spring-sercurity实现JWT认证

已于 2023-04-18 17:26:54 修改
阅读量153 收藏 1
点赞数 1
分类专栏: springboot笔记 文章标签: spring java spring boot
于 2023-04-18 15:22:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lizsy/article/details/130221159
版权

spring-sercurity认证机制的核心组件

以下解释源自Spring | Home

SecurityContextHolder:Spring Security在SecurityContextHolder中存储身份验证者的详细信息。

SecurityContext:从SecurityContextHolder中获得,包含当前已认证用户的身份验证。

Authentication:可以是AuthenticationManager的输入,以提供用户为身份验证或SecurityContext中的当前用户提供的凭据。

GrantedAuthority:在身份验证上授予主体的权限(即角色、范围等)。

AuthenticationManager:定义Spring Security的过滤器如何执行身份验证的API。

ProviderManager:AuthenticationManager最常见的实现。

AuthenticationProvider:由ProviderManager用于执行特定类型的身份验证。

Request Credentials with AuthenticationEntryPoint:用于从客户端请求凭据(即重定向到登录页面,发送WWW-Authenticate响应等)。

AbstractAuthenticationProcessingFilter:用于身份验证的基本过滤器。

认证流程

结合上述内容,可以分析出认证的核心是AuthenticationManager,所以,我们需要自定义jwt的AuthenticationManager并将其注入到认证过滤器里面去。

认证实现

  • 自定义认证管理器
  • 配置spring-security

JwtAuthorizationManager.java 

@Slf4j
@Component
public class JwtAuthorizationManager implements AuthorizationManager<RequestAuthorizationContext> {

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    public AuthorizationDecision check(Supplier<Authentication> authentication,
        RequestAuthorizationContext object) {
        String requestURI = object.getRequest().getRequestURI();
        log.info("身份认证:{}", requestURI);
        //获取请求头里面的jwt令牌
        HttpServletRequest httpServletRequest = object.getRequest();
        String jwtToken = httpServletRequest.getHeader("Authorization");
        if(StringUtils.isBlank(jwtToken)){
            jwtToken = httpServletRequest.getHeader("authorization");
        }
        if(StringUtils.isBlank(jwtToken)){
            return new AuthorizationDecision(false);
        }
        //检验jwt令牌
        jwtToken = jwtToken.replace("bearer ", "");
        if(!jwtUtil.checkJwt(jwtToken)){
            return new AuthorizationDecision(false);
        }
        //解析jwt令牌
        JwtUserDetails jwtUserDetails = jwtUtil.parseJwt(jwtToken);
        if(ObjectUtils.isEmpty(jwtUserDetails)){
            return new AuthorizationDecision(false);
        }
        //校验权限
        //此处自由发挥即可
        RequestMatcher requestMatcher = new AntPathRequestMatcher("/first/**");
        requestMatcher.matches(httpServletRequest);
        //构建authentication
        BearerTokenAuthenticationToken token = new BearerTokenAuthenticationToken(jwtToken);
        token.setDetails(jwtUserDetails);
        token.setAuthenticated(true);
        //设置securityContext
        SecurityContext securityContext = SecurityContextHolder.getContext();
        securityContext.setAuthentication(token);
        return new AuthorizationDecision(true);
    }
}

SecurityConfig.java

@Slf4j
@EnableWebSecurity
public class SecurityConfig {

    @Autowired
    private JwtAuthorizationManager jwtAuthorizationManager;

    /**
     * @description: securityFilterChain <br>
     * @version: 1.0 <br>
     * @create: 2023/3/31 9:39 <br>
     * @param: http
     * @return org.springframework.security.web.SecurityFilterChain
     */
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        log.info("初始化自定义【securityFilterChain】配置");
        //禁用跨域防护
        http.csrf().disable();
        //禁用session
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        //设置不需要身份验证的api
        http.authorizeHttpRequests().regexMatchers("/login/*").permitAll();
        //设置需要认证的api使用自定义的jwt身份验证管理器进行认证
        http.authorizeHttpRequests().anyRequest().access(jwtAuthorizationManager);
        return http.build();
    }

