Spring Security5.X 实现表单jwt认证

最新推荐文章于 2024-04-26 11:04:38 发布
最新推荐文章于 2024-04-26 11:04:38 发布
阅读量973 收藏 1
点赞数 2
分类专栏: Spring Security 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guiyiba/article/details/122818452
版权

Spring Security 实现表单jwt认证

通过springboot 实现form 表单登录实现jwt token 认证

整合步骤

  • 添加依赖
   <dependencies>
       <dependency>
           <groupId>org.springframework.boot</groupId>
           <artifactId>spring-boot-starter-security</artifactId>
       </dependency>
       <dependency>
           <groupId>org.springframework.boot</groupId>
           <artifactId>spring-boot-starter-web</artifactId>
       </dependency>
       <dependency>
           <groupId>org.springframework.security</groupId>
           <artifactId>spring-security-test</artifactId>
           <scope>test</scope>
       </dependency>
       <dependency>
           <groupId>org.projectlombok</groupId>
           <artifactId>lombok</artifactId>
           <version>${lombok.version}</version>
       </dependency>
       <!-- 添加jwt jar -->
       <dependency>
           <groupId>com.nimbusds</groupId>
           <artifactId>nimbus-jose-jwt</artifactId>
           <version>8.17.1</version>
       </dependency>
   </dependencies>
  • 自定义 WebSecurityConfigurerAdapter
/**
 * @author bearBoy80
 * 定义简单的form 表单登录,
 * 默认登录页面为spring security自带页面
 * @see DefaultLoginPageGeneratingFilter#generateLoginPageHtml(HttpServletRequest, boolean, boolean)
 */
@Configuration
public class SecurityJwtAuthConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.   //关闭crsf
                csrf().disable()
                //拦截所有请求
                .authorizeRequests().anyRequest().authenticated().and()
                //设置表单登录
                .formLogin()
                // .loginPage() 自定义登录页面
                //.failureForwardUrl() 认证失败跳转页面url
                //.successForwardUrl() 认证成功跳转页面url
                //.failureHandler() 认证失败拦截器处理,需要自己实现一个AuthenticationFailureHandler,编写自己的业务逻辑处理,
                // 比如登录失败3次,等几分钟在登录,记录登录失败日志等
                //.successHandler() 认证成功拦截器处理,需要自己实现一个AuthenticationSuccessHandler
                // 可以在这里写业务逻辑处理,比如登录成功记录日志、
                //设置登录点
                .successHandler(successHandler())
                .loginProcessingUrl("/myLogin").and()
                //无状态
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .addFilterBefore(jwtTokenFilter(), UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    public AuthenticationSuccessHandler successHandler() {
        return new SuccessJwtHandler();
    }

    @Bean
    @ConditionalOnMissingBean(BearerTokenResolver.class)
    public BearerTokenResolver bearerTokenResolver() {
        return new DefaultBearerTokenResolver();
    }

    @Bean
    public JwtTokenFilter jwtTokenFilter() {
        return new JwtTokenFilter();
    }
}
  • 实现UserDetailsService
/**
 * @author bearBoy80
 * 如果想定制用户认证,需要自己实现 UserDetailService类。本例 通过 InMemoryUserDetailsManager来实现简单表单认证
 * @see UserDetailsServiceAutoConfiguration springboot默认实现
 */
@Configuration
@Log
public class UserDetailServiceConfig {

    @Bean
    public UserDetailsService users() {
        UserDetails user = User.builder()
                .username("user")
                .password("{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW")
                .roles("USER")
                .build();
        UserDetails admin = User.builder()
                .username("admin")
                .password("{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW")
                .roles("USER", "ADMIN")
                .build();
        return new InMemoryUserDetailsManager(user, admin);
    }
}
  • 自定义登录成功处理器 (实现token生成)
/**
 * @author bearBoy80
 * form 表单登录成功处理器--生成token
 */
public class SuccessJwtHandler implements AuthenticationSuccessHandler {

    @Autowired
    ObjectMapper objectMapper;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        User details = (User) authentication.getPrincipal();
        String token = NimbusJwtUtils.buildJWT(details);
        response.setContentType(MimeTypeUtils.APPLICATION_JSON_VALUE);
        response.getOutputStream().write(objectMapper.writeValueAsBytes(Result.data(token)));
    }

}
  • 增加JwtTokenFilter 实现 token验证处理逻辑
/**
 * @author bearBoy80
 * token 拦截
 */
public class JwtTokenFilter extends OncePerRequestFilter {

    @Autowired
    BearerTokenResolver bearerTokenResolver;

