SpringSecurity+Jwt 重点认证+授权

已于 2024-02-02 18:31:59 修改
阅读量541 收藏 8
点赞数 12
分类专栏: 千里之行,始于足下 文章标签: java spring
于 2023-11-23 19:47:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lin_qiu_feng/article/details/134583971
版权

注意点:

1. 需要有一定SpringSecurity基础,因为只讲重点!

2. SpringSecurity版本6.1.0

认证

核心点

1. 这里只做账号密码认证, 不用关心权限!
2. 这里核心就是 把用户输入的账号密码和数据库中的账号密码传给SpringSecurity
SpringSecurity会帮我们做比较

核心代码

步骤一: 传入用户输入的账号和密码给SpringSecurity

    public Result login(@RequestBody @Valid LoginDTO dto) {
        String password = dto.getPassword();
        Authentication usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(dto.getUsername(), password);
        Authentication authentication = authenticationManager.authenticate(usernamePasswordAuthenticationToken);

        LoginUserBO user = (LoginUserBO) authentication.getPrincipal();
        String token = JwtUtil.createJWT(user.getSysUser());
        return Result.success(token);
    }

步骤二:  查询数据库的账号和密码传给SpringSecurity

//实现UserDetailService
public class UserDetailsServiceImpl implements UserDetailsService {
    @Resource
    private SysUserService sysUserService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        SysUser sysUser = sysUserService.queryByUserName(username);
        Optional.ofNullable(sysUser).orElseThrow(() -> new UsernameNotFoundException("user does not exist!"));
        return new LoginUserBO(sysUser);
    }
}

//LoginUserBO 实现 UserDetails
public class LoginUserBO implements Serializable, UserDetails {

    private SysUser sysUser;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return Collections.emptyList();
    }

    @Override
    public String getPassword() {
        return sysUser.getPassword();
    }

    @Override
    public String getUsername() {
        return sysUser.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

源码-校验密码

上面就是认证的核心流程了 跟着我的截图点进去 最后一张就是源码-比较密码的代码了

授权

核心点

1. 你定义的SpringSecurityConfig一定要加 @EnableMethodSecurity!

否者 @PreAuthorize("hasAuthority('permission_flag')") 不会生效

2. 在每次请求接口的时候把权限丢给SpringSecurity, 可以把权限丢缓存或者用其他方式

核心代码

...

@Log4j2
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    ...

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        ...
        ...
        ...
        //省略了JWT的校验代码

        //下面是把权限丢给SpringSecurity
        Long roleId = Long.valueOf(claims.get("roleId").toString());
        List<SimpleGrantedAuthority> rolePermissionList = getRolePermission(roleId);
        //封装Authentication
        Authentication usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(claims, null, rolePermissionList);
        //存入SecurityContextHolder
SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
        //放行,让后面的过滤器执行
        filterChain.doFilter(request, response);
    }
}

