Spring Security 登录返回JWT

已于 2023-01-23 22:20:43 修改
阅读量342 收藏
点赞数
分类专栏: Java项目 文章标签: spring java
于 2023-01-16 18:16:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq56477643/article/details/128707657
版权

spring security配置

userDetailsService 是自定义验证账号密码的业务

  1. 配置路径请求权限
  2. 配置安全相关的filter
  3. 注入密码加密的bean BCryptPasswordEncoder
  4. 配置验证用户身份的service和加密方式
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
    /**
     * 自定义用户认证逻辑
     */
    @Autowired
    private UserDetailsService userDetailsService;
    
    /**
     * 认证失败处理类
     */
    @Autowired
    private AuthenticationEntryPointImpl unauthorizedHandler;

    /**
     * 退出处理类
     */
    @Autowired
    private LogoutSuccessHandlerImpl logoutSuccessHandler;

    /**
     * token认证过滤器
     */
    @Autowired
    private JwtAuthenticationTokenFilter authenticationTokenFilter;
    
    /**
     * 跨域过滤器
     */
    @Autowired
    private CorsFilter corsFilter;

    /**
     * 允许匿名访问的地址
     */
    @Autowired
    private PermitAllUrlProperties permitAllUrl;

    /**
     * 解决 无法直接注入 AuthenticationManager
     *
     * @return
     * @throws Exception
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception
    {
        return super.authenticationManagerBean();
    }

    /**
     * anyRequest          |   匹配所有请求路径
     * access              |   SpringEl表达式结果为true时可以访问
     * anonymous           |   匿名可以访问
     * denyAll             |   用户不能访问
     * fullyAuthenticated  |   用户完全认证可以访问(非remember-me下自动登录)
     * hasAnyAuthority     |   如果有参数,参数表示权限,则其中任何一个权限可以访问
     * hasAnyRole          |   如果有参数,参数表示角色,则其中任何一个角色可以访问
     * hasAuthority        |   如果有参数,参数表示权限,则其权限可以访问
     * hasIpAddress        |   如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
     * hasRole             |   如果有参数,参数表示角色,则其角色可以访问
     * permitAll           |   用户可以任意访问
     * rememberMe          |   允许通过remember-me登录的用户访问
     * authenticated       |   用户登录后可访问
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception
    {
        // 注解标记允许匿名访问的url
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests();
        permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll());

        httpSecurity
                // CSRF禁用,因为不使用session
                .csrf().disable()
                // 禁用HTTP响应标头
                .headers().cacheControl().disable().and()
                // 认证失败处理类
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求
                .authorizeRequests()
                // 对于登录login 注册register 验证码captchaImage 允许匿名访问
                .antMatchers("/v1/login", "/register", "/captchaImage").permitAll()
                // 静态资源,可匿名访问
                .antMatchers(HttpMethod.GET, "/", "/*.html", "/**/*.html", "/**/*.css", "/**/*.js", "/profile/**").permitAll()
                .antMatchers("/swagger-ui.html", "/swagger-resources/**", "/webjars/**", "/*/api-docs", "/druid/**").permitAll()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                .and()
                .headers().frameOptions().disable();
        // 添加Logout filter
        httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
        // 添加JWT filter
        httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 添加CORS filter
//        httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
//        httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
    }

    /**
     * 强散列哈希加密实现
     */
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder()
    {
        return new BCryptPasswordEncoder();
    }

    /**
     * 身份认证接口
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception
    {
        auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
    }
}

UserDetailsServiceImpl 实现类

返回用户对象,包含前端传入的账号和前端传入的密码进行配置加密方法加密的密码

@Service
public class UserDetailsServiceImpl implements UserDetailsService
{
    @Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException
    {
//        根据用户名查数据库,获取密码和用户信息
        SysUser userReturn = new SysUser();
        userReturn.setUserId(1111L);
        userReturn.setDeptId(1L);
        userReturn.setUserName(userName);
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        userReturn.setPassword( passwordEncoder.encode("password") );
        return createLoginUser(userReturn);
    }

    public UserDetails createLoginUser(SysUser user)
    {
        return new LoginUser(user.getUserId(), user.getDeptId(), user, new HashSet<String>());
    }
}

登录控制层

在SecurityConfig配置免鉴权的路径地址 “/v1/login”
传入账号和MD5加密的密码

前缀+生成的登录UID,作为redis的key值,储存LoginUser ,加上限制时间
LoginUser loginUser = (LoginUser) authentication.getPrincipal();

根据生成的登录UID,进行JWT加密返回前端作为head里的 Bear Token

@RestController
@RequestMapping("/v1")
@Api(value = "登录", tags = {"登录"})
public class LoginController {

    @Resource
    private AuthenticationManager authenticationManager;

    @ApiOperation(value = "login登录")
    @PostMapping("/login")
    public R login(@RequestBody  WxCode wxCode) throws Exception {

