SpringSecurity与JWT整合(含案例代码)

最新推荐文章于 2024-07-29 14:22:26 发布
最新推荐文章于 2024-07-29 14:22:26 发布
阅读量1.4k 收藏 23
点赞数 4
文章标签: jwt java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lendsomething/article/details/119251123
版权

参考文章:
https://www.bilibili.com/video/BV15a411A7kP?p=1
https://www.bilibili.com/video/BV1d7411y7Uu


1. 简介

   SpringSecurity在B站上讲的真的很糟糕,特别是与JWT的整合,看完视频后,依照老师的思路,自己整合了一下,现在讲自己的成果与大家分享,无需使用SpringCloud,只用了SpringBoot即可!在这里也推荐一下第二个b站的视频,他讲的SpringSecurity会稍微好一点,对代码也有会说明。


2. 类的说明

   在开始之间先说明一下需要用到几个SpringSecurity的类


2.1 UsernamePasswordAuthenticationFilter

    拦截登录请求并获取用户输入的账号和密码,然后把账号密码封装到 UsernamePasswordAuthenticationToken(未受信任的认证凭据)中,然后将 “认证凭据" 交给 我们配置AuthenticationManager去作认证

过程如下:
转载码农小胖哥

理解了上述流程后,我们可以做以下事情:

  • 定制我们的登录请求URI和请求方式。
  • 登录请求参数的格式定制化。
  • 拦截登录。
  • 登录成功后调用的方法。
  • 登录失败后调用的方法。

  • 详见:https://felord.cn/usernamePasswordAuthenticationFilter.html


    2.2 AuthenticationManager

        认证管理器。WebSecurityConfigurerAdapter(配置SpringSecurity的类)中的void configure(AuthenticationManagerBuilder auth)是配置AuthenticationManager 的地方,里面只有一个Authentication authenticate(Authentication authentication)方法,他的作用是对 未受信任的认证凭据 做认证,认证成功则返回 授信状态的认证凭据 ,否则将抛出认证异常AuthenticationException


    详见:https://www.jianshu.com/p/56e53d4ec1a9


    2.3 Authentication

        认证对象,用于保存用户的信息。认证凭据 UsernamePasswordAuthenticationToken实现了该接口。属性如下:

    Boolean authenticated:确定当前用户是否受信,为true时受信,为false时不受信。上述的返回 授信状态的认证凭据,就是将该值设置为true
    Object principal:主体。在未受信的情况是,这是用户名;在已受信的情况下,这是UserDetails的实现类。
    Object credentials:在未受信的情况是,这是密码;在已受信的情况下,这是null,所以这里也可以设置JWT
    Collection authorities:主体的权限集合。由AuthenticationManager设置的,所以刚登录的时候,这里没有值;登录成功后主体中的权限会设置在这里。
    Object details:存储关于身份验证请求的其他详细信息。这些可能是IP地址、证书编号等。未使用返回null


    详见:https://felord.cn/securityContext.html

    2.4 SecurityContextHolder

        这是一个工具类,用于设置、获取、清理SecurityContext,这个SecurityContext是存储Authentication的容器,也就是说可以将受信用户存放到SecurityContext中,允许该请求的后续访问。


    详见:https://felord.cn/spring-security-securitycontext.html


    2.5 BasicAuthenticationFilter

        负责处理 HTTP 头中显示的基本身份验证凭据。
        重写void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) 即可从 HTTP 头获取JWT


    详见:https://felord.cn/spring-security-filters.html#3-24-BasicAuthenticationFilter


    3. 思路

    登录:
    在这里插入图片描述


    退出登录:
    在这里插入图片描述


    JWT认证:
    在这里插入图片描述


    4. 核心代码说明

    SecurityConfig.class 配置类

    @Configuration
public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private TokenManager tokenManager;

    @Autowired
    private RedisTemplate redisTemplate;

    @Autowired
    private UserDetailsService userDetailsService;

