Spring Security + JWT 使用

最新推荐文章于 2024-08-05 19:09:24 发布
最新推荐文章于 2024-08-05 19:09:24 发布
阅读量799 收藏 9
点赞数 2
分类专栏: Spring 文章标签: Spring Security JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36160730/article/details/107283175
版权

文章目录

GitHub:shpunishment/spring-security-jwt-demo

1. 前言

在这之前,可以先了解下Spring Security 使用RBAC 权限控制及结合 Spring Security 部分实现

本文使用的数据库模型都来自RBAC 权限控制及结合 Spring Security 部分实现中的RBAC0章节。不同的是,上文中使用的是Cookie和Session;本文使用JWT Token。

Json Web Token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。RFC 7519 定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。

2. Spring Security + JWT

表结构

字段
用户表 userid,nickname,username,password,enable
角色表 roleid,role_name
菜单表 menuid,menu_name,url,permission
用户角色关联表 user_roleid,user_id,role_id
角色菜单关联表 role_menuid,role_id,menu_id

添加依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>2.1.2</version>
</dependency>
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>5.1.47</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.60</version>
</dependency>

配置Spring Security

@Configuration
@EnableWebSecurity
// 开启方法级别保护
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private AuthenticationEntryPoint jwtAuthenticationEntryPoint;

    @Autowired
    private AccessDeniedHandler jwtAccessDeniedHandler;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .userDetailsService(userDetailsService)
                .passwordEncoder(passwordEncoder());
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web
                .ignoring()
                .antMatchers("/js/**");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                // /login 为登录url
                .antMatchers(HttpMethod.POST, "/login").permitAll()
                // /api /page 需要任何身份验证
                .antMatchers("/api/**","/page/**").authenticated()
                // 其他请求通过
                .anyRequest().permitAll()
                .and()
                // 添加JWT认证过滤器和JWT登录认证过滤器,并且关闭session
                .addFilter(new JwtAuthenticationFilter(authenticationManager(), userDetailsService))
                .addFilter(new JwtLoginAuthenticationFilter(authenticationManager()))
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                // 异常处理,认证与授权
                .exceptionHandling()
                .authenticationEntryPoint(jwtAuthenticationEntryPoint)
                .accessDeniedHandler(jwtAccessDeniedHandler)
                .and()
                .cors().and()
                .csrf().disable();
    }

    @Bean
    public static BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

用数据库存储,实现 UserDetailsService 接口。

获取用户信息,先通过用户名获取用户,再通过用户id获取权限值,再设值

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private UserService userService;

    @Autowired
    private MenuService menuService;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        User user = userService.getByUsername(s);
        if (user != null) {
            List<String> authorities = menuService.getPermissionByUserId(user.getId());
            return new SecurityUserDetails(user.getUsername(), user.getPassword(), user.getEnable(), authorities);
        }
        return null;
    }
}

存储用户信息,实现 UserDetails 接口,UserDetails 是提供用户信息的核心接口,但仅存储用户信息,需要将用户信息封装到认证对象 Authentication 中。

使用 SimpleGrantedAuthority ,GrantedAuthority 的基本实现来保存权限值。

public class SecurityUserDetails implements UserDetails {
    private String username;

    private String password;

    private Integer enable;

    private List<GrantedAuthority> authorities;

    public SecurityUserDetails (String username, String password, Integer enable, List<String> authorities) {
        this.username = username;
        this.password = password;
        this.enable = enable;

        // 权限值,在这里就是菜单的权限值
        List<GrantedAuthority> authorityList = new ArrayList<>();
        if (!authorities.isEmpty()) {
            for (String authority : authorities) {
                authorityList.add(new SimpleGrantedAuthority(authority));
            }
        }
        this.authorities = authorityList;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return this.enable == 1;
    }

    @Override
    public boolean equals(Object o) {
        return this.toString().equals(o.toString());
    }

    @Override
    public int hashCode() {
        return username.hashCode();
    }

    @Override
    public String toString() {
        return this.username;
    }

    public void setPassword(String password) {
        this.password = password;
    }
}

UsernamePasswordAuthenticationFilter 原来的作用就是对用户名和密码进行校验,这里继承并进行重写,也可以使其不止验证用户名和密码。

