项目2---十次方项目开发---后台--鉴权和JWT---06

最新推荐文章于 2024-05-26 14:42:28 发布
最新推荐文章于 2024-05-26 14:42:28 发布
阅读量212 收藏
点赞数
分类专栏: 黑马项目 项目实例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28764557/article/details/104109485
版权

第一步:引入springSecurity。

<dependency>
		  <groupId>org.springframework.boot</groupId>
		  <artifactId>spring-boot-starter-security</artifactId>
	  </dependency>

默认的配置是拦截所有的路径。

第二步:写配置类

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * authorizeRequests:所有security全注解配置实现的开端。表示开始说明需要的权限
     * 需要的权限分两部分,第一部分是拦截的路径,第二部分访问路径需要的权限
     * antMatchers:表示拦截路径,permitAll表示任何权限都可以使用,直接放行所有
     * anyRequest():任何的请求,authenticated():认证后才能访问
     * .and().csrf().disable():固定写法,表示使csrf拦截失效
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/**").permitAll()
                .anyRequest().authenticated()
                .and().csrf().disable();
    }
}

这个适配器实现了一些空的方法。这段可以作为模板贴上去的。

-------------------------------------------------------------------01-----------------------------------------02----------------03-----------------------------------

springboot是把web.xml拿掉的。

web.xml是初始化的,现在这个替代了。

---------------------------------------------------------------------------04-----------------------------------------------------------------------

加密的网址:https://www.jianshu.com/p/89c4c476e189

引入加密算法:

第一步:

@SpringBootApplication
public class UserApplication {

	public static void main(String[] args) {
		SpringApplication.run(UserApplication.class, args);
	}

	@Bean
	public IdWorker idWorkker(){
		return new IdWorker(1, 1);
	}

	@Bean
	public BCryptPasswordEncoder encoder(){
		return new BCryptPasswordEncoder();
	}
	
}

第二步:注入和使用,对密码进行加密存入到数据库。

public void add(Admin admin) {
		admin.setId( idWorker.nextId()+"" ); //雪花分布式ID生成器
		admin.setPassword(encoder.encode(admin.getPassword()));//密码加密
		adminDao.save(admin);
	}

第三步:测试

---------------------------------------------------------------------------05-----------------------------------------------------------------------

写登陆:

第一步:

	public Admin login(Admin admin) {
		//先根据用户名查询对象.
		Admin admin_login = adminDao.findByLoginname(admin.getLoginname());
		//拿数据库中的密码和用户输入的密码匹配是否相同
		if(admin_login!=null&&encoder.matches(admin.getPassword(),admin_login.getPassword())){
			//保证数据库中的密码和用户输入的密码是一致的
			//登录成功
			return admin_login;
		}
		//登录失败
		return null;
	}

知识点:

@RequestBody:可以转为对象也可以转为map。

第二步:写controller

-----------------------------------------------------------------------------06----------------------------------------------------------------------------

用户的注册登陆的改造:

第一步:加密关键代码

/**
	 * 增加
	 * @param user
	 */
	public void add(User user) {
		user.setId( idWorker.nextId()+"" );
		//密码加密
		user.setPassword(encoder.encode(user.getPassword()));
		user.setFollowcount(0);//关注数
		user.setFanscount(0);//粉丝数
		user.setOnline(0L);//在线时长//
		user.setRegdate(new Date());//注册日期
		user.setUpdatedate(new Date());//更新日期
		user.setLastdate(new Date());//最后登陆日期
		userDao.save(user);
	}

第二步:登陆关键代码

public User login(String mobile,String password) {
		User user = userDao.findByMobile(mobile);
		if(user!=null && encoder.matches(password,user.getPassword())){
			return user;
		}
		return null;
	}

---------------------------------------------------------------------------07-----------------------------------------------------------------------

常见的认证机制:

1.每次都带上用户名和密码,无状态的。

2.CooKie Auth:登陆的信息在浏览器存在cookie,服务器存在session中。安卓ios什么的不方便。手机端现在越来越流行了。

3.OAuth:

4.Token Auth:

服务端是不存的用JWT算法。到时候我解密就可以了。

这个token的生成策略我们用的是JWT。

---------------------------------------------------------------------------08-----------------------------------------------------------------------

token的优点:

---------------------------------------------------------------------------09-----------------------------------------------------------------------