    @Autowired
    ObjectMapper objectMapper;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        try {
            String token = bearerTokenResolver.resolve(request);
            if (StringUtils.hasText(token)) {
                String username = NimbusJwtUtils.vaildToken(token);
                if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                    //token 验证成功后,生成认证信息
                    UserDetails details = userDetailsService.loadUserByUsername(username);
                    if (details != null) {
                        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken
                                (details, null, details.getAuthorities());
                        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
                    }
                } else {
                    response.setContentType(MimeTypeUtils.APPLICATION_JSON_VALUE);
                    response.getOutputStream().write(objectMapper.writeValueAsBytes(Result.fail("token 无效")));
                    return;
                }
            }
        } catch (JwtException ex) {
            response.setContentType(MimeTypeUtils.APPLICATION_JSON_VALUE);
            response.getOutputStream().write(objectMapper.writeValueAsBytes(Result.fail(ex.getMessage())));
            return;
        }
        filterChain.doFilter(request, response);
    }

}
  • 增加userInfo controller
/**
 * @author bearBoy
 * 获取用户认证信息
 */
@RestController
public class UserDetailController {
    @RequestMapping("/userInfo")
    public User userInfo(@AuthenticationPrincipal User user) {
        return user;
    }
}
  • 启动应用
    运行JwtAuthApplication
  • 验证
    用postman 请求localhost:8100/MyLogin,构建表单user/password账户密码登录,登录成功后,获取token 信息
    用postman 请求localhost:8100/userInfo,header 增加 “bearer: token 信息”,获取到用户认证信息

原理说明

  • form表单登录流程
    在这里插入图片描述

  • form表单认证流程

在这里插入图片描述

  • form表单jwt认证关键类

UsernamePasswordAuthenticationFilter 拦截登录请求,通过username、password 拼接UsernamePasswordAuthenticationToken,
调用ProviderManager(AuthenticationManager子类).authenticate 进行认证

ProviderManager 根据UsernamePasswordAuthenticationToken 选择DaoAuthenticationProvider.authenticate 进行认证

DaoAuthenticationProvider 类
DaoAuthenticationProvider.authenticate(Authentication authentication)实现用户密码验证,并验证用户各种状态。
认证成功后重新生成 UsernamePasswordAuthenticationToken,否则抛AuthenticationException异常

