【Spring Cloud】使用JWT技术实现登录功能

于 2024-05-20 10:19:53 发布
阅读量945 收藏 9
点赞数 23
文章标签: spring cloud spring 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hui_zai_/article/details/139051009
版权

在微服务项目中使用JWT技术实现登录功能,涉及到几个关键步骤:生成JWT、验证JWT,以及保护特定的API端点。下面是一个简要的代码示例,演示如何实现这些步骤。

1. 添加依赖

首先,在pom.xml文件中添加必要的依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter</artifactId>
</dependency>

2. 配置安全性

创建一个SecurityConfig类来配置Spring Security:

import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/login").permitAll()
            .anyRequest().authenticated()
            .and()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        http.addFilterBefore(jwtRequestFilter(), UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    public JwtRequestFilter jwtRequestFilter() {
        return new JwtRequestFilter();
    }
}

3. 创建JWT工具类

编写一个工具类来生成和解析JWT:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.function.Function;

@Component
public class JwtUtil {

    private String SECRET_KEY = "secret";

    public String extractUsername(String token) {
        return extractClaim(token, Claims::getSubject);
    }

    public Date extractExpiration(String token) {
        return extractClaim(token, Claims::getExpiration);
    }

    public <T> T extractClaim(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = extractAllClaims(token);
        return claimsResolver.apply(claims);
    }

    private Claims extractAllClaims(String token) {
        return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
    }

    private Boolean isTokenExpired(String token) {
        return extractExpiration(token).before(new Date());
    }

    public String generateToken(String username) {
        Map<String, Object> claims = new HashMap<>();
        return createToken(claims, username);
    }

    private String createToken(Map<String, Object> claims, String subject) {
        return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(new Date(System.currentTimeMillis()))
            .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10))
            .signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();
    }

    public Boolean validateToken(String token, String username) {
        final String extractedUsername = extractUsername(token);
        return (extractedUsername.equals(username) && !isTokenExpired(token));
    }
}

4. 创建JWT请求过滤器

编写一个过滤器类来验证每个请求中的JWT:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {

        final String authorizationHeader = request.getHeader("Authorization");

        String username = null;
        String jwt = null;

        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            jwt = authorizationHeader.substring(7);
            username = jwtUtil.extractUsername(jwt);
        }

        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

            if (jwtUtil.validateToken(jwt, userDetails.getUsername())) {

                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
                        userDetails, null, userDetails.getAuthorities());
                usernamePasswordAuthenticationToken
                        .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        chain.doFilter(request, response);
    }
}

5. 创建登录控制器

创建一个控制器来处理登录请求并生成JWT:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.web.bind.annotation.*;

@RestController
public class AuthController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtUtil jwtUtil;

    @PostMapping("/login")
    public String createToken(@RequestBody AuthRequest authRequest) throws Exception {
        try {
            authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(authRequest.getUsername(), authRequest.getPassword())
            );
        } catch (AuthenticationException e) {
            throw new Exception("Incorrect username or password", e);
        }

        final UserDetails userDetails = userDetailsService.loadUserByUsername(authRequest.getUsername());
        return jwtUtil.generateToken(userDetails.getUsername());
    }
}

class AuthRequest {
    private String username;
    private String password;

    // getters and setters
}

6. 配置UserDetailsService

实现UserDetailsService接口以处理用户详细信息的加载:

import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;

@Service
public class MyUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return new User("user", "password", new ArrayList<>());
    }
}

7. 配置认证管理器

在配置类中声明AuthenticationManager Bean:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService myUserDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailsService);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }
}

