Spring Security 取Session中的值和修改userDetails(转)

最新推荐文章于 2024-06-22 23:30:36 发布
最新推荐文章于 2024-06-22 23:30:36 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: java 文章标签: spring security

1.在session中取得spring security的登录用户名如下

${session.SPRING_SECURITY_CONTEXT.authentication.principal.username}

spring security 把SPRING_SECURITY_CONTEXT 放入了session 没有直接把username 放进去。

下面一段代码主要描述的是session中的存的变量

view plaincopy to clipboardprint?
存跳转时候的URL  
session
{SPRING_SECURITY_SAVED_REQUEST_KEY=SavedRequest[http://localhost:8080/AVerPortal/resourceAction/resourceIndex.action]}
 
 
存的是登录成功时候session中存的信息  
session
{SPRING_SECURITY_CONTEXT=org.springframework.security.context.SecurityContextImpl@87b16984:
Authentication:
org.springframework.security.providers.cas.CasAuthenticationToken@87b16984:
Principal: com.avi.casExtends.UserInfo@ff631d80: Username: test; Password:
[PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired:
true; AccountNonLocked: true; Granted Authorities: ROLE_ADMIN; Password:
[PROTECTED]; Authenticated: true; Details:
org.springframework.security.ui.WebAuthenticationDetails@12afc: RemoteIpAddress:
127.0.0.1; SessionId: AE56E8925195DFF4C50ABD384574CCEA; Granted Authorities:
ROLE_ADMIN Assertion: org.jasig.cas.client.validation.AssertionImpl@661a11
Credentials (Service/Proxy Ticket): ST-3-1lX3acgZ6HNgmhvjXuxB-cas, userId=2,
userName=test} 
存跳转时候的URL
session
{SPRING_SECURITY_SAVED_REQUEST_KEY=SavedRequest[http://localhost:8080/AVerPortal/resourceAction/resourceIndex.action]}


存的是登录成功时候session中存的信息
session
{SPRING_SECURITY_CONTEXT=org.springframework.security.context.SecurityContextImpl@87b16984:
Authentication:
org.springframework.security.providers.cas.CasAuthenticationToken@87b16984:
Principal: com.avi.casExtends.UserInfo@ff631d80: Username: test; Password:
[PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired:
true; AccountNonLocked: true; Granted Authorities: ROLE_ADMIN; Password:
[PROTECTED]; Authenticated: true; Details:
org.springframework.security.ui.WebAuthenticationDetails@12afc: RemoteIpAddress:
127.0.0.1; SessionId: AE56E8925195DFF4C50ABD384574CCEA; Granted Authorities:
ROLE_ADMIN Assertion: org.jasig.cas.client.validation.AssertionImpl@661a11
Credentials (Service/Proxy Ticket): ST-3-1lX3acgZ6HNgmhvjXuxB-cas, userId=2,
userName=test}

2.在页面端用tag获取

Java代码 
  <%@ taglib prefix='security'
  uri='http://www.springframework.org/security/tags'%>   
   
  <security:authentication
  property="principal.username"></security:authentication>  

<%@ taglib prefix='security' uri='http://www.springframework.org/security/tags'%>

<security:authentication property="principal.username"></security:authentication>
或者


Java代码 
  <security:authorize ifAllGranted="ROLE_ADMIN">  
   
   <security:authentication
  property="principal.username"></security:authentication>   
   
  </security:authorize> 

<security:authorize ifAllGranted="ROLE_ADMIN">

 <security:authentication property="principal.username"></security:authentication>

</security:authorize>

或者取session中的值

#session.SPRING_SECURITY_CONTEXT.authentication.principal.username等同于

3.在后台获取

Java代码 
  UserDetails userDetails = (UserDetails) SecurityContextHolder.getContext()  
      .getAuthentication()  
      .getPrincipal();  
   
   
  userDetails.getUsername() 