UsernamePasswordAuthenticationToken 存储用户凭证信息和权限信息

SuccessJwtHandler 生成jwt token信息

部署应用到docker

<plugin>
                    <groupId>io.fabric8</groupId>
                    <artifactId>docker-maven-plugin</artifactId>
                    <version>0.33.0</version>
                    <extensions>true</extensions>
                    <configuration>
                        <verbose>true</verbose>
                        <dockerHost>docker容器IP:2375</dockerHost>
                        <images>
                            <image>
                                <name>${project.artifactId}</name>
                                <build>
                                    <dockerFileDir>
                                        ${project.basedir}
                                    </dockerFileDir>
                                </build>
                            </image>
                        </images>
                    </configuration>
                    <executions>
                        <execution>
                            <id>build</id>
                            <phase>post-integration-test</phase>
                            <goals>
                                <goal>build</goal>
                            </goals>
                        </execution>
                    </executions>
                </plugin>
  • 添加dockerfile文件
# 基于java:8-jdk-alpine 镜像进行创建
FROM java:8-jdk-alpine
#维护人
MAINTAINER bearBoy80
#复制jar到/usr/app目录
COPY ./target/spring-form-jwt-auth-0.0.1-SNAPSHOT.jar /usr/app/
#指定镜像工作目录
WORKDIR /usr/app
#更新jar包信息
RUN sh -c 'touch spring-form-jwt-auth-0.0.1-SNAPSHOT.jar'
#暴露8010端口,实际运行镜像需要指定宿主端口 -P或者-p
EXPOSE 8010
#启动容器后启动spring-form-jwt-auth-0.0.1-SNAPSHOT.jar的应用
ENTRYPOINT ["java", "-jar", "spring-form-jwt-auth-0.0.1-SNAPSHOT.jar"]
  • 生成镜像
mvn package fabric8:build
  • 部署镜像到容器
docker run -d 镜像id -P
bearboy80
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security 5.x实现兼容多种密码的加密方式
08-28
spring security针对该功能有两种实现方式,一种是简单的使用加密来保证基于 cookie 的 token 的安全,另一种是通过数据库或其它持久化存储机制来保存生成的 token。这篇文章主要给大家介绍了关于spring security 5.x实现兼容多种密码的加密方式,需要的朋友可以参考下。
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录和权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
SpringBoot 2 + Spring Security 5 + JWT 的单页应用 Restful 解决方案
LoveSummer
11-10 1711
此前我已经写过一篇类似的教程,但那时候使用了投机的方法,没有尊重 Spring Security 的官方设计,自己并不感到满意。这段时间比较空,故重新研究了一遍。 特性 使用 JWT 进行鉴权,支持 token 过期 使用 Ehcache 进行缓存,减少每次鉴权对数据库的压力 尽可能贴合 Spring Security 的设计 实现注解权限控制 准备 开始本教程的时候希望对下面知识点进行粗略的了解。 知道 JWT 的基本概念 了解过 Spring Security 本项目中 JWT 密钥是使用用户自
spring-security5.x+jwt
最新发布
qq_67832732的博客
04-26 366
创建过滤器@Component@Autowired@Override//获取tokenif (!//放行return;//解析tokentry {throw new RuntimeException("token非法");//从redis中获取用户信息throw new RuntimeException("用户未登录");//存入SecurityContextHolder。
基于Spring Security5 和 JWT做前后端分离安全验证实践
tq26556570的博客
07-19 563
基于Spring Security + JWT的权限管理的简单实践 项目介绍 这是一个基于Spring Security + JWT的前后端分离权限管理小例子,方便入门Spring Security的朋友学习,用到的框架和数据库如下: Spring Boot 2.2.2 Spring Security Spring Data JPA jjwt Ehcache MySQL 8.0.16 主要功能是 用户登录验证后返回token,根据token可以访问其他资源 token有效期为30分钟,每次请求成功都会
Spring Security 5.x兼容多种密码加密方式
彭超
12-21 3701
Spring Security 5.x兼容多种密码加密方式 在新、老系统数据合并用户数据时,会出现用户密码加密方式不一致的问题,这时我们可以使用Spring Security PasswordEncoder来解决这个问题。 1 Spring Security PasswordEncoder Spring Security 5不需要配置密码的加密方式,而是用户密码加前缀的方式表明加密方式,如: {...
SpringSecurity:Spring Security 5x
04-08
Spring Security 5.x版本中,它提供了许多改进和新特性,使得开发者能够更安全地构建现代应用程序。以下是关于Spring Security 5.x的一些关键知识点: 1. **依赖注入与Spring Boot集成**: - Spring Security 5....
SpringSecurity素材.rar
03-02
5. **拦截器与URL保护**:讲解如何使用SpringSecurity的拦截器机制,对特定URL进行保护,确保只有经过身份验证和授权的用户才能访问。 6. **自定义登录逻辑**:可能包括如何处理登录失败和成功后的回调,以及自定义...
Spring.Security.3.x.中文_参考手册.chm
03-01
Spring Security 3.x 中文参考手册》是针对Spring Security框架的一个详尽指南,主要针对的是版本3.x。Spring SecurityJava平台上的一个强大的安全框架,用于构建安全的Web应用程序。该手册旨在帮助开发者理解并...
狂神-spring-security素材.rar
04-16
9. **RESTful API保护**:对于无状态的RESTful API,Spring Security 提供了JWT(JSON Web Tokens)和OAuth2的支持,以保护API资源不被未授权访问。 10. **异常处理**:Spring Security 提供了统一的异常处理机制,...
Spring Security 5.1 中文 参考手册 中文文档
06-25
Spring Security 5.1 中文 参考手册 中文文档 中文文档都是由软件翻译,翻译内容未检查校对,文档内容仅供参考。
Spring Boot Security OAuth2 实现支持JWT令牌的授权服务器源码.zip
03-25
Spring Boot Security OAuth2 实现支持JWT令牌的服务器源码
spring security 5.x 使用及分析(三:OAuth2 分析)
布吉_岛
08-24 2501
spring security 5.x 使用及分析(三:自定义配置—原理解析)1.1 、分析原理 1.1 、分析原理 代码中配置密码加密方式为BCryptPassworncoder,关于这个BCryptPasswordEncoder加密方式的介绍,请自行查询;代码中使用构造注入了UserDetailsService的接口,实现指向了UserDetailsServiceImpl,这个是UserDet...
spring boot2 + springsecurity5 + jwt 例子
神盾局码农
07-15 241
准备 开始本教程的时候希望对下面知识点进行粗略的了解。 知道 JWT 的基本概念 了解过 Spring Security 本项目中JWT密钥是使用用户自己的登入密码,这样每一个token的密钥都不同,相对比较安全。 大体思路: 登入: POST 用户名密码到 \login 请求到达JwtAuthenticationFilter中的attemptAuthentication()方法,获取 request 中的 POST 参数,包装成一个Usernam...
SpringSecurity整合jwt
weixin_41359273的博客
03-20 405
SpringSecurity整合jwt1.pom.xml2.用户实体类3. 自定义认证拦截器,登录成功,则返回token4. 自定义校验拦截器,校验用户每次发请求时携带的token是否正确5. security的配置6. controller7. 测试 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://ww
SpringSecurityJWT鉴权
qq_43244309的博客
05-05 270
最近在博客开发中使用SpringSecurity框架,记录一下。
Spring Boot 2 + Spring Security 5 + JWT 的单页应用 Restful 解决方案
java思维导图
04-20 707
作者:Smith Cruise原文链接:https://www.inlighting.org/archives/spring-boot-security-jwt-restful此前我已经...
Spring Security 5.7.5 CURRENT GA-JWT无状态登录
ZMiao的博客
11-25 470
【代码】Spring Security 5.7.5 CURRENT GA-JWT无状态登录。
Spring Security权限管理实战教程
- **认证**:Spring security提供了多种认证方式,如基于表单的登录、基于JWT的令牌认证等。在示例中,可能会创建一个自定义的`AuthenticationProvider`实现,用于验证用户的凭证(用户名和密码)。 - **授权**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值