JWT生成tokrn的规则:

头部,载荷,签名。

头部:

载荷:

签名:对头部和载荷进行加密。

最后一点JWT是后台签发的。三部分组成。

---------------------------------------------------------------------------10-----------------------------------------------------------------------

JJWT:

第一步:导入坐标在common模块注意是在common模块里面。

  <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

第二步:

 List<Object> roles=new ArrayList<>();
        roles.add("role1");
        roles.add("role2");
        JwtBuilder jwtBuilder = Jwts.builder()
                //用户的id用户名
                .setId("666") .setSubject("小马")
                .setIssuedAt(new Date())//何时登陆的
                .signWith(SignatureAlgorithm.HS256,"wmlw")//头部信息  后面的是加的盐
                .setExpiration(new Date(new Date().getTime()+60000))
                .claim("roles",roles);
        System.out.println(jwtBuilder.compact());

这个set是按照这个标准set的:

----------------------------------------------------------------------------------11---------------------------------------------------------------------------------

解析JWT:

public static void main(String[] args) {
        //Claims里面就是key和value
        Claims claims = Jwts.parser().setSigningKey("wmlw")
                .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI2NjYiLCJzdWIiOiLlsI_pqawiLCJpYXQiOjE1ODAzNjA5NzksImV4cCI6MTU4MDM2MTAzOSwicm9sZXNBZGQiOlsicm9sZTEiLCJyb2xlMiJdfQ.Lx9C8olEcY29NHSx90Q0aifA1JjwzwyyKpWkadzk2eI")
                .getBody();
        System.out.println("用户id"+claims.getId());
        System.out.println("用户名"+claims.getSubject());
        System.out.println("登录时间"+new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(claims.getIssuedAt()));
        System.out.println("过期时间"+new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(claims.getExpiration()));
        System.out.println("角色"+claims.get("rolesAdd"));
    }

---------------------------------------------------------------------------12-----------------------------------------------------------------------

token的过期时间:

同上。

---------------------------------------------------------------------------13-----------------------------------------------------------------------

添加自定义的键值对:

---------------------------------------------------------------------------14-----------------------------------------------------------------------

token工具类:

第一步:拷贝JwtUtils:

注意下这个微服务的配置文件是引用它的微服务的配置文件读取的。没毛病。

第二步:

必传的信息:id,

---------------------------------------------------------------------------15-----------------------------------------------------------------------

admin登陆生成token:

第一步:我们写加盐的yml注意在哪个模块里面。

第二步:在启动类加Jwt工具。

第三步:写代码

用户 角色 权限 都是多对多

    @PostMapping("/login")
    public Result login(@RequestBody Admin admin) {
        Admin adminLogin = adminService.login(admin);
        if (adminLogin == null) {
            return new Result(false, StatusCode.ERROR, "登录失败");
        }
        //是的前后端可以通话的操作。采用JWT操作
        //生成令牌
//        List<Object> roles = new ArrayList<>();
//		roles.add("role1");
//		roles.add("role2");
        String token = jwtUtil.createJWT(adminLogin.getId(), adminLogin.getLoginname(), "admin");
        Map<String, Object> map = new HashMap<>();
        map.put("token", token);
        map.put("role", "admin");
        return new Result(true, StatusCode.OK, "登录成功", map);
//        return new Result(true, StatusCode.OK, "登录成功", "登陆凭证");

    }

测试登陆:

---------------------------------------------------------------------------16-----------------------------------------------------------------------

我们假设一个场景:删除的功能。我们要把token放在请求头里面。

第一步:request是一次请求,拿到request才能拿到请求头。

测试:

先登陆:

请求:

--------------------------------------------------------------------------17----------18-------------------------------------------------------------

用拦截器写:

其实也可以用springSecurity。

jdk1.8的好处:

第一步写拦截器:

拦截器都放行,不管是什么,在请求的request写入角色。

第二步:写配置configuration

相当于配置xml。

-----------------------------------------------------------------------19------20---------------------------------------------------------------- 

拦截器的验证测试:

第一步:改造userService

   public void deleteById(String id) {
//        String header = request.getHeader("Authorization");
//        if (header == null || header.equals("")) {
//            throw new RuntimeException("权限不足!");
//        }
//        if (!header.startsWith("Bearer ")) {
//            throw new RuntimeException("权限不足");
//        }
//        //得到token
//        String token = header.substring(7);
//        try {
//            Claims claims = jwtUtil.parseJWT(token);
//            String roles = (String) claims.get("roles");
//            if (roles == null && !"admin".equals(roles)) {
//                throw new RuntimeException("权限不足");
//            }
//        } catch (Exception e) {
//            throw new RuntimeException("权限不足");
//        }
        String token=(String)request.getAttribute("claims_admin");
        if(token==null || "".equals(token)){
            throw new RuntimeException("权限不足");
        }
        userDao.deleteById(id);
    }

测试:略。

--------------------------------------------------21---------------------------------------------

问答的token问题。

登陆才能问问题。

第一步:在UserService。

	@PostMapping("/login")
	public Result login(@RequestBody User user){
		user=userService.login(user.getMobile(),user.getPassword());
		if(user==null){
			return new Result(false,StatusCode.ERROR,"登录失败");
		}
		String token = jwtUtil.createJWT(user.getId(), user.getMobile(), "user");
		Map<String,Object> map =new HashMap<>();
		map.put("token",token);
		map.put("roles","user");
		return new Result(true,StatusCode.OK,"登录成功",map);
//		return new Result(true,StatusCode.OK,"登录成功","登陆成功");
	}

第二步:在问答里面验证

yml导入配置:

第三步:将过滤器导入

第四步:

/**
	 * 增加
	 * @param problem
	 */
	@RequestMapping(method=RequestMethod.POST)
	public Result add(@RequestBody Problem problem  ){
		String token=(String)request.getAttribute("claims_user");
		if(token ==null || "".equals(token)){
			return new Result(false,StatusCode.ACCESSERROR,"权限不足");
		}
		problemService.add(problem);
		return new Result(true,StatusCode.OK,"增加成功");
	}

--------------------------------------------------22---------------------------------------------

