springoboot与springsecurity整合中级篇

最新推荐文章于 2021-08-19 14:39:31 发布
最新推荐文章于 2021-08-19 14:39:31 发布
阅读量109 收藏
点赞数
分类专栏: springSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/he_lei/article/details/115599592
版权

根据上一章https://blog.csdn.net/he_lei/article/details/115482297继续扩展,jwt来前后分离
引入pom

 <!--生成token-->
    <dependency>
        <groupId>com.auth0</groupId>
        <artifactId>java-jwt</artifactId>
        <version>3.2.0</version>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.7.0</version>
    </dependency>

首先要用到jwt生成工具


import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.apache.commons.codec.binary.Base64;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.*;

/**
 * @description: 描述
 * @create: 2019-07-22 11:26
 */
public class JwtUtil {


    /**
     * token 过期时间, 单位: 秒. 这个值表示 30 天
     */
    private static final long TOKEN_EXPIRED_TIME = 30 * 24 * 60 * 60;

    /**
     * jwt 加密解密密钥, 这里请自行赋值,本人暂且使用随机数16位
     */
    private static final String JWT_SECRET = "1AsdadSAS123daXX";

    public static final String jwtId = "tokenId";

    /**
     * 创建JWT
     *
     * @param claims 这个是payLoad的部分内容, jwt格式:jwtHeader.jwtPayLoad.Signature
     */
    public static String createJWT(Map<String, Object> claims, Long time) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; //指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。
        Date now = new Date(System.currentTimeMillis());

        SecretKey secretKey = generalKey();
        long nowMillis = System.currentTimeMillis();//生成JWT的时间
        //下面就是在为payload添加各种标准声明和私有声明了
        JwtBuilder builder = Jwts.builder().setClaims(claims) //这里其实就是new一个JwtBuilder,设置jwt的body
                .setClaims(claims)          //如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setHeaderParam("alg", "HS256")  //设置header
                .signWith(signatureAlgorithm, secretKey);//设置签名使用的签名算法和签名使用的秘钥
        if (time >= 0) {
            long expMillis = nowMillis + time * 1000;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp);     //设置过期时间
        }
        return builder.compact();
    }

    /**
     * 验证jwt
     */
    public static Claims verifyJwt(String token) {
        //签名秘钥,和生成的签名的秘钥一模一样
        SecretKey key = generalKey();
        Claims claims;
        try {
            claims = Jwts.parser()  //得到DefaultJwtParser
                    .setSigningKey(key)         //设置签名的秘钥
                    .parseClaimsJws(token).getBody();
        } catch (Exception e) {
            claims = null;
        }//设置需要解析的jwt
        return claims;
    }


    /**
     * 由字符串生成加密key
     *
     * @return
     */
    public static SecretKey generalKey() {
        String stringKey = JWT_SECRET;
        byte[] encodedKey = Base64.decodeBase64(stringKey);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "HS256");
        return key;
    }

    /**
     * 根据userId和openid生成token
     */
    public static String generateToken(String id) {
        Map<String, Object> map = new HashMap<>();
        map.put("id", id);
        map.put("role","a");
        return createJWT(map, TOKEN_EXPIRED_TIME);
    }

    public static String GetgenerateToken(String token) {
        return verifyJwt(token).get("id").toString();
    }
    public static String generateToken(SecurityUserEntity extendUserBean, String name, String authorities) {
        Map<String, Object> map = new HashMap<>();
        map.put("id",extendUserBean.getId());
        map.put("user",extendUserBean);
        map.put("name", name);
        map.put("role",authorities);
        return createJWT(map, TOKEN_EXPIRED_TIME);
    }

}

继承OncePerRequestFilter 重写doFilterInternal

package com.helei.security;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.google.gson.Gson;
import com.helei.commons.Resp;
import com.helei.entity.SecurityUserEntity;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang.StringUtils;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

@Slf4j
@Component
public class JWTAuthenticationFilter extends OncePerRequestFilter {


    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {

        String header = request.getHeader("head");
       /* if(StringUtils.isBlank(header)){
            header = request.getParameter(SecurityConstant.HEADER);
        }*/
        Boolean notValid = StringUtils.isBlank(header);
        if (notValid) {
            chain.doFilter(request, response);
            return;
        }
        try {
            // UsernamePasswordAuthenticationToken 继承 AbstractAuthenticationToken 实现 Authentication
            //  所以当在页面中输入用户名和密码之后首先会进入到 UsernamePasswordAuthenticationToken验证(Authentication),
            UsernamePasswordAuthenticationToken authentication = getAuthentication(header, response);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        } catch (Exception e) {
            e.toString();
        }

        chain.doFilter(request, response);
    }

    private UsernamePasswordAuthenticationToken getAuthentication(String header, HttpServletResponse response) {

