SpringSecurity+JWT前后端分离[上]

写程序的小王叔叔

已于 2022-05-26 12:16:05 修改

阅读量963

点赞数 3

分类专栏： 🐆 面试 / 转载 / 分享文章标签：架构 restful JWT SpringSecurity

于 2020-07-29 10:25:27 首次发布

原文链接：https://mbd.baidu.com/newspage/data/landingshare?pageType=1&isBdboxFrom=1&context=%7B%22nid%22%3A%22news_8933629595806296360%22%2C%22sourceFrom%22%3A%22bjh%22%7D

版权

🐆 面试 / 转载 / 分享专栏收录该内容

58 篇文章 8 订阅

订阅专栏

主页:写程序的小王叔叔的博客欢迎来访👀

支持:点赞收藏关注

社区:JAVA全栈进阶学习社区欢迎加入

2.在application.yml中加入如下自定义一些关于JWT的配置

3.编写JwtLoginController类

任务案例分析

在我们传统的B\S应用开发方式中，都是使用session进行状态管理的，比如说：保存登录、用户、权限等状态信息。这种方式的原理大致如下：

format,png

上面就是一种有状态服务。

当然，这整个过程中，cookies和sessionid都是服务端和浏览器端自动维护的。所以从编码层面是感知不到的，程序员只能感知到session数据的存取。但是，这种方式在有些情况下，是不适用的。比如：非浏览器的客户端、手机移动端等等，因为他们没有浏览器自动维护cookies的功能。比如：集群应用，同一个应用部署甲、乙、丙三个主机上，实现负载均衡应用，其中一个挂掉了其他的还能负载工作。要知道session是保存在服务器内存里面的，三个主机一定是不同的内存。那么你登录的时候访问甲，而获取接口数据的时候访问乙，就无法保证session的唯一性和共享性。当然以上的这些情况我们都有方案(如redis共享session等)，可以继续使用session来保存状态。但是还有另外一种做法就是不用session了，即开发一个无状态的应用，JWT就是这样的一种方案。

format,png

那上面说的无状态是什么?

微服务集群中的每个服务，对外提供的都使用RESTful风格的接口。而RESTful风格的一个最重要的规范就是：服务的无状态性，即：服务端不保存任何客户端请求者信息，客户端的每次请求必须具备自描述信息，通过这些信息识别客户端身份那么这种无状态性有哪些好处呢？客户端请求不依赖服务端的信息，多次请求不需要必须访问到同一台服务器服务端的集群和状态对客户端透明服务端可以任意的迁移和伸缩（可以方便的进行集群化部署）减小服务端存储压力。

如何实现无状态登录的流程：

首先客户端发送账户名/密码到服务端进行认证认证通过后，服务端将用户信息加密并且编码成一个token，返回给客户端以后客户端每次发送请求，都需要携带认证的token服务端对客户端发送来的token进行解密，判断是否有效，并且获取用户登录信息

format,png

在前后端分离的项目中，登录策略也有不少，不过JWT算是目前比较流行的一种解决方案了，本文就和大家来分享一下如何将SpringSecurity和JWT结合在一起使用，进而实现前后端分离时的登录解决方案。

format,png

什么是JWT?

JWT，全称是Json Web Token，是一种JSON风格的轻量级的授权和身份认证规范，可实现无状态、分布式的Web应用授权。JWT是一个加密后的接口访问密码，并且该密码里面包含用户名信息。这样既可以知道你是谁？又可以知道你是否可以访问应用？

JWT交互流程流程图

format,png

认证代码实现：

format,png

1.在pom.xml中引入jwt工具包

<!--Token生成与解析-->

<dependency>

<groupId>io.jsonwebtoken</groupId>

<artifactId>jjwt</artifactId>

<version>0.9.0</version>

</dependency>

2.在application.yml中加入如下自定义一些关于JWT的配置

# token配置token:# 令牌自定义标识header: Authorization# 令牌秘钥# secret: abcdefghijklmnopqrstuvwxyzsecret: (EMOK:)_$^11244^%$_(IS:)_@@++--(COOL:)_++++_.sds_(GUY:)# 令牌有效期（默认30分钟）expireTime: 3600000

其中header是携带JWT令牌的HTTP的Header的名称。虽然我这里叫做Authorization，但是在实际生产中可读性越差越安全。secret是用来为JWT基础信息加密和解密的密钥。虽然我在这里在配置文件写死了，但是在实际生产中通常不直接写在配置文件里面。而是通过应用的启动参数传递，并且需要定期修改。expiration是JWT令牌的有效时间。

3.编写JwtLoginController类

@RestController

public class JwtLoginController {

@Autowired

JwtAuthService jwtAuthService;

/** * 登录方法

*

* @param username 用户名

* @param password 密码

* @return 结果

*/

@PostMapping({"/login", "/"})

public RestResult login(String username, String password) {

RestResult result = RestResult.success();

String token = jwtAuthService.login(username, password);

result.put("token", token);

return result;

}

}

⚠️注意 ~