【Spring Cloud】使用JWT技术实现登录功能

最新推荐文章于 2024-06-02 22:57:30 发布
最新推荐文章于 2024-06-02 22:57:30 发布
阅读量970 收藏 9
点赞数 23
文章标签: spring cloud spring 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hui_zai_/article/details/139051009
版权

在微服务项目中使用JWT技术实现登录功能,涉及到几个关键步骤:生成JWT、验证JWT,以及保护特定的API端点。下面是一个简要的代码示例,演示如何实现这些步骤。

1. 添加依赖

首先,在pom.xml文件中添加必要的依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter</artifactId>
</dependency>

2. 配置安全性

创建一个SecurityConfig类来配置Spring Security:

import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/login").permitAll()
            .anyRequest().authenticated()
            .and()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        http.addFilterBefore(jwtRequestFilter(), UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    public JwtRequestFilter jwtRequestFilter() {
        return new JwtRequestFilter();
    }
}

3. 创建JWT工具类

编写一个工具类来生成和解析JWT:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.function.Function;

@Component
public class JwtUtil {

    private String SECRET_KEY = "secret";

    public String extractUsername(String token) {
        return extractClaim(token, Claims::getSubject);
    }

    public Date extractExpiration(String token) {
        return extractClaim(token, Claims::getExpiration);
    }

    public <T> T extractClaim(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = extractAllClaims(token);
        return claimsResolver.apply(claims);
    }

    private Claims extractAllClaims(String token) {
        return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
    }

    private Boolean isTokenExpired(String token) {
        return extractExpiration(token).before(new Date());
    }

    public String generateToken(String username) {
        Map<String, Object> claims = new HashMap<>();
        return createToken(claims, username);
    }

    private String createToken(Map<String, Object> claims, String subject) {
        return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(new Date(System.currentTimeMillis()))
            .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10))
            .signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();
    }

    public Boolean validateToken(String token, String username) {
        final String extractedUsername = extractUsername(token);
        return (extractedUsername.equals(username) && !isTokenExpired(token));
    }
}

4. 创建JWT请求过滤器

编写一个过滤器类来验证每个请求中的JWT:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {

        final String authorizationHeader = request.getHeader("Authorization");

        String username = null;
        String jwt = null;

        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            jwt = authorizationHeader.substring(7);
            username = jwtUtil.extractUsername(jwt);
        }

        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

            if (jwtUtil.validateToken(jwt, userDetails.getUsername())) {

                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
                        userDetails, null, userDetails.getAuthorities());
                usernamePasswordAuthenticationToken
                        .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        chain.doFilter(request, response);
    }
}

5. 创建登录控制器

创建一个控制器来处理登录请求并生成JWT:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.web.bind.annotation.*;

@RestController
public class AuthController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtUtil jwtUtil;

    @PostMapping("/login")
    public String createToken(@RequestBody AuthRequest authRequest) throws Exception {
        try {
            authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(authRequest.getUsername(), authRequest.getPassword())
            );
        } catch (AuthenticationException e) {
            throw new Exception("Incorrect username or password", e);
        }

        final UserDetails userDetails = userDetailsService.loadUserByUsername(authRequest.getUsername());
        return jwtUtil.generateToken(userDetails.getUsername());
    }
}

class AuthRequest {
    private String username;
    private String password;

    // getters and setters
}

6. 配置UserDetailsService

实现UserDetailsService接口以处理用户详细信息的加载:

import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;

@Service
public class MyUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return new User("user", "password", new ArrayList<>());
    }
}

7. 配置认证管理器

在配置类中声明AuthenticationManager Bean:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService myUserDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailsService);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }
}