JWT登录认证过滤器,认证信息并颁发Token。

public class JwtLoginAuthenticationFilter extends UsernamePasswordAuthenticationFilter {

    private final AuthenticationManager authenticationManager;

    public JwtLoginAuthenticationFilter(AuthenticationManager authenticationManager) {
        // 设置拦截的url,即登录url
        super.setFilterProcessesUrl(Const.LOGIN_URL);
        this.authenticationManager = authenticationManager;
    }

    /**
     * 获取请求中的用户名和密码,再封装成token并校验
     * @param request
     * @param response
     * @return
     * @throws AuthenticationException
     */
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        String username = this.obtainUsername(request);
        String password = this.obtainPassword(request);
        if (username == null) {
            username = "";
        }

        if (password == null) {
            password = "";
        }

        username = username.trim();
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
        return this.authenticationManager.authenticate(authRequest);
    }

    /**
     * 登录成功创建token并写在头部Authorization中
     * @param request
     * @param response
     * @param chain
     * @param authResult
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        UserDetails userDetails = (SecurityUserDetails) authResult.getPrincipal();

        List<String> authorities = userDetails.getAuthorities()
                .stream()
                .map(GrantedAuthority::getAuthority)
                .collect(Collectors.toList());

        String token = JwtTokenUtils.createJwtToken(userDetails.getUsername(), authorities);
        response.setHeader(JwtTokenUtils.TOKEN_HEADER, token);
    }

	/**
     * 登录失败
     * @param request
     * @param response
     * @param failed
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
        Map<String, Object> map = new HashMap<>(2);
        map.put("code", 401);
        map.put("msg", "未认证通过,请重新登录!");

        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().write(JSON.toJSONString(map));
    }
}

JWT前置认证过滤器,所有请求都会先通过该过滤器,从请求头部中获取Token,并解析获取用户名再进行校验,最后保存到SecurityContext上下文中,抛出异常就会调用 AuthenticationEntryPoint 的方法。

public class JwtAuthenticationFilter extends BasicAuthenticationFilter {

    private final UserDetailsService userDetailsService;

    public JwtAuthenticationFilter(AuthenticationManager authenticationManager, UserDetailsService userDetailsService) {
        super(authenticationManager);
        this.userDetailsService = userDetailsService;
    }

    /**
     * 从头部中获取token,并解析获取用户名再进行校验,最后保存到SecurityContext上下文中
     * @param request
     * @param response
     * @param chain
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        try {
            String token = request.getHeader(JwtTokenUtils.TOKEN_HEADER);
            if (token != null && token.startsWith(JwtTokenUtils.TOKEN_PREFIX)) {
                String jwtToken = token.replace(JwtTokenUtils.TOKEN_PREFIX, "");
                String username = JwtTokenUtils.getUsernameByToken(jwtToken);
                if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                    UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
                    if (JwtTokenUtils.validateToken(jwtToken, userDetails)) {
                        UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                        SecurityContextHolder.getContext().setAuthentication(authentication);
                    }
                }
            }
        } catch (Exception e) {
            SecurityContextHolder.clearContext();
        }
        chain.doFilter(request, response);
    }
}

实现 AuthenticationEntryPoint 接口,当没有Token或者Token失效访问接口时,自定义返回结果。

@Component
public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        Map<String, Object> map = new HashMap<>(2);
        map.put("code", 401);
        map.put("msg", "未认证通过,请登录!");
        httpServletResponse.setContentType("application/json;charset=UTF-8");
        httpServletResponse.getWriter().write(JSON.toJSONString(map));
    }
}

实现 AccessDeniedHandler 接口,当用户无权限访问该资源时,自定义返回结果。

@Component
public class JwtAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        Map<String, Object> map = new HashMap<>(2);
        map.put("code", 403);
        map.put("msg", "无权限访问");
        httpServletResponse.setContentType("application/json;charset=UTF-8");
        httpServletResponse.getWriter().write(JSON.toJSONString(map));
    }
}

JWT工具类

public class JwtTokenUtils {

    /**
     * Base64加密后的字符串,即私钥
     */
    public static final String SECRET_KEY = "shpun";

    /**
     * token认证的类型
     */
    public static final String TOKEN_TYPE = "JWT";

    /**
     * token认证的头部名
     */
    public static final String TOKEN_HEADER = "Authorization";

    /**
     * token认证的前缀
     */
    public static final String TOKEN_PREFIX = "Bearer ";