 源码-校验权限

上面就是授权的核心流程了 跟着我的截图点进去 最后一张就是源码-鉴权的代码了

搞定!下班回家了

记得吃饭~
关注
  • 12
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot Security OAuth2 实现支持JWT令牌的授权服务器源码.zip
03-25
本项目重点在于实现一个支持JWT(JSON Web Token)令牌的授权服务器,这将使我们能够为客户端提供安全的认证授权。 首先,让我们深入了解Spring Boot SecuritySpring Security 是一个强大的Java安全框架,它...
springBoot+security+oauth2 资源和认证分离的密码模式
08-09
Spring Boot、Spring Security和OAuth2的结合提供了一种强大且灵活的方式来保护应用程序资源,实现资源服务器(Resource Server)与认证服务器(Authorization Server)的分离。这种分离模式有助于提高系统的可扩展...
Spring Security 6 JWT身份验证
最新发布
weixin_52019286的博客
01-26 816
基于JWT 实现身份认证授权,是当前流行的一种技术解决方案。使用这种方案,要求用户先发来用户名与密码,当用户名与密码校验通过时,服务器端返回一个JWT给客户端。客户端拿到JWT之后,将其放到HTTP 请求名为Authorization的Header 中,随后继请求一起发给服务端服务端先校验JWT的有效性,有效之后,开放资源给客户端访问。public static final String JWT_KEY="这是我的一个私有密钥,用于生成JWT";//设置放在HTTP请求Header的名字。
Spring boot Security Jwt
何xiao树
05-31 1520
Spring Security 整合开发 引入 security 启动器,默认拦截所有资源,启动项目会生成一个默认密码,账号 user <!-- 引入Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-.
spring-security2.6.3+JWT认证授权
呆萌小新@渊洁的博客
08-26 842
比shiro更适合与spring体系相结合.主要永用户认证和用户授权shiro使用请看此处shiro认证授权加密验证的脚手架搭建//获取当前用户的权限 Authentication authentication = SecurityContextHolder . getContext() . getAuthentication();.....................
【深入浅出 Spring Security(十三)】使用 JWT 进行前后端分离认证(附源码)
qq_63691275的博客
07-07 3934
使用JWT进行前后端分离认证实现,其后端主要实现其实就是分为俩步(在已经封装好JWT生成和验证工具类的基础上),第一步就是登录认证成功后如何将生成的 jwt 响应给前端?——在AuthenticationSuccessHandler中进行实现;第二步就是前端携带该 jwt 向服务器端发送请求后,如何去认证该请求?——去重写BasicAuthenticationFilter中的doFilterInternal方法,在此方法中进行认证即可...
springboot 2.7整合spring security 5.7整合jwt实现用户登录注册与鉴权全记录
热门推荐
Ricardo.M.Yu的博客
10-08 1万+
springboot 2.7整合spring security 5.7整合jwt
springboot-security-material.rar
01-27
认证授权失败时,Spring Security会抛出异常。我们可以通过配置全局的`AccessDeniedHandler`和`AuthenticationEntryPoint`来处理这些异常,例如重定向至错误页面。 7. **记住我功能(Remember Me)** Spring ...
Spring Boot+Vue前后端分离项目练习02之网盘项目利用token进行登陆验证
03-02
在实现过程中,我们可以使用Spring Security来增强Spring Boot的安全性,它提供了完整的安全控制层,包括用户认证授权。在Spring Security中,我们可以配置token的生成与验证逻辑,例如使用JWT(JSON Web Token)...
spring-security-demo
03-25
此外,还可以探索OAuth2、JWT等现代认证机制与Spring Security的整合。 总的来说,Spring Security是一个功能强大且灵活的安全框架,能够满足各种复杂的安全需求。理解并熟练运用Spring Security,不仅可以提升应用...
旧版SpringSecurityJWT实现认证授权
上善若泪
06-04 592
是一个强大的可高度定制的和框架,对于应用来说它是一套安全标准。注重于为Java应用提供认证授权功能,像所有的项目一样,它对自定义需求具有强大的扩展性。是的缩写,它是基于 标准定义的一种可以安全传输的的对象,由于使用了数字签名,所以是可信任和安全的。的格式: 中用于存放签名的生成算法: 中用于存放、的生成时间和过期时间 为以和生成的签名,一旦和被篡改,验证将失败 1.1.4 JWT实例 这是一个的字符串 可以在该网站上获得解析结果:https://jwt.io/ 用户调用登录接口,登录成功后获取到的; 之
Spring Security 6
Elcker
07-21 720