UserDetails userDetails = (UserDetails) SecurityContextHolder.getContext()
    .getAuthentication()
    .getPrincipal();


userDetails.getUsername()

想要获取更多的信息得扩展userDetails的默认实现类user类和UserDetailsService接口

由于springsecurity是把整个user信息放入session中的即:session.SPRING_SECURITY_CONTEXT.authentication.principal


这个就是代表着user对象

因此我做了扩展增加user里的信息 加上userId

代码如下:扩展user

Java代码 
   expand sourceview plaincopy to clipboardprint?  
  package com.avi.casExtends;     
      
  import org.springframework.security.GrantedAuthority;     
  import org.springframework.security.userdetails.User;     
      
  public class UserInfo extends User{     
      private static final long serialVersionUID = 1L;     
      
      private String userId;     
      
      @SuppressWarnings("deprecation")     
      public UserInfo(String username, String password, boolean enabled,
  GrantedAuthority[] authorities)     
          throws IllegalArgumentException {     
          super(username,password, enabled, authorities);     
      }     
      
      public String getUserId() {     
          return userId;     
      }     
      
      public void setUserId(String userId) {     
          this.userId = userId;     
      }     
      
      public static long getSerialVersionUID() {     
          return serialVersionUID;     
      }     
      
         
  }    
  package com.avi.casExtends;  
   
  import org.springframework.security.GrantedAuthority;  
  import org.springframework.security.userdetails.User;  
   
  public class UserInfo extends User{  
   private static final long serialVersionUID = 1L;  
   
      private String userId;  
   
      @SuppressWarnings("deprecation")  
   public UserInfo(String username, String password, boolean enabled,
  GrantedAuthority[] authorities)  
          throws IllegalArgumentException {  
          super(username,password, enabled, authorities);  
      }  
   
   public String getUserId() {  
    return userId;  
   }  
   
   public void setUserId(String userId) {  
    this.userId = userId;  
   }  
   
   public static long getSerialVersionUID() {  
    return serialVersionUID;  
   }  
   
      
  }  
     
   
  实现userDetailsservice接口  
   
  + expand sourceview plaincopy to clipboardprint?  
  package com.avi.casExtends;     
      
  import java.util.HashMap;     
  import java.util.List;     
  import java.util.Map;     
      
  import org.springframework.dao.DataAccessException;     
  import org.springframework.security.GrantedAuthority;     
  import org.springframework.security.GrantedAuthorityImpl;     
  import org.springframework.security.userdetails.UserDetails;     
  import org.springframework.security.userdetails.UserDetailsService;     
  import org.springframework.security.userdetails.UsernameNotFoundException;    
  
      
  import com.avi.dao.AccountDao;     
  import com.avi.data.User;     
      
  public class UserInfoService implements UserDetailsService{     
           
      private AccountDao accountDao;     
      private Map<String, UserInfo> userMap = null;     
      
      public UserInfoService() {     
              
               
      }     
      public void fillMap(){     
           userMap = new HashMap<String, UserInfo>();     
           List<User> users = accountDao.findAllUsers();     
           UserInfo userInfo = null;     
           for(User user:users){     
              userInfo = new
  UserInfo(user.getUserName(),user.getPassword(),true,new GrantedAuthority[]{   
   
                  new GrantedAuthorityImpl(user.getRole()),     
              });     
              userInfo.setUserId(user.getId().toString());     
                   
               userMap.put(user.getUserName(), userInfo);     
           }     
      }     
           
      public UserDetails loadUserByUsername(String username)     
          throws UsernameNotFoundException, DataAccessException {     
          if(userMap==null)     
              fillMap();     
          return userMap.get(username);     
      }     
      
      public AccountDao getAccountDao() {     
          return accountDao;     
      }     
      
      public void setAccountDao(AccountDao accountDao) {     
          this.accountDao = accountDao;     
      }     
      
      public Map<String, UserInfo> getUserMap() {     
          return userMap;     
      }     
      
      public void setUserMap(Map<String, UserInfo> userMap) {     
          this.userMap = userMap;     
      }     
      
