SpringSecurity与JWT整合

最新推荐文章于 2024-05-31 09:30:00 发布
最新推荐文章于 2024-05-31 09:30:00 发布
阅读量557 收藏
点赞数
文章标签: redis java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jockha/article/details/120551636
版权

一.首先用户登录成功之后关联jwt,并返回jwt
1.实现AuthenticationSuccessHandler
2.在AuthenticationSuccessHandler的handle方法中生成令牌并且把user信息写入jwt中,写入缓存以供前端传过来时通过令牌获取用户(这里不使用前端传过来的jwt里的用户信息,仅仅是用令牌来比对是否已存在该令牌并通过缓存获取用户和权限),这里最好给个有效时间,然后把jwt放入header中返回给前端,以后前端就用它来调用接口
代码:
public class JwtAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

//private final RequestCache requestCache = new HttpSessionRequestCache();
private final ObjectMapper jacksonObjectMapper;
private final RedisTemplate<String,Object> redisTemplate;

public JwtAuthenticationSuccessHandler(ObjectMapper jacksonObjectMapper, RedisTemplate<String, Object> redisTemplate) {
    this.jacksonObjectMapper = jacksonObjectMapper;
    this.redisTemplate = redisTemplate;
}

@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException {
    log.info("JwtAuthenticationSuccessHandler=success");
    clearAuthenticationAttributes(request);
    handle(response,authentication);
}

protected final void clearAuthenticationAttributes(HttpServletRequest request) {
    HttpSession session = request.getSession(false);
    if (session == null) return;
    session.removeAttribute(WebAttributes.AUTHENTICATION_EXCEPTION);
}

protected void handle(HttpServletResponse response, Authentication authentication) throws IOException {
    if (response.isCommitted()) {
        log.debug("Response has already been committed.");
        return;
    }
    User sysUser=(User)authentication.getPrincipal();
    sysUser.setClazz(authentication.getClass());
    //AuthenticationAdapter authenticationAdapter=AuthenticationAdapter.authentication2AuthenticationAdapter(authentication);
    String authOfjson=jacksonObjectMapper.writeValueAsString(sysUser);
    String subject= UUID.randomUUID().toString();
    String authOfjwt= JWTHS256.buildJWT(subject,authOfjson);
    response.addHeader("jwt",authOfjwt);
    //跨域时允许header携带jwt
    response.addHeader("Access-Control-Expose-Headers" ,"jwt");
    redisTemplate.boundValueOps(SecurityConstants.getJwtKey(subject)).set("w",60, TimeUnit.MINUTES);
    response.setContentType("application/json;charset=utf-8");
    PrintWriter out = response.getWriter();

    User returnSysUser=new User();
    returnSysUser
            .setName(sysUser.getName())
            .setCurrentOrg(sysUser.getCurrentOrg())
            .setOrgIdMapRoleList(sysUser.getOrgIdMapRoleList());

    out.write(jacksonObjectMapper.writeValueAsString(new ReturnObject<>(this.getClass().getName(),ConstantOfReturnCode.GLOBAL_RESULT_SUCESS,"登录成功",returnSysUser)));
    out.flush();
    out.close();
}

}
3.在SpringSecurity的配置中注入:
http
.formLogin()
.successHandler(new JwtAuthenticationSuccessHandler(jacksonObjectMapper, redisTemplate))
这样调用成功了就会走这边处理
二.接下来就是前端传到后台时怎么处理,有两种方式,基本原理都是:在request.getHeader中获取jwt的令牌,然后再通过令牌从缓存中获取jwt),然后从缓存里得来的jwt里获取用户和权限,以此通过判断用户权限来控制用户对接口的使用
1.过滤器,在SpringSecurity的任意一个过滤器都可以
2.使用SpringSecurity的http.setSharedObject(SecurityContextRepository.class, new JwtSecurityContextRepository(redisTemplate, jacksonObjectMapper));
就是把SecurityContextRepository设成可共享的对象
代码:
package com.lc.yangzi.security.component.jwt;

import com.fasterxml.jackson.core.type.TypeReference;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.lc.yangzi.security.component.SecurityConstants;
import com.lc.yangzi.security.domain.User;
import com.lc.yangzi.security.utility.JWTHS256;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.context.SecurityContextHolder;
//import org.springframework.security.core.userdetails.User;
import org.springframework.security.web.context.HttpRequestResponseHolder;
import org.springframework.security.web.context.SecurityContextRepository;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Map;
import java.util.Objects;
import java.util.concurrent.TimeUnit;

