Spring Security 超详细整合 JWT,能否拿下看你自己!

于 2024-07-02 17:19:30 发布
阅读量275 收藏 7
点赞数 3
文章标签: spring java 数据库 后端 matlab
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62113349/article/details/140132011
版权

Spring Security是一个功能强大并且高度可定制的Java安全框架,用于保护基于Spring的应用程序。JWT(JSON Web Tokens)是一种用于在网络应用环境间传递声明的一种紧凑的、URL安全的方式。JWT可以被用来认证和信息交换。将Spring Security与JWT整合可以为应用程序提供一个安全且高效的认证机制。

以下是Spring Security与JWT整合的超详细步骤:

### 1. 环境准备
确保你的开发环境中已经包含了Spring Boot和Spring Security的依赖。

```xml
<!-- pom.xml中添加Spring Security和JWT的依赖 -->
<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>你的JWT库版本</version>
    </dependency>
</dependencies>
```

### 2. 配置Spring Security
创建一个配置类来定义Spring Security的安全性策略。

```java
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

    @Autowired
    private JwtAccessDeniedHandler jwtAccessDeniedHandler;

    @Autowired
    private CustomTokenProvider tokenProvider;

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
            .csrf().disable()
            .authorizeRequests()
            .antMatchers("/api/public/**").permitAll()
            .anyRequest().authenticated()
            .and()
            .exceptionHandling()
            .authenticationEntryPoint(jwtAuthenticationEntryPoint)
            .accessDeniedHandler(jwtAccessDeniedHandler);
        httpSecurity
            .addFilterBefore(jwtRequestFilter(), FilterOrder.AUTHENTICATION);
    }

    @Bean
    public Filter jwtRequestFilter() {
        return new JwtRequestFilter(tokenProvider, authenticationManager());
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    // 其他Bean定义...
}
```

### 3. JWT认证过滤器
创建JWT请求过滤器,用于拦截请求并验证JWT。

```java
public class JwtRequestFilter extends OncePerRequestFilter {

    private final CustomTokenProvider tokenProvider;
    private final AuthenticationManager authenticationManager;

    public JwtRequestFilter(CustomTokenProvider tokenProvider, AuthenticationManager authenticationManager) {
        this.tokenProvider = tokenProvider;
        this.authenticationManager = authenticationManager;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String jwt = getJwtFromRequest(request);
        if (jwt != null && tokenProvider.validateToken(jwt)) {
            Authentication authentication = authenticationManager.authenticate(
                new JwtAuthenticationToken(jwt)
            );
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }
        filterChain.doFilter(request, response);
    }

    private String getJwtFromRequest(HttpServletRequest request) {
        String bearerToken = request.getHeader("Authorization");
        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7);
        }
        return null;
    }
}
```

### 4. JWT令牌提供者
创建一个服务来提供JWT令牌。

```java
@Service
public class CustomTokenProvider {

    public String generateToken(Authentication authentication) {
        UserDetails userDetails = (UserDetails) authentication.getPrincipal();
        // 构建JWT的payload
        String token = Jwts.builder()
                .setSubject(userDetails.getUsername())
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60)) // 1小时后过期
                .signWith(SignatureAlgorithm.HS512, "your-secret-key").compact();
        return token;
    }

    public boolean validateToken(String token) {
        try {
            Jwts.parser().setSigningKey("your-secret-key").parseClaimsJws(token);
            return true;
        } catch (JwtException | IllegalArgumentException e) {
            return false;
        }
    }

    // 其他方法...
}
```

### 5. 用户详情服务
实现`UserDetailsService`接口,用于从数据库获取用户信息。

```java
@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;
    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found with username: " + username);
        }
        return new org.springframework.security.core.userdetails.User(
                user.getUsername(),
                user.getPassword(),
                getAuthorities(user)
        );
    }

    private Collection<? extends GrantedAuthority> getAuthorities(User user) {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        // 根据用户角色添加权限...
        return authorities;
    }
}
```

### 6. 异常处理
创建自定义异常处理类,用于处理安全相关的异常。

```java
@Component
public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException {
        response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
    }
}
```

