SpringBoot+SpringSecurity+Jwt权限认证---认证

最新推荐文章于 2024-03-15 13:30:39 发布
最新推荐文章于 2024-03-15 13:30:39 发布
阅读量505 收藏 2
点赞数
分类专栏: Java 文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/python6_quanzhan/article/details/121864812
版权

 1. 整体逻辑

1. SpringSecurity认证的逻辑规则

启动项目时,SpringBoot自动检索所有带@Configuration的注解,所以就将我们的WebSecurityConfig给加载了,这个config中,我们需要在configure(AuthenticationManagerBuilder auth)方法中注册一个继承自UserDetailsService的接口,这个接口中只有一个方法,那就是使用username获取到数据库中用户信息并返回成UserDetail实体。这个方法需要我们按照我们的不同业务场景重写

WebSecurityConfig


/**
 * @description:
 * @author: coderymy
 * @create: 2020-10-01 13:54
 * <p>
 * 1\. 创建WebSecurityConfig 类继承WebSecurityConfigurerAdapter
 * 2\. 类上加上@EnableWebSecurity,注解中包括@Configuration注解
 * <p>
 * WebSecurityConfigurerAdapter声明了一些默认的安全特性
 * (1)验证所有的请求
 * (2)可以使用springSecurity默认的表单页面进行验证登录
 * (3)允许用户使用http请求进行验证
 */

/**
 * 如何自定义认证
 * 1\. 实现并重写configure(HttpSecurity http)方法,鉴权,也就是判断该用户是否有访问该api的权限
 * <p>
 * <p>
 * 页面显示403错误,表示该用户授权失败(401代表该用户认证失败)前端可以使用返回的状态码来标识如何给用户展示
 * 用2XX表示本次操作成功,用4XX表示是客户端导致的失败,用5XX表示是服务器引起的错误
 */
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    public static void main(String[] args) {
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String encode = passwordEncoder.encode("123");
        System.out.println(encode);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        AuthenticationManager manager = super.authenticationManagerBean();
        return manager;
    }

    /**
     * SpringSecurity5.X要求必须指定密码加密方式,否则会在请求认证的时候报错
     * 同样的,如果指定了加密方式,就必须您的密码在数据库中存储的是加密后的,才能比对成功
     *
     * @return
     */
    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    //鉴权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        /**
         * 1\. HttpSecurity被声明为链式调用
         * 其中配置方法包括
         *  1\. authorizeRequests()url拦截配置
         *  2\. formLogin()表单验证
         *  3\. httpBasic()表单验证
         *  4\. csrf()提供的跨站请求伪造防护功能
         */
        /**
         * 2\. authorizeRequests目的是指定url进行拦截的,也就是默认这个url是“/”也就是所有的
         * anyanyRequest()、antMatchers()和regexMatchers()三种方法来拼配系统的url。并指定安全策略
         */
        http.authorizeRequests()
                //这里指定什么样的接口地址的请求,需要什么样的权限 ANT模式的URL匹配器
                .antMatchers("/select/**").hasRole("USER")//用户可以有查询权限
                .antMatchers("/insert/**").hasRole("ADMIN")//管理员可以有插入权限权限
                .antMatchers("/empower/**").hasRole("SUPERADMIN")//超级管理员才有赋权的权限
                .antMatchers("/login/**").permitAll()//标识list所有权限都可以直接访问,即使不登录也可以访问。一般将login页面放给这个权限
                .and()
                .formLogin()
//                .loginProcessingUrl("/login/user")//用来定义什么样的API请求时login请求
//                .permitAll()//login请求需要是所有权限都可以的
                .and().csrf().disable();

        /**
         * 将自定义的JWT过滤器加入configure中
         */
        JWTAuthenticationFilter jwtAuthenticationFilter = new JWTAuthenticationFilter(this.authenticationManager());
        http.addFilterBefore(jwtAuthenticationFilter, JWTAuthenticationFilter.class);
    }