@Slf4j
public class JwtSecurityContextRepository implements SecurityContextRepository {
protected final Log logger = LogFactory.getLog(this.getClass());

private final RedisTemplate<String,Object> redisTemplate;
private final ObjectMapper jacksonObjectMapper;

public JwtSecurityContextRepository(RedisTemplate<String, Object> redisTemplate, ObjectMapper jacksonObjectMapper) {
    this.redisTemplate = redisTemplate;
    this.jacksonObjectMapper = jacksonObjectMapper;
}

@Override
public SecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder) {
    HttpServletRequest request = requestResponseHolder.getRequest();
    return readSecurityContextFromJWT(request);
}

@Override
public void saveContext(SecurityContext context, HttpServletRequest request, HttpServletResponse response) {
}

@Override
public boolean containsContext(HttpServletRequest request) {
    return false;
}

private SecurityContext readSecurityContextFromJWT(HttpServletRequest request) {
    SecurityContext context=generateNewContext();
    String authenticationOfjwt=request.getHeader("jwt");
    if(StringUtils.isNotBlank(authenticationOfjwt)){
        try{
            Map<String,Object> map= JWTHS256.vaildToken(authenticationOfjwt);
            if(Objects.nonNull(map)&&map.size()==2){
                String subject=(String)map.get("subject");
                Boolean isExp=redisTemplate.hasKey(SecurityConstants.getJwtKey(subject));
                if(Objects.nonNull(isExp)&&isExp){//redis key 未过期
                    redisTemplate.expire(SecurityConstants.getJwtKey(subject),60, TimeUnit.MINUTES);//延期
                    String obj=(String)map.get("claim");
                    //AuthenticationAdapter authenticationAdapter=jacksonObjectMapper.readValue(obj, new TypeReference<>(){});
                    //Authentication authentication=AuthenticationAdapter.authenticationAdapter2Authentication(authenticationAdapter);
                    //Authentication authentication=jacksonObjectMapper.readValue(obj, new TypeReference<>(){});
                    //Authentication authentication=jacksonObjectMapper.readValue(obj,Authentication.class);
                    User sysUser=jacksonObjectMapper.readValue(obj, new TypeReference<User>(){});
                    Authentication authentication=new UsernamePasswordAuthenticationToken(sysUser,null,sysUser.getAuthorities());
                    context.setAuthentication(authentication);
                    //if(obj instanceof Authentication){
                        //context.setAuthentication((Authentication)obj);
                    //}else log.error("jwt包含authentication的数据非法");
                }else log.error("jwt数据过期");
            }else log.error("jwt数据非法");
        }catch (Exception e){
            e.printStackTrace();
            logger.error(e.getLocalizedMessage());
        }
    }else{
        if (logger.isDebugEnabled()) {
            logger.debug("No JWT was available from the HttpServletRequestHeader!");
        }
    }
    return context;
}
protected SecurityContext generateNewContext() {
    return SecurityContextHolder.createEmptyContext();
}

}
三.这里有个小知识点:
1.以上SpringSecurity的配置和初始化里有个适配器和关键,相当于一个过滤器,
2.这里有个对适配器的解释:
Adapter是连接后端数据和前端显示的适配器接口,是数据和UI(View)之间一个重要的纽带。在常见的View(List View,Grid View)等地方都需要用到Adapter。
3.也就是说每次前端请求后端都要通过适配器,每次都会调用一边
代码
@Configuration
@Order(2)
public class JWTSecurityConfig extends WebSecurityConfigurerAdapter
@Override
protected void configure(HttpSecurity http) throws Exception {
//源码:SecurityContextConfigurer
//源码:SessionManagementConfigurer
http
.requestMatchers().antMatchers("/**")
.and()
.anonymous().disable()
.authorizeRequests()
.requestMatchers(CorsUtils::isPreFlightRequest).permitAll()
.anyRequest()
.authenticated()
.withObjectPostProcessor(new ObjectPostProcessor() {
public O postProcess(O fsi) {
//fsi.setRejectPublicInvocations(true); // 拒绝公共URL调用.源码:AbstractSecurityInterceptor,当请求的URL没有配置或者没有对应到角色时,不给予放行抛出异常!
fsi.setAccessDecisionManager(customAccessDecisionManager());
//使用默认的DefaultFilterInvocationSecurityMetadataSource及数据库配置的CustomSecurityMetadataSource
fsi.setSecurityMetadataSource(customSecurityMetadataSource(securityService, fsi.getSecurityMetadataSource()));
return fsi;
}
});

