SpringSecurity整合JWT实现登录的认证授权

最新推荐文章于 2024-06-18 07:28:07 发布
最新推荐文章于 2024-06-18 07:28:07 发布
阅读量434 收藏
点赞数 6
文章标签: java spring boot intellij-idea 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49808352/article/details/137124570
版权
文章详细描述了如何在SpringBoot应用中使用JWT进行用户认证,通过保存用户信息在会话中并解析token来控制访问权限。还介绍了自定义的TokenAuthorizationManager用于根据用户角色进行授权和URL匹配。
摘要由CSDN通过智能技术生成
  1. 认证、会话、授权
    用户认证通过后,为了避免用户的每次操作都进行认证,所以可以将用户的信息保存在会话中(JWT),token解析成功后,根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则用户正常访问,没有权限则拒绝访问。
    在这里插入图片描述
  2. 登录认证,生成token
//controller层
@RestController
@RequestMapping("security")
public class LoginController {
    @Autowired
    AuthenticationManager authenticationManager;
    @PostMapping("/login")
    public String login(@RequestBody LoginDto loginDto){
        UsernamePasswordAuthenticationToken authentication
                =new UsernamePasswordAuthenticationToken(loginDto.getUsername(),loginDto.getPassword());
        Authentication authenticate = authenticationManager.authenticate(authentication);
        if( authenticate.isAuthenticated() ){ //认证通过
            Object principal = authenticate.getPrincipal();
            Map<String, Object> claims = new HashMap<>();
            claims.put("user",principal);
            String token = JwtUtil.createJWT("itcast",360000, claims);
            return token;
        }else{
            return "";
        }
    }
}

//service层
@Component
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //查询用户
        User user = userMapper.findByUsername(username);
        if(user == null){
            throw new RuntimeException("用户不存在或已被禁用");
        }
        UserAuth userAuth = new UserAuth();
        userAuth.setUsername(user.getUsername());
        userAuth.setPassword(user.getPassword());
        userAuth.setNickName(user.getNickName());
        //添加角色
        List<String> roles=new ArrayList<>();
        if("yz@qq.com".equals(username)){
            roles.add("USER");
            userAuth.setRoles(roles);
        }
        if("admin@qq.com".equals(username)){
            roles.add("USER");
            roles.add("ADMIN");
            userAuth.setRoles(roles);
        }
        return userAuth;
    }
}

//配置类
@Configuration
public class SecurityConfig {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests().antMatchers("/security/login").permitAll();
        http.csrf().disable();
        //返回
        return http.build();
    }

	//认证管理器
    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception {
        return authenticationConfiguration.getAuthenticationManager();
    }
	//BCrypt密码
    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}
  1. 授权,完成不同角色的授权登录
    在这里插入图片描述
//自定义授权管理器
@Component
public class TokenAuthorizationManager implements AuthorizationManager<RequestAuthorizationContext> {

    @Override
    public AuthorizationDecision check(Supplier<Authentication> authentication, RequestAuthorizationContext requestAuthorizationContext) {

        //获取request
        HttpServletRequest request = requestAuthorizationContext.getRequest();
        //获取用户当前的请求地址
        String requestURI = request.getRequestURI();
        //获取token
        String token = request.getHeader("token");
        if(null == token || "".equals(token)){
            return new AuthorizationDecision(false);
        }
        //解析token
        Claims claims = JwtUtil.parseJWT("itcast", token);
        if (ObjectUtil.isEmpty(claims)) {
            //token失效
            return new AuthorizationDecision(false);
        }
        //获取userAuth
        UserAuth userAuth = JSONObject.parseObject(JSON.toJSONString(claims.get("user")),UserAuth.class);
        //存入上下文
        UsernamePasswordAuthenticationToken auth
                =new UsernamePasswordAuthenticationToken( userAuth, userAuth.getPassword(), userAuth.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(auth);

        //判断地址与对象中的角色是否匹配
        if(userAuth.getRoles().contains("ADMIN")){
            if("/hello/admin".equals(requestURI)){
                return new AuthorizationDecision(true);
            }
        }
        if(userAuth.getRoles().contains("USER")){
            if("/hello/user".equals(requestURI)){
                return new AuthorizationDecision(true);
            }
        }
        return new AuthorizationDecision(false);
    }
}

