Springboot3 + SpringSecurity + JWT + OpenApi3 实现认证授权

最新推荐文章于 2024-09-10 14:55:55 发布
最新推荐文章于 2024-09-10 14:55:55 发布
阅读量5.7k 收藏 21
点赞数 3
分类专栏: java 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71777195/article/details/131082023
版权

Springboot3 + SpringSecurity + JWT + OpenApi3 实现双token

目前全网最新的 Spring Security + JWT 实现双 Token 的案例!收藏就对了,欢迎各位看友学习参考。此项目由作者个人创作,可以供大家学习和项目实战使用,创作不易,转载请注明出处!

该项目使用目前最新的 Sprin Boot3 版本,采用目前市面上最主流的 JWT 认证方式,实现双token刷新。

温馨提示:SpringBoot3 版本必须要使用 JDK11 或 JDK19

SpringBoot3 新特性

Spring Boot3 是一个非常重要的版本,将会面临一个新的发展征程!Sprin Boot 3.0 包含了 12 个月以来,151 个人的 5700+ 次 commit 的贡献。这是自 4 年半前发布的 2.0 版本以来的第一次重大修订,这也是第一个支持 Spring Framework 6.0 和 GraaIVM 的 Spring Boot GA 版本。

Spring Boot 3.0 新版本的主要亮点:

  1. 最低要求为 Java 17 ,兼容 Java 19
  2. 支持用 GraalVM 生成原生镜像,代替了 Spring Native
  3. 通过 Micrometer 和 Micrometer 追踪提高应用可观察性
  4. 支持具有 EE 9 baseline 的 Jakarta EE 10

为什么采用双 Token刷新?

**场景假设:**星期四小金上班的时候摸鱼,准备在某APP 上面追剧,已经深深的陷入了角色中无法自拔,此时如果 Token 过期了 ,小金就不得不重新返回登录界面,重新进行登录,那么这样小金的一次完整的追剧体验就被打断了,这种设计带给小金的体验并不好,于是就需要使用双 Token 来解决。

**如何使用:**在小金首次登陆 APP 时,APP 会返回两个 Token 给小金,一个 accessToken,一个 refreshToken,其中 accessToken 的过期时间比较短,refreshToken 的时间比较长。当 accessToken 失效后,会通过 refreshToken 去重新获取 accessToken,这样一来就可以在不被察觉的情况下仍然使小金保持登录状态,让小金误以为自己一直是登录的状态。并且每次使用refreshToken 后会刷新,每一次刷新后的 refreshToken 都是不相同的。

**优势说明:**小金能够有一次完整的追剧体验,除非摸鱼时被老板发现了。accessToken 的存在,保证了登录的正常验证,因为 accessToken 的过期时间比较短,所以也可以保证账号的安全性。refreshToken 的存在,保证了小金无需在短时间内反复的登录来保持 Token 的有效性,同时也保证了活跃用户的登录状态可以一直延续而不需要重新登录,反复刷新也防止了某些不怀好意的人获取 refreshToken 后对用户账号进行不良操作。

一图胜千言:

项目准备

项目采用 Spring Boot 3 + Spring Security + JWT + MyBatis-Plus + Lombok 进行搭建。

创建数据库

user 表

token 表

在实际中应该把 token 信息保存到 redis

创建 Spring Boot 项目

创建一个 Spring Boot 3 项目,一定要选择 Java 17 或者 Java 19

引入依赖

xml复制代码<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>3.0.4</version>
</dependency>