        http
                .addFilterBefore(
                        new KaptchaAuthenticationFilter(customAuthenticationFailureHandler(jacksonObjectMapper), securityConfigurator, redisTemplate),
                        UsernamePasswordAuthenticationFilter.class);
        http
                .formLogin()
                .loginProcessingUrl(securityConfigurator.getLoginProcessingUrl())
                .usernameParameter(securityConfigurator.getUsernameParameter())
                .passwordParameter(securityConfigurator.getPasswordParameter())
                .permitAll()
                .failureHandler(customAuthenticationFailureHandler(jacksonObjectMapper))
                .successHandler(new JwtAuthenticationSuccessHandler(jacksonObjectMapper, redisTemplate))
                .withObjectPostProcessor(new ObjectPostProcessor<UsernamePasswordAuthenticationFilter>() {
                    public <O extends UsernamePasswordAuthenticationFilter> O postProcess(O upaf) {
                        //设置登录请求匹配,默认的路径为配置的路基,默认的方法为Post,详见:AbstractAuthenticationProcessingFilter及其子类:UsernamePasswordAuthenticationFilter
                        upaf.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher(securityConfigurator.getLoginProcessingUrl()));
                        //UsernamePasswordAuthenticationFilter类的attemptAuthentication方法
                        upaf.setPostOnly(false);
                        return upaf;
                    }
                });
        http
                .exceptionHandling()
                .accessDeniedHandler(customAccessDeniedHandler(jacksonObjectMapper))
                .authenticationEntryPoint(customAuthenticationEntryPoint(jacksonObjectMapper));
        http
                .logout()
                .logoutUrl(securityConfigurator.getLogoutUrl())
                .logoutSuccessHandler((request, response, authentication) -> {
                    ReturnObject<Object> returnObject;
                    String authenticationOfjwt = request.getHeader("jwt");
                    if (StringUtils.isNotBlank(authenticationOfjwt)) {
                        try {
                            Map<String, Object> map = JWTHS256.vaildToken(authenticationOfjwt);
                            if (Objects.nonNull(map) && map.size() == 2) {
                                String subject = (String) map.get("subject");
                                Boolean isExp = redisTemplate.hasKey(SecurityConstants.getJwtKey(subject));
                                if (Objects.nonNull(isExp) && isExp) {
                                    returnObject = new ReturnObject<>(ConstantOfReturnCode.GLOBAL_RESULT_SUCESS, "退出成功");
                                    redisTemplate.delete(SecurityConstants.getJwtKey(subject));
                                } else {
                                    returnObject = new ReturnObject<>(ConstantOfReturnCode.GLOBAL_RESULT_FALSE, "退出失败", "jwt数据过期");
                                    log.error("jwt数据过期");
                                }
                            } else {
                                returnObject = new ReturnObject<>(ConstantOfReturnCode.GLOBAL_RESULT_FALSE, "退出失败", "jwt数据非法");
                                log.error("jwt数据非法");
                            }
                        } catch (Exception e) {
                            returnObject = new ReturnObject<>(ConstantOfReturnCode.GLOBAL_RESULT_FALSE, "退出失败", e.getLocalizedMessage());
                            log.error(e.getLocalizedMessage());
                        }
                    } else {
                        returnObject = new ReturnObject<>(ConstantOfReturnCode.GLOBAL_RESULT_FALSE, "退出失败", "jwt数据缺失");
                    }
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter out = response.getWriter();
                    out.write(jacksonObjectMapper.writeValueAsString(returnObject));
                    out.flush();
                    out.close();
                })
                .clearAuthentication(true)
