Spring Security与JWT

最新推荐文章于 2024-04-18 16:29:02 发布
最新推荐文章于 2024-04-18 16:29:02 发布
阅读量2.1k 收藏 8
点赞数 1
分类专栏: java 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68921558/article/details/129235660
版权

Spring Security

一. 权限控制

​ 任何一个管理系统都必须要实现权限控制,它是任何一个系统的基础建设部分,以实现对公司不同岗位、不同角色员工的数据隔离。

​ 在早期的权限控制使用的 ACL(Access Control List) 机制,它实现起来简单,对于使用者来说很麻烦,Linux操作系统就是这种机制,因为该操作系统能够使用的人很少。

​ 现代的权限管理使用的是 RBAC(Role Based Access Control),基于角色的访问权限控制。就是给用户授予不同的角色,角色赋予不同的权限。它开发难度变大,但是使用简单。

二. 权限框架

​ 在spring security诞生之前,业界使用的 shiro 这个权限框架,它可以不依赖与web容器和spring的IOC容器。Spring Security是必须要依赖web容器和spring的IOC容器。Spring security它作为 spring的亲儿子,从出生就备受关注,市场份额逐渐替代shiro。

​ Spring Security的学习难度要远远高于 shiro,但是我们按照一个简单的方式来实现权限控制。

三. 权限框架解决的问题

3.1 认证(Authentication)

认证就是解决 “我是谁” 的问题,就是用户是否可以访问该系统。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XsK2ZG8S-1677461821703)(images/authentication.jpg)]

3.2 授权(Authorization)

“授权” 表示用户进入系统只能,“能干什么”。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7U7UfFa1-1677461821704)(images/authorization.jpg)]

四. Springboot整合Security

第一步,导入如下的依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
4.1 spring security的核心配置
/**
 * 1.@EnableWebSecurity 开启 spring secuirty的自定义配置
 */
@EnableWebSecurity
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    // 关于 认证 和 授权的配置,都在该代码中实现
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        /**
         * 1. authorizeRequests() 方法的目的是为了配置哪些资源需要认证才能访问,哪些资源不需要认证就可以访问;
         * 2. authorizeRequests() 这个方法一旦被调用了,就会覆盖spring security内部的登录表单。
         */
        http.authorizeRequests()  //
//                .antMatchers("/greet").permitAll()  //permitAll() 可以不登录直接访问
                // /user/** 它可以匹配如下的路径: /user  /user/add  /user/add/a/b/c
                // authenticated() 表示对应的资源必须要认证了才能访问
                .antMatchers("/user/**", "/greet").authenticated()   // ant 是spring中的一个路径匹配法则,“*” 表示匹配一个单词,“**” 是递归路径
                .antMatchers("/login").permitAll()
                .and()  // and() 方法表示的意思是,要做另外一个块的配置
                // .formLogin().disable()  // 在前后端分离情况下,需要禁用spring security自带的登录功能
                .csrf().disable(); // csrf() 跨站伪造攻击,禁用掉;如果需要发送非 GET 请求,需要将 crsf() 禁用
    }
}

五. JWT

5.1 前后端分离的Session

下图为标准的session机制

在前后端分离的时候

5.2 JWT

JWT(Json Web Token),他就是一个字符串,它的出现是为了解决前后端分离登录的处理的。它分为3段,每一段之间是通过 “.” 来分割的,前两段其实就是一个 base64 的字符串,说白就是明文。它具有自验证的功能。

5.2.1 JWT的使用

第一步,需要引入如下的依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred -->
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>

第二步,jwt的生成

@Test
public void generateJWT() {
    // 密钥,需要绝对保密的一个字符串
    String key = "Qltw8l63IzprU54xLHTK3bzkY40iCLbA26Jo4IZmARXQALz0dBrclPDwkRyOUiDoasOioGtBAPfN0NWmrLC1Og==";
    /**
         * 将用于加密的字符串生成一个 Key 类型的对象
         */
    Key k = new SecretKeySpec(Base64.getDecoder().decode(key), "HmacSHA512");

    // 生成一个 JWT的字符串
    String jwt = Jwts.builder()
        .setSubject("admin")  // 用户名信息,要放到的 payload
        .setIssuedAt(new Date())  // jwt的颁发日期
        .setExpiration(new Date(System.currentTimeMillis() + 2000))   // jwt的有效期
        .signWith(k, SignatureAlgorithm.HS512)  // 生成jwt的算法
        .compact();  // 返回一个 jwt的字符串
    //
    System.out.println(jwt);
}

第三步,jwt的验证

@Test
public void verifyJWT() {
    // 一个jwt的字符串
    String jwt = "eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJhZG1pbiIsImlhdCI6MTY3Njk2Njk1NywiZXhwIjoxNjc2OTY2OTU5fQ.8Ub25SFQbP7K54VcoSD2Y_S9DXg6tXMisKgLuAk0Udcrl7hAZSvhFhIBfWt2I5DfssmH3lhV1wnukiqN2eKfMw";

