基于Spring Security和 JWT的权限系统设计

最新推荐文章于 2024-07-17 23:15:51 发布
最新推荐文章于 2024-07-17 23:15:51 发布
阅读量318 收藏
点赞数

  写在前面
  
  关于 Spring Security Web系统的认证和权限模块也算是一个系统的基础设施了,几乎任何的互联网服务都会涉及到这方面的要求。在Java EE领域,成熟的安全框架解决方案一般有 Apache Shiro、Spring Security等两种技术选型。Apache Shiro简单易用也算是一大优势,但其功能还是远不如 Spring Security强大。Spring Security可以为 Spring 应用提供声明式的安全访问控制,起通过提供一系列可以在 Spring应用上下文中可配置的Bean,并利用 Spring IoC和 AOP等功能特性来为应用系统提供声明式的安全访问控制功能,减少了诸多重复工作。
  
  关于JWT JSON Web Token (JWT),是在网络应用间传递信息的一种基于 JSON的开放标准((RFC 7519),用于作为JSON对象在不同系统之间进行安全地信息传输。主要使用场景一般是用来在 身份提供者和服务提供者间传递被认证的用户身份信息。关于JWT的科普,可以看看阮一峰老师的《JSON Web Token 入门教程》。
  
  本文则结合 Spring Security和 JWT两大利器来打造一个简易的权限系统。
  
  本文实验环境如下:
  
  Spring Boot版本:2.0.6.RELEASE
  
  IDE:IntelliJ IDEA 2018.2.4
  
  另外本文实验代码置于文尾,需要自取。
  
  设计用户和角色
  
  本文实验为了简化考虑,准备做如下设计:
  
  设计一个最简角色表role,包括角色ID和角色名称
  
  角色表
  
  设计一个最简用户表user,包括用户ID,用户名,密码
  
  用户表
  
  再设计一个用户和角色一对多的关联表user_roles 一个用户可以拥有多个角色 用户-角色对应表
  
  创建 Spring Security和 JWT加持的 Web工程
  
  pom.xml 中引入 Spring Security和 JWT所必需的依赖
  
  <dependency>
  
  <groupId>org.springframework.boot</groupId>
  
  <artifactId>spring-boot-starter-security</artifactId>
  
  </dependency>
  
  <dependency>
  
  <groupId>io.jsonwebtoken</groupId>
  
  <artifactId>jjwt</artifactId>
  
  <version>0.9.0</version>
  
  </dependency>
  
  项目配置文件中加入数据库和 JPA等需要的配置
  
  server.port=9991
  
  spring.datasource.driver-class-name=com.mysql.jdbc.Driver
  
  spring.datasource.url=jdbc:mysql://121.196.XXX.XXX:3306/spring_security_jwt?useUnicode=true&characterEncoding=utf-8
  
  spring.datasource.username=root
  
  spring.datasource.password=XXXXXX
  
  logging.level.org.springframework.security=info
  
  spring.jpa.hibernate.ddl-auto=update
  
  spring.jpa.show-sql=true
  
  spring.jackson.serialization.indent_output=true
  
  创建用户、角色实体
  
  用户实体 User:
  
  /**
  
  * @ www.codesheep.cn
  
  * 20190312
  
  */
  
  @Entity
  
  public class User implements UserDetails {
  
  @Id
  
  @GeneratedValue
  
  private Long id;
  
  private String username;
  
  private String password;
  
  @ManyToMany(cascade = {CascadeType.REFRESH},fetch = FetchType.EAGER)
  
  private List<Role> roles;
  
  ...
  
  // 下面为实现UserDetails而需要的重写方法!
  
  @Override
  
  public Collection<? extends GrantedAuthority> getAuthorities() {
  
  List<GrantedAuthority> authorities = new ArrayList<>();
  
  for (Role role : roles) {
  
  authorities.add( new SimpleGrantedAuthority( role.getName() ) );
  
  }
  
  return authorities;
  
  }
  
  ...
  
  }
  
  此处所创建的 User类继承了 Spring Security的 UserDetails接口,从而成为了一个符合 Security安全的用户,即通过继承 UserDetails,即可实现 Security中相关的安全功能。
  
  角色实体 Role:
  
  /**
  
  * @ www.codesheep.cn
  
  * 20190312
  
  */
  
  @Entity
  
  public class Role {
  
  @Id
  
  @GeneratedValue
  
  private Long id;
  
  private String name;
  
  ... // 省略 getter和 setter
  
  }
  
  创建JWT工具类
  
  主要用于对 JWT Token进行各项操作,比如生成Token、验证Token、刷新Token等
  
  /**
  
  * @ www.codesheep.cn
  
  * 20190312
  
  */
  
  @Component
  
  public class JwtTokenUtil implements Serializable {
  
  private static final long serialVersionUID = -5625635588908941275L;
  
  private static final String CLAIM_KEY_USERNAME = "sub";
  
  private static final String CLAIM_KEY_CREATED = "created";
  
  public String generateToken(UserDetails userDetails) {
  
  ...
  