        //  用户名
        String username = null;
        // 权限
        //  List<GrantedAuthority> authorities = new ArrayList<>();

        Collection<SimpleGrantedAuthority> authorities = new ArrayList<>();
        SecurityUserEntity extendUserBean1 = null;
        try {
            //  解析token
            Claims claims = JwtUtil.verifyJwt(header);
            logger.info("claims:" + claims);
            //   获取用户名
            username = claims.get("name").toString();
            logger.info("name:" + username);
            // 获取权限
            String[] roles = claims.get("role").toString().split(",");
            for (String s : roles) {
                authorities.add(new SimpleGrantedAuthority("ROLE_" + s));
            }
            //  if(!StringUtils.isEmpty(authority)){
            //  authorities.add(new SimpleGrantedAuthority("ROLE_a"));
            // }

        } catch (ExpiredJwtException e) {
            response.setContentType("application/json;charset=utf-8");
            response.setStatus(HttpServletResponse.SC_OK);
            PrintWriter out = null;
            try {
                out = response.getWriter();
                out.write(new ObjectMapper().writeValueAsString(Resp.getNew().fail("登录已失效,请重新登录")));
            } catch (Exception jsonProcessingException) {
                jsonProcessingException.printStackTrace();
            }
            out.flush();
            out.close();
        } catch (Exception e) {
            log.error(e.toString());
            response.setContentType("application/json;charset=utf-8");
            response.setStatus(HttpServletResponse.SC_OK);
            PrintWriter out = null;
            try {
                out = response.getWriter();
                out.write(new ObjectMapper().writeValueAsString(Resp.getNew().fail("解析token错误")));
            } catch (Exception jsonProcessingException) {
                jsonProcessingException.printStackTrace();
            }
            out.flush();
            out.close();