nzch
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sanic-jwt:Sanic的身份验证,JWT和权限范围
04-30
Sanic JWT Sanic JWT向添加了身份验证保护和终结。 它很容易启动和运行,并且对于开发人员来说是可扩展的。 它可以起到保护端点的作用,还可以提供身份验证作用域,所有这些都封装在一个不错的。 |我该怎么办? 这很...
一文搞懂SpringSecurity---[Day05]anyRequest,antMatcher,regexMatchers,mvcMatchers详解
风归去.
07-06 5249
访问控制url匹配在前面讲解了认证中所有常用配置,主要是对 进行操作。而在配置类中 主要是对url进行控制,也就是我们所说的授权(访问控制)。 也支持连缀写法,总体公式为:通过上面的公式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了中 的授权。 antMatcher() 方法定义如下 参数是不定向参数,每一个参数是一个ant表达式,用于匹配URL规则。规则如下:在实际项目中经常需要放行所有静态资源,下面演示放行 js 文件夹下所有脚本文件。 还有一种配置方式是只要是.js
【security】spring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的security。 security最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
(避坑)SpringSecurity关于使用.antMatchers放行接口不生效问题
最新发布
Sinder小德的博客
05-26 631
当你在yml文件中配置了ContextPath的时候,security中的放行接口就不用加上contextPath路径;
springsecurity过滤全部后放行特定的请求和遇到的坑
em.....
10-24 9671
在使用spirngsecurity的时候相信大家都遇到过,只有几个界面用户能访问然后把特定网页放心 spirngsecurity是支持这样做的,那么按照顺序来 http.authorizeRequests() .antMatchers("/*").hasRole("user") .antMatchers("/").permitAll() 这个时候发现任何请求根目录403了,这是为什么呢? 其实我们在这么做的时候必须把第一行...
如何让 Spring Security 放行所有接口
jakelihua
09-02 1506
首先,我们需要创建一个自定义的安全配置类,用于配置 Spring Security 的行为。在该类中,我们可以覆盖默认的安全配置,并进行自定义的配置。@Override在上面的代码中,我们使用方法来配置所有的接口都可以被放行,即不需要进行任何安全验证。
lua-resty-jwtJWT为伟大的Openresty
02-03
标题"lua-resty-jwtJWT为伟大的Openresty"表明了本文将探讨如何使用lua-resty-jwt库在Openresty(一个基于Nginx和Lua的高性能Web平台)中处理JSON Web Tokens (JWT)。JWT是一种安全的身份验证和授权机制,常用于...
spring-security-jwt-demo.zip
11-19
《Spring Security与JWT整合实战详解》 在现代Web应用程序中,安全性和..."spring-security-jwt-demo"项目提供了一个具体的实现示例,可以帮助开发者更好地理解和应用这些概念,为构建安全的Web应用程序提供有力支持。
Python项目开发-51商城设计源代码+开发文档说明资料.zip
06-08
- 为了实现用户注册、登录功能,项目可能采用了JWT(JSON Web Tokens)或者Session机制来处理用户身份验证和权限控制。 5. **支付接口集成**: - 商城系统通常需要集成第三方支付平台如支付宝或微信支付,这涉及...
gin-jwt:JWT Gin中间件框架
04-28
用于Gin框架的JWT中间件 这是框架的中间件。 它使用提供jwt身份验证中间件。 它提供了其他处理程序功能以提供将生成令牌的login api和可用于刷新令牌的其他refresh处理程序。 安全问题 简单的HS256 JWT令牌暴力...
SpringSecurity学习记录【一】
qq_44723773的博客
01-12 4163
课程: https://www.bilibili.com/video/BV1ZN411Q7d8 p1 到 p30 Spring Security 介绍 提供认证、授权、加密功能的安全框架。 1、用户凭证信息处理 UserDetailService UserDetailService public interface UserDetailsService { // 根据 username(唯一标识) 加载用户信息 UserDetails loadUserByUsername(String
Spring Security入门宝典(二)中篇
长夜漫漫,无心睡眠
10-10 2869
使用正则表达式进行匹配。和主要的区别就是参数,antMatchers()参数是ant表达式,参数是正则表达式。演示所有以.js结尾的文件都被放行。
Ant路径匹配规则AntPathMatcher的注意事项
weixin_33671935的博客
06-14 2743
0.AntPathMatcher前言:(1)SpringMVC的路径匹配规则是依照Ant的来的,实际上不只是SpringMVC,整个Spring框架的路径解析都是按照Ant的风格来的;(2)AntPathMatcher不仅可以匹配Spring的@RequestMapping路径,也可以用来匹配各种字符串,包括文件路径等。1.基本规则:(1)? 匹配一个字符(除过操...
Spring Security放开swagger-ui.html资源路径过滤
main方法
07-15 2934
.antMatchers("/swagger-ui.html").permitAll() // 任意访问 .antMatchers("/swagger-resources/**").permitAll() .antMatchers("/webjars/**").permitAll() .antMatchers("/v2/**").permitAll() .antMatchers("/api/**").permitAll()
SpringSecurity 源码理解及使用(三)
m0_52889702的博客
10-23 2564
springSecurity授权 权限管理策略 基于url的权限管理 基于方法的权限管理 将url权限管理设为动态 会话管理 会话并发管理 会话失效处理 禁止再次登录 会话共享 源码分析 CSRF 跨站请求伪造 开启CSRF防御 传统web开发 前后端分离开启CSRF防护 csrf防御过程 CORS 跨域问题 springBoot解决跨域的三种方式 springSecurity解决跨域
若依报错401、403;已解决
Java_version_J的博客
11-22 1万+
若依报错401、403
Spring Security-antMatchers 访问控制-url-匹配、白名单
西京刀客
09-23 1万+
文章目录一、问题背景二、spring security访问控制 url 匹配1. 匹配规则1.1 antMatcher()1.2 regexMatchers()三、实战配置demo举例 一、问题背景 每个不同的业务服务有的接口需要认证后才能访问,有的接口是不需要认证就可以访问的,有的接口可能是需要某些权限、角色才可以访问。 二、spring security访问控制 url 匹配 Spring Security——访问控制 url 匹配 参考URL: http://www.wjxin.cn/wjx/2020
Spring Security 实现 antMatchers 配置路径的动态获取
热门推荐
weixin_33824363的博客
12-14 1万+
为什么80%的码农都做不了架构师?>>> ...
JAX-RS 2.0实战:RESTful Java 二次开发指南
在大型项目中进行二次开发时,理解和应用 JAX-RS 2.0 是至关重要的,因为它提供了一套标准化的方法来设计和实现 RESTful API。JAX-RS 是 Java 的官方 RESTful Web 服务规范,它简化了开发者处理HTTP请求和响应的过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值