跟着JHipster学做项目 (16) Spring Boot在JWT添加userId

最新推荐文章于 2024-04-14 03:40:20 发布
最新推荐文章于 2024-04-14 03:40:20 发布
阅读量734 收藏 1
点赞数 1
分类专栏: JHipster Java security 文章标签: spring boot 后端 java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_augur/article/details/120959276
版权
Java 同时被 3 个专栏收录
24 篇文章 0 订阅
订阅专栏
JHipster
22 篇文章 14 订阅
订阅专栏
security
4 篇文章 0 订阅
订阅专栏

Spring boot默认User没有包含userId信息,在通过SecurityUtils获取userId会很不方便,下面介绍一个简便的方式可以在获取当前用户信息时,能够包含userId。

JHipster是通过一个实现UserDetailService的接口DomainUserDetailsService类,来对登录信息进行认证。

但是在类UserJWTController中,认证的方法如下:

Authentication authentication = authenticationManagerBuilder.getObject()
.authenticate(authenticationToken);
SecurityContextHolder.getContext().setAuthentication(authentication);

在获取Authentication的同时,把它放入SecurityContextHolder的上下文。也就是说,我们需要在authentication中包含userId信息,那么这里的authenticate方法是如何关联DomainUserDetailsService中的loadUserByUsername方法呢?

JHipster并没有做任何处理,只是利用了spring boot的默认配置,我们来看一下security部分的autoconfiguration。

在org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration类中,initializeUserDetailsBeanManagerConfigurer方法创建了一个InitializeUserDetailsBeanManagerConfigurer类,该类的configure(AuthenticationManagerBuilder auth)方法将UserDetailsService赋给了DaoAuthenticationProvider。

	class InitializeUserDetailsManagerConfigurer
			extends GlobalAuthenticationConfigurerAdapter {
		@Override
		public void configure(AuthenticationManagerBuilder auth) throws Exception {
			if (auth.isConfigured()) {
				return;
			}
			UserDetailsService userDetailsService = getBeanOrNull(
					UserDetailsService.class);
			if (userDetailsService == null) {
				return;
			}

			PasswordEncoder passwordEncoder = getBeanOrNull(PasswordEncoder.class);
			UserDetailsPasswordService passwordManager = getBeanOrNull(UserDetailsPasswordService.class);

			DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
			provider.setUserDetailsService(userDetailsService);
			if (passwordEncoder != null) {
				provider.setPasswordEncoder(passwordEncoder);
			}
			if (passwordManager != null) {
				provider.setUserDetailsPasswordService(passwordManager);
			}
			provider.afterPropertiesSet();

			auth.authenticationProvider(provider);
		}

这里我们只要记住DaoAuthenticationProvider包含了userDetailsService。

下面再找到authenticationManager和DaoAuthenticationProvider的关系:Provider可以看成等同于Manager类,它多了一个是否支持authentication的support方法,这样authenticationManager的authenticate方法和loadUserByUsername方法就关联到一起。

为了使authentication类中包含userId信息,

第一步,扩展org.springframework.security.core.userdetails.User类

public class AuthenticatedUser extends User {

	private String userId = "";
	public AuthenticatedUser(String userId, String username,
         String password, Collection<? extends GrantedAuthority> authorities) {
		super(username, password, authorities);
		this.userId = userId;
	}
    public String getUserId() {
        return this.userId;
    }
}

第二步,改变loadUserByUsername返回AuthenticatedUser类

	private AuthenticatedUser createSpringSecurityUser(ApplicationUser user) {

		List<GrantedAuthority> grantedAuthorities = 
            getAuthorities(user.toApplicationUserDto());

		return new AuthenticatedUser(user.getId(),
             user.getUserName(),user.getPassword(), grantedAuthorities);
	}

