【Spring Security】基于SpringBoot3.3.4版本整合JWT的使用教程

已于 2024-10-02 15:50:36 修改
阅读量1.1k 收藏 16
点赞数 26
分类专栏: Spring Boot 文章标签: spring boot jwt spring security JDK 21 nimbus-jose-jwt curl RSA
于 2024-10-02 15:48:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/friendlytkyj/article/details/142679120
版权

基于Spring Boot 3.3.4,详细说明Spring Security 6.3.3的使用

摘要

Spring Boot框架版本在持续迭代中,Spring相关组件也在不断更新,JDK版本的发布频率也更加的频繁。做为一名持续学习的开发者,紧跟技术时代潮流,持续学习新技术,持续更新自己的技能储备,是往前冲锋的必备能力和品质。希望大家跟我一样,保持对技术的渴望,保持学习的激情,一起努力吧。

JWT也是现在前后端分离主流的身份认证载体,在本文中,我们会循序渐进从Spring Boot框架起步,一步步整合JWT,使用RSA公钥、私钥对JWT进行签名和验签,一点点揭开Spring Security的神秘面纱。

现在微服务开发主流的是Spring Boot框架,要开发一个微服务,其中一个非常重要的环节就是登录认证,Spring Boot针对登录认证原生有一套解决方案,对应的组件是Spring Security。接下来,让我们一步步在最新的框架版本中一起学习如何使用Spring Security完成后端微服务的登录认证吧。

本文选择目前Spring Boot最新版本3.3.4,里面使用的Spring Security版本是6.3.3OpenJDK也选择最新的一个LTS版本21IDE也选择IntelliJ IDEA目前最新的社区版本2024.2.3

本地开发环境说明

开发用到的主要框架、工具版本如下

开发依赖 版本
Spring Boot 3.3.4
Spring Security 6.3.3
nimbus-jose-jwt 9.41.1
JDK 21
IntelliJ IDEA 2024.2.3

先快速完整一个微服务的搭建

pom.xml依赖

核心内容如下

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>3.3.4</version>
        <relativePath/>
    </parent>
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.wen3.framework-demo</groupId>
    <artifactId>wen3-framework-springsecurity-demo</artifactId>
    <version>1.0.0-SNAPSHOT</version>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
    </dependencies>
</project>

启动类

package com.wen3.security.springsecurity;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

/**
 * @author tangheng
 */
@SpringBootApplication
public class DemoSpringSecurityApplication {
   

    public static void main(String[] args) {
   
        SpringApplication.run(DemoSpringSecurityApplication.class, args);
    }
}

修改tomcat默认端口

server:
  port: 8081

这样就完成了一个最简单的Spring Boot 3.3.4版本的微服务搭建,接下来我们一点点增加内容

增加Spring Security依赖

核心内容如下

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
</dependencies>

简单介绍下Spring Security涉及的一些概念

为了方便大家对Spring Security有一些基本了解,把涉及的一些重要概念单独拿出来讲解一下,希望对大家理解Spring Security的流程有些帮助。

加密器

  • 主要用于用户密码的加密。
  • 接口: org.springframework.security.crypto.password.PasswordEncoder
  • 常用的实现类: org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder
  • BCryptPasswordEncoder使用了较复杂的加密算法,每次生成的加密串都不一样,大大提高了破解难度

UserDetailsService接口

  • 接口: org.springframework.security.core.userdetails.UserDetailsService
  • 主要用于用户信息获取,根据账号查找用户信息,然后交由调用者进行密码等重要信息的匹配,通常需要自己实现这个接口,一般从数据库获取用户信息

AuthenticationProvider接口

  • 接口: org.springframework.security.authentication.AuthenticationProvider
  • 对用户信息进行校验,校验通过后提供用户凭证Authentication,对校验过程提供丰富的扩展支持
  • 常用的实现类: org.springframework.security.authentication.dao.DaoAuthenticationProvider
  • 这个实现类会从UserDetailsServic获取用户信息

AuthenticationManager接口

  • 接口: org.springframework.security.authentication.AuthenticationManager
  • 认证管理器,对Authentication进行认证
  • 默认是创建org.springframework.security.authentication.ProviderManager实例,然后ProviderManager再去找AuthenticationProvider,然后AuthenticationProviderUsernamePasswordAuthenticationToken进行认证

增加JWT依赖

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>com.nimbusds</groupId>
        <artifactId>nimbus-jose-jwt</artifactId>
        <version>9.41.1</version>
    </dependency>
</dependencies>

为什么选择nimbus-jose-jwt这个开源库呢?

