Java实习生小渣的Spring Security初探:从权限控制到JWT实战

最新推荐文章于 2025-11-25 12:39:27 发布
原创 最新推荐文章于 2025-11-25 12:39:27 发布 · 447 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Java #Spring Security #JWT #权限控制 #微服务 #Java实习

Java实习生小渣的Spring Security初探:从权限控制到JWT实战

小渣与mentor的对话:引入Spring Security

小渣:mentor,最近项目中涉及用户权限控制,我听说Spring Security很强大,但我还没实际用过,能介绍下吗?

mentor:当然,Spring Security是Java生态中最常用的安全框架,支持认证、授权、CSRF防护等功能。我们今天就从基础权限控制开始,带你一步步理解并实战JWT认证。

一、Spring Security基础权限控制

Spring Security通过配置过滤器链来实现请求拦截和权限校验。下面是一个简单的配置示例:

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()  // 公开路径
                .antMatchers("/admin/**").hasRole("ADMIN")  // 只有ADMIN角色可访问
                .anyRequest().authenticated()  // 其他请求需登录
            .and()
            .formLogin()
            .and()
            .httpBasic();
    }
}

这段代码中,我们定义了访问规则,确保敏感路径只有特定角色才能访问。

二、引入JWT实现无状态认证

传统的session认证在分布式环境下扩展性差,JWT(JSON Web Token)提供了无状态的认证方案。我们用Spring Security结合JWT来实现:

1. 生成JWT Token

public class JwtUtil {
    private static final String SECRET_KEY = "mySecretKey";

    public static String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10)) // 10小时有效
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }
}

2. 解析和验证JWT

public class JwtUtil {
    // 省略生成方法

    public static String extractUsername(String token) {
        return Jwts.parser()
            .setSigningKey(SECRET_KEY)
            .parseClaimsJws(token)
            .getBody()
            .getSubject();
    }

    public static boolean validateToken(String token, UserDetails userDetails) {
        final String username = extractUsername(token);
        return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
    }

    private static boolean isTokenExpired(String token) {
        Date expiration = Jwts.parser()
            .setSigningKey(SECRET_KEY)
            .parseClaimsJws(token)
            .getBody()
            .getExpiration();
        return expiration.before(new Date());
    }
}

3. Spring Security中集成JWT过滤器

public class JwtRequestFilter extends OncePerRequestFilter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
        final String authorizationHeader = request.getHeader("Authorization");

        String username = null;
        String jwt = null;

        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            jwt = authorizationHeader.substring(7);
            username = JwtUtil.extractUsername(jwt);
        }

        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

            if (JwtUtil.validateToken(jwt, userDetails)) {
                UsernamePasswordAuthenticationToken authToken = new UsernamePasswordAuthenticationToken(
                        userDetails, null, userDetails.getAuthorities());
                authToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(authToken);
            }
        }
        chain.doFilter(request, response);
    }
}

配置过滤器链时加入此过滤器即可完成JWT认证。

三、总结

通过今天的学习,小渣了解了Spring Security的基础权限控制机制,以及如何结合JWT实现无状态认证,适合分布式微服务环境。互联网大厂的安全策略非常重视认证与授权,掌握这些技术能帮助我们写出更安全、健壮的Java应用。

下一次,小渣计划和mentor探讨Spring Cloud微服务中的服务安全与服务注册认证,敬请期待!