  }
  
  String generateToken(Map<String, Object> claims) {
  
  ...
  
  }
  
  public String refreshToken(String token) {
  
  ...
  
  }
  
  public Boolean validateToken(String token, UserDetails userDetails) {
  
  ...
  
  }
  
  ... // 省略部分工具函数
  
  }
  
  创建Token过滤器,用于每次外部对接口请求时的Token处理
  
  /**
  
  * @ www.codesheep.cn
  
  * 20190312
  
  */
  
  @Component
  
  public class JwtTokenFilter extends OncePerRequestFilter {
  
  @Autowired
  
  private UserDetailsService userDetailsService;
  
  @Autowired
  
  private JwtTokenUtil jwtTokenUtil;
  
  @Override
  
  protected void doFilterInternal ( HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
  
  String authHeader = request.getHeader( Const.HEADER_STRING );
  
  if (authHeader != null && authHeader.startsWith( Const.TOKEN_PREFIX )) {
  
  final String authToken = authHeader.substring( Const.TOKEN_PREFIX.length() );
  
  String username = jwtTokenUtil.getUsernameFromToken(authToken);
  
  if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
  
  UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
  
  if (jwtTokenUtil.validateToken(authToken, userDetails)) {
  
  UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
  
  userDetails, null, userDetails.getAuthorities());
  
  authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(
  
  request));
  
  SecurityContextHolder.getContext().setAuthentication(authentication);
  
  }
  
  }
  
  }
  
  chain.doFilter(request, response);
  
  }
  
  }
  
  Service业务编写
  
  主要包括用户登录和注册两个主要的业务
  
  public interface AuthService {
  
  User register( User userToAdd );
  
  String login( String username, String password );
  
  }
  
  /**
  
  * @ www.codesheep.cn
  
  * 20190312
  
  */
  
  @Service
  
  public class AuthServiceImpl implements AuthService {
  
  @Autowired
  
  private AuthenticationManager authenticationManager;
  
  @Autowired
  
  private UserDetailsService userDetailsService;
  
  @Autowired
  
  private JwtTokenUtil jwtTokenUtil;
  
  @Autowired
  
  private UserRepository userRepository;
  
  // 登录
  
  @Override
  
  public String login( String username, String password ) {
  
  UsernamePasswordAuthenticationToken upToken = new UsernamePasswordAuthenticationToken( username, password );
  
  final Authentication authentication = authenticationManager.authenticate(upToken);
  
  SecurityContextHolder.getContext().setAuthentication(authentication);
  
  final UserDetails userDetails = userDetailsService.loadUserByUsername( username );
  
  final String token = jwtTokenUtil.generateToken(userDetails);
  
  return token;
  
  }
  
  // 注册
  
  @Override
  
  public User register( User userToAdd ) {
  
  final String username = userToAdd.getUsername();
  
  if( userRepository.findByUsername(username)!=null ) {
  
  return null;
  
  }
  
  BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
  
  final String rawPassword = userToAdd.getPassword();
  
  userToAdd.setPassword( encoder.encode(rawPassword) );
  
  return userRepository.save(userToAdd);
  
  }
  
  }
  
  Spring Security配置类编写(非常重要)
  
  这是一个高度综合的配置类,主要是通过重写 WebSecurityConfigurerAdapter 的部分 configure配置,来实现用户自定义的部分。
  
  /**
  
  * @ www.codesheep.cn
  
  * 20190312
  
  */
  
  @Configuration
  
  @EnableWebSecurity
  
  @EnableGlobalMethodSecurity(prePostEnabled=true)
  
  public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
  
  @Autowired
  
  private UserService userService;
  
  @Bean
  
  public JwtTokenFilter authenticationTokenFilterBean(www.zhenghongyule.com) throws Exception {
  
  return new JwtTokenFilter();
  
  }
  
  @Bean
  
  public AuthenticationManager authenticationManagerBean(www.hengtongyoule.com) throws Exception {
  
  return super.authenticationManagerBean(www.meiwanyule.cn/);
  