}
Spring Security并结合JWT实现用户认证(Authentication) 和用户授权(Authorization)
永远热泪盈眶 坚持输出
08-09 6062
引言 在Web应用开发中,安全一直是非常重要的一个方面。Spring Security基于Spring 框架,提供了一套Web应用安全性的完整解决方案。 JwT (JSON Web Token) 是当前比较主源的Token令牌生成方案,非常适合作为登录和授权认证的凭证。 这里我们就使用 Spring Security并结合JWT实现用户认证(Authentication) 和用户授权(Authorization) 两个主要部分的安全内容。 一、JWT与Aoth2的区别 在此之前,只是停留在用的阶段,对二者的
SpringBoot 集成SpringSecurity JWT
weixin_55765992的博客
07-01 1083
1. 简介 今天ITDragon分享一篇在Spring Security 框架中使用JWT,以及对失效Token的处理方法。 1.1 SpringSecurity Spring SecuritySpring提供的安全框架。提供认证、授权和常见的攻击防护的功能。功能丰富和强大。 Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-fa
SpringSecurity+JWT 身份验证及动态权限解决方案(很实用)
Java知音
08-04 1186
点击关注公众号,实用技术文章及时了解花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo,并按照自己的想法完成了动态权限问题。在写这个Demo之初,使用的是SpringSecurity自带的注解权限,但是这样权限就显得不太灵活,在实现之后,感觉也挺复杂的,欢迎大家给出建议。认证流程及授权流程我画了个建议的认证授权流程图,后面会结合代码进行解释整个...
SpringSecurity+JWT登录认证
张氏小毛驴的博客
08-11 2064
其实,到了这里我们就差将我们自定义的Filter和Provider添加到SpringSecurity的主配置中,就实现认证了,但我们这次用的是JWT方式,服务器端并没有记录登录用户的信息,因此我们需要多一个过滤器,用来拦截请求,验证Token的,如果请求携带了Token,并且token里的信息是正确的,我们才将Authentication设置已认证,让SpringSecurity过滤器链去做后续的鉴权啥的。​ 俺今天是要使用SpringSecurity实现JWT认证,前后端分离,使用JSON交互。...
Spring Security、Shiro、JWT权限认证
HelloQ的博客
08-19 1万+
JWT jwt是什么? JWT又名Json Web Token,基于数字签名,定义了一个紧凑、字包含的方式,用于json在各方之间安全传输信息。 使用场景 一般用于授权认证和数据交换: Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小...
SpringBoot+SpringSecurity+JWT实现认证和授权
热门推荐
oyc的博客
01-17 5万+
一、背景: 在 B/S 系统中,登录功基本都是依靠 Cookie 来实现的,用户登录成功之后主要需要客户端和服务端完成以下两项工作: (1)服务端将登录状态记录到 Session 中,或者签发Token; (2)客户端利用Cookie保存于服务端对应的 Session ID 或 Token。之后每次请求都会带上Cookie信息(包含Session ID或者Token),当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单点登录:单点登录(Single Sign On, S.
springcloud整合oauth2-----鉴权服务篇
weixin_45592424的博客
09-10 1349
鉴权服务
AuthServer_Redis:弹簧安全,spring-sercurity-oauth2-自动配置,nosql,redis
05-04
本文将深入探讨`Spring Security`、`OAuth2`以及它们与`Redis`的结合使用,如何实现一个强大的认证服务器(AuthServer)。`JavaScript`在此场景中可能涉及到前端的身份验证处理。 **Spring Security** `Spring ...
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
m0_67392182的博客
07-29 1509
token是无状态的,后端不需要记录信息,每次请求过来进行解密就能得到对应信息。session是有状态的,需要后端每次去检索id的有效性。不同的session都需要进行保存,但也可以设置单点登录,减少保存的数据。session与token的选择是空间与时间博弈,为什么这么说呢,是因为token不需要保存,不占存储空间,但每次访问都需要进行解密,消耗了一定的时间。在一般的前后端分离项目中,token展现出了它的优势,成为了比session更好的选择userlist')")});}...
spring security+jwt 实现认证授权
IT_cdc的博客
03-10 5148
