记录SpringSecurity+jwt 登录

最新推荐文章于 2024-05-06 21:45:18 发布
最新推荐文章于 2024-05-06 21:45:18 发布
阅读量757 收藏 6
点赞数 1
分类专栏: java springboot 文章标签: jwt springboot security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pan_y95/article/details/106903836
版权
本文详细记录了使用SpringSecurity和jwt进行登录认证的步骤,包括配置拦截器、登录验证、角色权限设置以及基于菜单的权限控制。讲解了如何处理登录验证、生成和解析token,以及自定义UserDetailsService实现角色权限控制。此外,还提到在登录时获取并返回用户菜单路由,供前端展示。
摘要由CSDN通过智能技术生成

登录

前言:有的东西久了容易忘记。记录一下。点点记录

先了解登录需要做什么

  1. 拦截请求,否则登录没有意义了
  2. 登录
  3. 单点登录?
  4. 怎么验证登录

开始

  1. 创建springboot项目(单体项目记录轻松一点也好理解分布式了解了单体,在知道一些思路就能配出来)
  2. 引入jar包
   	<!-- security -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency> 
    <!-- jwt 目前最新0.9.1 -->
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.9.1</version>
    </dependency>
  1. 目的是要登录,啷个晓得是登录嘞,前端请求后端只有个地址和参数。只能从这上面验证。security有个类 WebSecurityConfigurerAdapter
@Configuration  //配置
@EnableWebSecurity	//启用security
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class AuthenticationConfig extends WebSecurityConfigurerAdapter {
   
    @Autowired
    JwtAuthorizationTokenFilter authenticationTokenFilter;
    /**
     * 功能描述: <br>
     * 装载BCrypt密码编码器
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
   
        return new BCryptPasswordEncoder();
    }

    /**
     * 功能描述: <br>
     * 自定义拦截
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
   
        httpSecurity
                .authorizeRequests()
                // 对于获取token、swagger api不拦截
                .antMatchers("/login","/swagger-ui.html/**","/swagger-resources/**", "/webjars/**", "/v2/**").permitAll()
                //前后端分离-前端会请求两次,一次是OPTIONS 一次才是我们的post,如果拦截会停止请求
                .antMatchers(HttpMethod.OPTIONS, "/**").anonymous()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                .and()
                //禁用 Spring Security 自带的跨域处理用自定义
                .csrf().disable()
                // 基于token,所以不要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        // 禁用缓存
        httpSecurity.headers().cacheControl();
        // 添加JWT验证请求中的token
        httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
   
        return super.authenticationManagerBean();
    }
}

EnableGlobalMethodSecurity注解详解
这里配置是最基本的,配置了一个请求,实际WebSecurityConfigurerAdapter有多个方法,需要根据实际情况。
configure(HttpSecurity http):这个方法配置拦截
configure(WebSecurity web):配置跳过验证,会跳过配置的jwt拦截
configureGlobal(AuthenticationManagerBuilder auth):配置请求的认证,在jwt拦截之前先去这里认证一下,根据实际情况而用。

  1. 开启了security,拦截了请求,开始登录。
    Security是一个权限框架,有权限就需要设置其他东西,这里只是登录。
    我这里是:先基本的验证账号密码、查询数据、匹配密码(待会儿会说)、生成token、返回给前端。
@ApiOperation(value = "登录接口",notes = "根据用户名和密码登录")
    @PostMapping(value = "/login")
    public Result login(@RequestBody SysUser sysUser) {
   
        //验证账号密码
        if (StringUtils.isBlank(sysUser.getUsername()) || StringUtils.isBlank(sysUser.getPassword())){
   
            return Result.fail("请检查账号密码");
        }
        //请求查询
        SysUser one = sysUserService.getUser(sysUser);
        //如果查询有数据-生成token
        if (Optional.ofNullable(one).isPresent()){
   
            BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
            if (!encoder.matches(sysUser.getPassword(),one.getPassword())){
   
