springsecurity和jwt的后端配置

最新推荐文章于 2024-08-15 14:47:41 发布
最新推荐文章于 2024-08-15 14:47:41 发布
阅读量289 收藏 1
点赞数
分类专栏: springsecurity 文章标签: java 数据库 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/please93/article/details/128622682
版权
该文详细介绍了如何使用SpringSecurity进行用户认证,通过实现UserDetailsService接口从数据库获取用户信息,并配置SecurityConfig,包括关闭CSRF、禁用session、自定义登录逻辑以及处理无权限和未登录的异常。此外,文章还展示了JWTAuthenticationFilter的实现,用于在请求前验证token并处理登录状态。
摘要由CSDN通过智能技术生成

我就说其中最主要的几个实现类吧,其实是不止这几个接口的。
首先去实现UserDetailsService 接口,因为UserDetails里面的取数据默认是在内存中取数据,所有我们要重写其中的UserDetails loadUserByUsername(String username),让他在数据库里去取数据

      @Service
public class UserDetailServiceImpl implements UserDetailsService {

    @Autowired
    private SysUserMapper userMappe;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        SysUser user = userMappe.findByUsername(username);
        if(null == user){
            throw new UsernameNotFoundException("用户名或密码错误");
        }
        if(user.isAdmin()){
            //管理员需要查询角色信息
            user.setRoles(userMappe.findRoles(null));
            user.setPermissions(userMappe.findPermissions(null));
            //获取父级菜单
            List<SysMenu> menus = userMappe.findMenus(null);
            //获取子级菜单
            menus.forEach(item -> item.setChildren(userMappe.findChildrenMenus(item.getId(),null)));
            user.setMenus(menus);
        }else{

            //非管理员需要查询相关角色信息
            user.setRoles(userMappe.findRoles(user.getId()));
            user.setPermissions(userMappe.findPermissions(user.getId()));

            //获取父级菜单
            List<SysMenu> menus = userMappe.findMenus(user.getId());
            //获取子级菜单
            menus.forEach(item -> item.setChildren(userMappe.findChildrenMenus(item.getId(),user.getId())));
            user.setMenus(menus);
        }

        return user;
    }
}

然后最为关键的SecurityConfig的配置,要配置很多东西,继承WebSecurityConfigurerAdapter类,然后重写里面的方法,我们边看代码边解释各个的作用

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired //这里放进来,是要和passwordEncoder(如何编码译码)注入到AuthenticationManagerBuilder中
    private UserDetailServiceImpl userDetailService;

    @Autowired//重写的一个类 用于没有权限访问时返回结果,后文会提到该类中具体怎么样重写
    private JwtAccessDeniedHandler accessDeniedHandler;

    @Autowired重写的一个类 用于当用户未登录和token过期的情况下访问资源
    private JwtAuthenticationEntryPoint authenticationEntryPoint;
    @Autowired 在接口访问前进行过滤 一般是检查头部是否有token
    private JwtAuthenticationFilter authenticationFilter;


    //一般用于配置白名单
    //白名单:可以没有权限也可以访问的资源
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring()
                .mvcMatchers(SecurityContents.WHITE_LIST);//会有一个SecurityContents来返回白名单的内容
    }

    //security的核心配置
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //1.使用jwt,首先关闭跨域攻击
        http.csrf().disable();
        //2.关闭session
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        //3.请求都需要进行认证之后才能访问,除白名单以外
        http.authorizeRequests().anyRequest().authenticated();
        //关闭缓存
        http.headers().cacheControl();
        //5.token过滤器,添加我们自己重写的filter去校验token  (注意这里注入的过滤器)
        http.addFilterBefore(authenticationFilter, UsernamePasswordAuthenticationFilter.class);
        //6.没有登录,没有权限访问资源自定义返回结果(这一步注入的没有权限和过时的两个类),只有注入后springsecurity才会使用我们重写的方法
        http.exceptionHandling().authenticationEntryPoint(authenticationEntryPoint).accessDeniedHandler(accessDeniedHandler);
    }