//修改配置类的部分内容,加入自定义授权管理器
@Configuration
public class SecurityConfig {
    @Autowired
    private TokenAuthorizationManager tokenAuthorizationManager;
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests().antMatchers("/security/login").permitAll()
                .anyRequest().access(tokenAuthorizationManager);
        //关闭session
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        //关闭缓存
        http.headers().cacheControl().disable();
        http.csrf().disable();
        //返回
        return http.build();
    }
}
姜河lzx
关注
  • 6
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringSecurity结合JwtToken验证(后端部分)
jakelihua
08-31 249
简介:本文在SpringSecurity基础公共之上,整合JwtToken功能,本文是后端部分。项目代码地址:https://gitee.com/geek-li-hua/code-in-blog.git。
Spring Security中使用token
热门推荐
超频化石鱼的博客
09-12 1万+
单点登录与多点登录 单点登录:同一个账号在同一时间只有一个token有效。一旦生成新的token,所有旧token失效。 多点登录:同一个账号在同一时间可多次登录,每次登陆都会获得一个token。这些token的有效期是隔离的,不受新生成token的影响。 对于token,若要实现单点登录,则必须将所有token保存在服务端。这实际上与token服务端不负责保存的本质相悖。若要实现单点登录,建议使用session。 下面将实现多点登录。 原理与思路 Spring Security认证授权是分开的:
springSecurity(二):实现登入获取token与解析token
最新发布
qq_43586337的博客
06-18 1306
实现登入获取token与解析token
SpringSecurity实现后端分离登录token认证详解
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
SpringSecurity - 整合JWT使用 Token 认证授权
小毕超博客
01-09 6685
一、SpringSecurity 前面讲解了SpringSecurity的动态认证和动态权限角色,我们都知道在现在大多都是微服务前后端分离的模式开发,前面讲的还是基于Session的,本篇我们整合JWT实现使用Token认证授权。 上篇文章地址:https://blog.csdn.net/qq_43692950/article/details/122394611 在开始前需要了解JWT,如果不了解,可以先看下下面这篇我的博客: https://blog.csdn.net/qq_43692950/art
Spring Security添加token授权登陆
student100000的博客
08-03 7874
需求:其他项目要跳转我们的springboot+springsecurity项目,需要授权特定token登陆。 实现思路:添加过滤器,拦截请求中的token,传递给Authentication鉴权,如果这个请求不带有授权信息,被拦截后,会跳转登录页面。一.先来了解下springsecurity,熟悉的跳过该部分 1)Spring Security介绍: Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的
spring boot中常用的安全框架 Security框架 利用Security框架实现用户登录验证token和用户授权(接口权限控制)
Json的知识梦工厂
07-23 4807
org.springframework.security.crypto.password.PasswordEncoder 接口。
SpringSecurity整合JWT实现单点登录
naichalike123的博客
12-17 713
SpringSecurity整合JWT实现单点登录前言一、JWT是什么二、SpringSecurity整合JWT步骤1.引入库2.读入数据总结 前言 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 为什么要使用JWT? JWT的精髓在于:“去中心化”,数据是保存在客户端的。 一、JWT是什么 jwt属于无状态设计,用户登陆的信息关键存放在jwt加密数据里,这种设计下服务器不需要存储jwt密文,只需要解密就能拿到授权信息等用户信息。这种设计是一种利用计算力减少token
SpringSecurity结合jwt完成登陆认证
weixin_43877318的博客
04-19 256
SpringBoot结合SpringSecurityJwt完成登陆认证 1.准备工作导入相关依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-bo...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring SecurityJWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringBoot+SpringSecurity整合实现登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
SpringBoot2.6整合SpringSecurity+JWT
01-11
**三、SpringBoot 2.6与Spring Security整合** 1. **添加依赖**:首先,在`pom.xml`文件中引入Spring SecurityJWT的相关依赖,如`spring-security-oauth2-jose`和`jjwt`库。 2. **配置Spring Security**:创建一...
仅用四步就整合SpringSecurity+JWT实现登录认证!.doc
07-08
SpringSecurity简介】 SpringSecurity 是一款强大的安全框架,它...通过以上四个步骤,我们可以构建一个基础的SpringSecurity+JWT认证系统,但实际应用中可能还需要考虑更多的安全细节,如Token刷新、黑名单管理等。
SpringSecurity 实现token 认证
qq_45535340的博客
06-07 4575
实现token 认证
3.Spring Security实现JWT token验证
相互学习 共同进步
04-24 3230
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
后端架构token授权认证机制:spring security JSON Web TokenJWT)简例
Zhang Phil
02-10 6832
spring security JSON Web TokenJWT)简单例子实现 在基于token的客户端-服务器端认证授权以前,前端到服务器端的认证-授权通常是基于session,自从token机制出现并流行起来后,基于token的客户端-服务器端认证-授权访问机制变得越来越主要,token机制从某种意义上讲是过去session会话机制的另外一种解决方案,并尤其适用于当前的大规模集群和分布式体系架构。 客户端(浏览器web前端、app移动端等)与后端服务基于token认证-授权访问流程一般情况是这
SpringBoot】集成SpringSecurity+JWT实现多服务单点登录,原来这么easy
墩墩分墩
09-25 2233
- **单点登录(SingleSignOn,SSO)**,当用户在身份`认证服务器`上登录一次以后,即可**获得访问单点登录系统中其他关联系统和应用软件的权限**,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,`用户只需一次登录就可以访问所有相互信任的应用系统`。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的一种**分布式登录方式**。
SpringSecurity+JWT登录认证
张氏小毛驴的博客
08-11 1952
其实,到了这里我们就差将我们自定义的Filter和Provider添加到SpringSecurity的主配置中,就实现认证了,但我们这次用的是JWT方式,服务器端并没有记录登录用户的信息,因此我们需要多一个过滤器,用来拦截请求,验证Token的,如果请求携带了Token,并且token里的信息是正确的,我们才将Authentication设置已认证,让SpringSecurity过滤器链去做后续的鉴权啥的。​ 俺今天是要使用SpringSecurity实现JWT认证,前后端分离,使用JSON交互。...
springsecurity整合jwt实现登录认证代码示例
06-09