        String name ="name";
        String password="password";
        // 用户验证
        Authentication authentication = authenticationManager.authenticate
                (new UsernamePasswordAuthenticationToken(name, password));
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();


//        生成token
        Map<String, Object> claims = new HashMap<>();
        claims.put("login_user_key", UUID.fastUUID().toString());
        String tokenSecret = "abcdefghijklmnopqrstuvwxyz";
//        token 存 redis
        String token = Jwts.builder()
                .setClaims(claims)
                .signWith(SignatureAlgorithm.HS512,tokenSecret ).compact();

        return R.ok(token);
    }
}

pom里引入的jar

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.5.14</version>
    </parent>

            

<!-- JWT里需要 -->
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-web</artifactId>
            </dependency>


<!-- spring security 安全认证 -->
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-security</artifactId>
            </dependency>

            <!-- Token生成与解析-->
            <dependency>
                <groupId>io.jsonwebtoken</groupId>
                <artifactId>jjwt</artifactId>
                <version>0.9.1</version>
            </dependency>

JwtAuthenticationTokenFilter

在SecurityConfig配置jwt验证过滤器
解密head里的token得到 登录UID
UID加上前缀去找redis找登录用户,没找到说明token过期了,
找到说明token有效,登录状态有效

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter{
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException
    {
        String token = request.getHeader("Authorization");
        if (StringUtils.isNotEmpty(token) && token.startsWith("Bearer "))
        {
            token = token.replace("Bearer ", "");
        }
        if (StringUtils.isNotEmpty(token))
        {
            Claims claims= Jwts.parser().setSigningKey("abcdefghijklmnopqrstuvwxyz")
                    .parseClaimsJws(token).getBody();
            String uuid = (String) claims.get("login_user_key");
            System.out.println(uuid);
//            验证token令牌有效期,相差不足20分钟,自动刷新缓存, token存入redis里,过期需要重新获取token
            SysUser user = new SysUser();
//            user.setUserName("wx766e6c996b1542d2");
            BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
//            加密不加密,貌似都行
//             String  encoderPassword =passwordEncoder.encode("wx766e6c996b1542d2");
//            user.setPassword(encoderPassword);

            user.setPassword(null);
            LoginUser loginUser= new LoginUser();
            loginUser.setUser(user);

            UsernamePasswordAuthenticationToken authenticationToken =new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
// 下面代码注释掉,不会影响鉴权
            authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

//            下面代码表示鉴权通过,哪怕上面 user setUserName和setPassword 都是空
//          SecurityContextHolder.getContext().setAuthentication(new UsernamePasswordAuthenticationToken(null, null, null));

            SecurityContextHolder.getContext().setAuthentication(authenticationToken);

        }
        System.out.println("开始验证head里的token");
        chain.doFilter(request, response);
    }
}

AuthenticationEntryPointImpl

config里配置的认证失败处理类 返回未授权

@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint, Serializable
{
    private static final long serialVersionUID = -8970718410437077606L;