    /**
     * token的超时时间,这里是30分钟
     */
    public static final long EXPIRY_TIME = 30 * 60L;

    public static final String AUTHORITY_CLAIMS = "au";

    /**
     * 创建JwtToken
     * @param username
     * @return
     */
    public static String createJwtToken(String username, List<String> authorities) {
        final Date createdDate = new Date();
        final Date expirationDate = new Date(createdDate.getTime() + EXPIRY_TIME * 1000);

        String jwtToken = Jwts.builder()
                .setHeaderParam("type", TOKEN_TYPE)
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .claim(AUTHORITY_CLAIMS, String.join(",", authorities))
                .setIssuer("shpun")
                .setIssuedAt(createdDate)
                .setSubject(username)
                .setExpiration(expirationDate)
                .compact();
        return TOKEN_PREFIX + jwtToken;
    }

    /**
     * 判断token是否过期
     * @param token
     * @return
     */
    public static boolean isTokenExpired(String token) {
        Date expiredDate = getTokenBody(token).getExpiration();
        return expiredDate.before(new Date());
    }

    /**
     * 获取token中的username
     * @param token
     * @return
     */
    public static String getUsernameByToken(String token) {
        return getTokenBody(token).getSubject();
    }

    /**
     * 获取tokenBody
     * @param token
     * @return
     */
    private static Claims getTokenBody(String token) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
    }

    /**
     * 验证token是否还有效
     * @param token
     * @param userDetails
     * @return
     */
    public static boolean validateToken(String token, UserDetails userDetails) {
        String username = getUsernameByToken(token);
        return username.equals(userDetails.getUsername()) && !isTokenExpired(token);
    }

}

以上省略model,mapper,service等

page1~page6的权限控制
需要再Spring Security的配置中添加注解 @EnableGlobalMethodSecurity(prePostEnabled = true),开启方法级别保护

hasAuthority中是权限值,有相应的权限值才能访问该接口。

@RequestMapping("/page")
@RestController
public class PageController {
    @PreAuthorize("hasAuthority('PageController:page1')")
    @RequestMapping("/page1")
    public String page1() {
        return "page1";
    }

    @PreAuthorize("hasAuthority('PageController:page2')")
    @RequestMapping("/page2")
    public String page2() {
        return "page2";
    }

    @PreAuthorize("hasAuthority('PageController:page3')")
    @RequestMapping("/page3")
    public String page3() {
        return "page3";
    }

    @PreAuthorize("hasAuthority('PageController:page4')")
    @RequestMapping("/page4")
    public String page4() {
        return "page4";
    }

    @PreAuthorize("hasAuthority('PageController:page5')")
    @RequestMapping("/page5")
    public String page5() {
        return "page5";
    }

    @PreAuthorize("hasAuthority('PageController:page6')")
    @RequestMapping("/page6")
    public String page6() {
        return "page6";
    }
}

测试

添加用户:管理员,张三,李四
添加角色:管理员,测试员1,测试员2
添加菜单:page1~6

添加用户角色关联:
管理员 - 管理员
张三 - 测试员1
李四 - 测试员2

添加角色菜单关联:
管理员 page1~6
测试员1 page1,page2
测试员2 page1,page3

未认证可以直接访问不受保护的链接 /test/**
访问不受保护的链接
访问受保护的链接 /api/** ,未认证返回 JwtAuthenticationEntryPoint 中的自定义结果
访问受保护的链接
用户名和密码错误登录失败
用户名和密码错误登录失败
使用张三的用户名密码正确登录成功,在返回的头部可看到JWT Token
用户名密码正确登录成功
JWT 解码可看到保存的信息
JWT 解码
使用用户张三的JWT Token访问page1和page2都可访问成功
page1
page2
访问page3~page6就失败,因为张三没有该权限,返回 JwtAccessDeniedHandler 中的自定义结果
page3~page6无权访问