希望本文对刚入门Spring Security的小伙伴有所帮助,欢迎留言交流~

java+spring-boot-jwt + spring security集成实战项目.zip
08-17
在本项目中,我们主要探讨...通过这个项目,你可以深入理解JavaSpring Boot、Spring SecurityJWT的集成,以及如何在实际项目中实现安全控制。这将有助于提升你的技能,使你能够构建更安全、更高效的企业级Web应用。
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
SpringSecurity+OAuth2+JWT分布式权限控制
技术目录
博主逸尘
11-06 4328
原创 学会了这些技术,你离BAT大厂不远了 ...
go技术文章梳理(2018)
NicolasLearner的博客
03-02 10万+
gocn_news_2018-12-31 1. Go 入门简介:http://t.cn/EbjzeSt 2. Go GraphQL 新手指南: https://tutorialedge.net/golang/go-graphql-beginners-tutorial/ 3. 你需要 Go web 框架吗:https://medium.com/@tusharsoni/do-you-need-a-web-framework-for-go-51171bb0ea8c 4. OpenEdge:开放的边缘计算平
全面解读Spring Cloud Zuul:从配置到优化的实战指南
热门推荐
张彦峰的博客
02-14 168万+
微服务架构中,API网关作为核心组件之一,承担着请求路由、负载均衡、安全认证等重要功能。Spring Cloud Zuul作为一款功能强大的API网关解决方案,得到了广泛应用。本文将深入探讨Spring Cloud Zuul的各项功能,从基础配置到工作原理,再到多层负载和应用优化,全面解析其在实际应用中的最佳实践与实用技巧,为开发者提供一站式指导,助力其打造高性能、高可用的微服务架构。
SpringBoot集成Spring Security全解:从入门到精通实战指南(亲测可用)
本博客聚焦 YOLOv11 全流程落地,涵盖架构优化、数据集处理、训练技巧与多场景部署,兼及国产数据库、Java 开发与 AI 模型应用,内容兼顾理论与工程实践,为开发者提供系统干货,助力高效提升技术能力。
06-10 2296
1.3 Spring Boot的“魔法”:让安全配置“开箱即用” 如果说Spring Security是功能强大的“瑞士军刀”,那么Spring Boot就是那位能帮你把刀用得行云流水的“魔术师”。在没有Spring Boot的时代,配置Spring Security是一件相当繁琐的事情,你需要编写大量的XML或Java配置代码,来定义各种过滤器、处理器和提供者。 Spring Boot的出现彻底改变了这一切。它遵循“约定优于配置”的原则,通过spring-boot-starter-security这个启
Spring Security With JWT(含权限验证) 示例,基于 Spring Boot 3.5.0 + Java 21。.zip
08-22
通过这些示例,可以了解到如何在Spring Security中配置JWT认证流程,如何在控制器中保护资源访问,以及如何利用JWT的声明(Claim)来进行更细粒度的权限控制。 此外,该示例项目还包括了错误处理和异常管理的相关...
Go语言高性能网络微服务与gRPC实战分享:接口设计与并发优化经验
2501_94114815的博客
11-23 448
协程池与异步任务提升高并发处理能力批量请求与连接复用优化网络性能服务注册与负载均衡保证系统高可用日志与监控及时发现异常Protobuf 序列化与压缩提高传输效率Go 语言结合 gRPC,通过高并发处理、轻量 RPC 和高效序列化,为物联网和互联网高性能微服务提供了稳定、可扩展的解决方案。
Python在高并发微服务数据同步与分布式事务处理中的实践与优化
2501_94187056的博客
11-23 539
开发效率高:快速封装异步任务与消息处理生态丰富:支持 Kafka、RabbitMQ、Redis、Celery、asyncio 等易扩展与维护:模块化、异步、批量任务处理高性能可靠:结合幂等设计、批量处理、异步调度与监控告警通过异步任务队列、幂等写入、分布式事务和高并发优化,Python 完全可以支撑大规模微服务数据同步,实现低延迟、高可用、可扩展、可监控的架构,为互联网业务稳定运行和数据一致性提供可靠保障。
Python在微服务高并发异步流量控制与动态限流熔断架构中的实践
2501_94187981的博客
11-23 814
开发效率高:快速封装异步限流、熔断和降级逻辑生态丰富:支持 FastAPI、aiohttp、asyncio、Prometheus易扩展与维护:模块化、异步、高可用高性能可靠:结合动态限流、熔断策略与监控告警通过异步流量控制、动态限流、熔断降级与监控告警,Python 完全可以支撑微服务高并发请求场景,实现低延迟、高可用、可扩展、可监控的架构,为互联网业务提供稳定可靠的流量防护能力。
基于 Rust 与 Actix 构建高并发低延迟微服务与实时数据处理系统实践分享
2501_94114632的博客
11-24 367