    //自定义登录逻辑配置
    //也就是配置到security进行密码配置
    //这一步比较关键,我们要重写AuthenticationManagerBuilder对密码的编译方式
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailService).passwordEncoder(passwordEncoder());//把我们的重写的userDetailService(如何取数据)和.passwordEncoder(如何编码译码)注入到AuthenticationManagerBuilder中,这样springsecurity才会按我们的方式进行编译
    }

    @Bean //返回我们想要的密码编译方式,在上一个方法中要用到
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

上文提到的白名单


public class SecurityContents {
    public static final String[] WHITE_LIST = {
            //后端登录接口
            "/user/login",

            //swagger相关
            "/swagger-ui.html",
            "/webjars/**",
            "/swagger-resources/**",
            "/v2/**",
            "/configuration/ui",
            "/configuration/security",
            "/doc.html"
    };
}

然后就是上文中注入的三个类
JwtAccessDeniedHandler

//没有权限访问时返回结果    不同的事情实现不同的接口 实现的接口和重写的方法是固定的
@Component
public class JwtAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e) throws IOException, ServletException {
        response.setStatus(403); //设置这种情况的返回码
        response.setCharacterEncoding("UTF-8");//设置字符序列
        response.setContentType("application/json");//返回格式
        PrintWriter writer = response.getWriter();
        writer.write(new ObjectMapper().writeValueAsString(Result.fail("权限不足,请联系管理员")));
        writer.flush();
        writer.close();
    }
}

JwtAuthenticationEntryPoint 与上面那个类型配置东西相似,就是返回的message不同,重写的方法不同

//当用户未登录和token过期的情况下访问资源
@Component
public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
        response.setStatus(401);
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        PrintWriter writer = response.getWriter();
        writer.write(new ObjectMapper().writeValueAsString(Result.fail("你尚未登录,请登陆后操作")));
        writer.flush();
        writer.close();
    }
}

JwtAuthenticationFilter我们自己添加的一个过滤器,记得拦截后记得放行,不要害怕放行,反正springsecurity自己还要继续拦截

// token认证
// 在接口访问前进行过滤
@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    @Autowired
    private TokenUtil tokenUtil; //自己写的一个token工具类主要就是生成token 、获取token、 通过token获得用户信息呀等等..

    @Autowired
    private UserDetailServiceImpl userDetailsService;

    @Value("${jwt.tokenHeader}") //获取配置文件中设置好的头部信息
    private String tokenHeader;

    @Value("${jwt.tokenHead}")//获取配置文件中设置好的头部信息
    private String tokenHead;

    //请求前获取请求头信息(反正记住重写这个方法就可以在请求前做一些事情)
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        //1.获取token(从前端发来的请求中去获取head)
        String header = request.getHeader(tokenHeader);
        System.out.println("1111"+header);
        //2.判断token是否存在
        if(null != header && header.startsWith(tokenHead)){
            //拿到token主体
            String token = header.substring(tokenHead.length());
            //根据token获取用户名
            String username = tokenUtil.getUserNameByToken(token);
            //token存在,但是没有登录信息
            if(null !=username && null == SecurityContextHolder.getContext().getAuthentication()){
                //没有登录信息,但我们以token为主,则帮他自动登录

                UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                System.out.println("重新登录");
                //判断token是否有效 (该if判断 是判断token是否过期没,比较用户名是否对得上之前登录的用户名,如果都是正确的,则重新刷新一下信息和token时间之类的)
                if(!tokenUtil.isExpiration(token) && username.equals(userDetails.getUsername())){
                    //刷新security中的用户信息 该处传入的是主体信息,现在userDetails在登录后就被我们注满信息了,然后null是身份之类的把(我也不太清楚...哈哈),然后就是传入该用户的权限,权限的注入也是比较特殊
                    UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(userDetails,null,userDetails.getAuthorities());
                    //这几步不太清楚,就是刷新信息固定要重新注入的数据吧
                    authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    SecurityContextHolder.getContext().setAuthentication(authenticationToken);
                }
            }
        }
        //过滤器放行
        chain.doFilter(request,response);