  • 因为在Spring Security的其它组件中,使用的也是这个JWT库,比如spring-security-oauth2-authorization-server
  • 为了与Spring Boot框架体系保持一致,在讲解Spring Security与JWT整合的时候,我们也首选nimbus-jose-jwt开源库
  • nimbus-jose-jwt开源库也使用当前最新版本9.41.1

新增启动配置类

了解完了Spring Security的几个核心概念,我们开始编写代码,先编写一个启动配置类,用于配置Spring Security,如下

package com.wen3.security.springsecurity.autoconfigure;

import com.wen3.security.springsecurity.filter.JwtFilter;
import com.wen3.security.springsecurity.filter.JwtTokenAuthenticationFilter;
import com.wen3.security.springsecurity.filter.LoginAuthenticationFilter;
import com.wen3.security.springsecurity.service.DemoDetailsService;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
import org.springframework.security.config.annotation.web.configurers.FormLoginConfigurer;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto
最低0.47元/天 解锁文章
太空眼睛
关注
专栏目录
Spring Security】基于SpringBoot3.3.4版本②如何配置免鉴权Path
Java技术栈,分享不断学习、不断超越、不断积累的历程!
10-03 1142
[【Spring Security】基于SpringBoot3.3.4版本整合JWT使用教程](https://blog.csdn.net/friendlytkyj/article/details/142679120) 在这篇文章中,详细演示了使用最新版`Spring Boot`,完成一个微服务开发,并使用`Spring Security`组件完成登录认证,同时整合了`JWT`,使用的`RSA`公私钥签名、验签。 接下来继续讲解下一个业务场景:一个真实场景的微服务,难免会有一些请求`Path`不需要任
springboot整合spring securityJWT
BlackPudding_的博客
09-12 1001
springboot整合spring securityjwt
SpringBoot+SpringSecurity+JWT整合
热门推荐
seeyouagain_的博客
01-04 1万+
SpringSecurity入门简单案例适合新手学习
springBoot+springSecurity+jwt实现权限管理以及token管理
qq_43226072的博客
08-25 1461
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 这里是引用 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学
SpringSecurity-前后端分离
Life And Code
08-07 650
Spring SecuritySpring家族中的一个安全管理框架。相比于另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架,小项目用Shiro的比较多。相比于SpringSecurity,Shiro的上手更加简单。一般Web应用需要进行认证和授权。
Springboot最全权限集成Redis-前后端分离-springsecurity-jwt-Token
qq_67801847的博客
09-09 814
为了方便Spring Boot项目的安全管理,Spring BootSpring Security安全框架进行了整合支持,并提 供了通用的自动化配置,从而实现了Spring Security安全框架中包含的多数安全管理功能。用于完成用户信息的查 询,其中username就是登录时的登录名称,登录认证时,需要自定义一个实现类实现UserDetailService接 口,完成数据库查询,该接口返回UserDetail。6. 创建认证过的用户访问无权限资源时的处理器,无权限访问时,需要提示JSON。
spring-security-oauth2-authorization-server(一)SpringBoot3.1.3整合
weixin_42229668的博客
09-16 7409
因为SpringBoot3.x是目前最新的版本整合spring-security-oauth2-authorization-server的资料很少,所以产生了这篇文章,主要为想尝试SpringBoot版本,想整合最新的spring-security-oauth2-authorization-server的初学者,旨在为大家提供一个简单上手的参考,如果哪里写得不对或可以优化的还请大家踊跃评论指正。
Spring security Oauth2+JWT
qq1071643762的博客
12-22 1249
企业级认证授权技术 一丶用户认证与授权 每个项目最基本的也是最重要的是安全,用户认证与授权,是最重要的,用户认证身份。 1.1什么是用户身份认证? 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。 1.2什么是用户授权? 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问,这个过程叫用户授权。 二丶SSO单点登录 单点登录(S
Spring Boot整合OAuth2,附详细注释
2301_82242844的博客
05-02 800
这份清华大牛整理的进大厂必备的redis视频、面试题和技术文档祝大家早日进入大厂,拿到满意的薪资和职级~~~加油!!!《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!onFactory);// redis key 前缀这份清华大牛整理的进大厂必备的redis视频、面试题和技术文档祝大家早日进入大厂,拿到满意的薪资和职级~~~加油!!![外链图片转存中…(img-ZH0jXlnt-1714658596593)]
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1033
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
Springdoc-openapi】基于SpringBoot3.3.x版本③集成Springdoc
最新发布
Java技术栈,分享不断学习、不断超越、不断积累的历程!
10-05 232