                return Result.fail("账号/密码错误");
            }
            //因为只是做登录不需要拿权限,不需要给Security存储用户和角色等信息
            final String token = jwtTokenUtil.generateToken(String.valueOf
最低0.47元/天 解锁文章
pan_y95
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity+JWT单点登录,跳过密码校验】
m0_44976351的博客
05-15 1710
https://blog.csdn.net/z69183787/article/details/113717614
如何在修改密码、修改权限、注销等场景下使JWT失效?
wdj_yyds的博客
12-30 4563
大家好,我是不才陈某~ 今天这篇文章介绍一下如何在修改密码、修改权限、注销等场景下使JWT失效。 文章的目录如下: 解决方案 JWT最大的一个优势在于它是无状态的,自身包含了认证鉴权所需要的所有信息,服务器端无需对其存储,从而给服务器减少了存储开销。 但是无状态引出的问题也是可想而知的,它无法作废未过期的JWT。举例说明注销场景下,就传统的cookie/session认证机制,只需要把存在服务器端的session删掉就OK了。 但是JWT呢,它是不存在服务器端的啊,好的那我删存在客户端的JW
SpringBoot 2.1.1 + SpringSecurity+jwt 去掉Token验证
程序人生
09-24 6107
SpringBoot 2.1.1+ SpringSecurity+jwt 实现无Token验证 记录一下使用springSecurity实现jwt的授权,并对去掉鉴权认证 工程创建流程 SecurityConfig AuthenticationEntryPointImpl 和 JwtAuthenticationEntryPoint JwtAuthenticationTokenFilter 配置 Security信息 启动类的信息 环境 springBoot 2.1.1 s.
Spring Security + JWT 实现登录认证和权限控制
最新发布
weixin_44320429的博客
05-06 1301
自定义类实现接口,用户发起登录请求后会执行方法来进行登录验证。该方法会返回一个类型的结果,该类的父类实现了接口,用来封装用户的认证信息。/*** 自定义登录验证逻辑*/@Component@Autowired@Override//登录请求中的账号//登录密码throw new UsernameNotFoundException("账号不存在!");//这里直接用了MD5加密,没用Security中的passwordEncoderif (!
SpringSecurity 退出登录使JWT失效的解决方案
suchahaerkang的博客
09-27 6719
文章目录一、将Jwt Token存入Redis中二、实现JwtClaimsSetVerifier,验证Jwt Token是否有效三、实现JwtTokenStore的removeAccessToken方法,退出后使原令牌失效 项目引入了JWT,在实现退出功能的时候,发现即使调用了相关接口废弃令牌,但是令牌仍然可以使用。查看原码才知道,使用的JwtTokenStore的removeAccessToken是个空方法。 查了下资料,看到以下这段话。 其实要完美地失效JWT是没办法做到的。 “Actually, J
注解方式实现放行SpringSecurity匿名端口和遇到的坑
weixin_46630782的博客
04-26 729
利用下班时间搞了几天,总算把搞的差不多了(虽然原来还不是很熟,但能跑了)。整合到倒是挺简单的,就是对一些接口放行的时候总是有问题。网上的教程大多是版本之前的,而我为了尝鲜,技术基本都是用的最新的。这就导致走了很多坑 Σ(  ̄д ̄;!!因为博客就我一个人使用,就一个用户就够了,也不需要什么权限控制,就一切随简了。
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
用户登录后,Spring Security会生成一个JWT令牌,用于后续请求的身份验证。 3. **JWT**: JWT是一种轻量级的身份认证和授权机制,通常用于无状态API。它包含用户信息,如用户名,角色等,并通过签名确保令牌的安全...
spring boot +spring Security+ jwt+oauth2.rar
06-13
Spring Boot、Spring Security、JWT 和 OAuth2 是现代Web应用程序开发中的关键组件,它们共同构建了一个安全、高效的身份验证和授权框架。在这个项目中,我们看到一个整合了这些技术的实战应用,下面将详细阐述这些...
SpringBoot+Mybatis+SpringSecurity+JWT
09-12
在本项目中,我们主要探讨的是如何利用SpringBoot、Mybatis、SpringSecurityJWT(JSON Web Token)构建一个完整的权限管理和登录管理系统。SpringBoot作为现代Java应用开发的框架,简化了项目的配置,使得开发更加...
springboot+spring security+JWT+mybatisplus
10-08
本项目以"springboot+spring security+JWT+mybatisplus"为核心技术栈,旨在提供一个完整的解决方案,涵盖了用户认证、权限管理、日志记录以及数据库操作等多个重要环节。下面将详细阐述这些技术及其在项目中的应用。...
全注解 spring boot +spring security + mybatis+druid+thymeleaf+mysql+bootstrap
12-20
标题中的"全注解 spring boot +spring security + mybatis+druid+thymeleaf+mysql+bootstrap"是一个集成开发环境的配置,涉及到的主要技术有Spring Boot、Spring Security、MyBatis、Druid、Thymeleaf、MySQL以及...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring Security和OAuth 2.0是两个在Web应用安全领域广泛应用的框架,它们结合使用可以构建强大的单点登录(SSO)和认证授权系统。在这个系统中,`xp-sso-server`代表了认证服务器,而`xp-sso-client-a`和`xp-sso-...
springboot + jwt + websocket + 拦截
09-02
在IT行业中,Spring Boot、JWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统中实现的一种中间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
springboot + jwt 登录认证 + 实时日志显示
09-02
在本项目中,"springboot + jwt 登录认证 + 实时日志显示"是一个结合了Spring Boot、JWT(JSON Web Tokens)以及实时日志显示功能的综合应用。下面将详细阐述这三个关键知识点。 1. Spring Boot: Spring Boot是...
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定.zip
02-04
在这个项目中,“springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定”是一个综合性的解决方案,它结合了Spring Boot、Spring Security、JSON Web Token (JWT)以及Redis四种技术,以实现微信小程序...
JWT身份验证绕过——来自hacker game2020
fatmoForE
12-02 3653
JWT简介 JWT (JSON Web Tokens) ,是一串用于身份验证的token(内容公开),存储在客户端,通过签名保证token的内容没有被篡改。 题解分析 官方wp中有这一串token: eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJndWVzdCIsImV4cCI6MTYwNDM3NDE4N30.ZADFKRFG0I5LpsUwb2hAqcyD1BOWf5doLrxVIuI-OINDPaBNKsuCPInxadxW5VbhDmmkcgBnGT_
使用jwt方式的接口访问
menxinziwen的博客
04-05 2625
要使用jwt必须有相应jar包 maven项目加入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4....
spring boot 关闭默认的spring security
m0_67390969的博客
03-23 1937
spring boot 和activiti集成的时候,关闭默认开启的security。 package com; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.boot.web.servlet.ServletComponentScan; import org.s
cloud + security+ jwt + oauth2 整合
05-11
6.在 API 网关中使用 Spring Cloud Sleuth 和 Zipkin 实现分布式跟踪和日志记录,以便您可以轻松地识别和解决问题。 7.最后,使用 Spring Boot Actuator 监控您的应用程序,并确保它们始终可用,安全可靠。 以上是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值