好的,以下是一个简单的 Spring Security 整合 JWT 实现登录认证的代码示例: 首先,需要添加以下依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 接着,定义一个 JWT 工具类,用于生成和解析 JWT: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.beans.factory.annotation.Value; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.stereotype.Component; import java.util.Date; import java.util.HashMap; import java.util.Map; import java.util.function.Function; @Component public class JwtUtils { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private Long expiration; public String generateToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); return createToken(claims, userDetails.getUsername()); } private String createToken(Map<String, Object> claims, String subject) { Date now = new Date(); Date expirationDate = new Date(now.getTime() + expiration * 1000); return Jwts.builder() .setClaims(claims) .setSubject(subject) .setIssuedAt(now) .setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS256, secret) .compact(); } public Boolean validateToken(String token, UserDetails userDetails) { final String username = getUsernameFromToken(token); return username.equals(userDetails.getUsername()) && !isTokenExpired(token); } public String getUsernameFromToken(String token) { return getClaimFromToken(token, Claims::getSubject); } public Date getExpirationDateFromToken(String token) { return getClaimFromToken(token, Claims::getExpiration); } public <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) { final Claims claims = getAllClaimsFromToken(token); return claimsResolver.apply(claims); } private Claims getAllClaimsFromToken(String token) { return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody(); } private Boolean isTokenExpired(String token) { final Date expiration = getExpirationDateFromToken(token); return expiration.before(new Date()); } } ``` 其中,`${jwt.secret}` 和 `${jwt.expiration}` 是从配置文件中读取的 JWT 密钥和过期时间。 然后,在 `WebSecurityConfig` 中配置 JWT 认证: ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.http.HttpMethod; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.builders.WebSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.config.http.SessionCreationPolicy; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter; @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Autowired private JwtUserDetailsService jwtUserDetailsService; @Autowired private JwtRequestFilter jwtRequestFilter; @Autowired private PasswordEncoder passwordEncoder; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(jwtUserDetailsService).passwordEncoder(passwordEncoder); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/authenticate").permitAll() .antMatchers(HttpMethod.OPTIONS, "/**").permitAll() .anyRequest().authenticated() .and() .exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint) .and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class); } @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/resources/**", "/static/**", "/css/**", "/js/**", "/images/**"); } @Override protected AuthenticationManager authenticationManager() throws Exception { return super.authenticationManager(); } } ``` 其中,`JwtAuthenticationEntryPoint` 是自定义的未授权处理器,`JwtUserDetailsService` 是自定义的用户详情服务,`JwtRequestFilter` 是自定义的 JWT 过滤器。 最后,定义一个控制器来处理登录请求: ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.http.ResponseEntity; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.AuthenticationException; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UsernameNotFoundException; import org.springframework.web.bind.annotation.*; import javax.validation.Valid; @RestController @RequestMapping("/api") public class JwtAuthenticationController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtUtils jwtUtils; @Autowired private JwtUserDetailsService jwtUserDetailsService; @PostMapping("/authenticate") public ResponseEntity<?> authenticate(@Valid @RequestBody JwtRequest jwtRequest) throws Exception { try { authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(jwtRequest.getUsername(), jwtRequest.getPassword())); } catch (AuthenticationException e) { throw new UsernameNotFoundException("Invalid username or password"); } final UserDetails userDetails = jwtUserDetailsService.loadUserByUsername(jwtRequest.getUsername()); final String token = jwtUtils.generateToken(userDetails); return ResponseEntity.ok(new JwtResponse(token)); } } ``` 其中,`JwtRequest` 是自定义的请求实体类,`JwtResponse` 是自定义的响应实体类。 这样,就完成了 Spring Security 整合 JWT 实现登录认证的代码示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值