                .permitAll();
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);//关闭Session
        http.setSharedObject(SecurityContextRepository.class, new JwtSecurityContextRepository(redisTemplate, jacksonObjectMapper));
        http.csrf().disable();
        http.cors().configurationSource(CorsConfigurationSource());
    }
txSong123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
SpringBoot+SpringSecurity+jwt整合详解 SpringBoot是当前最流行的Java框架之一,它提供了便捷的方式来构建基于Web的应用程序。然而,在构建Web应用程序时,安全性是不可忽视的重要方面。因此,本文将详细介绍如何...
SpringSecurity——整合JWT
qq_41297145的博客
12-30 2295
在第4步中,通过增加JwtFilter过滤器来验证身份,允许前端通过携带正确且未过期的JwtToken进行身份验证,验证时需要同样需要通过LoadUserByUsername方法获取UserDetails对象(Principal对象),然后创建一个UsernamePasswordAuthenticationToken对象给SecurityContextHolder验证,如果和步骤2中写入的authentication一致,即验证成功,正确获取到用户权限。自定义JwtFilter拦截器,
springsecurity-jwt整合
weixin_44846436的博客
03-27 1008
方法,设置到其中。3、认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。2)创建我们自己的决策管理器AccessDecisionManager,实现decide方法,判断步骤1)中获取到的角色和我们目前登录的角色是否相同,相同则允许访问,不相同则不允许访问,123456 //这里是密钥,只要够复杂,一般不会被破解。
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
最新发布
qq_44005305的博客
05-31 803
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
Spring Security 超详细整合 JWT,能否拿下看你自己!
08-31 7821
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT 的认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
JWT及和Spring Security整合
如果你想拥有更多的人生选择,你必须拥有更多的知识。-- 来自u011437883的博客
05-03 2525
JWT,全称是Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权: 解析jwt的官网:https://jwt.io/
SpringSecurity 整合 JWT
niceyoo的博客
06-02 1万+
项目集成Spring Security(一) 在上一篇基础上继续集成 JWT ,实现用户身份验证。 前言 前后端分离项目中,如果直接把 API 接口对外开放,我们知道这样风险是很大的,所以在上一篇中我们引入了 Spring Security ,但是我们在登陆后缺少了请求凭证部分。 什么是JWT? JWT是 Json Web Token 的缩写。它是基于 RFC 7519 标准定义的一种可以安全...
SpringSecurity整合Jwt过程图解
08-25
通过将SpringSecurityJwt集成,我们可以实现更加安全、灵活的身份验证机制。 一、创建项目并导入依赖 要想使用SpringSecurityJwt,我们需要创建一个新的Spring Boot项目,并导入相关依赖项。这些依赖项包括...
SpringBoot2.6整合SpringSecurity+JWT
01-11
在本文中,我们将深入探讨如何在SpringBoot 2.6版本中整合Spring Security与JSON Web Token(JWT)技术。Spring SecuritySpring框架的一个模块,提供了一套强大的安全控制机制,而JWT则是一种轻量级的身份验证和...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring SecurityJWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring SecurityJWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
SpringSecurity整合jwt
qq_51705526的博客
05-02 7195
前言: 准备把权限管理写到自己的jee项目中, 索性想到了SpringSecurity框架, 就来学一下! 认证 登录校验流程 token可以存在localstoryge springsecurity完整流程 就是一个过滤链 UsernamePasswordAuthenticationFilter:(认证)处理登录页面填写了用户名和密码之后的登录请求ExcpetionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationEx
Spring Security 整合 JWT
Lyndon的专栏
08-04 1213
单点登录相关
springSecurity整合JWT
weixin_44044929的博客
07-25 1286
JWT的原理,手写JWTSpringSecurity整合JWT
厉害,我带的实习生仅用四步就整合SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecuritySpring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
Spring Security + JWT基础整合
weixin_45565886的博客
02-08 1426
Spring Security + JWT基础整合
SpringSecurity整合JWT
Myh_code的博客
03-12 713
文章目录1 无状态登录1.1 什么是有状态?1.2 什么是无状态1.3 如何实现无状态1.4 JWT1.5 JWT 存在的问题2 实战2.1 环境搭建2.2 JWT 过滤器配置2.3 Spring Security 配置2.4 测试总结 在前后端分离的项目中,登录策略也有不少,不过 JWT 算是目前比较流行的一种解决方案了,本文就和大家来分享一下如何将 Spring SecurityJWT 结合在一起使用,进而实现前后端分离时的登录解决方案。 1 无状态登录 1.1 什么是有状态? 有状态服务,即服务
Spring Security(7) jwt整合
愤怒的菜鸟博客
03-28 2121
jwt 基本介绍 jwt 全称是jsonWebToken, 简单的说就是一种能够携带信息的token。 在传统的web环境中,浏览器和后端通过记录在浏览器的cookie 和存储在服务端的session 来实现登录状态,而cookie session的方式在多分布式环境下可能带来session复制,跨域访问,单点登录等问题; 直接使用后端生成token的方式,服务端也需要存储生成的token信息,因为token是无意义的。而使用jwt ,能够携带一些必要得信息比如用户id 和用户名称等; 后端就不需要对生成的
springsecurity 的学习授权与认证
健康平安的活着的专栏
07-25 432
springSecurity 1.1 SpringSecurity的概念作用 Springsecurity 基于 Spring 框架,提供了一整套 完整的安全性Web 应用解决方案框架。主要有用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security重要核心功能。 1.用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程.
SpringSecurityJWT整合实现安全认证
SpringSecurityJWT整合是为了在前后端分离的项目中提供安全的API接口访问。JWT是一种轻量级的身份验证机制,通过数字签名确保信息的安全性。以下是对SpringSecurity整合JWT的知识点详细解释: 1. 用户登录:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值