【java】springboot spring security + JWT鉴权

已于 2022-05-28 21:38:34 修改
阅读量549 收藏 1
点赞数
分类专栏: 学习记录 文章标签: java spring spring boot
于 2022-05-28 20:29:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heguu/article/details/125022639
版权

一些理解,不一定正确

在这里插入图片描述

请求通过API,进入Basic Authentication Filter,在这里拿到token,解析token,拿到username和password,将用户输入的用户名密码进行封装,并提供给AuthenticationManager.authenticate()方法进行验证,验证成功后,返回一个认证成功的UsernamePasswordAuthenticationToken(Authentication)对象,然后放在security的context中,继续过滤链。

如果没有token,或者token不对,则继续过滤链,到达UsernamePasswordAuthenticationFilter,在attemptAuthentication()方法中,从请求的header中,拿到user和password,调用AuthenticationManager.authenticate()进行认证

AuthenticationManager验证过程

AuthenticationManager.authenticate()接收Authentication对象作为参数,由其实现类ProviderManager完成对其进行验证

在ProviderManager的authenticate方法中,轮训成员变量List providers。该providers中如果有一个

AuthenticationProvider的supports函数返回true,那么就会调用该AuthenticationProvider的authenticate函数认证,调用SecurityConfig中指定的userService,没有则使用UserDetailsService ,调用loadUserByUsername() 方法从数据库中加载用户信息 ,对密码等进行验证,整个认证过程结束。如果不成功,则继续使用下一个合适的AuthenticationProvider进行认证,只要有一个认证成功则为认证成功。

参考大佬的验证原理

代码

spring security + JWT依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.19.2</version>
        </dependency>

创建SecurityConfig类,配置springSecurity

package xyz.heguchangan.easymusicapp.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import xyz.heguchangan.easymusicapp.exception.RestAuthenticationEntryPoint;
import xyz.heguchangan.easymusicapp.filter.JwtAuthenticationFilter;
import xyz.heguchangan.easymusicapp.filter.JwtAuthorizationFilter;
import xyz.heguchangan.easymusicapp.service.UserService;

/**
 * springSecurity的配置文件
 * @Configuration:声明为配置类
 * @EnableWebSecurity:声明该类为springSecurity的配置类
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /** 密钥 */
    public static final String SECRET = "heguchangan";

    /**JWT令牌过期时间*/
    public static final long EXPIRATION_TIME = 864000000;

    /** TOKEN的前缀*/
    public static final String TOKEN_PREFIX = "Bearer";

    /** header中,token对应的变量名*/
    public static final String HEADER_STRING = "Authorization";

    /** 注册的入口,注册不开启JWT鉴权*/
    public static final String SIGN_UP_URL = "/users/";

    
    /** 自动装载bean */
    UserService userService;
    RestAuthenticationEntryPoint restAuthenticationEntryPoint;
    
    @Autowired
    public void setRestAuthenticationEntryPoint(RestAuthenticationEntryPoint restAuthenticationEntryPoint) {
        this.restAuthenticationEntryPoint = restAuthenticationEntryPoint;
    }
    @Autowired
    public void setUserService(UserService userService) {
        this.userService = userService;
    }

    /*
    * 配置springSecurity
    * */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        /* .cors()开启跨域 
        * .csrf().disable() csrf关闭 
        * .authorizeRequests()开启request的鉴权
        * antMatchers.permitAll(类型,地址)开启白名单,SIGN_UP_URL地址的post请求类型全部允许
        * anyRequest() 剩下的所有request都需要鉴权
        * addFilter 使用拦截器,这两个拦截器后面会讲
        * 然后exceptionHandling对错误码进行处理 重写authenticationEntryPoint()类自定义错误页面
        * 再把session设置成无状态
        * */
        http.cors()
                .and()
                .csrf().disable()
                .authorizeRequests()
                .antMatchers(HttpMethod.POST,SIGN_UP_URL).permitAll()
                .anyRequest().authenticated()
                .and()
                .addFilter(new JwtAuthenticationFilter(authenticationManager()))
                .addFilter(new JwtAuthorizationFilter(authenticationManager()))
                .exceptionHandling()
                .authenticationEntryPoint(restAuthenticationEntryPoint)
                .and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

    @Override
    public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
        /** 指定service,这样通过username从数据库里返回数据时,就会使用userService里的方法*/
        authenticationManagerBuilder.userDetailsService(userService);
    }
}

两个过滤器

JwtAuthorizationFilter

package xyz.heguchangan.easymusicapp.filter;


import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;
import xyz.heguchangan.easymusicapp.config.SecurityConfig;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;

