JWT+SpringSecurity登录和权限管理

最新推荐文章于 2024-08-05 16:39:00 发布
最新推荐文章于 2024-08-05 16:39:00 发布
阅读量617 收藏 4
点赞数
文章标签: 分布式 java jwt spring 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36407919/article/details/122872644
版权

一、什么是JWT

说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。说起JWT,我们应该来谈一谈基于token的认证和传统的session认证的区别。

(1)、session所存在的问题

Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。

扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

CSRF: 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

(2)、Token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,也就是说token认证机制的应用不需要去考虑用户在哪一台服务器登录了。

(3)、认识Token

JWT是由三段信息构成的,以 点(.) 分割,每部分都有不同的含义(每段都是用 Base64 编码的)
第一部分为 头部(Header)
第二部分为 载荷(Payload)
第三部分为 签证(Signature)

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIxIiwiZXhwIjoxNjI1NDY3MDY5LCJ1c2VyTmFtZSI6IumBlW_mCIsImlhdCI6MTYyNTQ2NTI2OX0.e_uuksv0b8gqX9HUVEiieLQlKFKcLdxCxovJ3xA3wB8

第一部分通过Base64解码出的结果是

{
"typ":"JWT",
"alg":"HS256"
}

由此可以得知jwt的头部承载两部分信息 类型和加密算法

第二部分是用来放主要的存储信息的(主要信息中除了自定义信息还有标准中注册的声明)

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

当然以上是统一标准而已,并非必须用,建议不强制。

第三部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

二、使用JWT

(1)、导入依赖

<dependency>
	<groupId>com.auth0</groupId>
	<artifactId>java-jwt</artifactId>
	<version>3.10.3</version>
</dependency>

(2)、创建JwtUtils工具类

@Value("{Jwt.secret}")
    private static String secret;


    /**
     签发对象:随意
     签发时间:现在
     有效时间:30分钟
     载荷内容:自定义内容
     加密密钥:盐 + 密钥
     */
    public static String createToken(String userId,String userName) {

        Calendar nowTime = Calendar.getInstance();
        nowTime.add(Calendar.MINUTE,30);
        Date expiresDate = nowTime.getTime();
        //签发对象
        return JWT.create().withAudience(userId)
                //发行时间
                .withIssuedAt(new Date())
                //有效时间
                .withExpiresAt(expiresDate)
                //载荷,随便写几个都可以,也可以理解为自定义参数
                .withClaim("userName", userName)
                //加密
                .sign(Algorithm.HMAC256(secret+"你随意写"));
    }

    /**
     * 检验合法性,其中secret参数就应该传入的是用户的id
     * @param token
     */
    public static void verifyToken(String token){
        DecodedJWT jwt = null;
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(secret+"WDNMD")).build();
            jwt = verifier.verify(token);
        } catch (Exception e) {
            //效验失败
            //这里抛出的异常是我自定义的一个异常,你也可以写成别的

        }
    }

    /**
     * 获取签发对象
     */
    public static String getAudience(String token) {
        String audience = null;
        try {
            audience = JWT.decode(token).getAudience().get(0);
        } catch (JWTDecodeException j) {
            //这里是token解析失败
            
        }
        return audience;
    }


    /**
     * 通过载荷名字获取载荷的值
     */
    public static Claim getClaimByName(String token, String name){
        return JWT.decode(token).getClaim(name);
    }

三、JWT结合SpringSecurity实现登录鉴权以及权限管理

(1)、思路

登陆成功返回Token,并把Token存储到Redis中确保单点登录。使用过滤器校验Token和权限

(2)、SpringSecurity配置

由于使用Token进行登录鉴权,就不需要Session了,因此需禁用Session

@Component
@EnableWebSecurity
/**
 * 开启@EnableGlobalMethodSecurity(prePostEnabled = true)注解
 * 在继承 WebSecurityConfigurerAdapter 这个类的类上面贴上这个注解
 * 并且prePostEnabled设置为true,@PreAuthorize这个注解才能生效
 * SpringSecurity默认是关闭注解功能的.
 */
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    //注入过滤器
    @Resource
    private JwtVerificationFilter jwtVerificationFilter;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //关闭csrf防护 >只有关闭了,才能接受来自表单的请求
        http.csrf().disable()
                .cors()//开启跨域
                .and()
                //开启授权请求
                .authorizeRequests()
                //放行接口,因为使用自定义登录页面所以需要放行
                .antMatchers("/login/**").permitAll()
                //拦截所有请求,所有请求都需要登录认证
                .anyRequest().authenticated()
                .and()
                .addFilterAfter(jwtVerificationFilter, UsernamePasswordAuthenticationFilter.class)
                //前后端分离采用JWT 不需要session(添加后Spring永远不会创建session)
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
}