    // 这是密钥,因为验证 JWT的时候,需要用当时生成的 jwt时候的密钥来进行验证
    String key = "Qltw8l63IzprU54xLHTK3bzkY40iCLbA26Jo4IZmARXQALz0dBrclPDwkRyOUiDoasOioGtBAPfN0NWmrLC1Og==";

    // 将密钥封装成一个 Key类型的对象
    Key k = new SecretKeySpec(Base64.getDecoder().decode(key), "HmacSHA512");

    /**
         * 如下的代码就是用来验证jwt的
         */
    try {
        Claims claims = Jwts.parserBuilder().setSigningKey(k).build().parseClaimsJws(jwt).getBody();
        System.out.println("验证成功");
    }catch (Exception ex) {
        /**
             * 1. 如果抛出的是这个异常:SignatureException,jwt被篡改
             * 2. 如果抛出的是这个异常:MalformedJwtException,jwt被篡改了,格式不对。
             * 3. 如果抛出的是这个异常:ExpiredJwtException,jwt过期,需要重新登录。
             */
        System.out.println(ex.getClass());
    }
}

第四步,jwt加密字符串的生成

@Test
public void generateKey() {
    Key key = Keys.secretKeyFor(SignatureAlgorithm.HS512);
    String k = new String(Base64.getEncoder().encode(key.getEncoded()));
    System.out.println(k);
}

补充

  1. 属性注入,在项目中非架构配置需要单独提取一个 properties 配置文件,例如如下的配置
jwt.jwt-token=Qltw8l63IzprU54xLHTK3bzkY40iCLbA26Jo4IZmARXQALz0dBrclPDwkRyOUiDoasOioGtBAPfN0NWmrLC1Og==
jwt.expire-time=2000000

/**
 * 第一种方式
 * 1.@PropertySource 作用是读取外部 properties 资源的
 * 2.关于配置,application.yml 是框架层面的配置,系统中业务数据不要往 application.yml 中配置
 */
@PropertySource("classpath:app.properties")
@Component   // 只有在容器中才能使用 @Value读取 配置文件中的内容
@Data
public class AppProperties {

    @Value("${jwt.jwt-token}")
    private String jwtToken;

    @Value("${jwt.expire-time}")
    private String expireTime;
}

/**
 * 1.获取配置文件的信息,这个方式用的比较多;
 * 2. @PropertySource 用来指定外部的 properties 配置文件;
 * 3. @ConfigurationProperties 用来指定将哪个前缀下的属性注入到该 Bean的属性中
 */
@PropertySource("classpath:app.properties")
@Component
@ConfigurationProperties(prefix = "jwt")  // prefix: 前缀  sufix: 后缀
@Data
public class AppProperties {

    private String jwtToken;  // 配置文件中有两种写法:jwt-token 或者 jwtToken
    private Long expireTime;  // 配置文件中有两种写法:expire-time 或者 expireTime
}

prefix = “jwt”) // prefix: 前缀 sufix: 后缀
@Data
public class AppProperties {

private String jwtToken;  // 配置文件中有两种写法:jwt-token 或者 jwtToken
private Long expireTime;  // 配置文件中有两种写法:expire-time 或者 expireTime