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .exceptionHandling()
                .authenticationEntryPoint(new UnauthEnrtyPoint())       //无权限访问时,做出的处理
                .and().authorizeRequests()
                .antMatchers("/test/guest").permitAll()			//所有请求都可以访问
                .antMatchers("/test/user").hasRole("user")		//只有角色为 user 的可以访问
                .antMatchers("/test/admin").hasRole("admin")	//只有角色为 admin 的可以访问
                .anyRequest().authenticated()
                .and().logout()
                .logoutUrl("/test/logout")     //设置退出路径
                .addLogoutHandler(new TokenLogoutHandler(tokenManager,redisTemplate))   //退出时所做的逻辑
                .and().addFilter(new TokenLoginFilter(tokenManager,redisTemplate,authenticationManager()))	//登录时的过滤器
                .addFilter(new TokenAuthFilter(tokenManager,redisTemplate,authenticationManager()))		//验证JWT的过滤器
                .httpBasic();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
                .passwordEncoder(passwordEncoder());
    }
}

    TokenLoginFilter.class 登录认证

    public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {

    private TokenManager tokenManager;

    private RedisTemplate redisTemplate;

    private AuthenticationManager authenticationManager;

    public TokenLoginFilter(TokenManager tokenManager, RedisTemplate redisTemplate, AuthenticationManager authenticationManager) {
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
        this.authenticationManager = authenticationManager;
        //定制我们的登录请求URI和请求方式。
        this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/test/login", "POST"));
    }

    /**
     * 拦截登录。获取表单的用户名与密码
     */
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        try {
            //使用 请求体 传递登录参数,更加安全
            LoginData user = new ObjectMapper().readValue(request.getInputStream(), LoginData.class);
            return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword()));
        } catch (IOException e) {
            e.printStackTrace();
            throw new RuntimeException();
        }
    }

    /**
     * 登录成功后调用的方法
     * 返回token
     */
    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        SecurityUser user = (SecurityUser) authResult.getPrincipal();

        //根据用户名生成token
        String token = tokenManager.createToken(user.getUsername());

        response.setHeader("token", token);

        //将 用户名:角色 放入redis中
        redisTemplate.opsForValue().set(user.getUsername(), user.getRole().getRole_name());
    }

    /**
     * 登录失败后调用的方法
     */
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
        response.getWriter().print("login fail");
    }
}

    TokenAuthFilter.class 授权过滤,校验token的有效性

    public class TokenAuthFilter extends BasicAuthenticationFilter {

    private TokenManager tokenManager;

    private RedisTemplate redisTemplate;

    public TokenAuthFilter(TokenManager tokenManager, RedisTemplate redisTemplate, AuthenticationManager authenticationManager) {
        super(authenticationManager);
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
    }

    /**
     * 对HTTP请求头做处理
     */
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        //授权
        UsernamePasswordAuthenticationToken authRequest = getAuthentication(request);

        //授权失败
        if (authRequest == null) {
            chain.doFilter(request, response);
            return;
        }

        //如果有授权,放到权限上下文(容器)中
        SecurityContextHolder.getContext().setAuthentication(authRequest);
        chain.doFilter(request, response);
    }

    /**
     * 认证token是否合法,若合法,返回认证,否则返回null
     */
    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
        //获取token
        String token = request.getHeader("token");
        if (!StringUtils.isEmpty(token)) {

            //从token中获取username
            String username = tokenManager.getUserInfoFromToken(token);

            //redis中,根据username获取角色
            String role_name = (String) redisTemplate.opsForValue().get(username);

            Collection<GrantedAuthority> authorities = new ArrayList<>();
            List<GrantedAuthority> list = AuthorityUtils.commaSeparatedStringToAuthorityList(role_name);
            authorities.addAll(list);

            if (!StringUtils.isEmpty(username)) {
                return new UsernamePasswordAuthenticationToken(username, token, authorities);
            }
        }
        return null;
    }
}