    @Autowired
    private MyUserDetailsService myUserDetailsService;

    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailsService);
    }

}

MyUserDetailsService


@Service
public class MyUserDetailsService implements UserDetailsService {

    @Resource
    private UsersRepository usersRepository;

    /**
     * 其实这样就完成了认证的过程,能获取到数据库中配置的用户信息
     *
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //获取该用户的信息
        Users user = usersRepository.findByUsername(username);

        if (user == null) {//用户不存在报错
            throw new UsernameNotFoundException("用户不存在");
        }

        /**
         * 将roles信息转换成SpringSecurity内部的形式,即Authorities
         * commaSeparatedStringToAuthorityList可以将使用,隔开的角色列表切割出来并赋值List
         * 如果不行的话,也可以自己实现这个方法,只要拆分出来就可以了
         */
        //注意,这里放入Authorities中的信息,都需要是以Role_开头的,所以我们在数据库中配置的都是这种格式的。当我们使用hasRole做比对的时候,必须要是带Role_开头的。否则可以使用hasAuthority方法做比对
        user.setAuthorities(AuthorityUtils.commaSeparatedStringToAuthorityList(user.getRoles()));

        return user;
    }
}

其实如果去掉上面的将自定义的JWT过滤器加入到过滤链中的话,这个认证过程已经完成了。使用下面的代码就可以调用起整个认证程序。

核心代码

authenticate = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(userDto.getUsername(), userDto.getPassword()));

这一行就会将username和password放到认证程序中进行认证。

也就是需要我们自己也逻辑让他去触发这个代码的实现。就可以自动完成认证程序了。就会触发使用username获取到数据库用户信息,然后经过密码加密比对之后会将认证结果返回。

我们整合JWT其实也很简单,其实就是将JWT的登录部分的操作,使用过滤器封装,将该过滤器放到整个认证的过滤链中

2. 自定义JWT过滤器的配置

SpringSecurity过滤器的配置无非以下几个条件

  1. 该过滤器过滤什么样的API请求(也就是说什么样的API请求会触发该过滤器执行)。配置被过滤的请求API
  2. 该过滤器做什么事
  3. 该过滤器执行成功以及执行失败的各种情况该怎么做
  4. 该过滤器执行的时机是什么样的,也就是在过滤链之前还是之后执行

