全面前后端分离项目中springSecurity集成jwt的认证搭建 (springboot)

最新推荐文章于 2023-08-31 18:41:11 发布
最新推荐文章于 2023-08-31 18:41:11 发布
阅读量276 收藏 1
点赞数 1
分类专栏: 技术贴 文章标签: java 后端 spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46614240/article/details/115341914
版权

在前后端分离场景中的权限系统如何构建?

	公司需要去专门做一套权限相关的系统,可是网上有关spring-security的很多教程要么是基于内存使用的,要么是前后端不分离的,将登陆静态页
面直接放在项目目录下面,这和现在大多数的需求是不同的,今天做到这就专门写一篇博客来记录一下吧。
	先分析一下,因为是前后端分离的开发,所以其实后端是完全和前端页面是脱离开的。前后端通过json去相互传递数据。后端需要做的就是使用JWT去
生成一个令牌去给到前端人员,后续的认证工作都用这个令牌去操作就行了。关于页面跳转等问题其实不是我们后端开发需要考虑的事情。
	好的,废话不多说,直接开造了。

	框架方面的介绍这边就不赘述了,可以去网上看看。

配置spring-security

      第一步需要去配置一个spring security,配置它的放行的资源等等.这里其实很简单,我直接把代码粘进来。
  • curityConfig 配置类
@Configuration // springboot的配置注解
@EnableWebSecurity // 启用spring-securiity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired // 这里是登录时的自定义登录逻辑
    private UserSecurityService userSecurityService;

    @Autowired // 这里是登录成功后走的逻辑
    private RestAuthenticationSuccessHandler restAuthenticationSuccessHandler;
    @Autowired // 登录失败走的逻辑
    private RestAuthenticationFailureHandler restAuthenticationFailureHandler;
    @Autowired // 退出登录成功后的逻辑
    private RestLogoutSuccessHandler restLogoutSuccessHandler;

    @Autowired // 没有登录就去访问资源的时候走的逻辑
    private RestAuthenticationEntryPoint restAuthenticationEntryPoint;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                // 禁用CSRF保护
                .csrf().disable()

                .authorizeRequests()
                // 配置那些路径可以不用权限访问(我这里配置了用户登录,用户注册,和swagger相关的资源)
                .antMatchers("/user/login", "/user/register",
                        "/swagger-ui.html",
                        "/v2/**",
                        "/webjars/**",
                        "/swagger-resources/**",
                        "/swagger-ui.html/**"
                ).permitAll()

                // 剩下的任何访问都必须授权
                .anyRequest()
                .fullyAuthenticated()

                .and()
                // 配置登录相关的配置
                .formLogin()
                // 用户登录接口(框架内部的接口,不用我们自己写)
                .loginProcessingUrl("/user/login")
                // 用户名和密码的命名(默认的是username,password,我比较喜欢驼峰样式所以手动改了一下)
                .usernameParameter("userName")
                .passwordParameter("passWord")
                // 登陆成功后的处理,因为是API的形式所以不用跳转页面
                .successHandler(restAuthenticationSuccessHandler)
                // 登陆失败后的处理
                .failureHandler(restAuthenticationFailureHandler)

                .and()
                // 登出后的处理(框架内部接口)
                .logout().logoutUrl("/user/logout")
                // 登出后的处理
                .logoutSuccessHandler(restLogoutSuccessHandler)

                .and()
                // 认证不通过后的处理
                .exceptionHandling()
                .authenticationEntryPoint(restAuthenticationEntryPoint)

                .and()
                // 增加一个jwt的校验过滤器,用于去校验jwt
                .addFilter(
                        new JWTAuthenticationFilter(authenticationManager(), userSecurityService));
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		// 指定登录的时候走我们的自定义登录逻辑
        auth.userDetailsService(userSecurityService);
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }


    @Bean
    // 这里是官方推荐的加密算法
    public BCryptPasswordEncoder bcryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

上面配置中涉及的几个类,我一一粘出来

  • UserSecurityService 自定义登录逻辑
@Service
@Slf4j
public class UserSecurityService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Autowired
    private RoleMapper roleMapper;

    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;
    /**
     * 自定义登录逻辑
     *
     * @author
     * @date 2021/3/29 13:43
     */
    @Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
    // 这边要换成自己的查询数据库操作
        User user = userMapper.queryByName(userName);
        if (user == null) {
            throw new UsernameNotFoundException(ValidateMessage.USER_NAME_NOTFIND);
        }
        // 通过roleId查询role
        Role role =roleMapper.queryById(user.getRoleId());
        return new LoginUserDTO(user.getName(),
                user.getPassWord(),
                AuthorityUtils.createAuthorityList(role.getName()), user.getUserId());
    }