这个实现是一个基本的演示,用于学习和理解 JWT 在 Spring Security 中的应用。

灰_灰丶灰
关注
  • 23
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
探索JWT框架:强大、安全的身份验证解决方案
gitblog_00094的博客
04-11 250
探索JWT框架:强大、安全的身份验证解决方案 项目地址:https://gitcode.com/web-token/jwt-framework JWT Framework 是一个基于JSON Web Token(JWT)规范的开源项目,用于构建高效且安全的身份验证和授权系统。这篇文章将深入介绍这个项目,分析其技术核心,讨论其应用场景,并突出它的独特优点。 什么是JWT? JSON Web Toke...
详解用JWTSpringCloud进行认证和鉴权
08-26
JWT使用过程中,也可以实现token续签的功能。续签的做法是额外生成一个refreshToken用于获取新token,refreshToken需存储于服务端,其过期时间比JWT的过期时间要稍长。用户携带refreshToken参数请求token刷新...
六、SpringCloudGateway+JWT统一认证鉴权
余衫马的博客
06-02 7619
参考springcloud-learning/micro-oauth2
springcloud gateway集成JWT——实现登录鉴权
tang_seven的博客
10-24 7573
springcloud gateway基于jwt token,实现用户登录鉴权功能
基于JWT的用户登录认证的原理与实现
JieZai958921541的博客
11-12 2940
JWT认证原理 JWT简介: JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于JSON对象在各方之间安全的传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT的结构: JWT由三个部分组成,各部分之间用小数点连接。这三部分分别是Header(请求头)、Payload(有效载荷)、Signature(签名),一个典型的JWT看起来是这个样子的:xxx.yyy.zzz 1. header请求头: 由Token的类型和算法名称组成,如下所示
单点登录的必要JWT框架入门
Amik69901183的博客
03-14 436
这个是springBoot项目, 如果不是springboot可以不加 springboot的相关依赖(第一个web和第二个test) <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </depen
SpringCloud-9】JWT
growing_duck的博客
07-06 324
JWT
springboot整合springsecurity框架,什么是JWT,分析如何实现单点登录(分布式项目)(二)
一天不写代码难受的博客
10-14 485
什么是JWT 从分布式认证流程中,我们不难发现,这中间起最关键作用的就是token,token的安全与否,直接关系到系统的健壮性,这里我们选择使用JWT实现token的生成和校验。 JWT,全称JSON Web Token,官网地址https://jwt.io,是一款出色的分布式身份校验方案。可以生成token,也可以解析检验token。 JWT生成的token由三部分组成: 头部:主要设置一些规范信息,签名部分的编码格式就在头部中声明。 载荷:token中存放有效信息的部分,比如用户名,用户角色,过期时
springcloud整合oauth2和jwt
04-09
Spring Cloud中,我们可以使用Spring Security OAuth2模块来实现OAuth2的授权服务器和资源服务器。 1. **OAuth2流程**: - 授权请求:客户端(如浏览器或移动应用)引导用户到授权服务器进行登录。 - 用户授权...
Spring Cloud 集成OAuth2实现身份认证和单点登录
10-20
Spring Cloud中,我们可以使用`@EnableAuthorizationServer`注解来启用这个功能,并配置所需的客户端详情和服务端点。 2. **配置资源服务器**:资源服务器是保护了需要授权才能访问的API的服务器。通过`@...
Spring Cloud OAuth2 实现用户认证及单点登录的示例代码
08-25
主要介绍了Spring Cloud OAuth2 实现用户认证及单点登录的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
微服务安全架构(Spring Boot _ Spring Cloud-JWT).pdf
03-26
基于spring security微服务安全架构三种方案,涵盖了所以的可能的应用场景
Spring cloud Oauth2的密码模式使用JWT方式实现登录验证授权
12-10
本文将深入探讨如何使用Spring Cloud Oauth2的密码模式和JWT实现登录验证授权。 首先,OAuth2是一个开放标准,用于授权第三方应用访问特定资源。在密码模式(Resource Owner Password Credentials Grant)下,...
JWT——讲解
weixin_62993347的博客
11-27 1274
JWT技术——1、简介;2、JWT的应用;3、jwt和session的区别;4、JWT优势;5、JWT认证流程;6、JWT组成结构;7、JAVA里使用JWT;8、Token的工具类;扩展——雪花算法工具类(生成雪花ID)
springcloud-gateway整合jwt+jcasbin实现权限控制
ma_nong33的博客
02-08 1222
jcasbin简介:jcasbin 是一个用 Java 语言打造的轻量级开源访问控制框架是casbin的Java语言版本。目前在 GitHub 开源。jcasbin 采用了元模型的设计思想,支持多种经典的访问控制方案,如基于角色的访问控制 RBAC、基于属性的访问控制 ABAC 等。jcasbin 的主要特性包括:1.支持自定义请求的格式,默认的请求格式为{subject, object, action};2.具有访问控制模型 model 和策略 policy 两个核心概念;
spring cloud gateway + jwt 认证服务
weixin_47240281的博客
03-31 593
4.在gateway模块新建filter包新建AuthFilter类并实现GlobalFilter类和Ordered类用作网关过滤器代码如下,当请求与路由匹配时,Web 处理程序会将所有的GlobalFilter和特定的GatewayFilter添加到过滤器链中。2.创建子模块 名为 gateway 用来配置网关,创建名为usercenter的子模块用来做用户认证服务。5.在gateway模块下创建utils包并创建JwtUtils类用来做token生成的一些操作代码如下。6.现在可以用来做登录操作啦。
JWT简介& JWT结构& JWT示例& 前端添加JWT令牌功能& 后端程序
最新发布
qq_73126462的博客
11-07 9374
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。
基于JWT和Shiro登录认证的系统
诉衷情の麻雀的博客
04-05 223
虽然JDK自带exception这个异常类,但是我们要开发的是一个JavaWeb项目,返回给客户端的异常除了包含正常的异常消息外,还需要包含状态码,还需我们自己创建异常类。自定义异常类继承的父类,我没有选择Exception。因为Exception类型的异常,我们必须要手动显式处理,要么上抛,要么捕获。我希望我定义的异常采用既可以采用显式处理,也可以隐式处理。所以我选择继承这个父类。类型的异常可以被虚拟机隐式处理,这样就省去了我们很多手动处理异常的麻烦。为什么要继承RuntimeException?
springcloud使用token实现单点登录
06-08
Spring Cloud是一个基于Spring Boot的分布式系统开发工具,它提供了一系列的开发工具和框架,可以帮助开发者快速构建微服务架构。在Spring Cloud中,使用Token实现单点登录也是非常简单的。 下面是使用Token实现Spring Cloud单点登录的步骤: 1. 首先,需要在认证中心(Auth Server)中生成Token,可以使用JWT(JSON Web Token)等Token机制。认证中心可以是一个独立的微服务,也可以是一个独立的模块。 2. 在客户端(Client)中,需要配置Token的验证逻辑,以确保Token的有效性。客户端可以是Web应用、移动应用或者其他类型的应用。 3. 当用户访问某个需要认证的服务时,客户端会向认证中心请求Token,如果Token有效,则可以访问该服务。如果Token无效,则客户端会重新向认证中心请求Token。 4. 认证中心可以使用Redis等缓存工具来存储Token,以提高Token的访问速度和效率。 需要注意的是,在使用Token实现单点登录时,需要考虑Token的安全性问题。因此,需要对Token进行加密和解密,以确保Token的安全性。 总的来说,使用Token实现Spring Cloud单点登录是一种非常简单和有效的方法,它可以帮助开发者快速构建微服务架构,并提高开发效率和用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值