Spring Security衍生---整合JWT

最新推荐文章于 2024-06-13 13:28:48 发布
最新推荐文章于 2024-06-13 13:28:48 发布
阅读量408 收藏 9
点赞数 9
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/images_whj/article/details/135169549
版权

Spring Security Oauth2整合JWT

整合JWT

在之前的spring security Oauth2的代码基础上修改[详见之前的文章]

引入依赖

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-jwt</artifactId>
    <version>1.0.9.RELEASE</version>
</dependency>

添加配置文件JwtTokenStoreConfig.java

@Configuration
public class JwtTokenStoreConfig {

    @Bean
    public TokenStore jwtTokenStore(){
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        JwtAccessTokenConverter accessTokenConverter = new
                JwtAccessTokenConverter();
        //配置JWT使用的秘钥
        accessTokenConverter.setSigningKey("123123");
        return accessTokenConverter;
    }
}

在授权服务器配置中指定令牌的存储策略为JWT

@Autowired
private UserService userService;
@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter;
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints)throws Exception{
        endpoints.authenticationManager(authenticationManagerBean) //使用密码模式需要配置
        .tokenStore(tokenStore)  //指定token存储到redis
        .accessTokenConverter(jwtAccessTokenConverter)
        .reuseRefreshTokens(false)  //refresh_token是否重复使用
        .userDetailsService(userService) //刷新令牌授权包含对用户信息的检查
        .allowedTokenEndpointRequestMethods(HttpMethod.GET,HttpMethod.POST); //支持GET,POST请求
        }

用密码模式测试

在这里插入图片描述

发现获取到的令牌已经变成了JWT令牌,将access_token拿到https://jwt.io/ 网站上去解析下可以获得其中内容。

在这里插入图片描述

扩展JWT中的存储内容

有时候我们需要扩展JWT中存储的内容,这里我们在JWT中扩展一个 key为enhance,value为enhance info 的数据。 继承TokenEnhancer实现一个JWT内容增强器

public class JwtTokenEnhancer implements TokenEnhancer {

    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken,
                                     OAuth2Authentication authentication) {
        Map<String, Object> info = new HashMap<>();
        info.put("enhance", "enhance info");
        ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(info);
        return accessToken;
    }
}

创建一个JwtTokenEnhancer实例

@Bean
public JwtTokenEnhancer jwtTokenEnhancer() {
return new JwtTokenEnhancer();
}

在授权服务器配置中配置JWT的内容增强器

@Autowired
private JwtTokenEnhancer jwtTokenEnhancer;

@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    //配置JWT的内容增强器
    TokenEnhancerChain enhancerChain = new TokenEnhancerChain();
    List<TokenEnhancer> delegates = new ArrayList<>();
    delegates.add(jwtTokenEnhancer);
    delegates.add(jwtAccessTokenConverter);
    enhancerChain.setTokenEnhancers(delegates);
    endpoints.authenticationManager(authenticationManagerBean) //使用密码模式需要配置
        .tokenStore(tokenStore)  //配置存储令牌策略
        .accessTokenConverter(jwtAccessTokenConverter)
        .tokenEnhancer(enhancerChain) //配置tokenEnhancer
        .reuseRefreshTokens(false)  //refresh_token是否重复使用
        .userDetailsService(userService) //刷新令牌授权包含对用户信息的检查
        .allowedTokenEndpointRequestMethods(HttpMethod.GET,HttpMethod.POST); //支持GET,POST请求
}

运行项目后使用密码模式来获取令牌,之后对令牌进行解析,发现已经包含扩展的内容。

在这里插入图片描述

解析JWT

添加依赖

<!--JWT依赖-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

修改UserController类,使用jjwt工具类来解析Authorization头中存储的JWT内容

@GetMapping("/getCurrentUser")
public Object getCurrentUser(Authentication authentication,
                             HttpServletRequest request) {
    String header = request.getHeader("Authorization");
    String token = null;
    if(header!=null){
        token = header.substring(header.indexOf("bearer") + 7);
    }else {
        token = request.getParameter("access_token");
    }
    return Jwts.parser()
        .setSigningKey("123123".getBytes(StandardCharsets.UTF_8))
        .parseClaimsJws(token)
        .getBody();
}

将令牌放入Authorization头中,访问如下地址获取信息: http://localhost:8080/user/getCurrentUser

在这里插入图片描述

刷新令牌

http://localhost:8080/oauth/token?grant_type=refresh_token&client_id=client&client_secret=123123&refresh_token=[refresh_token值]