  }    
  package com.avi.casExtends;  
   
  import java.util.HashMap;  
  import java.util.List;  
  import java.util.Map;  
   
  import org.springframework.dao.DataAccessException;  
  import org.springframework.security.GrantedAuthority;  
  import org.springframework.security.GrantedAuthorityImpl;  
  import org.springframework.security.userdetails.UserDetails;  
  import org.springframework.security.userdetails.UserDetailsService;  
  import org.springframework.security.userdetails.UsernameNotFoundException;  
   
  import com.avi.dao.AccountDao;  
  import com.avi.data.User;  
   
  public class UserInfoService implements UserDetailsService{  
     
   private AccountDao accountDao;  
   private Map<String, UserInfo> userMap = null;  
   
      public UserInfoService() {  
           
            
      }  
      public void fillMap(){  
        userMap = new HashMap<String, UserInfo>();  
           List<User> users = accountDao.findAllUsers();  
           UserInfo userInfo = null;  
           for(User user:users){  
            userInfo = new
  UserInfo(user.getUserName(),user.getPassword(),true,new GrantedAuthority[]{  
             new GrantedAuthorityImpl(user.getRole()),  
            });  
            userInfo.setUserId(user.getId().toString());  
              
               userMap.put(user.getUserName(), userInfo);  
           }  
      }  
        
      public UserDetails loadUserByUsername(String username)  
          throws UsernameNotFoundException, DataAccessException {  
       if(userMap==null)  
        fillMap();  
          return userMap.get(username);  
      }  
   
   public AccountDao getAccountDao() {  
    return accountDao;  
   }  
   
   public void setAccountDao(AccountDao accountDao) {  
    this.accountDao = accountDao;  
   }  
   
   public Map<String, UserInfo> getUserMap() {  
    return userMap;  
   }  
   
   public void setUserMap(Map<String, UserInfo> userMap) {  
    this.userMap = userMap;  
   }  
   
  }  
     
   
   private AccountDao accountDao;是注入进来的查数据库的类  
   
  然后修改XML文件指定所要用到的service  
   
  + expand sourceview plaincopy to clipboardprint?  
  <authentication-provider user-service-ref="userDetailsService"/>     
      
  <bean id="userDetailsService" class="com.avi.casExtends.UserInfoService"
  singleton="false">     
          <property name="accountDao" ref="accountDao"/>     
  </bean>    
  <authentication-provider user-service-ref="userDetailsService"/>  
   
  <bean id="userDetailsService" class="com.avi.casExtends.UserInfoService"
  singleton="false">  
    <property name="accountDao" ref="accountDao"/>  
  </bean>   
   
   
  ${session.SPRING_SECURITY_CONTEXT.authentication.principal.username} 

 expand sourceview plaincopy to clipboardprint?
package com.avi.casExtends;  
 
import org.springframework.security.GrantedAuthority;  
import org.springframework.security.userdetails.User;  
 
public class UserInfo extends User{  
    private static final long serialVersionUID = 1L;  
 
    private String userId;  
 
    @SuppressWarnings("deprecation")  
    public UserInfo(String username, String password, boolean enabled, GrantedAuthority[] authorities)  
        throws IllegalArgumentException {  
        super(username,password, enabled, authorities);  
    }  
 
    public String getUserId() {  
        return userId;  
    }  
 
    public void setUserId(String userId) {  
        this.userId = userId;  
    }  
 
    public static long getSerialVersionUID() {  
        return serialVersionUID;  
    }  
 
    

package com.avi.casExtends;

import org.springframework.security.GrantedAuthority;
import org.springframework.security.userdetails.User;

public class UserInfo extends User{
 private static final long serialVersionUID = 1L;

    private String userId;