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
</
最低0.47元/天 解锁文章
肥肥技术宅
关注
专栏目录
OpenAPI3SecurityHeader
03-05
OpenAPI3SecurityHeader
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证
如何禁用 Swagger 的 /v3/api-docs 暴露对外的接口
最新发布
verylonglongago的博客
09-10 521
禁用 Swagger /v3/api-docs 暴露的接口
Spring Boot (三)集成spring security
a286352250的博客
11-14 7944
项目GitHub地址 : https://github.com/FrameReserve/TrainingBoot Spring Boot (三)集成spring security,标记地址: https://github.com/FrameReserve/TrainingBoot/releases/tag/0.0.3 pom.xml 只列举 Spring S
SpringBoot3】Spring Security 详细使用实例(简单使用、JWT模式)
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-23 4428
Spring Security 使用起来非常简单,只要引入相关依赖包,然后增加注解`@EnableWebSecurity`就可以。同时提供了丰富的扩展点,可以让你自定义权限校验策略。 常见的使用场景分两类: 1. 有session模式,通常是前端不分离的项目,使用cookie + session 模式存储以及校验用户权限; 2. 无session模式,通常是前后端分离项目,使用Jwt形式的Token校验权限
SpringBoot3.0 + SpringSecurity6.0+JWT
热门推荐
胖胖爱吃肉~的博客
03-03 2万+
SpringBoot3.0 + SpringSecurity6.0+JWTSpring SecuritySpring 家族中的一个安全管理框架。一般Web应用的需要进行认证授权认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作搭建一个SpringBoot工程① 设置父工程 添加依赖 配置文件application.yml ② 创建启动类 ③ 创建Controller 启动项目,查看接口文档地址:http://localhost:4
Java --- springboot3整合springSecurity
qq_46093575的博客
06-21 1853
通过springboot配置文件配置。controller层。
SpringBoot 03 —— Spring Security
zcy的博客
03-20 1273
系列文章 SpringBoot 01 —— HelloSpringBoot、yaml配置、数据校验、多环境切换 SpringBoot 02 —— Web简单探究、员工管理系统 SpringBoot 03 —— Spring Security 文章目录系列文章十一、Spring Security11.1、实验环境搭建11.2、认证授权11.3、注销和权限控制11.4、记住我和定制登录页 十一、Spring Security   简介 Spring Security是一个功能强大且可高度定制的
Spring WebFlux (7): Springboot Security+jwt登录鉴权
泛泛之素
08-17 8858
Spring WebFlux (3): mysql+Springboot Security实现登录鉴权的基础上实现 token登录的逻辑刚上手确实很复杂,挺难啃的,而且实现方法也不唯一,看过很多博客实现的方法基本都不一样,简单说一下我的方法: 首先设置一个WebFilter,主要两个功能: 登录和注册时是没有token的,这两个功能的路由放行 其他请求检查token,是否有token,token是否合法,讲处理的token放入上下文中 然后就是实现ServerSecurityContextRe
Springboot + vue3 + vite 实现 Redis消息订阅 + WebSocket
u014212540的博客
05-31 2824
项目背景: 最近在做驿站的项目,前端展示设备列表,包括设备名称、编号、是否在线、开关状态。通过网页上的开关按钮来实现远程控制设备的开关功能。 架构介绍: 后端采用SpringBoot + redis + stomp 实现跟设备的消息订阅。 前端采用:Vue3 +Vite + sockjs-client + stompjs 流程介绍: 后端设备服务将设备的所有信息都存到redis 里面, web 服务取出所有设备最新信息展示到前台。点击开关按钮,将开关状态发送到后台controller, 在controll
SpringBoot学习之SpringBoot3集成OpenApi(三十八)
易雪寒的博客
04-24 607
Springboot升级到3以后,就彻底放弃了对之前swagger的支持,转而重新支持最新的OpenApi,今天我们通过一个实例初步看看OpenApi和Swagger之间的区别.
spring-oauth2-demo:使用Spring Boot 2和Angular使用JWT令牌实现OAuth2
02-18
项目介绍了如何使用Spring Boot 2和Angular使用JWT令牌实现OAuth2。 MongoDB用作保存数据库的数据库。 技术/设计决策 后端:Kotlin与Spring Boot 前端:Angular 8 数据库:MongoDB ORM:Spring数据 安全性:...
SpringBoot3 整合SpringSecurity
蒯厅博客
03-01 1908
SpringBoot3 整合SpringSecurity
SpringBoot3.3.0 整合 SpringSecurity详细步骤
冬山兄的博客
07-21 2358
本片文章基于JDK17+springboot3.3.0与 SpringSecurity 的整合能够极大简化安全配置和管理的复杂性。
【8】Spring Boot 3 集成组件:安全组件 spring security【官网概念篇】
wangluoanquan111的博客
01-25 1242
是一个框架,它提供身份验证授权和针对常见攻击的保护。它具有保护命令式和响应式应用程序的一流支持,是保护基于spring的应用程序的事实上的标准。SpringSecurity默认使用。但是,您可以通过将公开为来定制它。如果您正在从Spring Security 4.2迁移。通过公开NoOpPasswordEncoder bean,您可以恢复到以前的行为。@Bean定义一个Filter集成Filter,or添加到 SecurityFilterChain@Beanhttp// ...
sprringboot3整合springsecurity6.0(只做token权限验证)+redis+自定义权限验证+自定义操作日志
weixin_44900881的博客
06-28 4204
}// 获取错误信息 String exception =(String) request . getAttribute(CacheConstants . TOKEN_EXCEPTION);// 获取错误状态码 String exceptionCode = request . getAttribute(CacheConstants . TOKEN_EXCEPTION_CODE) . toString();} }
SpringBoot3+SpringSecurity整合
qq_40107343的博客
02-09 1085
代码SpringBoot3+SpringSecurity整合。