/*
* 授权拦截器,如果当前request有token的话
* 从Header中拿到token,对token进行鉴权
* 然后把用户放到context中
* */
public class JwtAuthorizationFilter extends BasicAuthenticationFilter {
    //构造函数
    public JwtAuthorizationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }


    /** 重写方法 */
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {

        // 拿到header中的token
        String token = request.getHeader(SecurityConfig.HEADER_STRING);
        //没有header,或者token不是规定的前缀
        if(token == null || !token.startsWith(SecurityConfig.TOKEN_PREFIX)){
            // 不做处理,给下一个过滤器,还可以通过username和password进行鉴权
            chain.doFilter(request,response);
            return;
        }

        // 进行鉴权,拿到鉴权之后的Authentication对象
        UsernamePasswordAuthenticationToken authenticationToken = getAuthentication(token);
        // 把Authentication对象放在security的context中,继续过滤链
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        chain.doFilter(request,response);

    }
    /*
    * 进行token鉴权
    * */
    private UsernamePasswordAuthenticationToken getAuthentication(String header){
        if (header != null) {
            /* HMAC512签名解码,build之后,验证(需要把前缀拿掉)拿到username */
            String username = JWT.require(Algorithm.HMAC512(SecurityConfig.SECRET))
                    .build()
                    .verify(header.replace(SecurityConfig.TOKEN_PREFIX, ""))
                    .getSubject();
            if (username != null) {
                /** 如果username不为空,username鉴权*/
                User user = userService.loadUserByUsername(username);
                return new UsernamePasswordAuthenticationToken(username, user.getPassword(), new ArrayList<>());
            }
        }
        return null;
    }
}

JwtAuthenticationFilter

该拦截器通过username和password进行鉴权

package xyz.heguchangan.easymusicapp.filter;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import xyz.heguchangan.easymusicapp.config.SecurityConfig;
import xyz.heguchangan.easymusicapp.entity.User;
import xyz.heguchangan.easymusicapp.exception.BizException;
import xyz.heguchangan.easymusicapp.exception.ExceptionType;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Date;

/*
* JWT鉴权拦截器,
* 该类主要处理拿到username和password
* 进行鉴权
* */
// 因为是针对username 和password 所以继承UsernamePasswordAuthenticationFilter类
public class JwtAuthenticationFilter extends UsernamePasswordAuthenticationFilter {

    /** 不用管 在springSecurity的config中会传来这个类 */
    private final AuthenticationManager authenticationManager;
    public JwtAuthenticationFilter(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }

    /** 尝试对请求进行鉴权*/
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        try {
            /**获取输入中的username和pwd */
            //从输入流中映射json对应的属性给user对象,就是把json转换成user对象
            User user = new ObjectMapper().
                    readValue(request.getInputStream(),User.class);
            // 通过username和pwd生成token,对token鉴权返回结果
            return authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(
                            user.getUsername(),
                            user.getPassword(),
                            new ArrayList<>()
                    )
            );
        } catch (IOException e) {
            e.printStackTrace();
            /* 抛出自定义错误 */
            throw new BizException(ExceptionType.FORBIDDEN);
        }
    }

    /** 鉴权成功的处理 */
    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        /** 创建JWT的token
         * withSubject设置规则为username,authResult.getPrincipal()返回object需要转成user
         * .withExpiresAt设置到期时间,当前时间加上存活的时间
         * .sign HMAC512用设定好的字符串签名*/
        String token = JWT.create()
                .withSubject(((User)authResult.getPrincipal()).getUsername())
                .withExpiresAt(new Date(System.currentTimeMillis()+ SecurityConfig.EXPIRATION_TIME))
                .sign(Algorithm.HMAC512(SecurityConfig.SECRET));
        /** 添加到Header中,name+value*/
        response.addHeader(SecurityConfig.HEADER_STRING,SecurityConfig.TOKEN_PREFIX+token);
    }
}

UserService

springSecurity底层需要访问数据库,需要继承UserDetailsService,实现loadUserByUsername方法


public interface UserService extends UserDetailsService {

    /*通过username,从数据库拿出user信息*/
    @Override
    User loadUserByUsername(String username) throws UsernameNotFoundException;

}

同时 user类需要实现UserDetails

public class User implements UserDetails {

	....