在微服务开发过程中,后端同学会写各种`API`,每写一个`API`,都需要相应的`API`文档,前端同学需要根据`API`文档进行开发、联调,其它后端同学也需要通过`API`文档了解系统设计以及方便排查问题。 关于`API`文档的工具有很多,比如常用的`Swagger`、`Apifox`等等,本文主要介绍`Springdoc`开源库,它与`Spring Boot`框架体系的集成更显丝滑。 本着"**最新**"原则,这篇文章依然采用最新版的`Spring Boot 3.3.4`,最新版`springdoc
Spring Boot 2.x实战85 - Spring Security 9 - OAuth 2.0之Client
汪云飞记录本
06-30 2320
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
Spring Boot项目中使用MyBatis
weixin_73060959的博客
10-02 695
Spring Boot项目中使用MyBatis可以极大地简化配置过程,并且Spring Boot提供了很好的集成支持。你只需要添加必要的依赖,配置数据源,然后创建Mapper接口、XML映射文件和实体类,就可以轻松地进行数据库操作了。
Spring Boot框架下的新闻推荐技术
2401_85342379的博客
10-04 567
同时也大大提高了手的能力,使其难以充分体会探索的乐趣和成功的创作过程,设计过程中汲取的东西,是一笔宝贵的财富。为系统提供强大的数据库备份工具。
足球青训俱乐部后台:Spring Boot开发策略
2401_85761003的博客
10-01 908
采用B/S体系结构开发的应用软件仅仅需要在客户端安装谷歌浏览器或者其他浏览器就可以操作,对于维护和升级操作则在服务器端就能完成,不用在客户端进行操作,这样就节省了许多开销,B/S模式能够保证软件应用的跨平台性和通用性,采用它开发软件是最佳选择。数据库在整个系统中,就是这个系统的基础。系统结构设计是整个系统设计中重要的一部分,在结构设计过程中,首先对系统进行需求分析,然后进行系统初步设计,将系统功能模块细化,具体分析每一个功能模块具体应该首先哪些功能,最后将各个模块进行整合,实现系统结构的最终设计。
使用 Spring Boot 在电商平台中动态调整促销信息
心猿意码
10-04 332
在电商平台上,促销活动是吸引用户的重要手段之一。然而,促销活动的状态(如开始、结束)可能会频繁变化,而这些变化需要实时反映在商品详情页上。如果每次促销状态改变都需要重新部署应用或者手动更改代码,这显然会非常麻烦。因此,我们需要一种机制来允许管理员在后台管理系统中动态地更新促销信息,并且这些更改能够立即生效。
Spring Boot打造:小徐影院管理平台
2401_85341950的博客
09-28 883
在开发本项目的初期,节约成本是最基本的,设计和开发都是由本人一人完成的,并且在开发中使我学习到了很多的知识,也开拓了自己的眼界,在通过可行性分析之后,该项目的利大于弊,所以该项目是具有开发意义和价值的。对于一个新的系统来说开发新系统我们就要做出这个系统的任务需求分析,因为对系统分析的质量好坏它可以决定这个网站开发的意义,俗话说得好一个好的开头是成功的一半,对于开发这个小徐影城管理系统来说前期的分析是比较重要的,所以任务分析它可以决定这系统的开展和设计,这样就可以保证用户满意性。
小徐影院:Spring Boot影院管理新体验
2402_85758349的博客
09-28 917
在开发本项目的初期,节约成本是最基本的,设计和开发都是由本人一人完成的,并且在开发中使我学习到了很多的知识,也开拓了自己的眼界,在通过可行性分析之后,该项目的利大于弊,所以该项目是具有开发意义和价值的。对于一个新的系统来说开发新系统我们就要做出这个系统的任务需求分析,因为对系统分析的质量好坏它可以决定这个网站开发的意义,俗话说得好一个好的开头是成功的一半,对于开发这个小徐影城管理系统来说前期的分析是比较重要的,所以任务分析它可以决定这系统的开展和设计,这样就可以保证用户满意性。
springboot3.3.4整合elasticsearch8.15.1版本
09-29
Spring Boot 3.3.4 版本与 Elasticsearch 8.15.1 的集成主要是通过 Spring Data Elasticsearch 这一库来实现的。这个库允许你在 Spring Boot 应用中轻松地操作 Elasticsearch 数据库,无需手动配置大量的连接细节。 以下是整合的基本步骤: 1. **添加依赖**:在你的 `pom.xml` 或者 `build.gradle` 文件中添加对 Spring Data Elasticsearch 和 Elasticsearch 客户端的依赖。例如: ```xml <dependency> <groupId>org.springframework.data</groupId> <artifactId>spring-data-elasticsearch</artifactId> <version>4.6.0</version> <!-- 注意此处版本对应实际项目需求 --> </dependency> <dependency> <groupId>org.elasticsearch.client</groupId> <artifactId>elasticsearch-rest-high-level-client</artifactId> <version>8.15.1</version> <!-- Elasticsearch客户端版本 --> </dependency> ``` 2. **配置**:在 `application.properties` 或者 `application.yml` 中配置 Elasticsearch 的连接信息,如 URL、认证等: ```properties spring.data.elasticsearch.cluster-name=your-cluster-name spring.data.elasticsearch.nodes=http://localhost:9200 spring.data.elasticsearch.username=elastic spring.data.elasticsearch.password=changeit ``` 3. **创建Repository**:为了操作 Elasticsearch 中的数据,你需要定义一个 Repository 接口,它会自动生成 CRUD 方法。比如: ```java public interface MyElasticsearchRepository extends ElasticsearchRepository<MyDocument, Long> { } ``` 其中 `MyDocument` 是你数据模型类的名称。 4. **使用Repository**:在服务类或者控制层中,你可以直接注入并使用生成的 Repository 对象进行数据操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

太空眼睛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值