}
  • RestAuthenticationEntryPoint 未登录用户访问处理逻辑
/*
 * AuthenticationEntryPoint 用来解决匿名用户访问无权限资源时的异常
 */
@Slf4j
@Component
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {


    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException authException) throws IOException {
        log.error(authException.getMessage());
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        response.getWriter().write(
        // 这里返回的是一个自动以异常,包含一个异常状态码和一个异常信息
                JSONObject.toJSONString(Result.failed(new AppException(ErrorCode.USER_NOT_LOGIN,"用户未登录,请登录后重试!"))));
        response.flushBuffer();
    }

}
  • RestAuthenticationSuccessHandler 登录成功后的逻辑

/**
 * 登陆成功处理
 * 
 * @author lenovo
 * 
 *         2019年7月29日
 */
@Slf4j
@Component
public class RestAuthenticationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {

    @Autowired
    // 这是用户相关的
    private UserMapper userMapper;

   // JWT过期时间 这里设置的是7天
    private final Long expiration=1000*7*24*60*60;


    // JWT加密密钥 可以自定义
    private String secret= "PwcJwtSecret";



    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
            Authentication authentication) throws ServletException, IOException {
        clearAuthenticationAttributes(request);
       User user = userMapper.queryByName(authentication.getName());
        String authorization = Constants.REQUEST_HEAD_PREFIX + AuthenticationUtil
                .generateAuthentication(secret,
                        new Date(System.currentTimeMillis() + expiration*1000),
                        ((LoginUserDTO) authentication.getPrincipal()).getUsername());
        LoginResponseDto loginResponseDto =
                new LoginResponseDto(authorization, user.getUserId(),user.getName(), null, null);
        Result<LoginResponseDto> result = Result.success(loginResponseDto);
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        response.getWriter().append(JSONObject.toJSONString(result));
        response.flushBuffer();

    }
}
  • RestAuthenticationFailureHandler 登录失败后的逻辑
/**
 * 登录失败处理
 * 
 * @author lenovo
 * 
 *         2019年7月29日
 */
@Slf4j
@Component
public class RestAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException exception) throws IOException, ServletException {
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        Result<Object> result = null;
        if (exception instanceof BadCredentialsException) {
        	result = Result.failed(ErrorCode.ERROR_CODE_FOR_LOGIN,
                    Constants.MESSAGE_ERROR_FOR_USER, null);
		}else {
	        result = Result.failed(ErrorCode.ERROR_CODE_FOR_LOGIN,
	                Constants.MESSAGE_ERROR_FOR_LOGIN, null);
	    }
        response.getWriter().append(JSONObject.toJSONString(result));
        response.flushBuffer();
    }
}
  • 退出成功后的逻辑 RestLogoutSuccessHandler
**
 * 退出登录处理
 */
@Slf4j
@Component
public class RestLogoutSuccessHandler extends SimpleUrlLogoutSuccessHandler {

    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response,
            Authentication authentication) throws IOException, ServletException {
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);

        response.getWriter().append(JSONObject.toJSONString(Result.success()));

        response.flushBuffer();
    }
}
  • JWT过滤器逻辑
/**
 * token的校验 该类继承自BasicAuthenticationFilter,在doFilterInternal方法中, 从http头的Authorization
 * 项读取token数据,然后用Jwts包提供的方法校验token的合法性。 如果校验通过,就认为这是一个取得授权的合法请求
 * UsernamePasswordAuthenticationFilter
 * UserAuthenticationFilter
 */
@Getter
@Setter
@Slf4j
public class JWTAuthenticationFilter extends BasicAuthenticationFilter {


    @Autowired
    private UserSecurityService userSecurityService;

    public JWTAuthenticationFilter(AuthenticationManager authenticationManager,
                                   UserSecurityService userSecurityService) {
        super(authenticationManager);
        this.userSecurityService = userSecurityService;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
                                    FilterChain chain) throws IOException, ServletException {
        String header = request.getHeader(KEY_TOKEN);

        if (StringUtils.isNotBlank(header)) {
            try {
                UsernamePasswordAuthenticationToken authentication = getAuthentication(request);
                SecurityContextHolder.getContext().setAuthentication(authentication);
            } catch (ExpiredJwtException e) {
                responseJson(response, ErrorCode.ERROR_CODE_TOKEN_EXPIRES, "authentication过期,请重新获取");
                return;
            } catch (Exception e) {
                responseJson(response, ErrorCode.ERROR_CODE_TOKEN_INVALID, "authentication无效");
                return;
            }
        }
        try {
            chain.doFilter(request, response);
        } catch (Exception e) {
            Result<?> res = Result.failed(e);
            if (e instanceof AppException) {
                log.error("exception : {}", res.getMessage());
            } else {
                log.error("exception : {}", e);
            }
            response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
            response.getWriter().write(JSONObject.toJSONString(res));
            response.flushBuffer();
        }