    @SuppressWarnings("deprecation")
 public UserInfo(String username, String password, boolean enabled, GrantedAuthority[] authorities)
        throws IllegalArgumentException {
        super(username,password, enabled, authorities);
    }

 public String getUserId() {
  return userId;
 }

 public void setUserId(String userId) {
  this.userId = userId;
 }

 public static long getSerialVersionUID() {
  return serialVersionUID;
 }

 
}
 

实现userDetailsservice接口

+ expand sourceview plaincopy to clipboardprint?
package com.avi.casExtends;  
 
import java.util.HashMap;  
import java.util.List;  
import java.util.Map;  
 
import org.springframework.dao.DataAccessException;  
import org.springframework.security.GrantedAuthority;  
import org.springframework.security.GrantedAuthorityImpl;  
import org.springframework.security.userdetails.UserDetails;  
import org.springframework.security.userdetails.UserDetailsService;  
import org.springframework.security.userdetails.UsernameNotFoundException;  
 
import com.avi.dao.AccountDao;  
import com.avi.data.User;  
 
public class UserInfoService implements UserDetailsService{  
      
    private AccountDao accountDao;  
    private Map<String, UserInfo> userMap = null;  
 
    public UserInfoService() {  
         
          
    }  
    public void fillMap(){  
         userMap = new HashMap<String, UserInfo>();  
         List<User> users = accountDao.findAllUsers();  
         UserInfo userInfo = null;  
         for(User user:users){  
            userInfo = new UserInfo(user.getUserName(),user.getPassword(),true,new GrantedAuthority[]{  
                new GrantedAuthorityImpl(user.getRole()),  
            });  
            userInfo.setUserId(user.getId().toString());  
              
             userMap.put(user.getUserName(), userInfo);  
         }  
    }  
      
    public UserDetails loadUserByUsername(String username)  
        throws UsernameNotFoundException, DataAccessException {  
        if(userMap==null)  
            fillMap();  
        return userMap.get(username);  
    }  
 
    public AccountDao getAccountDao() {  
        return accountDao;  
    }  
 
    public void setAccountDao(AccountDao accountDao) {  
        this.accountDao = accountDao;  
    }  
 
    public Map<String, UserInfo> getUserMap() {  
        return userMap;  
    }  
 
    public void setUserMap(Map<String, UserInfo> userMap) {  
        this.userMap = userMap;  
    }  
 

package com.avi.casExtends;

import java.util.HashMap;
import java.util.List;
import java.util.Map;

import org.springframework.dao.DataAccessException;
import org.springframework.security.GrantedAuthority;
import org.springframework.security.GrantedAuthorityImpl;
import org.springframework.security.userdetails.UserDetails;
import org.springframework.security.userdetails.UserDetailsService;
import org.springframework.security.userdetails.UsernameNotFoundException;

import com.avi.dao.AccountDao;
import com.avi.data.User;

public class UserInfoService implements UserDetailsService{
 
 private AccountDao accountDao;
 private Map<String, UserInfo> userMap = null;

    public UserInfoService() {
      
       
    }
    public void fillMap(){
      userMap = new HashMap<String, UserInfo>();
         List<User> users = accountDao.findAllUsers();
         UserInfo userInfo = null;
         for(User user:users){
          userInfo = new UserInfo(user.getUserName(),user.getPassword(),true,new GrantedAuthority[]{
           new GrantedAuthorityImpl(user.getRole()),
          });
          userInfo.setUserId(user.getId().toString());
         
             userMap.put(user.getUserName(), userInfo);
         }
    }
   
    public UserDetails loadUserByUsername(String username)
        throws UsernameNotFoundException, DataAccessException {
     if(userMap==null)
      fillMap();
        return userMap.get(username);
    }

 public AccountDao getAccountDao() {
  return accountDao;
 }

 public void setAccountDao(AccountDao accountDao) {
  this.accountDao = accountDao;
 }

 public Map<String, UserInfo> getUserMap() {
  return userMap;
 }

 public void setUserMap(Map<String, UserInfo> userMap) {
  this.userMap = userMap;
 }