    }
}

TokenUtil这就是上文提到的token工具类

//Token工具类,用于生成token  用户登录拿到token然后访问我们的系统资源
@Component
public class TokenUtil {

    @Value("${jwt.secret}")
    private String secret;

    @Value("${jwt.expiration}")
    private long expiration;

//    传入用户登录信息,生成token
    public String generateToken(UserDetails details){
        Map<String,Object> map = new HashMap<>(2);
        map.put("username",details.getUsername());
        map.put("created",new Date());
        return this.generateJwt(map);
    }

    private String generateJwt(Map<String,Object> map){
        return Jwts.builder()
                .setClaims(map)
                .signWith(SignatureAlgorithm.HS512,secret)
                .setExpiration(new Date(System.currentTimeMillis()+ expiration * 1000))
                .compact();
    }


  //根据token获取荷载信息
  public Claims getTokenBody(String token){
        try{
            return Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();

        }catch (Exception e){
            return null;
        }
  }

  //根据token获取用户名
    public String getUserNameByToken(String token){
        return (String) this.getTokenBody(token).get("username");
    }

    //根据token判断当前时间内,该token是否过期
    public boolean isExpiration(String token){
        return this.getTokenBody(token).getExpiration().before(new Date());
    }

    //刷新token令牌
    public String refreshToken(String token){
        Claims claims = this.getTokenBody(token);
        claims.setExpiration(new Date());
        return this.generateJwt(claims);
    }

}

SecurityUtil的工具类,就是从从springsecurity设置好的主体中取信息之类的方法,


public class SecurityUtil {

    //从security主体信息中获取用户信息
    public static SysUser getUser(){
        SysUser user = (SysUser) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        user.setPassword(null);
        return user;
    }

    //在security中获取用户名
    public static String getUsername(){
        return getUser().getUsername();
    }

    //获取id
    public static Long getUserId(){
        return getUser().getId();
    }