    }

    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
        String token = request.getHeader(KEY_TOKEN);
        if (token != null) {
            // parse the token.
            String userName = Jwts.parser().setSigningKey(Constants.CONFIG_JWT_SIGNING_PRIVATE_KEY)
                    .parseClaimsJws(token.replace("Bearer ", Constants.EMPTY)).getBody()
                    .getSubject();
            if (userName != null) {

                return new UsernamePasswordAuthenticationToken(userName,

                        null,
                        // 这里的用户角色应该是从jwt的token中解析出来的,我这边没在jwt中去存角色,所以在这里手写一个区代替,有什么问题可以加我vx: java_ing
                          AuthorityUtils.createAuthorityList("管理员") );
            }
            log.error("token can not be null !");
            return null;
        }
        return null;
    }

    private void responseJson(HttpServletResponse response, ErrorCode errorCode,
                              String errorMessage) throws IOException {
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        Result<Object> result = Result.failed(errorCode, errorMessage, null);
        response.getWriter().append(JSONObject.toJSONString(result));
        response.flushBuffer();
    }

}
  • JWT的解析和创建代码 AuthenticationUtil

public class AuthenticationUtil {

    public static String parseAuthentication(String signKey, String authorization) {
        return Jwts.parser()
                .setSigningKey(signKey)
                .parseClaimsJws(authorization.replace(REQUEST_HEAD_PREFIX, EMPTY))
                .getBody()
                .getSubject();
    }

// 这里的是简单的创建一个jwt 只放了一个用户名 如果需要再jwt中放更多东西需要写一个Claims 把想存的信息放在Claims中
    public static String generateAuthentication(String signKey, Date expireDate, String subject) {
        return Jwts.builder()
                .setSubject(subject)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS512, signKey)
                .compact();
    }
}


	这样其实就已经差不多完成了,但是因为有的项目中配置了swagger的原因,我们需要在swagger中配置一下token相关的东西。这里我也顺便贴
出来给大家用一下。
  • swagger配置类 SwaggerUIConfig

@Configuration
@EnableSwagger2
public class SwaggerUIConfig implements WebMvcConfigurer {
	@Bean
    public Docket api(){
	    

        ParameterBuilder ticketPar = new ParameterBuilder();
        List<Parameter> pars = new ArrayList<>();
        ticketPar.name(Constants.KEY_TOKEN).description("user token 认证")
                .modelRef(new ModelRef("string")).parameterType("header")
                .required(false).build();
        pars.add(ticketPar.build());
        return new Docket(DocumentationType.SWAGGER_2)
                .apiInfo(apiInfo())
                .select()
                .apis(RequestHandlerSelectors.basePackage("com.webapp.controller"))
                .paths(PathSelectors.any())
                .build()
                .globalOperationParameters(pars);
    }


    public ApiInfo apiInfo(){
        return new ApiInfoBuilder()
                .title("api接口说明")
                .description("swagger-ui测试")
                .termsOfServiceUrl("http://localhost/swagger-ui.html")
                .version("1.0.0")
                .build();
    }
    
}


	这样其实就已经大公告成了,我简单测试一下。
  1. 未登录的时候访问接口时,返回用户未登录。

在这里插入图片描述

  1. 用户登录,登录成功返回了一个token。
    在这里插入图片描述

  2. 携带token去访问接口,访问成功。
    在这里插入图片描述

  3. 退出登录。
    在这里插入图片描述

	注意一下,我这里的登录登出接口使用的是security内部接口,为了方便测试我写了一个空的接口方便swagger测试,就像下图一样,
其实这个接口在上线的时候完全没有存在的必要的,不懂的可以私信我或者加我vx: java_ing