这个实现是一个基本的演示,用于学习和理解 JWT 在 Spring Security 中的应用。

灰_灰丶灰
关注
  • 23
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springcloud+Jwt应用开发
如果你想拥有更多的人生选择,你必须拥有更多的知识。-- 来自u011437883的博客
05-15 203
Springcloud+Jwt应用开发。
探索JWT框架:强大、安全的身份验证解决方案
gitblog_00094的博客
04-11 262
探索JWT框架:强大、安全的身份验证解决方案 项目地址:https://gitcode.com/web-token/jwt-framework JWT Framework 是一个基于JSON Web Token(JWT)规范的开源项目,用于构建高效且安全的身份验证和授权系统。这篇文章将深入介绍这个项目,分析其技术核心,讨论其应用场景,并突出它的独特优点。 什么是JWT? JSON Web Toke...
jwt 实现用户登录完整java
最新发布
qq_62383709的博客
06-02 924
保护所有受保护的接口增加jwt合法性逻辑 custom.interceptor.AuthenticationInterceptor。我们约定,前端登录后,后续请求都将JWT,放置于HTTP请求的Header中,其Header的key为。登录接口需要为登录成功的用户创建并返回JWT,本项目使用开源的JWT工具。创建JWT和工具类 common.utils.JwtUtil。用户登录的校验逻辑分为三个主要步骤,分别是。,配置如下,具体内容可参考。controller逻辑。编写mapper逻辑。
SpringCloud微服务之最全JWT学习教程03
Maynor的博客
11-18 765
1.JWT 1.0 为什么要学习JWT? 1.1.简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;它是分布式服务权限控制的标准解决方案! 它跟RBAC的区别:两者不冲突,在项目中后台权限服务的数据库设计使用RBAC,而前端项目访问后台微服务的权限校验使用jwt 官网:https://jwt.io . GitHub上jwt的java客户端:https://github.com/jwtk/jjwt 什么是token:http
springcloud gateway集成JWT——实现登录鉴权
tang_seven的博客
10-24 7669
springcloud gateway基于jwt token,实现用户登录鉴权功能
SpringCloud服务认证(JWT
huxuhang的博客
07-02 3040
为什么要使用jwt? 在微服务架构下的服务基本都是无状态的,传统的使用session的方式不再适用。例如常用的鉴权框架Spring Security OAuth2和用Jwt来进行保护,相对于框架而言,jwt较轻,且可以自包含一些用户信息和设置过期时间,省去了Spring Security OAuth2繁琐的步骤。 什么是JWTjwt(JSON WEB TOKEN)是一种用来在网络上声明某种身份...
SpringCloud-9】JWT
growing_duck的博客
07-06 329
JWT
7000 字 | 32 图 | 手摸手 Spring Cloud Gateway + JWT 实现登录认证
程序员高级码农的博客
01-24 1443
虽然本篇是讲实战内容的,但是里面又涉及了很多原理性内容,比如网关、JWT 的原理。结合实战讲解,相信大家对如何使用 Spring Cloud Gateway + JWT 实现登录认证有了充分的理解。
详解用JWTSpringCloud进行认证和鉴权
08-26
JWT使用过程中,也可以实现token续签的功能。续签的做法是额外生成一个refreshToken用于获取新token,refreshToken需存储于服务端,其过期时间比JWT的过期时间要稍长。用户携带refreshToken参数请求token刷新...
springcloud整合oauth2和jwt
04-09
Spring Cloud中,我们可以使用Spring Security OAuth2模块来实现OAuth2的授权服务器和资源服务器。 1. **OAuth2流程**: - 授权请求:客户端(如浏览器或移动应用)引导用户到授权服务器进行登录。 - 用户授权...
Spring Cloud 集成OAuth2实现身份认证和单点登录
10-20
Spring Cloud中,我们可以使用`@EnableAuthorizationServer`注解来启用这个功能,并配置所需的客户端详情和服务端点。 2. **配置资源服务器**:资源服务器是保护了需要授权才能访问的API的服务器。通过`@...
微服务安全架构(Spring Boot _ Spring Cloud-JWT).pdf
03-26
基于spring security微服务安全架构三种方案,涵盖了所以的可能的应用场景
Spring cloud Oauth2的密码模式使用JWT方式实现登录验证授权
12-10
本文将深入探讨如何使用Spring Cloud Oauth2的密码模式和JWT实现登录验证授权。 首先,OAuth2是一个开放标准,用于授权第三方应用访问特定资源。在密码模式(Resource Owner Password Credentials Grant)下,...
Spring Cloud微服务网关Zuul过滤链和整合OAuth2+JWT入门实战
BASK2311的博客
04-11 455
OAuth2是OAuth协议的第二个版本,是对授权认证比较成熟地面向资源的授权协议,在业界中广泛应用。出了定义了常用的用户名密码登录之后,还可以使用第三方一个用登录。例如在某些网站上可以使用QQ、微信、Github等进行登录。其主要流程如下:至于JWT则是一种使用JSON格式来规约Token和Session的协议。因为传统的认证方式中会产生一个凭证,比如Session会话是保存在服务端,然后依赖于Cookie返回给客户端,Session是有状态的。
springcloud-gateway整合jwt+jcasbin实现权限控制
ma_nong33的博客
02-08 1233
jcasbin简介:jcasbin 是一个用 Java 语言打造的轻量级开源访问控制框架是casbin的Java语言版本。目前在 GitHub 开源。jcasbin 采用了元模型的设计思想,支持多种经典的访问控制方案,如基于角色的访问控制 RBAC、基于属性的访问控制 ABAC 等。jcasbin 的主要特性包括:1.支持自定义请求的格式,默认的请求格式为{subject, object, action};2.具有访问控制模型 model 和策略 policy 两个核心概念;
SpringCloudJWT
qq_45578181的博客
08-27 640
文章目录登录状态有状态登录无状态登录JWT(Json Web Token)JWT三部分headerpayload 负载signature 数字签名JWT使用令牌验证JWT缺点 登录状态 有状态登录 即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理. 典型的设计如tomcat中的session。 缺点是什么? 服务端保存大量数据,增加服务端压力 客户端请求依赖服务端,多次请求必须访问同一台服务器。 无状态登录 无状态服务,服务端不保存任何客户端请求者信息,客户端的每次请
Spring boot 整合 JWT
Java 技术专栏,从入门到精通,熟悉企业级开发
11-03 9775
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。JWT是一个开放标准(RFC 7519)定义的方式,用于在网络之间安全地传输信息。JWT是一个紧凑的,URL安全的手段,表示在双方之间转让的声明。这些声明可以被验证和信任,因为它们是数字签名的。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA公钥/私钥对对进行签名。
SpringCloud整合JWT
qq1192360489的博客
12-27 1922
JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:[](https://jwt.io) 流程图 导入依赖 <!--jwt依赖--> <dependency> <groupId>commons-beanutils</groupId&g...
springcloud:4.2 GateWay结合JWT实现网关鉴权
m0_63040701的博客
03-18 1445
算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。
springcloud使用token实现单点登录
06-08
Spring Cloud中,使用Token实现单点登录也是非常简单的。 下面是使用Token实现Spring Cloud单点登录的步骤: 1. 首先,需要在认证中心(Auth Server)中生成Token,可以使用JWT(JSON Web Token)等Token机制。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值