一篇文章带你搞定 SpringSecurity 结合Jwt 实现无状态登录

最新推荐文章于 2024-04-22 10:14:07 发布
最新推荐文章于 2024-04-22 10:14:07 发布
阅读量1.1k 收藏 14
点赞数 2
分类专栏: Spring Security 学习笔记 Java 开发学习最全合集 文章标签: jwt java 数据库 springsecurity
原文链接:https://mp.weixin.qq.com/s?__biz=MzI1NDY0MTkzNQ==&mid=2247486735&idx=1&sn=4208470b30cbe5b7bbfb0ab53e6914a3&scene=21#wechat_redirect
版权

在前后端分离的项目中,登录策略也有不少,不过 JWT 算是目前比较流行的一种解决方案了,本文就和大家来分享一下如何将 Spring Security 和 JWT 结合在一起使用,进而实现前后端分离时的登录解决方案。

文章目录

一、无状态登录

1. 什么是有状态 ?

有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如Tomcat中的Session

例如登录:用户登录后,我们把用户的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session,然后下次请求,用户携带cookie值来(这一步有浏览器自动完成),我们就能识别到对应session,从而找到用户的信息。
这种方式目前来看最方便,但是也有一些缺陷,如下:

(1)服务端保存大量数据,增加服务端压力
(2)服务端保存用户状态,不支持集群化部署

2. 什么是无状态 ?

微服务集群中的每个服务,对外提供的都使用 RESTful 风格的接口。
而 RESTful 风格的一个最重要的规范就是:服务的无状态性,即:

服务端不保存任何客户端请求者信息
客户端的每次请求必须具备自描述信息,通过这些信息识别客户端身份

那么这种无状态性有哪些好处呢?

客户端请求不依赖服务端的信息,多次请求不需要必须访问到同一台服务器
服务端的集群和状态对客户端透明
服务端可以任意的迁移和伸缩(可以方便的进行集群化部署)
减小服务端存储压力

3. 如何实现无状态 ?

无状态登录的流程:

首先客户端发送账户名/密码到服务端进行认证
认证通过后,服务端将用户信息加密并且编码成一个 token,返回给客户端
以后客户端每次发送请求,都需要携带认证的 token
服务端对客户端发送来的 token 进行解密,判断是否有效,并且获取用户登录信息

二、JWT

1. JWT 简介

JWT,全称是 Json Web Token , 是一种 JSON 风格的轻量级的授权和身份认证规范,可实现无状态、分布式的 Web 应用授权:

在这里插入图片描述
JWT 作为一种规范,并没有和某一种语言绑定在一起,常用的 Java 实现是 GitHub 上的开源项目 jjwt,地址如下:https://github.com/jwtk/jjwt

2. JWT 数据格式

JWT 包含三部分数据:

  1. Header:头部,通常头部有两部分信息:

声明类型,这里是JWT
加密算法,自定义

我们会对头部进行 Base64Url 编码(可解码),得到第一部分数据。

  1. Payload:载荷,就是有效数据,在官方文档中(RFC7519),这里给了 7 个示例信息:

iss (issuer):表示签发人
exp (expiration time):表示token过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号

这部分也会采用 Base64Url 编码,得到第二部分数据。

  1. Signature:签名,是整个数据的认证信息。一般根据前两步的数据,再加上服务的的密钥 secret(密钥保存在服务端,不能泄露给客户端),通过 Header 中配置的加密算法生成。用于验证整个数据完整和可靠性。
    生成的数据格式如下图:

在这里插入图片描述
注意,这里的数据通过 . 隔开成了三部分,分别对应前面提到的三部分,另外,这里数据是不换行的,图片换行只是为了展示方便而已。

3. JWT 交互流程

流程图:
在这里插入图片描述
步骤翻译:

应用程序或客户端向授权服务器请求授权
获取到授权后,授权服务器会向应用程序返回访问令牌
应用程序使用访问令牌来访问受保护资源(如API)

因为 JWT 签发的 token 中已经包含了用户的身份信息,并且每次请求都会携带,这样服务的就无需保存用户信息,甚至无需去数据库查询,这样就符合了 RESTful 的无状态规范。

4. JWT 存在的问题

说了这么多,JWT 也不是天衣无缝,由客户端维护登录状态带来的一些问题在这里依然存在,举例如下:

(1) 续签问题,这是被很多人诟病的问题之一,传统的 cookie+session 的方案天然的支持续签,但是 jwt 由于服务端不保存用户状态,因此很难完美解决续签问题,如果引入 redis,虽然可以解决问题,但是 jwt 也变得不伦不类了。
(2)注销问题,由于服务端不再保存用户信息,所以一般可以通过修改 secret 来实现注销,服务端 secret 修改后,已经颁发的未过期的 token 就会认证失败,进而实现注销,不过毕竟没有传统的注销方便。
(3)密码重置,密码重置后,原本的 token 依然可以访问系统,这时候也需要强制修改 secret。
(4)基于第 2 点和第 3 点,一般建议不同用户取不同 secret。