第三步,在TokenProvider中改变createToken和getAuthentication两个方法,添加userId信息

    public String createToken(Authentication authentication, boolean rememberMe) {
        String authorities = authentication.getAuthorities().stream()
            .map(GrantedAuthority::getAuthority)
            .collect(Collectors.joining(","));
        long now = (new Date()).getTime();
        Date validity;
        if (rememberMe) {
            validity = new Date(now + this.tokenValidityInMillisecondsForRememberMe);
        } else {
            validity = new Date(now + this.tokenValidityInMilliseconds);
        }
        return Jwts.builder()
            .setSubject(authentication.getName())
            .claim(AUTHORITIES_KEY, authorities)
            .claim("userId", ((AuthenticatedUser)authentication.getPrincipal()).getUserId())
            .signWith(key, SignatureAlgorithm.HS512)
            .setExpiration(validity)
            .compact();
    }

    public Authentication getAuthentication(String token) {
        Claims claims = Jwts.parserBuilder().setSigningKey(key)
                .build()
                .parseClaimsJws(token)
            .getBody();
        Collection<? extends GrantedAuthority> authorities =
            Arrays.stream(claims.get(AUTHORITIES_KEY).toString().split(","))
                .map(SimpleGrantedAuthority::new)
                .collect(Collectors.toList());
        AuthenticatedUser principal = new AuthenticatedUser(claims.get("userId").toString(), claims.getSubject(), "", authorities);

        return new UsernamePasswordAuthenticationToken(principal, token, authorities);
    }

本文介绍是基于跟着JHipster学做项目 (6) 安全访问控制(上)JWT的Spring Boot应用

Good Luck,

Cheers!