}
 

 private AccountDao accountDao;是注入进来的查数据库的类

然后修改XML文件指定所要用到的service

+ expand sourceview plaincopy to clipboardprint?
<authentication-provider user-service-ref="userDetailsService"/>  
 
<bean id="userDetailsService" class="com.avi.casExtends.UserInfoService" singleton="false">  
        <property name="accountDao" ref="accountDao"/>  
</bean> 
<authentication-provider user-service-ref="userDetailsService"/>

<bean id="userDetailsService" class="com.avi.casExtends.UserInfoService" singleton="false">
  <property name="accountDao" ref="accountDao"/>
</bean>


${session.SPRING_SECURITY_CONTEXT.authentication.principal.username}

robin_csdn
关注
专栏目录
springsecurity原理流程图.pdf
09-08
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,它是安全领域Spring生态系统的一部分。Spring Security旨在为Java应用程序提供一个全面的安全解决方案,尤其适用于企业级应用场景。它主要...
spring security——学习笔记(day03)-UserDetailsService 修改数据方式
键上艺术家
12-22 2419
4.认证与授权(简单实现) 我们一直使用的Spring Security默认的安全机制:仅有一个用户,仅有一种角色,仅是简单登录。在实际开发,这自然是无法满足需求的。所以我们要开始学习认证与授权啦! 注意:这里只是按照 securtiy 的用户角色设计方式,进行的认证与授权,并没有涉及到完全动态的认证与授权。 后面会学习到动态的认证与授权的实例的!!! 在学习认证与授权时,我们先了解一下 security 提供的简单的多用户多角色模式。 4.1默认的数据库模型认证与授权(demo01) ..
SpringBoot集成SpringSecurity(四)前后端分离、Session会话控制
xinshengdelei的专栏
03-31 2504
前后端分离 主要实现避免后端控制页面跳,后端通过返回json让前端控制页面跳。 自定义登录成功Handler 之前代码通过defaultSuccessUrl("/index")配置当登录成功后默认跳到/index,不满足彻底的前后端分离。 我们可以用successHandler(myLoginSuccessHandler)添加登录成功处理器,当用户登录成功后处理并返回给前端json对象,因此无需配置defaultSuccessUrl("/index")。 @Configuration p
SpringSecurity-重写默认配置
最新发布
qq_43783527的博客
06-22 485
【代码】SpringSecurity-重写默认配置。
springsecuriy入门案例-UserDetailsService
xujj的博客
04-21 741
5.**认证流程2(根据用户名查出信息)😗*UserDetailsService是一个接口,我们需要实现它,只需实现其唯一的方法loadUserByUsername(),在loadUserByUsername()方法根据用户名从数据库查询用户信息,包括密码和权限,最后将用户名,密码和权限封装在内部可识别的UserDetails对象,并返回。.antMatchers(“/admin”).hasAnyAuthority(“admin,manager”)有admin,manager权限的可以访问。
从零开始java安全权限框架篇(七):spring security整合Redis实现session共享
qq_35755863的博客
09-09 4643
目录 一:spring security整合spring session实现session共享 二:代码 1.springsecurity的配置文件 2.自定义的session管理 三:获到当前的所有用户以及踢出一个用户 四:用户锁定 1.我们先来看看锁定的时序图 2.流程解析 3.代码 (1)登录流程验证验证 (2)登录失败加锁 五...
Spring Security学习总结
weixin_43900374的博客
11-16 646
目前学习spring security已经完成了拦截,获token,解析token,从数据库获用户数据,根据表的字段来鉴权这一块,通过自己的理解来记录一些流程和遇到的错误的解决办法 1.必须
Spring Security结合JWT的方法教程
08-28
Spring Security 是一个基于 Java 的安全框架,提供了强大的身份验证和授权机制,而 JWT(JSON Web Token)是一种基于 Token 的身份验证机制,两者的结合可以提供更加安全、灵活的身份验证方式。下面我们将详细介绍 ...
spring security权限控制
10-15
Spring Security,用户的身份信息通常存储在`UserDetails`对象,而`Authentication`对象则封装了这些信息。认证过程可以通过实现`AuthenticationProvider`接口来自定义。 2. **授权(Authorization)**:授权...
使用 Spring SessionSpring security 完成网站登录改造.docx
06-26
Spring SessionSpring Security 是两个非常重要的 Spring 框架组件,它们在构建现代 Web 应用程序时扮演着关键角色。Spring Session 提供了一种在分布式环境管理用户会话(Session)的方式,而 Spring ...
spring security 参考手册文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