在这里插入图片描述

images_whj
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringBoot_SpringSecurity_JWT_RBAC:前后端分离,基于 JWT、RBAC 的登录拦截设计
05-01
在本项目"SpringBoot_SpringSecurity_JWT_RBAC"中,开发者使用了现代Web应用程序开发中的几个关键组件,包括Spring Boot、Spring Security以及JSON Web Token(JWT)和Role-Based Access Control(RBAC)来实现一个...
renren-fastplus
07-10
在核心架构上,"renren-fastplus"采用了Spring Boot框架,这是一个由Pivotal团队维护的Spring框架衍生版本,它简化了初始化、配置以及应用部署的过程。通过自动配置和“起步依赖”(starters),Spring Boot使得创建...
SpringSecurity+JWT+OAuth2
m0_46219348的博客
12-28 3424
一个简洁的博客网站:http://lss-coding.top,欢迎大家来访 学习娱乐导航页:http://miss123.top/ 1. Spring Security 简介 1.1 概述 什么是安全框架?解决系统安全问题的框架,如果没有安全框架。我们需要手动处理每个资源的访问控制,非常麻烦,使用安全框架,我们可以通过配置的方式实现对资源的访问控制。 1.2 常用安全框架 Spring SecuritySpring 家族的成员,是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解.
SpringSecurity+Oauth2+JWT
m0_54765221的博客
07-03 660
SpringSecurity+Oauth2+JWTSpringSecurity+Oauth2+JWT快速入门自定义登入自定义登入成功失败处理器权限判断自定义异常返回自定义方法实现权限控制注解实现权限控制记住我实现退出登入CSRFOauth2认证Oauth2入门授权码模式Oauth2密码模式Jwt入门Oauth2整合JwtJwt扩展存储内容Jwt解析SpringSecurityOauth2整合SSOSecurity+Jwt SpringSecurity+Oauth2+JWT 快速入门 1. 创建基础项目 fi
Spring SecurityJWTOAuth 2.0 整合详解:构建安全可靠的认证与授权机制
最新发布
微笑听雨
06-13 4873
JWT(JSON Web Token)与 OAuth 2.0 整合Spring Security 中可以为应用程序提供强大的认证和授权功能。以下是详细的整合步骤和代码示例。
springsecurity整合oauth2+JWT,数据库配置客户端
zifengye520的专栏
07-13 7290
springsecurity整合oauth2+JWT,数据库配置客户端
Spring security + Oauth2 + Jwt认证鉴权方案
TylerGuoj的博客
05-20 5130
基础概念 用户身份认证 用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式 用户授权 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问 http 3xx 重定向状态码 重定向状态码用来告诉浏览器客户端,它们访问的资源已被移动, Web服务器发送一个重定向状态码, 告诉客户端新的资源地址在哪。浏览器客户端会根据提供的地址,重新发送新的Reques
springscrity 单点_学成在线(第16天)Spring Security Oauth2
weixin_39939530的博客
12-19 512
用户认证需求分析用户认证需求分析用户认证与授权什么是用户身份认证?用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。什么是用户授权?用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问,这个过程叫用户授权。单点登录需求单点登录(Sin...
RuoYi-Vue2021.rar
03-12
Spring Boot是Spring框架的一个衍生项目,它简化了初始化和配置过程,使得开发者可以快速构建独立运行的Java应用。在RuoYi-Vue2021中,Spring Boot作为后端服务的核心,负责处理API请求,提供数据访问、业务逻辑和...
Java_示例演示如何使用Spring Boot 2和Spring Security 5保护API.zip
05-22
首先,Spring Boot 2是Spring Framework的一个衍生版,它简化了配置和快速启动新项目的过程。Spring Boot内置了许多默认配置,使得开发者可以快速搭建基于Spring的应用程序,无需繁琐的XML配置。 其次,Spring ...
BookMSDemo_SpringBoot-master.zip
05-03
SpringBoot提供了诸如Spring SecuritySpring Boot Actuator等模块,帮助开发者便捷地处理这些问题。 总之,"BookMSDemo_SpringBoot-master"是一个完整的前后端分离示例,它展示了如何利用SpringBoot和Vue.js构建...
SpringSecurity OAuth2+JWT+网关实现认证授权中心
我神级欧文的博客
02-17 8565
之前利用SpringSecurity OAuth2搭建了一个认证服务器,并且结合网关搭建了一个安全认证的架构,而这个架构也是有缺点的,很明显的就是用户的信息是通过加在请求头到微服务去取出来的,这样就会容易泄露用户的信息并且很容易被别人截获请求伪造用户信息,而且网关每一次都要请求认证服务器去验证token是否正确,加重了认证服务器的负担。那么这里我们解决这两个问题用的就是jwt。 什么是JWT? ...
权限管理SpringSecurity Oauth2整合JWT实战总结(三)
FlyingFish868的博客
03-26 1028
1、JWT 1.1、基本的认证机制 1) HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放RESTful API时,尽量避免采用HTTP Basic Auth。 2) Cookie Auth Cookie认证机制就是为
SpringSecurity+Jwt+Aouth2实现前后端分离的登录认证(有源码)
qq_44993268的博客
03-27 3020
基于springSecurity的简易登录系统
SpringSecurityOauth2、JWT
weixin_49385823的博客
08-15 859
SpringSecurity 一、SpringSecurity简介 1.1.安全框架概述 ​ 什么是安全框架?解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 1.2.常用安全框架 Spring Security: Spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC
权限管理 springboot集成springSecurity Oauth2 JWT
qq_50909707的博客
10-06 6740
实现SpringSecurity里的UserDetailsService接口的LoadUserByUsername方法便可以实现自定义登录逻辑。以下代码将实现用户名为admin,密码为123的登录。一旦使用了自定义登录逻辑,原本的user和打印的password登录将不再生效。此时,通过admin 123便可登录。对于登出SpringSecurity也提供了一个/logout的接口。
Spring Security OAuth2整合JWT
qq_1149513559的博客
05-28 2575
文章目录         
Spring Security+Oauth2+JWT权限认证
分享java知识,一起开卷
06-29 1382
spring security+Oauth2.0+JWT
Spring Secuirty Oauth2将token换成jwt
张俊杰 的博客
02-08 773
代码地址 https://gitee.com/zjj19941/ZJJ_Neaten5.10/tree/master/ZJJ_SpringCloud_Oauth2/demo04 ​ 代码 在之前的spring security Oauth2的代码基础上修改 引入依赖 ​ <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security
spring-security-jwt 版本对照表
09-18
spring-security-jwt 是一个基于 Spring Security 的 JSON Web Token(JWT)集成库。它将 JWT 的认证和授权过程与 Spring Security 进行了深度集成,方便开发人员使用 JWT 进行身份验证和权限控制。 以下是 spring-...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值