前言
前后端分离的开发模式中,接口的认证与授权是重中之重。由于接口都是无状态的,那势必就需要一套认证和授权框架来解决“你是谁”以及“你能干什么”的问题,所以,这篇文章就来聊一聊如何整合SpringSecurity和JWT实现登录认证和授权。
源码传送门:https://gitee.com/huoqstudy/xiliu-admin.git
一、SpringSecurity是什么?
SpringSecurity是一个强大的可高度定制的认证和授权框架,对于Spring应用来说它是一套Web安全标准。SpringSecurity注重于为Java应用提供认证和授权功能,像所有的Spring项目一样,它对自定义需求具有强大的扩展性。
其核心就是一组过滤器链,在spring security中一种过滤器处理一种认证方式,项目启动后将会自动配置
二、JWT是什么?
JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。总结来说,JWT只是一个生成token的机制。
1. JWT的组成
JWT token的格式:header.payload.signature
可以在该网站上获得解析结果:https://jwt.io/
-
header中用于存放签名的生成算法
-
payload中用于存放用户名、token的生成时间和过期时间
-
signature为以header和payload生成的签名,一旦header和payload被篡改,验证将失败
2. JWT实现认证和授权的原理
- 用户调用登录接口,登录成功后获取到JWT的token;
- 之后用户每次调用接口都在http的header中添加一个叫Authorization的头,值为JWT的token;
- 后台程序通过对Authorization头中信息的解码及数字签名校验来获取其中的用户信息,从而实现认证和授权。
三、整合步骤
1. 引入相关依赖
代码如下:
<!--SpringSecurity依赖配置-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!--JWT(Json Web Token)登录支持-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
2. yml配置中加入jwt配置信息
jwt:
tokenHeader: X-Token #JWT存储的请求头
tokenHead: Bearer #令牌前缀
secret: yz-admin-secret #JWT加解密使用的密钥
expiration: 604800 #JWT的超期限时间秒(60*60*24)
3. 添加JWT token的工具类
用于生成和解析JWT token的工具类:
@Slf4j
@Component
public class JwtTokenUtil {
private static final String CLAIM_KEY_USERNAME = "sub";
private static final String CLAIM_KEY_CREATED = "created";
@Value("${jwt.secret}")
private String secret;
@Value("${jwt.expiration}")
private Long expire;
/**
* 从token中获取登录用户名
*/
public String getUserNameFromToken(String token) {
String username;
try {
Claims claims = getClaimsFromToken(token);
username = claims.getSubject();
} catch (Exception e) {
username = null;
}
return username;
}
/**
* 校验token
*/
public boolean validateToken(String token, UserDetails userDetails) {
String username = getUserNameFromToken(token);
return username.equals(userDetails.getUsername()) && !isTokenExpired(token);
}
/**
* 根据用户信息生成token
*/
public String generateToken(UserDetails userDetails) {
Map<String, Object> claims = new HashMap<>();
claims.put(CLAIM_KEY_USERNAME, userDetails.getUsername());
claims.put(CLAIM_KEY_CREATED, new Date());
return generateToken(claims);
}
/**
* 判断token是否已经失效
*/
private boolean isTokenExpired(String token) {
Date expiredDate = getClaimsFromToken(token).getExpiration();
return expiredDate.before(new Date());
}
private String generateToken(Map<String, Object> claims) {
return Jwts.builder()
.setClaims(claims)
.setExpiration(generateExpirationDate())
//签名算法
.signWith(SignatureAlgorithm.HS512, secret)
.compact();
}
/**
* 生成token的过期时间
*/
private Date generateExpirationDate() {
return new Date(System.currentTimeMillis()