springboot3+Spring Security+JWT+redis+MySQL实现登陆验证
admin_cx的博客
05-15 2322
使用springboot3+Spring Security+JWT+redis+mysql实现登陆验证功能
Spring Boot 3】的安全防线:整合 【Spring Security 6】
xnxqwzy的博客
03-21 1715
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证授权认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作。
Springboot 3 + Spring Security 6 +jwt 项目配置
05-26
好的,下面是Spring Boot 3 + Spring Security 6 + JWT项目配置步骤: 1. 添加Spring SecurityJWT的依赖 在pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 配置JWT 在application.yml或者application.properties文件中添加JWT的配置信息: ``` jwt: secret: yourSecretKey expiration: 604800000 # 7 days ``` 3. 配置Spring Security 创建一个继承自WebSecurityConfigurerAdapter的配置类,并添加以下代码: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailsService customUserDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(customUserDetailsService).passwordEncoder(passwordEncoder()); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**") .permitAll() .anyRequest() .authenticated(); http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(); } } ``` 其中,CustomUserDetailsService是自定义的用户认证服务,JwtAuthenticationFilter是自定义的JWT认证过滤器。 4. 编写JWT认证过滤器 创建一个继承自OncePerRequestFilter的JwtAuthenticationFilter,并添加以下代码: ```java public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider jwtTokenProvider; @Autowired private CustomUserDetailsService customUserDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { try { String token = jwtTokenProvider.resolveToken(request); if (token != null && jwtTokenProvider.validateToken(token)) { Authentication authentication = jwtTokenProvider.getAuthentication(token); SecurityContextHolder.getContext().setAuthentication(authentication); } } catch (JwtAuthenticationException ex) { SecurityContextHolder.clearContext(); response.sendError(ex.getHttpStatus().value(), ex.getMessage()); return; } filterChain.doFilter(request, response); } } ``` 其中,JwtTokenProvider是自定义的JWT Token提供器。在这个过滤器中,我们通过JWT Token提供器解析请求中的Token,并将用户认证信息存储在SecurityContextHolder中。 5. 编写JWT Token提供器 创建一个JwtTokenProvider类,并添加以下代码: ```java @Service public class JwtTokenProvider { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private Long expiration; public String createToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); return Jwts.builder() .setClaims(claims) .setSubject(userDetails.getUsername()) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + expiration)) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } public boolean validateToken(String token) { try { Jwts.parser().setSigningKey(secret).parseClaimsJws(token); return true; } catch (JwtException | IllegalArgumentException ex) { throw new JwtAuthenticationException("Expired or invalid JWT token", HttpStatus.INTERNAL_SERVER_ERROR); } } public Authentication getAuthentication(String token) { UserDetails userDetails = customUserDetailsService.loadUserByUsername(getUsername(token)); return new UsernamePasswordAuthenticationToken(userDetails, "", userDetails.getAuthorities()); } public String getUsername(String token) { return Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody() .getSubject(); } public String resolveToken(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` 其中,UserDetails是Spring Security提供的用户认证信息对象,CustomUserDetailsService是自定义的用户认证服务。 在这个类中,我们使用JJWT库来创建和解析JWT Token,并在getAuthentication方法中从Token中获取用户认证信息,并将其封装成Spring Security的Authentication对象。 以上就是Spring Boot 3 + Spring Security 6 + JWT项目配置步骤。希望能够帮到您!
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值