在这里插入图片描述

至此整个整合内容就结束了,里面用到了一些常量类中的值,可能直接粘过去你们的代码会有问题,仔细斟辨一下,有不会的地方可以加我vx:java_ing一起交流交流哦~

懂的更多,不懂的更多! 一起加油吧!
空指针菌菇
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合security与jwt
08-05
springboot2.0整合security与jwt, 还整合了redis,与swagger-ui
springSecurity前后分离集成jwt
知识追寻者(Inheriting the spirit of open source, Spreading technology knowledge;)
12-11 167
一 前言 大家好,我是知识追寻者,本篇内容是springSecurity第四篇;没有相关基础的同学请学习后再来看这篇内容;文末附源码地址; 二 pom pom 文件引入的依赖 , security 的启动器支持security 功能;lombok 进行简化开发; fastjson 进行Json处理; jjwt 进行jwt token 支持;lang3 字符串处理; <dependencies> <dependency> <groupId&g
SpringSecurity 整合 JWT
weixin_33937913的博客
06-02 132
项目集成Spring Security(一) 在上一篇基础上继续集成 JWT ,实现用户身份验证。 前言 前后分离项目,如果直接把 API 接口对外开放,我们知道这样风险是很大的,所以在上一篇我们引入了 Spring Security ,但是我们在登陆后缺少了请求凭证部分。 什么是JWT? JWT是 Json Web Token 的缩写。它是基于 RFC 7519 标准...
前后分离SpringSecurity+JWT
niulinbiao的博客
09-08 1487
文章预览前言一、数据库准备1.1、用户表1.2、角色表1.3、用户角色表1.4、权限(菜单)表1.5、角色权限表二、环境准备2.1、整合Mybatis-Plus2.1.1、导入依赖2.1.2、配置文件2.1.3、配置Mybatis-Plus2.1.4、生成代码2.2、结果集封装2.3、全局异常处理2.4、跨域处理三、整合SpringSecurity3.1、引入依赖3.2、Jwt配置3.3、工具类3.3.1、JwtUtils.java3.3.2、RedisUtil配置3.4、验证码配置3.5、登录处理器3.5
SpringBoot前后分离项目集成Spring Security(完整版)
读钓的博客
05-12 4611
本文讲解使用SpringBoot版本:2.2.6.RELEASE,Spring Security版本:5.2.2.RELEASE Java流行的安全框架有两种Apache Shiro和Spring Security,其Shiro对于前后分离项目不是很友好,最终选用了Spring Security。SpringBoot提供了官方的spring-boot-starter-security,能够方便的集成SpringBoot项目,但是企业级的使用上,还是需要稍微改造下,本文实现了如下功能: 匿名用户.
基于springBoot+springSecurity+jwt实现前后分离用户权限认证
12-09
主要基于前后分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后商城系统源码
05-13
yshop基于当前流行技术组合的前后分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
Spring-Boot结合Security+JWT 简单实现前后分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后分离完成权限验证功能案例,案例,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前根据状态码进行重新登录;案例的用户名称: jake_j...
SpringBoot+Vue前后分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity整合Jwt过程图解
08-25
主要介绍了SpringSecurity整合Jwt过程图解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot集成JWT生成token及校验方法过程解析
08-19
主要介绍了SpringBoot集成JWT生成token及校验方法过程解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
【精品】SpringSecurity集成JWT
01-11 1511
0、准备工作 创建SpringBoot项目: -Maven依赖: -app 1、创建Jwt工具类 2、创建没有权限时,Jwt拒绝访问的处理器 3、创建Jwt授权的EntryPoint 4、创建UserDetailsService 5、创建Jwt认证过滤器 6、配置SpringSecurity ...
SpringSecurity整合JWT实现访问控制
weixin_43626356的博客
07-12 1512
Spring Security + JWT 实现登录+访问控制
Spring Security集成JWT实现权限认证
apple_52109766的博客
08-24 760
基于角色的访问控制(RBAC)是实施面向企业安全策略的一种有效的访问控制方式。其基本思想是,对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。这样做的好处是,不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。
springsecurity 的学习授权与认证
健康平安的活着的专栏
07-25 422
springSecurity 1.1 SpringSecurity的概念作用 Springsecurity 基于 Spring 框架,提供了一整套 完整的安全性Web 应用解决方案框架。主要有用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security重要核心功能。 1.用户认证指的是:验证某个用户是否为系统的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程.
spring-security登录流程和集成JWT功能
码上有源
05-03 1140
一、基本登录流程 编写一个配置文件 SecurityConfig.java package com.wesdata.com.config; import com.wesdata.com.filter.JwtAuthenticationTokenFilter; import com.wesdata.com.handler.MyAccessDeniedHandler; import com.wesdata.com.handler.MyAuthenticationEntryPoint; import org.s
springboot集成springSecurityjwt实现前后分离
weixin_45624186的博客
07-26 725
spring security,jwtspringboot
Spring Security 超详细整合 JWT,能否拿下看你自己!
最新发布
08-31 6018
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
前后分离项目使用spring security
05-27
是很常见的做法。Spring Security是一个强大的安全框架,可以帮助开发者实现身份认证、授权、会话管理等安全方面的功能。在前后分离项目,通常会将前和后完全分离,前负责展示界面,后提供API接口。这时候可以使用Spring Security来保护这些API接口,确保只有经过身份认证和授权的用户才能访问。 具体来说,可以使用Spring Security提供的JWT(JSON Web Token)机制来实现前后分离项目的安全认证JWT是一种轻量级的跨域认证方式,通过在用户登录成功后生成一个JWT令牌,然后在后续的API请求将令牌携带在请求头,来验证用户的身份和权限。后通过Spring Security来验证JWT令牌的合法性,从而保护API接口的安全性。 总之,使用Spring Security来保护前后分离项目的API接口是一种非常好的做法,可以保证系统的安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值