java_augur
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-rest-ecommerce:Java Spring Boot-电子商务REST API
01-29
基于Java SpringSpring Boot,带有MySQL的Hibernate ORM,Spring HATEOAS,Spring Fox(Swagger API文档),JWT和Redis的电子商务REST API。 REST API端点 所有输入和输出均使用JSON格式。 要打开Swagger(交互式...
安全登录流程实战及流程分析
liuerchong的博客
08-13 1341
用户打开登录界面,输入用户名及密码后,点击登录 下面直接贴出登录校验代码,然后再进行分析 @Log("用户登录") @ApiOperation("登录授权") @AnonymousAccess @PostMapping(value = "/login") public ResponseEntity<Object> login(@Validated @RequestBody AuthUser authUser, HttpServletRequest reques...
Security认证流程
hao843788037的博客
07-21 1046
Security认证流程
Spring Security】—— AuthenticationManagerBuilder
qq_33471737的博客
06-27 3543
官网地址 Spring Security Reference 版本:Version 5.5.0 AuthenticationManagerBuilder 的继承关系图 在前面了解过 WebSecurity、HttpSecurity、AuthenticationManagerBuilder 这三个重要构建者公共的部分: |- SecurityBuilder |- AbstractSecurityBuilder |- AbstractConfiguredSecurityBuilder 公共的这部
SpringSecurity登录授权过程代码分析
huang_hai_an的博客
05-11 329
SpringSecurity登录授权过程代码分析 一、利用 用户名、密码 设置 验证token 1. 设置 import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(authUser.getUs
Springboot 使用jwt验证常见异常
weixin_53658826的博客
12-08 5379
Springboot jwt验证常见异常
spring boot+vue+websocket带token身份认证推送消息实现
06-25
本知识点将介绍如何在Spring Boot与Vue前后端分离架构中集成WebSocket,并实现带有身份认证的消息推送功能。这是实现即时通讯、实时数据更新等应用场景的常用技术方案。 ### 1. WebSocket简介 WebSocket是一种在...
2-9 创建JWT工具类 - EMOS小程序1
08-04
在开发基于Spring Boot的小程序应用时,为了实现安全的身份验证和授权,我们常常会使用JSON Web Tokens (JWT)。JWT是一种轻量级的认证机制,它允许我们在客户端和服务器之间安全地传递信息,而无需在每次请求时都...
Java_构建RESTful Web服务学习如何使用Spring创建RESTful Web服务.zip
最新发布
05-22
在`pom.xml`文件中添加Spring BootSpring Web依赖,然后创建一个主类,使用`@SpringBootApplication`注解标记。启动类还会包含`@SpringBootApplicationScan`,它会自动扫描并配置相关bean。 接下来,我们需要定义...
spring security密码校验过程整理(JWT) + 模拟登陆
GuDuPanNiZhe的博客
04-29 1403
前言 最近在整合security和jwt作为基础项目jar包,学无止境头发日渐稀疏 流程介绍 1.前端登录页面:输入用户名和密码 post 登录,其中密码用rsa 公钥加密 2.后端登录接口: rsa私钥解密,获取密码明文 实例化 UsernamePasswordAuthenticationToken 对象用于密码校验 -调用 AbstractUserDetailsAuthenticati...
Spring Security学习使用
sn5diphone6的博客
05-23 275
使用步骤: 1. 编写配置类SecurityConfig 配置使用什么方式登录,配置哪些接口可以放行,哪些接口需要验证权限 2. 编写用户信息类-XXX类,继承UserDetails,作为SpringSecurity 认证框架的主体类,贯穿整个安全框架的主体类 3. 编写用户详情服务类-XXX类,实现UserDetailsService接口,实现loadUserByUsername,SpringSecurity框架会自动调用该方法,获取认证主体类 4.编写登录接口Api 登录接口...
扩展篇:再探Spring Security过滤器链之SecurityContext
小奇学编程的博客
10-25 1013
扩展篇:再探Spring Security过滤器链 在 概述(一):SpringSecurity的前世今生 中我们曾提过Spring Security底层是通过一组过滤器链来实现的,当时简单的介绍了几个比较重要的过滤器;并且在后面的几篇认证文章中都有比较详细的讲解。 但前几篇的系列文章更多的是关注 认证本身,对一些细枝末节没有额外的展开;而本篇文章的目的是再探 Spring Security 的过滤器链,完整的剖析全链路。 经过 认证(一):基于表单登录的认证模式 的介绍,我们对认证的流程有了一个比较全面的
05-基于JWT实现用户登录、根据token获取userId
NikoChina的博客
05-15 2204
验证过程:服务端验证 浏览器携带的用户名和密码,验证通过后生成用户凭证保存在服务端(session),浏览器再次访问时,服务端查询session,实现登录状态保持。缺点:随着用户的增多,服务端压力增大;若浏览器cookie被攻击者拦截,容易受到跨站请求伪造攻击;分布式系统下扩展性不强。
SpringBoot2后端项目-用户登录-上
踏 浪的博客
03-18 1784
本次使用的是 Springsecurity 做安全认证框架 1、引入依赖 <jwt.version>0.9.0</jwt.version> <!-- spring security 安全认证 --> <dependency> <gr...
使用UsernamePasswordAuthenticationToken
weixin_44919041的博客
01-16 1541
方法一和方法二唯一区别就是AuthenticationManagerBuilderAuthenticationManager
14-SpringSecurity:前后端分离项目中用户名与密码通过RSA加密传输
2301_82242204的博客
04-14 777
1.12/**RSA公钥加密@param str 待加密字符串@param publicKey 公钥@return 密文*/try {//base64编码的公钥//RSA加密/**RSA私钥解密@param str 已加密字符串@param privateKey 私钥@return 明文*/try {//64位解码加密后的字符串//base64编码的私钥//RSA解密。
springsecurity前后端分离登录认证_Spring Security 真正的前后分离实现
weixin_39619478的博客
11-21 617
Spring Security网络上很多前后端分离的示例很多都不是完全的前后分离,而且大家实现的方式各不相同,有的是靠自己写拦截器去自己校验权限的,有的页面是使用themleaf来实现的不是真正的前后分离,看的越多对Spring Security越来越疑惑,此篇文章要用最简单的示例实现出真正的前后端完全分离的权限校验实现。1. pom.xml主要依赖是spring-boot-starter-sec...
使用JWT保存权限以及使用Spring Security控制访问权限
Alliestrasza的博客
09-13 1399
使用JWT保存权限以及使用Spring Security控制访问权限
SpringBoot 配置token
m0_46872814的博客
03-18 682
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 工具 package com.appmanager.utils; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; import java.util.HashMap; /** * @program: Jinfang_appmanage
springsecurity整合jwt具体代码
05-19
然后,在Spring Security的配置类中,需要添加JWT的配置: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值