### 7. 测试
编写单元测试和集成测试来验证安全性策略。

### 8. 部署
将应用程序部署到服务器或云环境。

整合Spring Security和JWT涉及到许多细节,上述步骤提供了一个大致的框架。在实际开发中,你可能需要根据具体需求调整配置和实现。
 

TI-实战营
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一文详解jwt token以及sprig boot如何整合实现 jwt token操作
念兮为美
09-26 1707
一文详解jwt token以及sprig boot如何整合实现 jwt token操作。
SpringSecurity整合Jwt过程图解
08-25
在本文中,我们将详细介绍SpringSecurity整合Jwt的过程图解。Jwt(Json Web Token)是一种基于Token的身份验证机制,广泛应用于Web应用程序的身份验证和授权中。SpringSecurity是一个基于Java的安全框架,它提供了...
Springboot集成SecurityJWT
qq1016499728博客
11-28 1048
Springboot版本2.3.3 pom依赖 <!--security+JWT--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <gro
SpringBoot3.0 + SpringSecurity6.0+JWT
胖胖爱吃肉~的博客
03-03 2万+
SpringBoot3.0 + SpringSecurity6.0+JWTSpring SecuritySpring 家族中的一个安全管理框架。一般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作搭建一个SpringBoot工程① 设置父工程 添加依赖 配置文件application.yml ② 创建启动类 ③ 创建Controller 启动项目,查看接口文档地址:http://localhost:4
Spring Security+JWT简述
热门推荐
姜守威的博客
06-03 2万+
目录一. 什么是Spring Security1. 登陆校验的流程2. SpringSecurity基础案例二. Spring Security原理流程 一. 什么是Spring Security Spring SecuritySpring家族的一个安全管理框架, 相比于另一个安全框架Shiro, 它具有更丰富的功能。一般中大型项目都是使用SpringSecurity做安全框架, 而Shiro上手比较简单 spring security 的核心功能: 认证(你是谁): 只有你的用户名或密码正确才能
SpringSecurity + JWT(前后端分离)
HGW的博客
09-30 5252
想必大四的小伙伴们陆陆续续开始写毕业设计了,对于网络安全框架SpringSecurity在网上的资源都是前后端不分离的,这里记录一下小伟的前后端分离版。
Spring Security + JWT 实现认证和授权
修理男爵的博客
11-10 1903
数据库Spring Security JWT JwtToken @Data public class JwtToken { private String token; private String username; private Long expireTime; } JwtTokenProvider @Slf4j @Component public class JwtTokenProvider { public JwtToken cre..
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
因此,本文将详细介绍如何将SpringSecurityjwt整合SpringBoot项目中,以提供一个安全的身份验证和授权机制。 什么是SpringSecuritySpringSecurity是一个基于Java的安全框架,它提供了一个灵活的安全机制来...
SpringBoot2.6整合SpringSecurity+JWT
01-11
在本文中,我们将深入探讨如何在SpringBoot 2.6版本中整合Spring Security与JSON Web TokenJWT)技术。Spring SecuritySpring框架的一个模块,提供了一套强大的安全控制机制,而JWT则是一种轻量级的身份验证和...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring Security与OAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
Spring Boot + Security + JWT 实现Token验证+多Provider——登录系统
weixin_30252155的博客
06-05 570
首先呢就是需求: 1、账号、密码进行第一次登录,获得token,之后的每次请求都在请求头里加上这个token就不用带账号、密码或是session了。 2、用户有两种类型,具体表现在数据库中存用户信息时是分开两张表进行存储的。 为什么会分开存两张表呢,这个设计的时候是先设计的表结构,有分开的必要所以就分开存了,也没有想过之后Security 这块需要进行一些修改,但是分开存就分开存吧,Secu...
SpringSecurity整合JWT实现访问控制
weixin_43626356的博客
07-12 1546
Spring Security + JWT 实现登录+访问控制
Spring Security + JWT
weixin_44612246的博客
03-10 635
SpringSecurity + Jwt实现方案
Spring Security 详细整合 JWT,能否拿下看你自己!
最新发布
08-31 6631
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT 的认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
JWT及和Spring Security整合
如果你想拥有更多的人生选择,你必须拥有更多的知识。-- 来自u011437883的博客
05-03 2277
JWT,全称是Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权: 解析jwt的官网:https://jwt.io/
SpringSecurity整合jwt
qq_51705526的博客
05-02 7065
前言: 准备把权限管理写到自己的jee项目中, 索性想到了SpringSecurity框架, 就来学一下! 认证 登录校验流程 token可以存在localstoryge springsecurity完整流程 就是一个过滤链 UsernamePasswordAuthenticationFilter:(认证)处理登录页面填写了用户名和密码之后的登录请求ExcpetionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationEx
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
m0_67261762的博客
07-03 570
Spring Security作为成熟且强大的安全框架,得到许多大厂的青睐。而作为前后端分离的SSO方案,JWT也在许多项目中应用。本文将介绍如何通过Spring Security实现JWT认证。用户与服务器交互大概如下:我们把要整合Spring SecurityJWT加入到项目的依赖中去: 2.1 JWT整合 2.1.1 JWT工具类 JWT工具类起码要具有以下功能:具体代码如下: 工具类还实现了另一个功能:从HTTP请求头中获取JWT。Filter是Security处理的关键,基本上都是
3.Spring Security实现JWT token验证
相互学习 共同进步
04-24 3204
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
springsecurity整合oauth2 jwt
07-28
Spring Security整合OAuth2 JWT是一种常见的身份验证和授权机制。在整合过程中,需要导入Spring Security和OAuth2的相关依赖\[1\]。同时,需要创建一个JwtTokenEnhancer类,用于向JWT中添加自定义信息\[2\]。在存储token方面,可以选择使用内存模式或者Redis。如果选择使用Redis存储token,需要添加相应的依赖,并修改认证服务配置类\[3\]。这样,就完成了Spring Security整合OAuth2 JWT的简单版本。 #### 引用[.reference_title] - *1* *3* [springsecurity整合oauth2+JWT数据库配置客户端](https://blog.csdn.net/zifengye520/article/details/125773656)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [spring security oauth2 整合 JWT](https://blog.csdn.net/Qhx20040819/article/details/131310389)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值