先解决逻辑上以上三个问题的答案

  1. 我们需要拦截认证请求,肯定是形如xxx/login/xxx这种API接口的请求啦
  2. 这个过滤器会做什么事呢?
    1. 首先,我们需要进行用户名密码的基础验证,也就是合不合法
    2. 我们需要
最低0.47元/天 解锁文章
Java领域指导者
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
认证过滤器
Leon_Jinhai_Sun的博客
06-05 2057
认证
(二)添加JwtAuthenticationFilter类实现登录之后在请求头添加 token来访问数据
weixin_51431465的博客
09-17 251
【代码】(二)添加JwtAuthenticationFilter类实现登录之后在请求头添加 token来访问数据。
spring security6+springboot3+jwt实现权限控制
最新发布
qq_68534248的博客
03-15 1015
myabits-plus,redis,lombok,hutoolspring security的核心配置,包含了自定义的鉴权MyUserDetailService 自定义的权限读取类 AuthenticationProvider 提供权限校验方法类,把MyUserDetailService类和PasswordEncoder 类作为入参,实现自定义权限校验AuthenticationManager 鉴权工具的管理bean,用默认提供的就行PasswordEncoder 使用BCryptPasswordEnco
SpringBoot + SpringSecurity+JWT整合(微服务适用)
weixin_42372860的博客
09-26 1164
SpringSecurity基于表单的登录认证流程如下图: 大致过程是在UsernamePasswordAuthenticationFilter将username和password封装成UsernamePasswordAuthenticationToken,之后会在AuthenticationProvider(接口,需要自己实现)的authenticate方法中拿到且校验(一般是查数据库,对比账号密码),而校验成功则返回Authentication接口对象(一般情况是直接返回UsernamePassw
SpringBoot + SpringSecurity + JWT认证
Eden 的博客
08-13 129
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。至此,spring-security 整合 jwt 认证 就已经完成了。负载中包含了所有用户所需要的信息,避免了多次查询数据库。application.properties 配置。简洁(Compact)
配置Spring Security AuthenticationFilter和AuthenticationPrincipal
qiuweifan的博客
04-01 1953
5.自定义Spring Security AuthenticationFilter 最后,让我们编写JWTAuthenticationFilter从请求中获取 JWT 令牌,对其进行验证,加载与令牌关联的用户,并将其传递给 Spring Security - public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider tokenProvi
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
1.传统spring boot框架 2.security框架 3.jwt取代session 4.mybatis-plus+mysql【sql文件项目中有】 5.不想下载,可以看博客,博客中有写
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
springboot+spring security+JWT+mybatisplus
10-08
springboot集成security,做用户验证和权限管理;JWT认证token;利用Aop做操作日志; 用mybatisplus 实现代码自动生成工具类。用swagger实现接口文档
整合SpringSecurityJWT实现登录认证和授权
Java升级之路的博客
09-07 4252
文章目录前言一、SpringSecurity是什么?二、JWT是什么?1. JWT的组成2. JWT实现认证和授权的原理三、整合步骤1. 引入相关依赖2. yml配置中加入jwt配置信息3. 添加JWT token的工具类4. 添加SpringSecurity的配置类5. 添加自定义结果处理类5.1 添加CustomAccessDeniedHandler5.2 添加CustomAuthenticationEntryPoint6. 添加JwtUser类7. 添加过滤器JwtAuthenticationTok
自定义Spring Security过滤器 JwtAuthenticationTokenFilter
zyx1234321的博客
11-19 362
这个过滤器的作用是在请求到达时验证 JWT,并将用户信息存储到 Spring Security 的上下文和 ThreadLocal 中,方便后续的权限验证和用户信息获取。放在所有过滤器前面,检查浏览器携带的token是否合法。
spring security Ⅲ—— authenticationManager.authenticate()验证流程
qq_45947664的博客
10-14 9487
进入provider.authenticate(authentication)方法后发现我们到了AbstractUserDetailsAuthenticationProvider类,而这个方法的返回值需要需要依赖user,要获取这个user,咱又不得不进入retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication) 这个方法。在得到这个user之后才能进行下一步。
SpringBoot整合Spring Security + JWT实现用户认证
leveretz的博客
07-13 1597
SpringBoot整合Spring Security + JWT实现用户认证
SpringBoot整合SpringSecurity+JWT
qq_43975645的博客
07-18 646
注意:SIGNATURE是生成token的公钥,当外部token进来时需要公钥解密。
Spring Security + JWT 实现认证和授权
修理男爵的博客
11-10 1865
数据库表 Spring Security JWT JwtToken @Data public class JwtToken { private String token; private String username; private Long expireTime; } JwtTokenProvider @Slf4j @Component public class JwtTokenProvider { public JwtToken cre..
Springboot3 + SpringSecurity + JWT + OpenApi3 实现认证授权
京茶吉鹿的博客
06-06 1354
目前最新的 spring boot 3 + security + jwt 实现双 token 认证,其中包含了 openapi3 的完整配置和使用以及 security 的新用法。直接使用源代码进行开发,下载即用,大大节省环境搭建的时间。
SpringSecurity实现登录和自定义权限认证
qq_49721447的博客
12-07 3957
springboot整合SpringSecurity实现登录和自定义权限认证
SpringBoot+SpringSecurity+JWT
09-19
SpringBoot是一个开源的Java开发框架,它简化了Spring应用程序的创建和配置过程。...6. 配置SpringSecurity:在SpringBoot的配置文件中配置SpringSecurity的相关属性,例如登录路径、认证路径和权限配置等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值