Spring Security6
springSecurity+jwt实现分布式鉴权和认证
qq_37824570的博客
03-09 3486
springSecurity+jwt实现分布式鉴权和认证
SpringSecurity整合JWT实现认证授权
weixin_44909963的博客
04-28 5493
SpringSecurity整合JWT实现认证授权 文章目录SpringSecurity整合JWT实现认证授权前言一、SpringSecurity介绍和架构分析及使用流程二、使用步骤1.引入库2.读入数据总结 前言 本文主要讲解l通过整合SpringSecurityJWT实现后台用户的登录和授权功能,使用到的技术有nacos,dubbo,SpringSecurity,redis. 一、SpringSecurity介绍和架构分析及使用流程 SpringSecurity是一个安全框架,支持自定义需求。
SpringSecurity6.0.1中角色继承无效的问题
m0_51030618的博客
03-07 310
SpringSecurity6.0.1中角色继承无效的问题
Spring Security+JWT实现权限管理
LC的博客
03-14 4441
SpringSecurityspring全家桶中的一个安全管理框架,类似于shiro,但是比shiro功能更加的丰富。 主要核心功能是 认证授权认证:验证当前访问系统的是不是本系统的用户,并且要确定具体是哪个用户 授权:经过认证后判断当前用户是否有权限进行某个操作 一、快速入门 1.1初探 引入Spring Security的依赖 <!-- springsecurity--> <dependency> <groupId&g
最新Springboot3.1.1+SpringSecurity6.1.1+JWT+Vue/React前后端分离项目
facebook47的博客
07-10 733
ems-admin(easy manage system)是一套极简的后台管理系统, 基于SpringBoot3.1.1、SpringSecurity6.1.1、Mybatis-plus3.5.3.1、Mysql8.0、 JWT、Vue2.6/Rea、element-ui进行开发, 只提供最基础的登录、权限管理功能与日志功能,所有的业务功能, 都可以根据自己的需求在此之上构建。本项目虽然采用了前后端分离的设计,但整个项目是放在一起的,项目里面的web目录存放前端代码。权限管理的细粒度到了按钮级别(前端控制)
Spring Security —06—自定义认证数据源
weixin_48994585的博客
08-24 682
覆盖原有的全局AuthenticationManager,也就是构建出一个空的AuthenticationManager也没有指定的UserDetailService。@Override//重写的父类WebSecurityConfigurerAdapter中的configure方法,使用的也是父类的AuthenticationManagerBuilder总结自定义全局 AuthenticationManager。
Spring Security 超详细整合 JWT,能否拿下看你自己!
08-31 7540
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
Spring Security + jwt
08-19
Spring SecurityJWT(JSON Web Token)是一种常见的组合,用于实现身份验证和授权机制。 JWT是一种轻量级的身份验证和授权的解决方案,它使用JSON格式来定义安全声明。JWT通常由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部包含算法和令牌类型等信息,载荷包含用户身份和其他相关信息,签名用于验证令牌的完整性和真实性。 Spring Security提供了对JWT的支持,并可以与Spring Boot框架无缝集成。您可以通过以下步骤来实现Spring Security + JWT的集成: 1. 添加依赖:在项目的构建文件中,添加Spring SecurityJWT相关的依赖,如spring-boot-starter-security和jjwt。 2. 配置Spring Security:创建一个继承自WebSecurityConfigurerAdapter的配置类,并重写configure方法来配置Spring Security。在该方法中,您可以定义身份验证和授权规则。 3. 创建JWT工具类:创建一个JWT工具类,用于生成、解析和验证JWT。您可以使用jjwt库来处理JWT操作。 4. 实现用户认证:在Spring Security配置类中,您可以实现UserDetailsService接口,并重写loadUserByUsername方法来根据用户名加载用户信息。在该方法中,您可以从数据库或其他数据源中获取用户信息,并构建一个UserDetails对象返回。 5. 实现JWT过滤器:创建一个自定义的过滤器,用于解析和验证传入请求中的JWT。在该过滤器中,您可以使用JWT工具类来解析JWT,并将用户信息添加到Spring Security的上下文中。 6. 配置Spring Security过滤器链:在Spring Security配置类中,将JWT过滤器添加到过滤器链中,以确保每个请求都经过JWT验证。 通过以上步骤,您可以实现Spring SecurityJWT的集成,实现基于JWT的身份验证和授权机制。这样,您可以使用JWT生成和验证令牌,并通过Spring Security保护您的应用程序资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值