三、实战 SpringBoot 整合 JWT

1. 加入依赖:

在这里插入图片描述
然后加入 jwt 依赖:

		<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

2. 建立用户对象 User

public class User implements UserDetails {
    private String username;
    private String password;
    private List<GrantedAuthority> authorities;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
    //get 和 set 方法省略
}

3. 建立测试接口 HelloController

@RestController
public class HelloController {
    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }

    @GetMapping("/admin")
    public String admin() {
        return "admin";
    }
}

HelloController 很简单,这里有两个接口,设计是 /hello 接口可以被具有 user 角色的用户访问,而 /admin 接口则可以被具有 admin 角色的用户访问。

4. JWT 过滤器配置

接下来提供两个和 JWT 相关的过滤器配置:

一个是用户登录的过滤器,在用户的登录的过滤器中校验用户是否登录成功,如果登录成功,则生成一个token返回给客户端,登录失败则给前端一个登录失败的提示。

第二个过滤器则是当其他请求发送来,校验token的过滤器,如果校验成功,就让请求继续执行。

(1)用户登录的过滤器

public class JwtLoginFilter extends AbstractAuthenticationProcessingFilter {

    public JwtLoginFilter(String defaultFilterProcessesUrl, AuthenticationManager authenticationManager) {
        super(new AntPathRequestMatcher(defaultFilterProcessesUrl));
        setAuthenticationManager(authenticationManager);
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest req, HttpServletResponse httpServletResponse) throws AuthenticationException, IOException {
        User user = new ObjectMapper().readValue(req.getInputStream(), User.class);
        return getAuthenticationManager().authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword()));
    }

    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse resp, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        //获取登录用户的角色
        Collection<? extends GrantedAuthority> authorities = authResult.getAuthorities();
        StringBuffer sb = new StringBuffer();
        //遍历角色存储到 buffer 中
        for (GrantedAuthority authority : authorities) {
            sb.append(authority.getAuthority()).append(",");
        }
        String jwt = Jwts.builder()
                .claim("authorities", sb)
                .setSubject(authResult.getName())
                .setExpiration(new Date(System.currentTimeMillis() + 60 * 60 * 1000))
                .signWith(SignatureAlgorithm.HS512, "yolo@123")
                .compact();
        Map<String, String> map = new HashMap<>();
        map.put("token", jwt);
        map.put("msg", "登录成功");
        resp.setContentType("application/json;charset=utf-8");
        PrintWriter out = resp.getWriter();
        out.write(new ObjectMapper().writeValueAsString(map));
        out.flush();
        out.close();
    }

    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest req, HttpServletResponse resp, AuthenticationException failed) throws IOException, ServletException {
        Map<String, String> map = new HashMap<>();
        map.put("msg", "登录失败");
        resp.setContentType("application/json;charset=utf-8");
        PrintWriter out = resp.getWriter();
        out.write(new ObjectMapper().writeValueAsString(map));
        out.flush();
        out.close();
    }
}

(1)自定义 JwtLoginFilter 继承自 AbstractAuthenticationProcessingFilter,并实现其中的三个默认方法。
(2)attemptAuthentication方法中,我们从登录参数中提取出用户名密码,然后调用AuthenticationManager.authenticate()方法去进行自动校验。
(3)第二步如果校验成功,就会来到successfulAuthentication回调中,在successfulAuthentication方法中,将用户角色遍历然后用一个 , 连接起来,然后再利用Jwts去生成token,按照代码的顺序,生成过程一共配置了四个参数,分别是用户角色、主题、过期时间以及加密算法和密钥,然后将生成的token写出到客户端。
(4)第二步如果校验失败就会来到 unsuccessfulAuthentication 方法中,在这个方法中返回一个错误提示给客户端即可。

(2)token校验的过滤器:

public class JwtFilter extends GenericFilterBean {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) servletRequest;
        String jwtToken = req.getHeader("authorization");
        Jws<Claims> jws = Jwts.parser().setSigningKey("yolo@123")
                //前端传过来的时候会多一个 "Bearer",需要将其替换掉
                .parseClaimsJws(jwtToken.replace("Bearer", ""));
        Claims claims = jws.getBody();
        //获取当前登录用户名
        String username = claims.getSubject();
        List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList((String) claims.get("authorities"));
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, null, authorities);
        SecurityContextHolder.getContext().setAuthentication(token);
        filterChain.doFilter(servletRequest,servletResponse);
    }
}