        }
        System.out.println(new Gson().toJson(authorities));
        if (StringUtils.isNotBlank(username)) {
            //  踩坑提醒 此处password不能为null
            UserAuthentication userAuthentication = new UserAuthentication(username, "", authorities);
            userAuthentication.setExtendUserBean(extendUserBean1);
            //    User principal = new User(username, "", authorities);
            return new UsernamePasswordAuthenticationToken(userAuthentication, null, authorities);
        }
        return null;
    }
}
cxyhl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sprinboot整合springsecurity
elapse008的专栏
02-10 508
1、springboot基础项目搭建 1.1 新建maven项目 springboot-2.0-security 1.2 添加maven依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</art...
SpringSecurity整合Jwt过程图解
08-25
通过将SpringSecurity与Jwt集成,我们可以实现更加安全、灵活的身份验证机制。 一、创建项目并导入依赖 要想使用SpringSecurity和Jwt,我们需要创建一个新的Spring Boot项目,并导入相关依赖项。这些依赖项包括...
SpringBoot - 集成Auth0 JWT
Maggieq8324的博客
08-19 4138
目录前言 说说JWT,先说下互联网服务常见的两种用户认证方式:session认证与Token认证 session认证 传统的Session认证的大体流程可以表示为用户提供用户名和密码登录后由服务器存储一份用户登录信息并传递给浏览器保存为Cookie,并在下次请求中根据Cookie来识别用户,但这种方式缺陷明显: - Session都是保存在内存中,随着认证用户的增多,服务端的开销明显增大 - 保存在内存中的Session限制了分布式的应用 - Cookie容易被截获伪造
Spring boot文件上传blocked a frame with origin "http://xxx" from accessing a cross-origin frame.
热门推荐
深蓝浅蓝的天
06-23 6万+
spring boot 上传文件,页面弹出提示:blocked a frame with origin “http://localhost:8080” from accessing a cross-origin frame. 在上传文件的过程中,前端报了这个错误,这个错误咋一看还还以为是AJAX提交数据跨域的问题,实则和跨域没有一毛线关系,这个提示是DOMException报出的提示,具体错
Elasticsearch5.5.2 安装教程
satiling的专栏
03-02 1万+
最近学习Elasticsearch,顺便记录下操作步骤,供日后参考 安装环境 CentOS release 6.6 1、因Elasticsearch是基于java写的,所以它的运行环境中需要java的支持,在Linux下执行命令:java -version,检查Jar包是否安装 安装java版本至少是1.8以上 2、首先准备下载Elasticsearch5.5.2 安装包 wge
linux 无盘安装 没有光驱 无光驱 rawrite ftp安装
hem的专栏
05-28 2409
  Q: 如何创建 Linux 启动盘 A: 如果是 redhat 或者 turbolinux 就在 /boot 下面有个文件 zImage。它的名字可能不是 这个, 而是 vmlinuz-x.x.xx(后面的是版本号)。更方便就是 mkbookdisk --device /dev/fd0 2.2.11 ~~~版本号 需要在 /boot/ 下有 vmlinuz-2.2.11。 -- by ha
springboot restTemplate 自定义拦截器
weixin_43931625的博客
06-29 1621
springbootrestTemplate自定义拦截器
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
总的来说,将Spring Cloud Gateway与Spring Security相结合,可以构建出一套高效、安全的微服务认证系统,提高整体系统的稳定性和用户体验。这种整合不仅简化了微服务之间的交互,还增强了系统的安全性,是现代...
Spring Security整合Oauth2实现流程详解
09-07
Spring Security 是一个强大的安全框架,它为Java应用程序提供了全面的安全管理解决方案。而OAuth2则是一种开放标准,用于授权第三方应用访问...希望这文章能帮助你更好地理解和应用Spring Security与OAuth2的集成。
Spring Security整合CAS的示例代码
08-27
在本文中,我们将探讨如何将Spring Security与中央认证服务(CAS)进行整合,以实现单点登录(SSO)功能。首先,我们注意到没有使用Spring Security提供的`spring-security-cas`模块,这可能是因为原生的jasig cas包...
详解springSecurity之java配置
08-18
Spring Security 之 Java 配置 Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring Security 的 Java 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
springobootspringsecurity整合基础
点点滴滴
04-07 145
本章节基础入门 话不多说开干 首先引入springsecurity的pom <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 首先你要 WebSec
vbox下安装arch
weixin_33910460的博客
11-24 237
http://tieba.baidu.com/p/2663744019 安装介质: archlinux-2013.10.01-dual.iso 准备存储设备: 警告: 磁盘分区有时会毁掉原分区内的数据。强烈建议先备份重要的数据。 我使用cfdisk命令分区的,各位按照各自习惯的软件进行分区吧,在此不多做介绍。 sda1 (交换分区) sda2 (根分区)...
vm虚拟机找不到网卡(或者因为迁移、修改配置导致网卡(eth0)丢失
Allan_Zeng的专栏
04-27 1万+
1、以管理员身份启动vm。 2、在虚拟机里ifconfig -a查看网卡;通常由于修改配置导致网卡名字被修改。     这种情况,通常网卡配置中已经没有eth0的配置了。     可以手动添加:         cat /etc/network/interfaces # This file describes the network interfaces available on your...
环境安装 - Java 技术栈
龙鱼618博客
12-08 157
openjdk下载链接 下载地址 http://jdk.java.net/, 安装openjdk1.8 wget -O openjdk.tar.gz https://download.java.net/openjdk/jdk8u41/ri/openjdk-8u41-b04-linux-x64-14_jan_2020.tar.gz tar -xvf openjdk.tar.gz mv java-se-* java8 Redis下载安装 下载地址: http://download.redis.io/relea
kafka 示例(spring boot)事务消息
weixin_43931625的博客
10-26 2189
springbootkafka事务消息 实现原理:(详见概述) 事务初始化:producer先找到transactioncoordinator,transactioncoordinator负责为其分配pid、producerepoch等信息; 事务执行: 如果事务中有消息消费,消费后提交位移时,先将位移提交请求发送给transaction_coordinator,tr...
Spring Boot教程(十七):Spring Boot导出war包部署到外部Tomcat
DM_elena的博客
12-11 193
原文出处:https://blog.csdn.net/gnail_oug/article/details/80697098 对于创建的jsp的web项目,有时想把项目打成war包部署到外部的Tomcat上,要达到这种目的,需要修改一些东西。 一、修改Maven的打包方式 Maven默认的packing为jar,所以要将其改为war: &lt;packaging&gt;war&l...
SpringBoot中级-SpringBatch+Oracle配置
风流三月1
08-18 4336
官网实例 https://spring.io/guides/gs/batch-processing/Batch一句话描述概要: 一个Job仓库,一个Job启动器,多个Job任务,每个Job任务由多个Step组成,每个Step需要Reader读取,Processor处理,Writer写入,在处理过程中如果抛出异常那么可用Skip跳过然后继续执行。整体架构图Job操作流程Job中Step活动图异常问
springboot validation 检验模式
weixin_43931625的博客
07-14 610
springbootvalidation检验模式 默认:对pojo的所有参数进行检验,如果检验出错,返回所有错误 fail-fast:检验到参数出错就返回当前错误,不需要检验所有的参数 ************************* 示例 ******************* pojo层 ...
OAuth2.0与SpringSecurity整合详解
"SpringSecurity_day04.pdf" Spring Security是一个强大的且高度可定制的身份验证和访问控制框架,用于保护Java应用程序。在本资料中,我们关注的是Spring Security与OAuth2.0的集成,OAuth2.0是一种广泛采用的授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值