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e)
            throws IOException
    {
        String msg = StrUtil.format("请求访问:{},认证失败,无法访问系统资源", request.getRequestURI());
        response.setStatus(200);
        response.setContentType("application/json");
        response.setCharacterEncoding("utf-8");
        response.getWriter().print(JSON.toJSONString(R.build(String.valueOf(HttpStatus.UNAUTHORIZED.value()),msg)));
        log.error("认证失败。。。。。。。。。");
    }
}
LaLaLa_OvO
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security 实战干货: 登录成功返回 JWT Token
码农小胖哥
10-29 5279
1. 前言 欢迎阅读 Spring Security 实战干货 系列文章,上一文 我们实现了 JWT 工具。本篇我们将一起探讨如何将 JWTSpring Security 结合起来,在认证成功后不再跳转到指定页面而是直接返回 JWT Token 。 本文的DEMO 可通过文末的方式获取 2. 流程 JWT 适用于前后端分离。我们在登录成功后不在跳转到首页,将会直接返回 JWT Token ...
Spring Security + OAuth2】前后端分离
最新发布
weixin_43676950的博客
05-16 838
跨域全称是跨域资源共享(Cross-Origin Resources Sharing,CORS),它是浏览器的保护机制,只允许网页请求统一域名下的服务,同一域名指=>协议,域名,端口号都要保持一致,如果有一项不同,那么就是跨域请求,在前后端分离的项目中,需要解决跨域的问题。当访问一个需要认证之后才能访问的接口的时候,Spring Security会使用 AuthenticationEntryPoint 将用户请求跳转到登录页面,要求用户提供登录凭证。在WebSecurityConfig,加入注销配置。
SpringBoot整合SpringSecurityJWT
hello,word!
03-03 4247
SpringBoot整合SpringSecurityJWTSpringSecurity提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限。
SpringBoot - SpringSecurity结合JWT的身份验证及动态权限解决方案
江南烟雨却痴缠丶
03-28 2264
花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo,并按照自己的想法完成了动态权限问题。在写这个Demo之初,使用的是SpringSecurity自带的注解权限,但是这样权限就显得不太灵活,在实现之后,感觉也挺复杂的,欢迎大家给出建议。Demo下载地址,见文末。 JWT是什么可以参考我另一篇博文:浅谈JWT身份认证及其优缺点 认证流程及授权流程 我画了个建议的认证授权流程图,后面会结合代码进行解释整个流程。 一、登录认证阶段 实现SpringSecurity的UsernameP
Spring Security+Oauth2+JWT实现用户登录逻辑,以及使用login接口登录成功返回token获取
z132411的博客
05-07 4562
目录 pom引入 配置Spring Security 1.实现UserDetailsService接口 2.登录成功处理 3.登录失败处理 4.登出处理 5.没有权限处理设置 6.匿名用户访问处理 7.指定加密方式 8.WebSecurityConfig配置 oauth2处理 配置授权服务器 配置资源服务器 jwt配置 jwt转换器 jwt扩展存储 本文整合了前两篇文章,再结合Oauth2实现了单点登录的基本处理。 之前的文章: SpringBoot整合Spring
Spring Security的项目中集成JWT Token令牌安全访问后台API
BASK2312的博客
12-29 1126
首先,让我们来补一下jwt的知识。jwt token的全称叫,主要用于在各方之间以JSON 对象方式安全地传输信息。此信息是数字签名的,可以验证和信任,JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。虽然 JWT 可以加密以在各方之间提供保密性,但我们将专注于签名令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌会向其他方隐藏这些声明。当使用公钥/私钥对对令牌进行签名时,只有持有私钥的一方才可以签署。
SpringSecurity实现前后端分离登录token认证详解
热门推荐
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
springsecurity登录返回token字符串和刷新token代码实例
qq_41358574的博客
02-04 4124
文章目录1.登录接口(登陆成功返回token)2.登录方法3.刷新token的接口4.生成token和刷新token的工具类 1.登录接口(登陆成功返回token) yml文件: jwt: tokenHeader: Authorization #JWT存储的请求头 secret: mall-admin-secret #JWT加解密使用的密钥 expiration: 604800 #JWT的超期限时间(60*60*24*7) tokenHead: 'Bearer ' #JWT负载中拿到
Spring boot框架 JWT实现用户账户密码登录验证
Lushengshi的博客
05-20 3071
JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全传输方式。它是一种紧凑且自包含的方式,通过使用数字签名来验证数据的完整性和真实性。JWT由三部分组成,使用Header(头部):包含JWT的类型(typ)和使用的签名算法(alg)等信息。Payload(负载):包含要传输的数据,例如用户身份信息、权限等。它是JWT的主要内容,可以自定义添加其他需要的字段。Signature(签名):使用指定的算法对Header和Payload进行签名,以确保数据在传输过程中没有被篡改。
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
Spring Security基于JWT实现SSO单点登录详解
08-25
Spring Security 基于 JWT 实现 SSO 单点登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
SpringSecurity整合Jwt过程图解
08-25
"SpringSecurity整合Jwt过程图解" 在本文中,我们将详细介绍SpringSecurity整合Jwt的过程图解。Jwt(Json Web Token)是一种基于Token的身份验证机制,广泛应用于Web应用程序的身份验证和授权中。SpringSecurity是...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
spring security 登录接口(jwt)的流程
please93的博客
02-15 583
spring security 登录接口(jwt)的流程
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4463
Spring 是非常流行和成功Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
Springboot-security实现登陆验证(返回前端token)
justleavel的博客
07-15 5307
***用户编号/***登录名称(用户名)/***登录密码/***帐户是否过期(1-未过期,0-已过期)/***帐户是否被锁定(1-未过期,0-已过期)/***密码是否过期(1-未过期,0-已过期)/***帐户是否可用(1-可用,0-禁用)/***真实姓名/***昵称/***所属部门ID/***所属部门名称/***性别(0-男,1-女)/***电话/***邮箱/**...
spring security 实现自定义认证和登录(3):使用JWT生成token返回给用户
qq_45691577的博客
03-05 1227
前面我们已经实现了登录,为了验证用户日后的请求是否有效,我们生成一个token给用户,用户将token保存起来,用户每次发送请求时我们验证其token是否有效,下面使用JWT生成token并返回给用户。
spring security 实现自定义认证和登录(4):使用token进行验证
qq_45691577的博客
03-06 3492
前面我们实现了给客户端下发token,虽然客户端拿到了token,但我们还没处理客户端下一次携带token请求时如何验证,我们想要实现拿得到token之后,只需要验证token,不需要用户再携带用户名和密码了。
springsecurity如何通过jwt进行认证
03-25
Spring Security可以通过使用JWT(JSON Web Tokens)进行认证。JWT是一种令牌格式,可以帮助维护用户的身份和安全。 Spring Security可以通过如下步骤使用JWT进行认证: 1. 在客户端(如浏览器)登录时,它将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值