目录结构 具体代码 config 配置类 DefaultControllerAdvice.java package com.stu.manage.demo.config; import com.stu.manage.demo.result.Result; import com.stu.manage.demo.result.ResultEnum; import com.stu.manage.demo.result.ResultUtil; import org.springframework.w
循序渐进学spring security 第十篇 如何用token登录?JWT闪亮登场
huangxuanheng的专栏
07-31 2627
文章目录JWT简介JWT认证JWT的结构JWT登录流程如何引入JWTJwtHelper 工具类介绍如何创建token?如何解析token?创建项目创建项目:security-mybatis-jwt引入JWT maven依赖将登录成功,登录失败,登出等配置的handler抽取出来单独放在一个handler包创建JWT工具类登录成功后生产token返回给前端如何校验token的有效性?验证失败的处理启动测试 JWT简介 JWT是 Json Web Token 的缩写。它是基于 RFC 7519 标准定义的一种可
【项目实践】一文带你搞定Spring Security + JWT实现前后端分离下的认证授权
最新发布
竹林幽深
11-05 158
【项目实践】一文带你搞定Session和JWT【项目实践】一文带你搞定页面权限、按钮权限以及数据权限在这两篇文章中我们没有使用安全框架就搞定了认证和授权功能,并理解了其核心原理。R在之前就说过,核心原理掌握了,无论什么安全框架使用起来都会非常容易!那么本文就讲解如何使用主流的安全框架Spring Security实现认证和授权功能。当然,本文并不只是对框架的使用方法进行讲解,还会剖析Spring Security的源码,看到最后你就会发现你掌握了使用方法的同时,还对框架有了深度的理解!
springsecurity+jwt实现认证和授权
心藏_的博客
01-06 2728
学习了一下springsecurityjwt的使用。现在就来总结一下,springsecurity+jwt实现认证和授权
Spring Boot 2.6之后,动态权限控制终于可以用起来了!
程序猿DD
11-22 834
Spring Security 5.6 发布有些时间了。随着Spring Boot 2.6的发布Spring Security 5.6终于有机会上生产了。在Spring Security ...
SpringSecurity系列——授权架构day4-1(源于官网5.7.2版本)
qq_51553982的博客
07-22 1232
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档显然,您还可以实现自定义AuthorizationManager,并且您可以在其中放入几乎任何您想要的访问控制逻辑。它可能特定于您的应用程序(与业务逻辑相关),或者它可能实现一些安全管理逻辑。...
springboot 2.7整合spring security 5.7整合jwt实现用户登录注册与鉴权全记录
Ricardo.M.Yu的博客
10-08 1万+
springboot 2.7整合spring security 5.7整合jwt
SpringBoot+SpringSecurity+Jwt权限认证---认证
python6_quanzhan的博客
12-10 544
1. 整体逻辑 1. SpringSecurity认证的逻辑规则 启动项目时,SpringBoot自动检索所有带@Configuration的注解,所以就将我们的WebSecurityConfig给加载了,这个config中,我们需要在configure(AuthenticationManagerBuilder auth)方法中注册一个继承自UserDetailsService的接口,这个接口中只有一个方法,那就是使用username获取到数据库中用户信息并返回成UserDetail实体。这个方法需要.
SpringBootSpringBoot+JWT实现登录权限控制(代码)
sfh2018的博客
07-02 4293
项目使用springboot+jwt实现权限控制,在此记录一下防止以后忘记。 一、准备LoginUser 和JwtUser LoginUser.java public class LoginUser { private Integer userId; private String username; private String password; private ...
后端架构token授权认证机制:spring security JSON Web Token(JWT)简例
Zhang Phil
02-10 6965
spring security JSON Web Token(JWT)简单例子实现 在基于token的客户端-服务器端认证授权以前,前端到服务器端的认证-授权通常是基于session,自从token机制出现并流行起来后,基于token的客户端-服务器端认证-授权访问机制变得越来越主要,token机制从某种意义上讲是过去session会话机制的另外一种解决方案,并尤其适用于当前的大规模集群和分布式体系架构。 客户端(浏览器web前端、app移动端等)与后端服务基于token的认证-授权访问流程一般情况是这
springsercurity权限认证
03-16
我们可以使用Spring Security实现权限认证,以确保系统的安全性。 答案:SpringSecurity权限认证是一种基于Java的安全框架,旨在为企业应用程序提供安全保护。它提供了认证和授权功能,可以帮助您管理用户访问应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值