  }
  
  @Override
  
  protected void configure(www.jlzkyy.com AuthenticationManagerBuilder auth ) throws Exception {
  
  auth.userDetailsService( userService ).passwordEncoder( new BCryptPasswordEncoder() );
  
  }
  
  @Override
  
  protected void configure( HttpSecurity httpSecurity ) throws Exception {
  
  httpSecurity.csrf().disable(www.gen-okamoto.com)
  
  .sessionManagement(www.xianjingshuiqi.com).sessionCreationPolicy(www.mren2yule.com/ SessionCreationPolicy.STATELESS).and()
  
     http://dasheng178.com/#portal/list.html

  .authorizeRequests(www.yongshi123.cn)
  
  .antMatchers(HttpMethod.OPTIONS, "/**").permitAll() // OPTIONS请求全部放行
  
  .antMatchers(HttpMethod.POST, "/authentication/**www.mayiyule158.cn").permitAll(www.dfgjpt.com)  //登录和注册的接口放行,其他接口全部接受验证
  
  .antMatchers(HttpMethod.www.ysgptvip.com POST).authenticated(www.jrgjze.com/)
  
  .antMatchers(HttpMethod.www.bsylept.com/ PUT).authenticated()
  
  .antMatchers(HttpMethod.DELETE).authenticated()
  
  .antMatchers(HttpMethod.GET).authenticated();
  
  // 使用前文自定义的 Token过滤器
  
  httpSecurity
  
  .addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
  
  httpSecurity.headers().cacheControl();
  
  }
  
  }
  
  编写测试 Controller
  
  登录和注册的 Controller:
  
  /**
  
  * @ www.codesheep.cn
  
  * 20190312
  
  */
  
  @RestController
  
  public class JwtAuthController {
  
  @Autowired
  
  private AuthService authService;
  
  // 登录
  
  @RequestMapping(value = "/authentication/login", method = RequestMethod.POST)
  
  public String createToken( String username,String password ) throws AuthenticationException {
  
  return authService.login( username, password ); // 登录成功会返回JWT Token给用户
  
  }
  
  // 注册
  
  @RequestMapping(value = "/authentication/register", method = RequestMethod.POST)
  
  public User register( @RequestBody User addedUser ) throws AuthenticationException {
  
  return authService.register(addedUser);
  
  }
  
  }
  
  再编写一个测试权限的 Controller:
  
  /**
  
  * @ www.codesheep.cn
  
  * 20190312
  
  */
  
  @RestController
  
  public class TestController {
  
  // 测试普通权限
  
  @PreAuthorize("hasAuthority('ROLE_NORMAL')")
  
  @RequestMapping( value="/normal/test", method = RequestMethod.GET )
  
  public String test1() {
  
  return "ROLE_NORMAL /normal/test接口调用成功!";
  
  }
  
  // 测试管理员权限
  
  @PreAuthorize("hasAuthority('ROLE_ADMIN')")
  
  @RequestMapping( value = "/admin/test", method = RequestMethod.GET )
  
  public String test2() {
  
  return "ROLE_ADMIN /admin/test接口调用成功!";
  
  }
  
  }
  
  这里给出两个测试接口用于测试权限相关问题,其中接口 /normal/test需要用户具备普通角色(ROLE_NORMAL)即可访问,而接口/admin/test则需要用户具备管理员角色(ROLE_ADMIN)才可以访问。
  
  接下来启动工程,实验测试看看效果
  
  实验验证
  
  在文章开头我们即在用户表 user中插入了一条用户名为 codesheep的记录,并在用户-角色表 user_roles中给用户 codesheep分配了普通角色(ROLE_NORMAL)和管理员角色(ROLE_ADMIN)
  
  接下来进行用户登录,并获得后台向用户颁发的JWT Token
  
  用户登录并获得JWT Token
  
  接下来访问权限测试接口
  
  不带 Token直接访问需要普通角色(ROLE_NORMAL)的接口 /normal/test会直接提示访问不通:
  
  不带token访问是不通的
  
  而带 Token访问需要普通角色(ROLE_NORMAL)的接口 /normal/test才会调用成功:
  
  带token访问OK
  
  同理由于目前用户具备管理员角色,因此访问需要管理员角色(ROLE_ADMIN)的接口 /admin/test也能成功:
  
  访问需要管理员角色的接口OK
  
  接下里我们从用户-角色表里将用户codesheep的管理员权限删除掉,再访问接口 /admin/test,会发现由于没有权限,访问被拒绝了:
  
  由于权限不够而被拒绝
  
  经过一系列的实验过程,也达到了我们的预期!
  