3. 整合Swagger

可先了解Spring Boot + Swagger 使用

修改 SwaggerConfig,实现调用接口自带Authorization头,这样就可以访问认证的接口。

@Configuration
@EnableSwagger2
public class SwaggerConfig {

    @Bean
    public Docket createRestApi(){
        return new Docket(DocumentationType.SWAGGER_2)
                .groupName("Jwt")
                .apiInfo(apiInfo())
                .select()
                .apis(RequestHandlerSelectors.basePackage("com.shpun.controller"))
                .paths(PathSelectors.any())
                .build()
                // 添加登录认证
                .securitySchemes(securitySchemes())
                .securityContexts(securityContexts());
    }

    private ApiInfo apiInfo() {
        return new ApiInfoBuilder()
                .title("Spring-Security-Jwt-test")
                .version("1.0")
                .build();
    }

    /**
     * 设置请求头信息
     * @return
     */
    private List<ApiKey> securitySchemes() {
        List<ApiKey> result = new ArrayList<>();
        ApiKey apiKey = new ApiKey("Authorization", "Authorization", "header");
        result.add(apiKey);
        return result;
    }

    /**
     * 设置需要登录认证的路径
     * @return
     */
    private List<SecurityContext> securityContexts() {
        List<SecurityContext> result = new ArrayList<>();
        result.add(getContextByPath("/api/.*"));
        result.add(getContextByPath("/page/.*"));
        return result;
    }

    private SecurityContext getContextByPath(String pathRegex){
        return SecurityContext.builder()
                .securityReferences(defaultAuth())
                .forPaths(PathSelectors.regex(pathRegex))
                .build();
    }

    private List<SecurityReference> defaultAuth() {
        List<SecurityReference> result = new ArrayList<>();
        AuthorizationScope authorizationScope = new AuthorizationScope("global", "accessEverything");
        AuthorizationScope[] authorizationScopes = new AuthorizationScope[1];
        authorizationScopes[0] = authorizationScope;
        result.add(new SecurityReference("Authorization", authorizationScopes));
        return result;
    }

}

修改 WebSecurityConfig,允许对于网站静态资源的无授权访问

@Override
public void configure(WebSecurity web) throws Exception {
    web
            .ignoring()
            .antMatchers("/",
                    "/*.html",
                    "/favicon.ico",
                    "/**/*.html",
                    "/**/*.css",
                    "/**/*.js",
                    "/swagger-resources/**",
                    "/v2/api-docs/**");
}

启动,打开 http://localhost:8123/jwt/swagger-ui.html,右边有个Authorize的按钮
swagger
设置了需要认证的接口,会有锁的图标
认证的接口
填入后,请求就会在头部带上JWT
填入后,请求就会在头部带上JWT

参考:
Spring security集成JWT实现token认证Demo
spring-security-jwt-guide
mall整合SpringSecurity和JWT实现认证和授权(一)
mall整合SpringSecurity和JWT实现认证和授权(二)
Spring Security做JWT认证和授权