SpringSecurity-- 修改redis的用户信息
qq_35415199的博客
09-15 716
SpringSecurity-- 修改redis的用户信息 import com.vankeytech.stylistic.consts.ErrorCode; import com.vankeytech.stylistic.exception.LoginException; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.data.redis.core.BoundLis..
SpringSecurity默认存入SPRING_SECURITY_CONTEXT影响Redis缓存Session,导致其它项目共享Session失败
酸菜鱼
12-18 2820
问题 SpringSecurity在配置了Redis后,会将SPRING_SECURITY_CONTEXT属性存入. 其,如果实现了UserDetails的实体类,自然会被存入. 在其它项目,如果配置了相同Redis地址用来Session共享,则在序列化时,会抛出UserDetails的实现类不存的异常 解决 将UserDetails的实现类放到一个公共模块.在不同项目被调用. ...
spring-security整合spring-session
weixin_43789433的博客
01-10 1735
spring-security整合spring-session引入依赖增加spring-session.xml配置文件在原有的spring-security.xml内容基础上,修改配置信息完整的spring-security.xml配置如下web.xml配置文件增加如下配置,使spring-session生效修改web.xmlspring-security过滤器配置 引入依赖 <...
Spring Security登录用户数据获(4)
qq_39853669的博客
10-18 2130
登录成功之后,在后续的业务逻辑,开发者可能还需要获登录成功的用户对象,如果不使用任何安全管理框架,那么可以将用户信息保存在HttpSession,以后需要的时候直接从HttpSession数据。无论是哪种获方式,都离不开一个重要的对象:Authentication。可以看到,在Spring Security,只要获到Authentication对象,就可以获到登录用户的详细信息;
Spring Security session与token
卢大宝宝的博客
08-03 2002
一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从服务器获session数据,然后进行用户信息查询,查询到,就会将查询到的用户信息返回,从而实现状态保持。 弊端: 1、服务器压力增大 通常session是存储在内存的,每个用
SpringSecurity5.6架构杂记
罗小爬的技术宝书
02-26 2303
最近在研究Spring Security 5.6和其的OAuth2相关模块,做了些记录,方便后续查看。
spring security手动 自定义 用户认证 SecurityContextHolder
热门推荐
lemonzone2010的专栏
05-23 2万+
manually set an authenticated user in Spring Securityspring security手动 自定义 用户认证 SecurityContextHolder //存放authentication到SecurityContextHolder SecurityContextHolder.getContext().setAuthentication(authentication); HttpSession session = request.getSession
SpringSecurity学习(二)自定义资源认证规则、自定义登录页面、自定义登录(成功/失败)处理、用户信息获
Huathy的博客
03-02 1312
index 公共资源/hello 受保护资源在项目添加如下配置就可以实现对资源权限规则的设定:// 注意:这里放行的内容必须在验证之前 // mvcMatchers匹配资源,permitAll放行该资源,无需认证授权,直接访问 req . mvcMatchers("/index") . permitAll();// anyRequest所有请求,都需要认证才可访问 req . anyRequest() . authenticated();
springboot整合springsecurity和jwt
04-28
好的,这是一个比较常见的需求,下面是大致的步骤: 1. 在pom.xml引入spring-security和jwt相关依赖 ```xml <!-- Spring Security --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>${spring-security.version}</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>${spring-security.version}</version> </dependency> <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>${jjwt.version}</version> </dependency> ``` 其 `${spring-security.version}` 和 `${jjwt.version}` 分别为 Spring Security 和 JWT 的版本号。 2. 配置 Spring SecuritySpring Boot ,使用 Java Config 来配置 Spring Security。具体的配置可以参考如下代码: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**") .permitAll() .anyRequest() .authenticated() .and() .exceptionHandling() .authenticationEntryPoint(jwtAuthenticationEntryPoint) .and() .