  写在最后
  
  本文涉及的东西还是蛮多的,最后我们也将本文的实验源码放在 Github上,需要的可以自取:源码下载地址
  
  由于能力有限,若有错误或者不当之处,还请大家批评指正,一起学习交流!
  
  My Personal Blog:CodeSheep 程序羊

liudahai777
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity+jwt安全框架
小小志愿者的博客
03-06 5166
1、环境搭建 1.1maven项目 1.2导入依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.5.0</version> </parent> <de
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
通用权限管理系统可练手可毕设,如果项目中有权限开发要求可直接拿来基础开发。...总的来说,基于SpringBoot+Vue的通用权限控制系统设计与实现,可以提供灵活、可扩展、易维护的权限控制功能,适用于各种应用
SpringSecurity + JWT 实现登录认证
最新发布
xaiobit_hl的博客
07-17 1480
Component@Override// 1.获取 JWT 令牌if (!// 2.判断 JWT 令牌正确性// 3.获取用户信息,存储 Security 中= null= null) {// 4.创建用户对象null,// 绑定 request 对象。
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
热门推荐
小威的博客
04-22 1万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
Spring Security + JWT
weixin_44612246的博客
03-10 657
SpringSecurity + Jwt实现方案
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip
07-02
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+...
基于SpringBoot,Spring SecurityJWT,Vue & Element 的前后端分离权限管理系统设计源码
04-15
基于SpringBoot,Spring SecurityJWT,Vue & Element 的前后端分离权限管理系统设计源码,该项目包含605个文件,主要文件类型有255个java源文件,以及95个vue前端文件。此外,还包括87个svg图像文件,76个...
解析SpringSecurity+JWT认证流程实现
08-18
通过使用SpringSecurity+JWT,我们可以实现基于token的认证方式,以便更好地保护我们的系统。 七、参考资料 * SpringSecurity官方文档 * JWT官方文档 * SpringSecurity+JWT demo代码(码云地址、GitHub地址)
新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制的项目
05-21
本项目“新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制”正是针对这一需求而设计的。以下是关于这个项目及其相关技术的详细说明。 **Spring Boot** Spring Boot简化了Spring应用的...
SpringSecurity+JWT
Ycy的博客
09-17 817
前端将用户名密码发送给后端,后端核对成功后根据用户信息生成一个JWT(Token),后端将JWT作为登陆成功返回结果给前端,前端保存在本地localStorage或sessionStorage上(退出登录时前端删除保存的JWT即可),前端之后每次请求时将JWT放入HTTP Header中,后端校验JWT有效性,如签名是否正确、Token是否过期、检查Token的接收方是否是自己等,后端验证成功后使用JWT中的用户信息完成相关请求操作。默认的登录请求url是"/login",并且只允许POST方式的请求。
SpringSecurity 整合 JWT
niceyoo的博客
06-02 1万+
项目集成Spring Security(一) 在上一篇基础上继续集成 JWT ,实现用户身份验证。 前言 前后端分离项目中,如果直接把 API 接口对外开放,我们知道这样风险是很大的,所以在上一篇中我们引入了 Spring Security ,但是我们在登陆后缺少了请求凭证部分。 什么是JWT? JWT是 Json Web Token 的缩写。它是基于 RFC 7519 标准定义的一种可以安全...
springsecurity+jwt
weixin_45637293的博客
07-13 200
1. RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限 2.依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 3.增加用户名和密码 spring: securi
SpringSecurity+JWT入门
qq_44760653的博客
04-08 959
SpringSecurity+JWT入门
SpringSecurity + JWT(前后端分离)
HGW的博客
09-30 5454
想必大四的小伙伴们陆陆续续开始写毕业设计了,对于网络安全框架SpringSecurity在网上的资源都是前后端不分离的,这里记录一下小伟的前后端分离版。
Spring Security + jwt入门
kevin_琪琪的博客
08-31 594
Spring 是非常流行和成功的 Java 应用开发框架,正是 Spring 家族中的 成员。基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是”认证”和“授权”,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。...
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 5130
SpringSecurity+JWT快速入门
Spring Security整合JWT:实现无状态认证
"深入理解JWTSpring-Security的整合应用" 在现代Web开发中,随着前后端分离和移动应用...在设计和实现过程中,还需要考虑如何有效地存储和验证JWT,以及如何处理令牌的刷新和撤销等问题,确保系统的健壮性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值