shpunishment
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解析SpringSecurity+JWT认证流程实现
08-18
首先,我们需要配置SpringSecurity使用JWT认证方式,然后在认证流程中,我们使用JWT token来验证用户的身份。在认证完成后,我们将生成一个JWT token,并将其传递给客户端,以便客户端在每次请求时都可以带上这个...
JWT+SpringSecurity登陆和授权功能
weixin_43515246的博客
06-14 433
Lombok是一个Java库,能自动插入编辑器并构建工具,简化Java开发。通过添加注解的方式,不需要为类编写getter或eques方法,同时可以自动化日志变量。@Setter 注解在类或字段,注解在类时为所有字段生成setter方法,注解在字段上时只为该字段生成setter方法。@Getter 使用方法同上,区别在于生成的是getter方法。@ToString 注解在类,添加toString方法。@EqualsAndHashCode 注解在类,生成hashCode和equals方法。
SpringSecurity+jwt安全框架
小小志愿者的博客
03-06 5174
1、环境搭建 1.1maven项目 1.2导入依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.5.0</version> </parent> <de
SpringSecurity + JWT实战(前后端分离)
最新发布
As_Yua的博客
08-05 1658
先来聊一聊什么是SpringSecurity ,在上一篇文章中已经聊过了,大家可以去看看接下来我们聊聊什么是JWTJson web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且的,特别适用于。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JWT及和Spring Security整合
如果你想拥有更多的人生选择,你必须拥有更多的知识。-- 来自u011437883的博客
05-03 2706
JWT,全称是Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权: 解析jwt的官网:https://jwt.io/
SpringBoot 全家桶 | SpringSecurity + JWT 实现用户登录(兼容前后端未分离项目)
人生就是一个不断学习的过程
09-13 2249
前言 本篇主要讲述 Spring Security 如何结合 JWT ,实现无状态下用户登录,使其满足前后端分离及应用集群化部署要求。 什么是有状态 有状态服务是服务端记录客户端会话信息,即Session信息。客户端每次请求都会携带Session信息,服务端以此来识别客户端身份。而 Session 保存在服务端内存中的,不支持集群化部署。 当然 Spring 也给出了解决方案,即使用特殊方式将 Session 序列化存入到数据库中,以实现会话共享,满足集群化部署要求。详细案例参见《SpringBoot 全家
Spring Security+JWT简述
热门推荐
姜守威的博客
06-03 2万+
目录一. 什么是Spring Security1. 登陆校验的流程2. SpringSecurity基础案例二. Spring Security原理流程 一. 什么是Spring Security Spring SecuritySpring家族的一个安全管理框架, 相比于另一个安全框架Shiro, 它具有更丰富的功能。一般中大型项目都是使用SpringSecurity做安全框架, 而Shiro上手比较简单 spring security 的核心功能: 认证(你是谁): 只有你的用户名或密码正确才能
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,Spring Security会被配置为使用JWT进行身份验证。首先,我们需要创建一个自定义的`AuthenticationProvider`,负责验证用户的凭证。接着,当用户成功登录后,我们将在`AuthenticationSuccessHandler`中...
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
SpringBoot+SpringSecurity+jwt整合详解 SpringBoot是当前最流行的Java框架之一,它提供了便捷的方式来构建基于Web的应用程序。然而,在构建Web应用程序时,安全性是不可忽视的重要方面。因此,本文将详细介绍如何...
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统
04-30
基于当前流行技术组合的前后端分离商城系统:SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含商城、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
SpringSecurity+JWT使用
qq_42218187的博客
03-20 1541
maven依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependen
SpringSecurity整合JWT
Myh_code的博客
03-12 915
文章目录1 无状态登录1.1 什么是有状态?1.2 什么是无状态1.3 如何实现无状态1.4 JWT1.5 JWT 存在的问题2 实战2.1 环境搭建2.2 JWT 过滤器配置2.3 Spring Security 配置2.4 测试总结 在前后端分离的项目中,登录策略也有不少,不过 JWT 算是目前比较流行的一种解决方案了,本文就和大家来分享一下如何将 Spring SecurityJWT 结合在一起使用,进而实现前后端分离时的登录解决方案。 1 无状态登录 1.1 什么是有状态? 有状态服务,即服务
Spring Security详细讲解(JWT+SpringSecurity登入案例)
孤夜的博客
08-15 8714
通过本篇博文,你可以详细了解Spring Security的相关概念与原理,并且掌握Spring Security的认证与授权,通过博文中的登入案例可以让自己定制去Spring Security认证授权方案。
Spring Security + jwt入门
kevin_琪琪的博客
08-31 597
Spring 是非常流行和成功的 Java 应用开发框架,正是 Spring 家族中的 成员。基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是”认证”和“授权”,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。...
SpringSecurity - 启动流程分析(四)- 默认过滤器
业精于勤荒于嬉
08-14 811
SpringSecurity - 启动流程分析(四)
spring filter
李永
03-19 224
Table 2.1. Standard Filter Aliases and Ordering Alias Filter Class Namespace Element or Attribute CHANNEL_FILTER ChannelProcessingFilter http/intercept-url@requires-channel SECURIT...
Spring Security详解(一)认证之核心组件和服务
Jagger的博客
06-22 1万+
文章目录什么是Spring Security验证?1.核心组件1.1 SecurityContextHolder1.2 Authentication1.3 UserDetails 和 UserDetailsService1.4 UserDetailsService1.5 AuthenticationManager1.6 AuthenticationProvider1.7 总结 什么是Spring Security验证? 让我们考虑一个大家都很熟悉的标准的验证场景。 提示用户输入用户名和密码进行登录。 该
Spring Security内置过滤器详解
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-14 3980
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......
SpringSecurity+JWT认证实现详解
"SpringSecurity+JWT认证流程实现的详解教程,包括SpringSecurity的工作原理、认证流程、JWT令牌的使用,以及示例代码分析。" 在理解SpringSecurity+JWT认证流程实现时,首先要清楚SpringSecurity的核心机制。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值