    5. 源码

    https://github.com/Xavier-777/SpringSecurity-JWT

lendsomething
关注
  • 4
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 7160
Springsecurity是Spring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring Security、JWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
SpringSecurity整合jwt
qq_51705526的博客
05-02 7124
前言: 准备把权限管理写到自己的jee项目中, 索性想到了SpringSecurity框架, 就来学一下! 认证 登录校验流程 token可以存在localstoryge springsecurity完整流程 就是一个过滤链 UsernamePasswordAuthenticationFilter:(认证)处理登录页面填写了用户名和密码之后的登录请求ExcpetionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationEx
【Spring Security系列】Spring Security整合JWT:构建安全的Web应用
qq_44005305的博客
05-31 791
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
SpringBoot+SpringSecurity+JWT整合
热门推荐
seeyouagain_的博客
01-04 1万+
SpringSecurity入门简单案例适合新手学习
Spring Security详细讲解(JWT+SpringSecurity登入案例)
孤夜的博客
08-15 8572
通过本篇博文,你可以详细了解Spring Security的相关概念与原理,并且掌握Spring Security的认证与授权,通过博文中的登入案例可以让自己定制去Spring Security认证授权方案。
案例1 springsecurity+ jwt案例2 springsecurity+jwt +oauth2 ,案例3 springsecurity+jwt+oauth2+zull网关
qq_39564710的博客
02-26 644
动态权限控制 Rbac权限表设计 首先不管是实现哪种,都要基于rbac表设计,用户---中间表---角色---中间表---权限 案例1 springsecurity+ jwt springsecurity是一个安全框架 jwt (JSON WEB Token ) 优点: 无需再服务器存放用户的数据,减去服务器端压力 轻量级、json风格比较简单 跨语言 缺点: Token一旦生成后期无法修改: 无法更新token有效期 无法销毁一个token JWT组成: 第一部分:hea.
SpringBoot-SpringSecurity-Jwt整合案例分析
Hliang_的博客
05-22 483
SpringBoot-SpringSecurity-Jwt整合案例分析 一、什么是Jwt? 二、SpringSecurityJwt是如何整合的?
Spring Security + jwt入门
kevin_琪琪的博客
08-31 577
Spring 是非常流行和成功的 Java 应用开发框架,正是 Spring 家族中的 成员。基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是”认证”和“授权”,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。...
SpringBoot整合Spring Security+JWT实现前后端分离登录权限处理
z132411的博客
05-05 2899
前言 本篇文章是基于上一篇文章进行的整理扩展,没有看过的可以看一下上一篇文章 SpringBoot整合Spring Security实现前后端分离登录权限处理_zmgst的博客-CSDN博客 本篇文章的思路是基于这位博主的博客进行的开发,一些对于jwt的描述,session和token的不同描述的很不错,原文地址: 【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证_小灵宝的博客-CSDN博客_springboot整合security+jwt 依赖引入:
Spring Security + JWT 实现单点登录
程序猿DD
10-25 569
作者 |波波烤鸭来源 |https://dpb-bobokaoya-sm.blog.csdn.net/article/details/103409430本文我们来看下 SpringSe...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
03-12
本项目基于Spring Boot、Spring Security和JWT(JSON Web Tokens)技术,提供了一种实现基于token的权限管理解决方案。下面将详细阐述这些技术及其在该项目中的应用。 首先,Spring Boot是Spring框架的一个扩展,它...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
02-24
本示例项目——"基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo",旨在为新手提供一个易于理解的学习平台,来掌握如何在Spring Boot应用中实现用户认证与授权。下面将详细介绍这个项目所...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 312
1.导入hutool的maven依赖。2.复制一下代码执行。
golang 接口
m0_70982551的博客
07-24 1104
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 147
1.导入hutool的maven依赖。2.直接复制一下代码运行。
SpringSecurityJWT整合实现安全认证
SpringSecurityJWT整合是为了在前后端分离的项目中提供安全的API接口访问。JWT是一种轻量级的身份验证机制,通过数字签名确保信息的安全性。以下是对SpringSecurity整合JWT的知识点详细解释: 1. 用户登录:...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值