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 上面的代码,我们配置了: - `userDetailsService`:用于从数据库用户信息。 - `JwtAuthenticationEntryPoint`:用于处理认证失败的情况。 - `JwtAuthenticationFilter`:用于处理 JWT 认证。 在 `configure(HttpSecurity http)` ,我们配置了哪些请求需要认证,哪些请求不需要认证,以及异常处理和 session 管理等。 3. 配置 JWT 在 JWT ,我们需要定义一个 secret key 用于签名和验证 JWT。可以在 application.properties 配置: ```properties jwt.secret=mySecretKey jwt.expirationMs=86400000 ``` 其,`jwt.secret` 是用于签名和验证 JWT 的 secret key,`jwt.expirationMs` 是 JWT 的过期时间(单位为毫秒)。 然后,我们可以定义一个 `JwtUtils` 类来生成和解析 JWT: ```java @Component public class JwtUtils { @Value("${jwt.secret}") private String jwtSecret; @Value("${jwt.expirationMs}") private int jwtExpirationMs; public String generateJwtToken(Authentication authentication) { UserPrincipal userPrincipal = (UserPrincipal) authentication.getPrincipal(); return Jwts.builder() .setSubject(userPrincipal.getUsername()) .setIssuedAt(new Date()) .setExpiration(new Date((new Date()).getTime() + jwtExpirationMs)) .signWith(SignatureAlgorithm.HS512, jwtSecret) .compact(); } public String getUsernameFromJwtToken(String token) { return Jwts.parser().setSigningKey(jwtSecret).parseClaimsJws(token).getBody().getSubject(); } public boolean validateJwtToken(String authToken) { try { Jwts.parser().setSigningKey(jwtSecret).parseClaimsJws(authToken); return true; } catch (SignatureException e) { logger.error("Invalid JWT signature: {}", e.getMessage()); } catch (MalformedJwtException e) { logger.error("Invalid JWT token: {}", e.getMessage()); } catch (ExpiredJwtException e) { logger.error("JWT token is expired: {}", e.getMessage()); } catch (UnsupportedJwtException e) { logger.error("JWT token is unsupported: {}", e.getMessage()); } catch (IllegalArgumentException e) { logger.error("JWT claims string is empty: {}", e.getMessage()); } return false; } } ``` 上面的代码,我们使用了 `Jwts.builder()` 和 `Jwts.parser()` 来生成和解析 JWT。 4. 配置认证接口 最后,我们可以在认证接口生成 JWT 并返回给客户端: ```java @RestController @RequestMapping("/api/auth") public class AuthController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtUtils jwtUtils; @Autowired private UserDetailsService userDetailsService; @PostMapping("/signin") public ResponseEntity<?> authenticateUser(@RequestBody LoginRequest loginRequest) { Authentication authentication = authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())); SecurityContextHolder.getContext().setAuthentication(authentication); String jwt = jwtUtils.generateJwtToken(authentication); UserDetails userDetails = userDetailsService.loadUserByUsername(loginRequest.getUsername()); return ResponseEntity.ok(new JwtResponse(jwt, userDetails.getUsername(), userDetails.getAuthorities())); } } ``` 上面的代码,我们使用了 `AuthenticationManager` 来进行认证,然后使用 `JwtUtils` 生成 JWT 并返回给客户端。 以上就是整合 Spring Security 和 JWT 的大致步骤,具体实现过程还需根据实际情况进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值