return token;
    }

    /**
     * 验证令牌有效期,相差不足20分钟,自动刷新缓存
     *
     * @param loginUser
     * @return 令牌
     */
    public void verifyToken(LoginUser loginUser)
    {
        long expireTime = loginUser.getExpireTime();
        long currentTime = System.currentTimeMillis();
        if (expireTime - currentTime <= MILLIS_MINUTE_TEN)
        {
            refreshToken(loginUser);
        }
    }

    /**
     * 刷新令牌有效期
     *
     * @param loginUser 登录信息
     */
    public void refreshToken(LoginUser loginUser)
    {
        loginUser.setLoginTime(System.currentTimeMillis());
        loginUser.setExpireTime(loginUser.getLoginTime() + expireTime * MILLIS_MINUTE);
        // 根据uuid将loginUser缓存
        String userKey = getTokenKey(loginUser.getToken());
        redisCache.setCacheObject(userKey, loginUser, expireTime, TimeUnit.MINUTES);
    }

7. 实现用户登录接口

/**
 * @author 方磊
 */
@RequestMapping("/api/v1")
@RestController
public class LoginController {

    @Autowired
    private TokenService tokenService;

    @Autowired
    private SysUserService userService;
    
    @GetMapping("/login")
    public ApiResult login(String userName , String password){
        LoginUser loginUser = sysService.queryUserByUserNmae(userName);
        retrun ApiResult.success(tokenService.createToken(loginUser));
    }
    