本文结合实际工程经验,从系统架构设计、异步 Actor 模型、微服务拆分、消息与事件管理、数据库与缓存优化、网络与序列化、性能调优、监控与工程化运维等方面,分享 Rust + Actix 在高并发实时微服务系统下的落地实践与优化经验。模块化拆分保证每个服务职责清晰,可独立部署、扩缩容和快速迭代。通过模块化架构设计、Actor 并发优化、消息与状态管理、网络与序列化优化,以及完善工程化运维体系,开发者能够实现高性能、低延迟、稳定可靠的企业级微服务系统,为金融、在线教育、社交平台和物联网场景提供可靠技术支撑。
Go高性能微服务与gRPC实战分享:多服务通信、负载均衡与性能优化经验
2501_94180531的博客
11-23 453
微服务拆分与异步通信保证高吞吐量连接复用与批量请求减少网络开销协程池与异步调用提升并发处理能力负载均衡与熔断限流保证高可用监控与告警机制确保系统稳定运行Go 结合 gRPC,通过高性能微服务设计、异步处理和协议优化,为 SaaS、电商和互联网系统提供了稳定、高效且可扩展的微服务解决方案。
TypeScript与Node.js高性能后台服务开发实践分享:异步架构与微服务优化经验
2501_94114332的博客
11-23 478
充分利用异步与事件驱动,提高并发处理能力微服务拆分,提升系统可扩展性与维护性类型安全数据库访问,减少运行时错误缓存、限流与连接池优化,保障高并发场景性能日志和监控,保障系统可观测性与稳定性TypeScript + Node.js结合现代异步架构和微服务设计模式,不仅能实现高性能后台服务,还能提供良好的可维护性和团队协作效率。
基于 Elixir 与 Phoenix 构建高并发实时通信与分布式微服务系统实践分享
2501_94114585的博客
11-24 390
本文结合实际工程经验,从系统架构设计、并发与进程模型、微服务拆分、消息与事件驱动、数据库与缓存优化、网络与序列化、性能调优、监控与工程化运维等方面,分享 Elixir + Phoenix 在高并发实时通信与分布式微服务系统下的落地实践与优化经验。通过模块化架构设计、轻量进程优化、消息与状态管理、网络与序列化优化,以及完善工程化运维体系,开发者能够实现高性能、低延迟、稳定可靠的企业级实时微服务系统,为社交平台、在线教育、金融交易和物联网场景提供可靠技术支撑。
Python在微服务高并发异步日志采集与分布式监控告警平台中的实践
2501_94186637的博客
11-23 797
开发效率高:快速封装异步日志采集、批量处理与监控告警生态丰富:支持 Kafka、Redis、Elasticsearch、asyncio、Prometheus易扩展与维护:模块化、异步、分布式负载均衡高性能可靠:结合异步批量处理、幂等设计、动态扩容和监控告警通过异步日志采集、批量处理、分布式存储、实时监控和告警,Python 完全可以支撑微服务高并发日志场景,实现低延迟、高吞吐、可扩展、可监控的日志与监控系统,为互联网业务提供可靠运维保障。
SpringCloud系列教程:微服务的未来(十四)网关登录校验、自定义过滤器GlobalFilter、GatawayFilter
最新发布
2509_94004950的博客
11-25 544
微服务架构中,API 网关扮演着至关重要的角色,负责路由请求、执行安全验证、流量控制等任务。Spring Cloud Gateway 作为一个强大的网关解决方案,提供了灵活的方式来实现这些功能。本篇博客将重点介绍如何在 Spring Cloud Gateway 中实现网关登录校验,以及如何利用自定义过滤器(GlobalFilter 和 GatewayFilter)来处理请求和响应。通过这些技术,开发者可以在网关层统一处理认证、授权等功能,同时保持对路由的细粒度控制。
架构的取舍之道:在微服务的“混乱”中建立秩序
IT幻彩世界之炫酷
11-24 958
本文系统阐述了中级工程师向高级/架构师进阶的关键方法论。核心观点包括:1)采用DDD思想划分服务边界,通过业务、技术、组织三维度考量;2)提出五步决策规则(聚合根归属、生命周期、事务边界、变更频率、团队边界);3)解决数据冗余与查询问题,建议适度冗余并引入ES宽表;4)分布式事务处理策略,优先本地事务,必要时采用最终一致性方案。文章强调架构设计的核心在于边界划分与权衡思维,为技术晋升提供了系统化的方法论框架。
Python在微服务高并发API网关请求路由与异步限流架构中的实践与优化
2501_94188461的博客
11-23 779
开发效率高:快速封装异步路由、限流和动态更新逻辑生态丰富:支持 FastAPI、aiohttp、httpx、Redis、Prometheus易扩展与维护:模块化、异步、分布式路由和限流高性能可靠:结合异步请求、批量聚合、分布式限流与监控告警通过异步请求路由、高并发限流、动态路由更新和监控告警,Python 完全可以支撑微服务高并发 API 场景,实现低延迟、高吞吐、可扩展、可监控的网关架构,为互联网业务提供可靠基础设施。
Python在微服务高并发异步任务调度与分布式事件处理架构中的实践
2501_94187713的博客
11-23 963
开发效率高:快速封装异步任务消费、批量处理与分布式调度生态丰富:支持 Kafka、Redis、Celery、asyncio、Prometheus易扩展与维护:模块化、异步、分布式负载均衡高性能可靠:结合幂等设计、批量异步处理、动态扩容和监控告警通过异步任务调度、事件批量处理、动态扩容与监控告警,Python 完全可以支撑微服务高并发异步场景,实现低延迟、高吞吐、可扩展、可监控的系统架构,为互联网业务提供可靠基础设施。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值