使用 Spring Boot、Spring Security 和 JWT 保护 REST 端点

于 2023-05-28 20:54:22 发布
阅读量66 收藏
点赞数
文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/orton777/article/details/130917377
版权

下面是一个使用 Spring Boot、Spring Security 和 JWT 的简单示例,用于保护 REST 端点:

  1. 添加依赖

pom.xml 文件中添加 Spring Security 和 JWT 依赖:

<dependencies>
    <!-- ...其他依赖... -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-api</artifactId>
        <version>0.11.2</version>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-impl</artifactId>
        <version>0.11.2</version>
        <scope>runtime</scope>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-jackson</artifactId>
        <version>0.11.2</version>
        <scope>runtime</scope>
    </dependency>
</dependencies>
  1. 配置 Spring Security

创建一个配置类 SecurityConfig,继承 WebSecurityConfigurerAdapter,并配置 Spring Security:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private JwtAuthenticationFilter jwtAuthenticationFilter;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeRequests()
                .antMatchers("/api/authenticate").permitAll()
                .anyRequest().authenticated()
            .and()
            .addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
    }
}
  1. 创建 JWT 工具类

创建一个 JwtUtil 类,用于生成和验证 JWT 令牌:

@Component
public class JwtUtil {

    private final String SECRET_KEY = "your_secret_key";
    private final long EXPIRATION_TIME = 86400000L; // 1 day

    public String generateToken(String username) {
        Date now = new Date();
        Date expiryDate = new Date(now.getTime() + EXPIRATION_TIME);

        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(now)
                .setExpiration(expiryDate)
                .signWith(Keys.hmacShaKeyFor(SECRET_KEY.getBytes()))
                .compact();
    }

    public String getUsernameFromToken(String token) {
        return Jwts.parserBuilder()
                .setSigningKey(Keys.hmacShaKeyFor(SECRET_KEY.getBytes()))
                .build()
                .parseClaimsJws(token)
                .getBody()
                .getSubject();
    }

    public boolean validateToken(String token) {
        try {
            Jwts.parserBuilder()
                    .setSigningKey(Keys.hmacShaKeyFor(SECRET_KEY.getBytes()))
                    .build()
                    .parseClaimsJws(token);
            return true;
        } catch (JwtException e) {
            return false;
        }
    }
}
  1. 创建 JWT 认证过滤器

创建一个 JwtAuthenticationFilter 类,继承 OncePerRequestFilter,用于验证 JWT 令牌:

@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        String token = request.getHeader("Authorization");

        if (token != null && jwtUtil.validateToken(token)) {
            String username = jwtUtil.getUsernameFromToken(token);

            if (username != null) {
                UsernamePasswordAuthenticationToken authentication =
                        new UsernamePasswordAuthenticationToken(username, null, new ArrayList<>());

                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        }

        filterChain.doFilter(request, response);
    }
}
  1. 创建认证端点

创建一个 AuthenticationController,用于用户登录并返回 JWT 令牌:

@RestController
@RequestMapping("/api")
public class AuthenticationController {

    @Autowired
    private JwtUtil jwtUtil;

    @PostMapping("/authenticate")
    public ResponseEntity<String> authenticate(@RequestBody UserCredentials userCredentials) {
        // 在这里添加用户验证逻辑,例如查询数据库验证用户名和密码
        // 如果验证通过,生成 JWT 令牌并返回
        String token = jwtUtil.generateToken(userCredentials.getUsername());
        return ResponseEntity.ok(token);
    }
}
  1. 创建用户凭据类

创建一个 UserCredentials 类,用于接收客户端发送的用户名和密码:

public class UserCredentials {
    private String username;
    private String password;

    // 构造方法、getter 和 setter 省略
}

现在,你可以使用 /api/authenticate 端点进行登录,获取 JWT 令牌。在访问受保护的 REST 端点时,需要在请求头中添加 Authorization 字段,值为 Bearer {your_jwt_token}。JWT 认证过滤器会验证令牌并设置用户身份。