}

8. 总结

自此security简单集成完成 基础项目可简单使用 可以使用token进行验证 权限模块完善中…

搬砖小方
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
springboot整合securityjwt
08-05
springboot2.0整合securityjwt, 还整合了redis,与swagger-ui
Springboot前后端分离JWT+Security+Redis实现登录拦截及权限认证,包含全局异常处理以及统一返回风格
12-25
在现代Web应用开发中,前后端分离是一种常见的架构模式,它可以提高系统的可维护性和扩展性。Spring Boot作为Java领域的一款热门框架,提供了便捷的方式来构建基于Spring的应用。在本项目中,我们将探讨如何利用...
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
weixin_42907150的博客
01-16 801
SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种.
springBoot整合spring security+JWT实现单点登录与权限管理前后端分离--筑基中期
qq_43788185的博客
09-05 1494
写在前面 在前一篇文章当中,我们介绍了springBoot整合spring security单体应用版,在这篇文章当中,我将介绍springBoot整合spring secury+JWT实现单点登录与权限管理。 本文涉及的权限管理模型是基于资源的动态权限管理。数据库设计的表有 user 、role、user_role、permission、role_permission。 单点登录当中,关于访问者信息的存储有多种解决方案。如将其以key-value的形式存储于redis数据库中,访问者令牌中存放key。校验
springboot整合springsecurity+jwt
klz
05-14 469
概述 api响应 JwtTokenUtils工具类 SpringsecurityConfig配置 handler(未登陆、未授权、登陆成功、登陆失败、登出) filter(token过滤、登陆过滤) 最后还要集成redis api响应 枚举返回值 这个是自定义的,可以自己修改,网上都是用枚举封装自定义的返回值信息 ResultCode package com.common.code.common; public enum ResultCode { RESULT_CODE_SERVER_EXC
Springboot集成SecurityJWT
qq1016499728博客
11-28 1162
Springboot版本2.3.3 pom依赖 <!--security+JWT--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <gro
SpringBoot整合Spring Security + JWT
LIUUUU
04-15 1577
版本 SpringBoot:2.2.5.RELEASE jjwt:0.9.0 Jdk:1.8 Maven:3.5.2 Idea:2019.3 依赖 项目pom.xml文件中引入Spring SecurityJwt的依赖坐标 <dependency> <groupId>org.springframework.boot</groupId> &l...
基于SpringBootSpring SecurityJWTVue3的前后端分离权限管理系统
04-03
前后端分离是指将应用程序的前端和后端逻辑分开,前端专注于用户体验和交互,后端专注于业务逻辑和数据处理。这种架构模式有利于提高开发效率,降低维护成本,并且能更好地支持多终端访问。 综上所述,这个项目...
基于springboot前后端分离的流浪动物救助发帖系统.zip
08-14
标题中的“基于SpringBoot前后端分离的流浪动物救助发帖系统”是一个综合性的项目,涉及到的技术栈主要包括SpringBoot框架、前端开发以及数据库管理。这个系统可能是为了方便人们发布关于流浪动物救助的信息,促进...
基于springboot+vue实现的在线考试系统+源代码+文档
最新发布
04-25
总结,基于SpringBoot和Vue.js的在线考试系统不仅展现了这两款技术在实际项目中的强大能力,也体现了前后端分离模式的优势。通过详细研究源代码和相关文档,开发者不仅可以学习到具体的编程技巧,还能了解一个完整的...
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
springbootspringsecurity前后端分离(一个小demo)
08-21
一个小demo前后端分离的情况下给到前端是否跳转到登录页的标识符
基于VUE+SpringBoot的云盘项目
03-18
在前后端交互方面,项目可能采用了JSON Web Token(JWT)进行用户身份验证,这是一种无状态、基于Token的身份认证方式,可以在不依赖session的情况下实现安全的用户身份验证。此外,文件的上传和下载可能采用了多...
Springboot+Security+Jwt
热门推荐
点点的博客
12-13 1万+
工程目录 文章目录 工程目录 前言 一、Security是什么? 二、使用步骤 1.引入pom.xml文件 2.application.yml文件 。。。。。。 总结:代码足够详细,有耐心的可以看,没耐心的浪费时间! 前言 随着业务的发展,传统的不分离前后端Java项目逐渐减少,更多的时候是做到前后端分离,会话管理也就从传统的Session会话管理变为Jwt管理会话,本篇文章就是SpringBoot使用Jwt管理会话同时整合Security完成权限操作。
SpringBoot 集成 SpringSecurity+JWT
asksl的博客
11-29 4285
SpringBoot 集成 SpringSecurity+JWT
springboot+security+jwt
yuzheh521的博客
02-04 437
1.创建项目 2.项目创建成功以后,如何查看security已经在项目中生效呢? 启动项目,并在打开浏览器,输入:http://localhost:8080/login 就会出现security默认的登陆页面 用户名是user,密码在我们的控制台已经输出 ...
SpringBoot整合Spring Security + JWT实现用户认证
leveretz的博客
07-13 1656
SpringBoot整合Spring Security + JWT实现用户认证
SpringBoot2.7.X整合SpringSecurity+JWT(入门级简单易懂)
zyyxiaoxiao的博客
04-12 4630
SpringBoot2.7.9整合SpringSecurity+JWT、入门级简单易懂
SpringBoot整合Spring Security+JWT实现前后端分离登录权限处理
z132411的博客
05-05 2904
前言 本篇文章是基于上一篇文章进行的整理扩展,没有看过的可以看一下上一篇文章 SpringBoot整合Spring Security实现前后端分离登录权限处理_zmgst的博客-CSDN博客 本篇文章的思路是基于这位博主的博客进行的开发,一些对于jwt的描述,session和token的不同描述的很不错,原文地址: 【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证_小灵宝的博客-CSDN博客_springboot整合security+jwt 依赖引入:
springboot jwt token前后端分离_前后端分离JWT用户认证
05-20
JWT(JSON Web Token)是一种基于 JSON 的安全令牌,它可以在客户端和服务器之间安全传输信息。在前后端分离项目中,使用 JWT 进行用户认证可以方便地处理用户登录和权限控制。 以下是使用 Spring BootJWT 实现前后端分离用户认证示例: 1. 添加依赖 在 pom.xml 中添加以下依赖: ```xml <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 创建 JWT 工具类 创建一个 JWT 工具类,用于生成和验证 JWT。以下是一个简单的实现: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; import java.util.Date; import java.util.HashMap; import java.util.Map; @Component public class JwtUtils { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private Long expiration; public String generateToken(String username) { Map<String, Object> claims = new HashMap<>(); claims.put("sub", username); claims.put("iat", new Date()); return Jwts.builder() .setClaims(claims) .setExpiration(new Date(System.currentTimeMillis() + expiration)) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } public String getUsernameFromToken(String token) { try { Claims claims = Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody(); return claims.getSubject(); } catch (Exception e) { return null; } } public boolean validateToken(String token, String username) { String tokenUsername = getUsernameFromToken(token); return tokenUsername != null && tokenUsername.equals(username); } } ``` 3. 创建登录接口 创建一个登录接口,用于验证用户用户名和密码,并返回 JWT: ```java @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) { Authentication authentication = authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())); SecurityContextHolder.getContext().setAuthentication(authentication); String jwt = jwtUtils.generateToken(authentication.getName()); return ResponseEntity.ok(new JwtResponse(jwt)); } ``` 4. 创建受保护的接口 创建一个受保护的接口,需要用户在请求头中传递 JWT。在该接口中,首先验证 JWT 是否有效,然后根据用户角色返回相应的数据: ```java @GetMapping("/data") @PreAuthorize("hasAnyRole('USER', 'ADMIN')") public ResponseEntity<?> getData() { String username = SecurityContextHolder.getContext().getAuthentication().getName(); if (jwtUtils.validateToken(jwt, username)) { // 返回数据 } else { throw new BadCredentialsException("Invalid JWT"); } } ``` 5. 配置 JWT 相关属性 在 application.properties 中配置 JWT 相关属性: ``` jwt.secret=mySecret jwt.expiration=86400000 # 1 day in milliseconds ``` 以上就是使用 Spring BootJWT 实现前后端分离用户认证的示例。需要注意的是,JWT 本身并没有提供加密功能,因此需要使用一个密钥来保证 JWT 的安全性。在示例中,密钥存储在配置文件中,实际生产环境中应该使用更加安全的方式来存储密钥。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

搬砖小方

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值