}
何顾长安
关注
专栏目录
springboot+security+mybatis+redis+jwt鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
Springboot+Security+Jwt
点点的博客
12-13 1万+
工程目录 文章目录 工程目录 前言 一、Security是什么? 二、使用步骤 1.引入pom.xml文件 2.application.yml文件 。。。。。。 总结:代码足够详细,有耐心的可以看,没耐心的浪费时间! 前言 随着业务的发展,传统的不分离前后端的Java项目逐渐减少,更多的时候是做到前后端分离,会话管理也就从传统的Session会话管理变为Jwt管理会话,本篇文章就是SpringBoot使用Jwt管理会话同时整合Security,完成权限操作。
SpringBoot整合SpringSecurityJWT
hello,word!
03-03 5075
SpringBoot整合SpringSecurityJWTSpringSecurity提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限。
SpringBoot 整合 Spring SecurityJWT 实现认证、权限控制
最新发布
2301_76419561的博客
08-05 1052
Spring SecurityJWT 实现认证、权限控制是一种在Web应用中保障安全的重要手段。Spring Security是一个功能强大的身份验证和访问控制框架,它提供了完善的认证机制和方法级的授权功能。JWT(JSON Web Token)则是一种基于Token的认证方案,用于在通信双方之间传递安全信息。将Spring SecurityJWT整合,可以实现有效的认证和权限管理,提升系统的安全性。Spring Security的核心是一系列过滤器链,不同的功能经由不同的过滤器实现。例如,
SpringBoot 集成 SpringSecurity+JWT
asksl的博客
11-29 4374
SpringBoot 集成 SpringSecurity+JWT
springBoot整合spring security+JWT实现单点登录与权限管理前后端分离--筑基中期
qq_43788185的博客
09-05 1571
写在前面 在前一篇文章当中,我们介绍了springBoot整合spring security单体应用版,在这篇文章当中,我将介绍springBoot整合spring secury+JWT实现单点登录与权限管理。 本文涉及的权限管理模型是基于资源的动态权限管理。数据库设计的表有 user 、role、user_role、permission、role_permission。 单点登录当中,关于访问者信息的存储有多种解决方案。如将其以key-value的形式存储于redis数据库中,访问者令牌中存放key。校验
SpringBoot+SpringSecurity+JWT实现认证和授权
热门推荐
oyc的博客
01-17 5万+
一、背景: 在 B/S 系统中,登录功基本都是依靠 Cookie 来实现的,用户登录成功之后主要需要客户端和服务端完成以下两项工作: (1)服务端将登录状态记录到 Session 中,或者签发Token; (2)客户端利用Cookie保存于服务端对应的 Session ID 或 Token。之后每次请求都会带上Cookie信息(包含Session ID或者Token),当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单点登录:单点登录(Single Sign On, S.
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
springboot + jwt + websocket + 拦截
09-02
在IT行业中,Spring BootJWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统中实现的一种中间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
springboot+jwt+spring-security.rar
05-20
在本项目中,我们主要探讨的是如何在Spring Boot框架下集成JWT(JSON Web Tokens)以及Spring Security,同时利用Redis作为存储来实现API的鉴权功能。这是一个完整的安全认证解决方案,适用于构建RESTful API服务。 ...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
Springboot集成SecurityJWT
qq1016499728博客
11-28 1197
Springboot版本2.3.3 pom依赖 <!--security+JWT--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <gro
SpringBoot+SpringSecurity+JWT整合
seeyouagain_的博客
01-04 1万+
SpringSecurity入门简单案例适合新手学习
SpringBoot2.7.X整合SpringSecurity+JWT(入门级简单易懂)
zyyxiaoxiao的博客
04-12 5041
SpringBoot2.7.9整合SpringSecurity+JWT、入门级简单易懂
Spring Security学习笔记
Shawn的个人博客
05-09 2792
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
Spring boot Security Jwt
何xiao树
05-31 1536
Spring Security 整合开发 引入 security 启动器,默认拦截所有资源,启动项目会生成一个默认密码,账号 user <!-- 引入Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-.
Spring Boot+Spring Security+JWT实现系统认证与授权
Cloud-Future的博客
08-03 3003
Spring Boot+Spring Security+JWT实现系统认证与授权 Spring Boot整合Spring Security实现JWT认证 Spring Boot项目使用JWT认证 JWT认证 OAuth2 JWT认证
SpringBoot + Security + JWT安全策略
weixin_45698637的博客
10-21 2145
SpringBoot + Security + JWT安全策略配置
springboot集成springsecurity + jwt的使用
hjh15827475896的博客
06-07 1705
当项目中要用到用户的认证及权限的时候我们一般会使用 springSecurity来解决。
SpringBoot+SpringSecurity+jwt集成实战与初次体验
"本文将详细介绍如何在SpringBoot项目中整合SpringSecurityJWT(JSON Web Tokens)的功能,并提供初学者的实践经验和参考。作者之前使用Shiro作为安全框架,但这次选择SpringSecurity来探索其功能,同时利用JWT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值