orton777
关注
使用Spring SecurityJWT保护REST API实战源码
zhuguang10的博客
07-12 172
设计REST API时,必须考虑如何保护REST API,在基于Spring的应用程序中,Spring Security是一种出色的身份验证和授权解决方案,它提供了几种保护REST API的选项。 最简单的方法是使用HTTP Basic,当你启动基于Spring Boot的应用程序时,默认情况下会激活它,这有利于开发,可在开发阶段经常使用,但不建议在生产环境中使用Spring Sessio...
JWTSpring Security 保护 REST API(1)
哈喽羊
07-11 1448
       通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被机器攻击就够喝一壶的。那么一般来说,对API要划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用户开放对应的API。目前,比较主流的方案有几种:1.用户名和密码鉴权,使用Session保存用户鉴权结果。2.使用OAuth进行鉴权(其实OAuth也是一种基于Token的鉴权,只是没有规定Token的生成方式)3....
Spring Boot+Spring Security+JWT 实现 RESTful Api 认证 (一)
热门推荐
https://gitee.com/micai-code
09-13 9万+
摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的。现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能够访问API。 一:开发一个简单的API 在IDEA开发工具中新建一个maven工程,添加对应的依赖如下: <dependency> <gro...
Spring Security及Shiro整合JWT 网上教程的一些坑!
最新发布
Candour_0的博客
01-13 257
Spring Security及Shiro整合JWT 网上教程的一些坑!
Spring Security+JWT实现权限管理
LC的博客
03-14 6107
SpringSecurityspring全家桶中的一个安全管理框架,类似于shiro,但是比shiro功能更加的丰富。 主要核心功能是 认证 和 授权 : 认证:验证当前访问系统的是不是本系统的用户,并且要确定具体是哪个用户 授权:经过认证后判断当前用户是否有权限进行某个操作 一、快速入门 1.1初探 引入Spring Security的依赖 <!-- springsecurity--> <dependency> <groupId&g
SpringBoot Rest API实现统一异常处理
javaTalk
10-24 1065
使用 @RestControllerAdvice 替换 @ControllerAdvice和@ResponseBody。程序在运行的过程中难免会出现异常,如果不对异常处理很容易暴露堆栈信息,发生信息泄露事件。2 相同的异常处理逻辑放在一个地方统一处理,能保证逻辑的统一性。也可以在异常处理程序方法中返回自定义对象。1 异常处理逻辑应该与业务逻辑剥离开来,单独处理。注释来注释异常处理程序方法。3 系统中异常处理逻辑可以复用和统一维护。一 为什么需要统一异常处理。二 如何实现统一异常处理。为什么统一异常处理?
spring-boot-jwt使用JWT保护Spring Boot Rest端点的简单演示
01-29
在本文中,我们将深入探讨如何使用JSON Web Token(JWT)来保护Spring Boot构建的RESTful服务。`spring-boot-jwt`项目提供了一个简单的演示,展示了JWTSpring Boot应用程序中的实际应用。JWT是一种轻量级的身份...
jwt-security-example:使用JWTSpring Security进行Spring Boot
01-30
Spring Boot使用JWT(Json Web令牌)的Spring Security 该项目使用JWT保护REST端点。 以下是示例中可用的REST端点。 /token token-根据发送的JSON生成JWT令牌。 它是POST方法,需要JSON: { "username": ...
secure-spring-boot:一个简单的使用JWT保护RESTful api端点spring-boot应用程序
05-13
一个简单的spring-boot应用程序,它使用JTW在用户身份验证后保护RESTful api调用的安全。 使用安全的passwordHash和salt方案执行用户身份验证。 总而言之,这个过程比大多数人想象的要简单得多...可以以多种方式定制...
spring_security_jwt
02-23
通过对这些代码的研究,你可以更深入地理解如何在Spring Boot应用中集成JWT认证,并学习如何使用Spring Security保护REST API。 总结来说,Spring Security JWT 提供了一种高效且安全的方式来管理用户认证和授权,...
@ControllerAdvice 与 @RestControllerAdvice
醉逸鎏年的博客
09-30 4404
@ControllerAdvice 与 @RestControllerAdvice
SpringSecurity设置JWT token令牌,权限控制
m0_52149675的博客
03-15 1309
SpringSecurity设置JWT token令牌,权限控制
spring security+jwt 实现认证授权
IT_cdc的博客
03-10 5132
目录结构 具体代码 config 配置类 DefaultControllerAdvice.java package com.stu.manage.demo.config; import com.stu.manage.demo.result.Result; import com.stu.manage.demo.result.ResultEnum; import com.stu.manage.demo.result.ResultUtil; import org.springframework.w
@RestControllerAdvice注解;有点架构的感觉了
cpxsxn的博客
12-07 733
@RestControllerAdvice注解在做前后端分离的项目时,后端业务通常会使用多个微服务,我们希望在每一个微服务的调用接口返回给前端的结果都是统一的数据结构,如: 在上面的结构中,有请求是否成功标识-successful,其值为boolean类型;有服务处理结果编码-code,其值为String,可以封装自定义编码,也可以使用HttpStatus;有服务处理结果文本信息message;还有业务返回数据-data,其值类型为Object,即可以返回String、List、对象信息等等。定义统一的返回
SpringSecurity + JWT(前后端分离)
HGW的博客
09-30 5550
想必大四的小伙伴们陆陆续续开始写毕业设计了,对于网络安全框架SpringSecurity在网上的资源都是前后端不分离的,这里记录一下小伟的前后端分离版。
前后端分离项目使用security+JWT处理登录(最新版配置,非WebSecurityConfigurerAdapter 方式配置)
weixin_45677046的博客
12-16 1472
前后端分离项目使用security+JWT处理登录(最新版配置,非WebSecurityConfigurerAdapter 方式配置)
一文搞懂SpringSecurity+JWT前后端分离~
weixin_45647685的博客
04-27 1万+
1、简介 SpringSecurity属于Spring家族中的一款安全管理框架,,它提供了一套Web应用安全性的完整解决方案。主要的功能是认证和授权。 **认证 *验证当前访问系统的是不是本系统的用户,并且要确定具体是哪个用户。 **授权 *经过认证后判断当前用户是否有权限进行某个操作。 2、快速入门 2.1、创建一个SpringBoot工程 1、先创建一个最基本的SpringBoot工程,配置好相关数据库,并且编写一个Controller进行测试。 ① 导入依赖 ...
@RestControllerAdvice作用及原理
az44yao的专栏
07-19 2797
创建MyControllerAdvice,并添加@ControllerAdvice注解。/***controller增强器*//***应用到所有@RequestMapping注解方法,在其执行之前初始化数据绑定器*//***把值绑定到Model中,使全局@RequestMapping可以获取到该值*/}/***全局异常捕捉处理*@return*/returnmap;}Model}//或者通过@ModelAttribute获取。...
SpringBoot+SpringSecurity+JWTRESTfulAPI权限控制
林老师带你学编程
10-26 4万+
关于什么是jwt(json web token),还有jwt的工作流程我这边就不多介绍,主要给大家介绍一下SpringBoot中如何整合Security然后在添加jwt的支持。 想学习分布式、微服务、JVM、多线程、架构、java、python的童鞋,千万不要扫码,否则后果自负~ 通过SpringBoot+Security+JWT来实现token校验的过程。在生产环境中,对发布API增加授...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值