(1)首先从请求头中提取出 authorization 字段,这个字段对应的value就是用户的token。
(2)将提取出来的token字符串转换为一个Claims对象,再从Claims对象中提取出当前用户名和用户角色,创建一个UsernamePasswordAuthenticationToken放到当前的Context中,然后执行过滤链使请求继续执行下去。

5. Spring Security 配置

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("yolo")
                .password("$2a$10$0WjZpkSCAHKrcQ/a3.CwOuWP3arJOloYs2oecrC9oPny9HWdnZ.Ti")
                .roles("user")
                .and()
                .withUser("admin")
                .password("$2a$10$NRYzZTFPSDorqpIVXJaSxuOwITR6NJmFTJZUBkLcBK7JyRNxdfxTy")
                .roles("admin");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/hello")
                .hasRole("user")
                .antMatchers("/admin")
                .hasRole("admin")
                .antMatchers(HttpMethod.POST, "/login")
                .permitAll()
                .anyRequest().authenticated()
                .and()
                //添加过滤器,分配 token
                .addFilterBefore(new JwtLoginFilter("/login", authenticationManager()), UsernamePasswordAuthenticationFilter.class)
                //校验token
                .addFilterBefore(new JwtFilter(), UsernamePasswordAuthenticationFilter.class)
                .csrf().disable();
    }
}

(1)首先对密码做解密处理。
(2)简单起见,这里并未连接数据库,我直接在内存中配置了两个用户,两个用户具备不同的角色。
(3)配置路径规则时, /hello 接口必须要具备 user 角色才能访问, /admin 接口必须要具备 admin 角色才能访问,POST 请求并且是 /login 接口则可以直接通过,其他接口必须认证后才能访问。
(4)最后配置上两个自定义的过滤器并且关闭掉csrf保护。

6. 测试

小插曲:测试时报错:java.lang.ClassNotFoundException: javax.xml.bind.DatatypeConverter

原因就是 jdk 的版本过高可以添加如下依赖解决:

        <dependency>
            <groupId>javax.xml.bind</groupId>
            <artifactId>jaxb-api</artifactId>
            <version>2.3.0</version>
        </dependency>
        <dependency>
            <groupId>com.sun.xml.bind</groupId>
            <artifactId>jaxb-impl</artifactId>
            <version>2.3.0</version>
        </dependency>
        <dependency>
            <groupId>com.sun.xml.bind</groupId>
            <artifactId>jaxb-core</artifactId>
            <version>2.3.0</version>
        </dependency>
        <dependency>
            <groupId>javax.activation</groupId>
            <artifactId>activation</artifactId>
            <version>1.1.1</version>
        </dependency>

登录成功:

在这里插入图片描述
访问 hello 接口:

在这里插入图片描述
由于 yolo 只具有 user 权限,所以访问 admin 会失败:

在这里插入图片描述

南淮北安
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
订阅专栏
jwt token注销_基于JWT的Token登录认证
weixin_39561004的博客
01-12 590
JWT简介 :json Web Token(缩写JWT)是目前最流行的跨域认证解决方案session登录的认证方案是看,用户从客户端传递用户名和密码登录信息,服务端认证后将信息储存在session中,将session_id放入cookie中,以后访问其他页面,服务器都会着cookie,服务端会自动从cookie中获取session_id,在从session中获取认证信息。JWT的解决方案是,将认...
jwt token注销_关于JWT用户主动注销、强制登出、忘记密码、修改密码的一些思考...
weixin_33937306的博客
01-27 1393
JWT(JSON WEB TOKEN)的特点是无状态,通常用来作为验证登录以及鉴权,在这一方面,JWT体现出了他的优点。然而,如果使用JWT实现,用户主动注销、强制登出(禁止登陆)、忘记密码、修改密码,JWT续签等方面的需求,就会让人头疼。按照网上的一些讨论,我概括如下:1、将每一个签发的JWT保存在REDIS上,当出现上述的需求时,就更新对应的JWT,如果客户端与REDIS中的不同,那么登录失败...
SpringCloud微服务间安全调用实现SpringSecurity+Oauth2+Jwt
热门推荐
q438944209的博客
04-04 4万+
Java中高级课程推荐-全部免费】 http://www.maj...
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
最新发布
小威的博客
04-22 1万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
SpringSecurity - JWT Token微服务认证方案 SSO
TrustNature
11-15 543
微服务权限认证方案:SpringBoot + SpringSecurity + JWT 如果系统的模块众多,每个模块都需要进行授权认证,所以我们选择基于Token的形式进行授权与认证,用户根据用户名密码认证成功,然后获取当前用户角色的一系列权限值,并以用户名为Key,权限列表为Value的形式存入redis缓存中,根据用户名相关信息生成token返回,浏览器将token记录到cookie中,每...
基于SpringSecurity+JWT的微服务鉴权解决方案
zquwei的博客
05-05 1124
基于SpringSecurity+JWT的微服务鉴权解决方案 背景 公司一旧项目权鉴改造 达到目的 任意一端登录(web、app、h5)后可以携对应的token 来请求访问后台服务资源。 #### 传统认证流程: 互联网服务离不开用户认证。一般流程是下面这样: 用户向服务器发送用户名和密码 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等 服务器向用户返回一个 session_id,写入用户的 Cookie。 用户随后的每一次请求,都会通过 Cookie,将 s
Spring Security基于JWT实现SSO单点登录详解
08-25
Spring Security 基于 JWT 实现 SSO 单点登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
Spring Boot Security 结合 JWT 实现状态的分布式API接口
10-17
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。这篇文章主要介绍了Spring Boot Security 结合 JWT 实现状态的分布式API接口 ,需要的朋友可以参考下
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附数据库表结构),token存储分为数据库或者Redis。demo...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
java中注销怎么写_javaJWT身份验证:如何实现注销?
ぃ妖气ぅ的博客
02-24 370
我为我的Spring启动应用程序实现JWT身份验证.总的来说,它的工作原理如下:>客户端将用户名,密码发送到登录端点.>服务器检查提供的凭据是否有效.>如果不是,则会返回错误>如果是,它将返回一个令牌,该令牌实际包含>客户端会在每个将来的请求中发送该令牌问题是,我们应该如何实施注销?import org.springframework.security.authen...
SpringSecurity之注销与自动登录
ybb_ymm的专栏
04-15 418
前面我们讲解了用户的登录以及用户授权的过程。今天我们看一下,系统中常用的注销与自动登录各功能!
JWT身份验证:如何实现注销?
Lycode
04-21 1万+
可能的解决方案: 将JWT存储在数据库中。您可以检查哪些令牌有效以及哪些令牌已被撤销,但这在我看来完全违背了使用JWT的目的。 从客户端删除令牌。这将阻止客户端进行经过身份验证的请求,但如果令牌仍然有效且其他人可以访问它,则仍可以使用该令牌。这引出了我的下一点。 令牌生命周期短。让令牌快速到期。根据应用,可能是几分钟或半小时。当客户端删除其令牌时,会有一个很短的时间窗口仍然可以使用它。从客户...
如何使用jwt 完成注销(退出登录)功能
weixin_39813433的博客
01-03 1万+
原文 神奇的 JSON Web Tokens(JWT) JSON Web Tokens (JWT) 是一种无状态处理用户身份验证的方法。 什么意思? JWT帮助建立认证机制而不将身份验证状态存储在任何存储中,无论是会话内存还是数据库,因此, 当检查用户的身份验证状态时,不需要访问会话内存或执行数据库查询。相反, 根据你选择的用户payload生成token 并在客户端的请求中使用它来标识服务器上的用户 ???? 因此,基本上,每当创建token时,就可以永远使用它,或者直到它过期为止。 JWT生成器可以
jwt token注销_JWT 管理用户登录时,都需要把 token 存数据库里,判断用户登出时删除吗?...
weixin_39814960的博客
12-19 1059
ddefewfewf:留着也没用啊Molita:不删留着干啥嘞就是 post session 和 delete session 嘛DavidNineRoc:jwt 好就好在不用存储数据库坏就坏在不用存储数据库正常情况下 jwt 不用处理登出, 如果非要做. 参考黑名单的实现.## 登出的做法就是, 客户端把本地的 token 删除, 这样子就不存在这个 token, 服务端也不关心这个. 就证明这...
jwt,token生成,续约,注销操作浅谈
u010772230的专栏
12-23 7482
JWT JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案 原理 JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,由客户端来保存登录信息。此后,客户端每次与服务器通信,都要上这个 JWT。生成的token可以放在HTTP 请求的头信息Authorization字段里面,也可以放在 POST 请求的数据体里面。当然也可以把它放在 Cookie...
springboot +springsecurity 跳转登录界面_SpringBoot整合SpringSecurity实现前后分离权限注解+JWT登录认证...
weixin_39621044的博客
01-07 696
一.说明SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种.JWT是在Web应用中安全传递信息的规范,从本质上来说是Token的演变,是一种...
SpringSecurity整合JWT.docx
06-27
"这篇文档介绍了如何使用Spring Security整合JWT(JSON Web Token)以实现状态登录,探讨了无状态登录的优缺点,并简要说明了JWT的基本原理和构成部分。" 正文: 在现代Web应用程序中,为了提高系统的可伸缩性和可...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值