}

差不多想在自己的项目中使用springsecurity就是要重写这些类吧
小嘚
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
老唐手把手教你配置security,并增加JWT校验(copy就用)。
KY_11的博客
12-20 749
简单配置security,并增加JWT校验(copy就用) 1.首先配置security 1.1导入security的jar包 <!--security 框架--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifac
SpringBoot集成SpringSecurityJWT做登陆鉴权的实现
08-19
在本文中,我们将深入探讨如何使用SpringBootSpringSecurityJWT(JSON Web Token)结合,以实现登录鉴权功能。SpringBoot因其简化配置和与其他框架的无缝集成,成为了开发小型应用的理想选择。前后端分离的架构...
Spring Security结合JWT的方法教程
08-28
主要给大家介绍了关于Spring Security结合JWT的方法教程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
配置 Spring SecurityJWT(一)
qiuweifan的博客
03-28 352
Spring SecurityJWT是我们安全实现的关键。它包含了我们项目所需的几乎所有安全配置。让我们首先在包中创建以下SecurityConfig类com.example.config,然后我们将通过代码并了解每个配置的作用
我扒了半天源码,终于找到了Oauth2自定义处理结果的最佳方案!
竹林幽深
08-03 928
原创梦想de星空macrozheng今天 来自专辑 Spring Cloud学习教程 在《微服务权限终极解决方案,Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!》一文中我们介绍了Oauth2在微服务中的使用,但是我们没有自定义Oauth2默认的处理结果。有时候我们真的很希望Oauth2中的认证授权能返回我们指定格式的结果,比如登录认证的结果、网关鉴权不通过的结果等等。本文将详细介绍Oauth2中自定义处理结果的方案,希望对大家有所帮助! 解决什么问题 ...
SpringSecurity JWT 项目中的配置
zsecode
08-02 610
项目配置 1 依赖注入 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd
springSecurity配置(整合jwt
GGHuWei的博客
07-17 342
springsecurtty config /** @author shuang.kou Saving @version 1.1 @date 2020.11.28 14:16 @description Spring Security配置类 **/ @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfiguration extends WebSecurity
Spring Security的搭建(整合JWT)
C_r_ush的博客
12-16 389
Spring Security的搭建(整合JWT)
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
热门推荐
小威的博客
04-22 1万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 4698
SpringSecurity+JWT快速入门
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
使用Spring Security和OAuth2,网关可以检查每个请求的JWT令牌,确保只有经过授权的请求才能到达后端服务。 6. **微服务间的权限认证**:微服务之间需要进行权限验证,避免恶意调用。通过在服务间传递JWT,每个服务...
SpringBoot + MyBatis-plus + SpringSecurity + JWT
11-09
【标题】"SpringBoot + MyBatis-plus + SpringSecurity + JWT"是一个常见的技术栈组合,用于构建现代化的、安全的Web应用。这个组合利用了SpringBoot的快速开发能力,MyBatis-plus的数据操作便捷性,SpringSecurity...
SpringSecurity+JWT后端分离架构登录认证!
01-20
在构建现代化的Web应用时,前后端分离架构已经成为标准实践,它允许...通过合理的配置和实现,可以实现高效、安全的用户认证系统。在实际项目中,还需要考虑其他因素,如错误处理、令牌的过期策略以及安全性增强等。
Spring Security JWT 搭建思路
学为
08-25 251
Spring Security JWT 搭建思路 1,环境搭建,引入jwtsecurity的jar包; 2,创建用户表和角色菜单表等,这些和security并没有直接联系,而是自己设计的,开发基本用户查询接口和用户权限集合接口等,实现数据库用户认证和权限设置; 3,创建security配置类,及需要的各种Handler,成功的,失败的,退出的,未认证提示的,还有token过滤器,并设置密码验证规则,通常用BCryptPasswordEncoder; 4,在验证成功的Handler中,把token写入co
配置 Spring SecurityJWT(二)
qiuweifan的博客
03-28 876
下面的类是我们安全实现的关键。它包含了我们项目所需的几乎所有安全配置。 让我们首先在包中创建以下SecurityConfig类com.example.config,然后我们将通过代码并了解每个配置的作用
Spring Security + JWT简单配置
weixin_44485192的博客
07-13 765
本人使用版本为 springboot 2.7.1 ,jdk17 项目结构文件如图所示:
如何进行Spring Security实现jwt认证?
weixin_53227829的博客
05-06 279
JWT工作流程图springsecurity-jwt架构图。
后端分离项目使用security+JWT处理登录(最新版配置,非WebSecurityConfigurerAdapter 方式配置)
weixin_45677046的博客
12-16 1179
后端分离项目使用security+JWT处理登录(最新版配置,非WebSecurityConfigurerAdapter 方式配置)
JAVA进阶补充
最新发布
2301_80150315的博客
08-15 1014
概念:把已经有的方法拿过来用,当作函数式接口中抽象方法的方法体条件:引用处必须是函数式接口被引用的方法需要已经存在被引用方法的形参和返回值需要跟抽象方法的形参和返回值保持一致被引用方法的功能需要满足当前需求:方法引用符意义:就是为让控制台的报错信息更加的见名知意自定义异常的步骤:定义异常类写继承关系空参构造带参构造​file对象就表示一个路径,可以是文件的路径、也可以是文件夹的路径;这个路径可以是存在的,也允许是不存在的构造方法描述根据文件路径创建对象。
SpringSecurity+JWT配置与踩坑指南
"这是一份关于开发过程中遇到问题和解决方案的总结,主要涉及Spring Boot、Vue.js、Spring SecurityJWT配置与使用。" 在Spring Boot应用中,整合Spring SecurityJWT进行身份验证时,需要注意几个关键点。首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值