}
一小只因程序猿
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurityJWT
QQ418579986的博客
06-13 3029
记录总结
springsecurity+jwt权限系统demo.zip
11-19
springsecurity+jwt权限系统demo,只有后端,测试请使用postman,未登录情况下不可以访问指定路径的接口,用户登录之后不可以访问管理员接口,管理员可以访问其角色一下的所有接口,角色可以继承
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecuritySpring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
SpringSecurity集成JWT
最新发布
lty1392309506的博客
04-18 301
使用 Spring Security 集成 JWT(JSON Web Token)身份验证是一种常见的方式来实现基于令牌的身份验证。在 Spring Boot 应用程序中使用 Spring SecurityJWT,可以创建一个安全、可扩展的身份验证系统。
Spring Security、Shiro、JWT权限认证
HelloQ的博客
08-19 1万+
JWT jwt是什么? JWT又名Json Web Token,基于数字签名,定义了一个紧凑、字包含的方式,用于json在各方之间安全传输信息。 使用场景 一般用于授权认证和数据交换: Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
前后端分离认证实践指南:Spring SecurityJWT详解
七一
04-09 2856
简介 Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可 以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理! Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。 认证: 验证当前访问系统的是不是本系统用户,并且要确认具体是哪个用户。 授权:也就是用户是否有权限进行某个操作 快速入门
SpringSecurityJWT
SADADADG的博客
04-10 6928
1.不做任何配置 引入了依赖之后,就会自动生效,会自动跳转的自带的登录页面 账号:user 密码:控制台输出(随机生成) 2.自定义登录逻辑 (1)UserDetailsService——通过用户名得到数据库数据 1.会加载用户名,把信息从数据库中取出来,返回一个UserDetails 2.会进行比较用户名和密码 public interface UserDetailsService { UserDetails loadUserByUsername(String username) throw
Spring Security+JWT简述
姜守威的博客
06-03 2万+
目录一. 什么是Spring Security1. 登陆校验的流程2. SpringSecurity基础案例二. Spring Security原理流程 一. 什么是Spring Security Spring SecuritySpring家族的一个安全管理框架, 相比于另一个安全框架Shiro, 它具有更丰富的功能。一般中大型项目都是使用SpringSecurity做安全框架, 而Shiro上手比较简单 spring security 的核心功能: 认证(你是谁): 只有你的用户名或密码正确才能
spring-securityjwt
m0_37834471的博客
10-20 5949
1.前提 已经了解了jwt的内容 已经了解了oauth2的内容 已经了解了spring-security基础知识 有部分http协议的基础知识 2.为什么用jwtjwt主要解决前后端分离导致的2个问题 跨域csrf问题 前提:前后端不分离时候解决跨域问题可以用token解决或者corf解决,前后端分离后由于访问后台本身就是跨域(ajax)所以解决方案失效 解决:jwt本身就是一个...
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
主要介绍了详解SpringBoot+SpringSecurity+jwt整合及初体验,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security基于JWT实现SSO单点登录详解
08-25
主要介绍了Spring Security基于JWT实现SSO单点登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot2.6整合SpringSecurity+JWT
01-11
SpringBoot2.6整合SpringSecurity+JWT相关代码
SpringSecurity整合jwt
qq_51705526的博客
05-02 6936
前言: 准备把权限管理写到自己的jee项目中, 索性想到了SpringSecurity框架, 就来学一下! 认证 登录校验流程 token可以存在localstoryge springsecurity完整流程 就是一个过滤链 UsernamePasswordAuthenticationFilter:(认证)处理登录页面填写了用户名和密码之后的登录请求ExcpetionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationEx
OAuth2,jwtspringsecurity之间的区别和联系
qq_56533553的博客
06-24 1551
OAuth 2.0 的核心概念包括资源所有者 (Resource Owner)、客户端 (Client)、授权服务器 (Authorization Server) 和资源服务器 (Resource Server)。Spring Security 可以与 OAuth 2.0 和 JWT 等技术集成,以实现更加灵活和安全的身份验证和授权流程。OAuth 2.0、JWT (JSON Web Token) 和 Spring Security 是安全相关的概念和技术,它们有着不同的功能和用途。
shiro、Spring Securityjwt、oauth2 概念比较
好幸运
09-04 7088
shiro:shiro是一套权限管理框架,包括认证、授权等,在使用时直接写相应的接口(小而简单的Shiro就足够)Spring Security:基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架;可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DIjwtjwt只是一种生成token的机制,所有权限处理逻辑还需要自己写(主要优势在于使用无状态、可扩展的方式处理应用中的用户会话)oauth2: 是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以
Spring Security 超详细整合 JWT,能否拿下看你自己!
08-31 5374
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT 的认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
如何基于Spring SecurityJWT实现单点登录
04-25
针对你的问题,我可以提供以下的一些思路: 1. 首先,你需要使用Spring Security来实现用户认证和授权。在Spring Security中,你可以配置多个AuthenticationProvider实现不同的认证方式。具体而言,你需要实现一个自定义的AuthenticationProvider,用于验证JWT令牌是否有效。在进行认证时,该AuthenticationProvider会获取到请求头中的JWT令牌,然后进行解析和验证,如果解析和验证成功,就会把该用户的信息构建成一个Authentication对象返回给Spring Security框架。 2. 其次,你需要使用JWT来生成令牌并将其发送给客户端。JWT(Json Web Token)是一种轻量级的身份认证机制,可以在不依赖于Session的情况下实现用户的身份认证和授权。在使用JWT时,你需要创建一个私钥和公钥对,私钥用于对JWT进行签名,公钥用于对JWT进行验证。当用户登录成功后,你需要使用私钥对用户的信息进行签名,生成一个JWT令牌,并将该令牌发送给客户端。客户端在以后的请求中需要将该令牌作为Authorization请求头的值发送给服务端。 3. 最后,你需要在服务端验证JWT令牌的有效性。在服务端接收到请求后,你需要从请求头中获取JWT令牌,并使用公钥对该令牌进行验证,验证成功后就可以获得该用户的信息。在接下来的业务逻辑中,你可以使用该用户的信息来进行权限判断等操作。 希望以上的思路对你有所帮助。如果你需要更加详细的实现步骤,可以参考Spring SecurityJWT相关的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值