(3)、编写过滤器

/**
 * @author admin
 * 过滤器 发起请求前检验Token 实现并在每次请求时只执行一次过滤
 * 在spring中,filter都默认继承OncePerRequestFilter
 * OncePerRequestFilter顾名思义,他能够确保在一次请求只通过一次filter,而不需要重复执行
 * 为了兼容不同的web container,特意而为之
 *
 * 在servlet2.3中,Filter会经过一切请求,包括服务器内部使用的forward转发请求和<%@ include file=”/login.jsp”%>的情况
 *
 * servlet2.4中的Filter默认情况下只过滤外部提交的请求,forward和include这些内部转发都不会被过滤,
 */
@Component
@Slf4j
public class JwtVerificationFilter extends OncePerRequestFilter {
    @Resource
    private RoleService roleService;
    @Resource
    private PermissionService permissionService;
    @Resource
    private RolePermissionService rolePermissionService;

    /**
     * 过滤器,检验Token
     * 发起请求时会调用两次,第二次是展示/favicon.ico
     *
     */
    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, @NotNull HttpServletResponse httpServletResponse, @NotNull FilterChain filterChain) throws ServletException, IOException {
        //获取Token
        String token = httpServletRequest.getHeader("token");

        //非空校验
        if (token == null) {
            filterChain.doFilter(httpServletRequest, httpServletResponse);
            return;
        }

        //检验Token合法性
        JwtUtils.getAudience(token);
        //比对Redis中存储的Token
        String redisToken = RedisUtils.get(RedisPrefixKey.LOGIN_TOKEN.keyAppend(JwtUtils.getAudience(token)).getKey())
                .toString();
        if (!redisToken.equals(token)) {
            filterChain.doFilter(httpServletRequest, httpServletResponse);
            return;
        }

        //获取权限                                                             根据Token获取载荷的值
        List<GrantedAuthority> authorityList = this.findAllAuthority(Long.valueOf(JwtUtils.getAudience(token)));

        //安全上下文,存储认证授权的相关信息,实际上就是存储"当前用户"账号信息和相关权限
        SecurityContextHolder
                .getContext()
                .setAuthentication(new UsernamePasswordAuthenticationToken(null,null,authorityList));


        //将请求转发给过滤器链下一个filter
        filterChain.doFilter(httpServletRequest, httpServletResponse);
    }

    /**
     * 查找权限
     */
    private List<GrantedAuthority> findAllAuthority(Long userId){
        //1、拿到用户的角色和权限
        //2、返回的权限
        List<GrantedAuthority> authorityList = new ArrayList<>();
        //3、查出权限列表循环放入  authorityList  中
        for (权限实体类 url : 权限集合) {
            SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(权限的url);
            authorityList.add(simpleGrantedAuthority);
        }
        return authorityList;
    }
}
别找我啊,我也不会写
关注
jwt + spring security 登陆验证和权限管理
04-19
一个Spring Security+JWT认证和授权的demo,此demo为Spring安全性与OAuth(1a)和OAuth2结合使用提供了支持。它提供了在Spring安全编程模型和配置下实现分布式无状态授权。
仅需四步,整合SpringSecurity+JWT实现登录认证 !
macrozheng的专栏
12-11 1943
学习过我的mall项目的应该知道,mall-admin模块是使用SpringSecurity+JWT实现登录认证的,而mall-portal模块是使用的SpringSecurity基于...
SpringBoot 整合 Spring SecurityJWT 实现认证、权限控制
最新发布
2301_76419561的博客
08-05 1200
Spring SecurityJWT 实现认证、权限控制是一种在Web应用中保障安全的重要手段。Spring Security是一个功能强大的身份验证和访问控制框架,它提供了完善的认证机制和方法级的授权功能。JWT(JSON Web Token)则是一种基于Token的认证方案,用于在通信双方之间传递安全信息。将Spring SecurityJWT整合,可以实现有效的认证和权限管理,提升系统的安全性。Spring Security的核心是一系列过滤器链,不同的功能经由不同的过滤器实现。例如,
Spring Security结合JWT实现登录功能
Desiy的博客
03-11 3924
紧接着上一篇,那我们开始写我们的登录功能吧~ 目录1.登录功能1.1.导入依赖1.2.添加JWT配置1.3.添加JWT Token工具类1.4.添加公共返回对象1.5.在Admin实体类中实现UserDetails1.6.实现登录功能1.7.退出功能1.8.配置Security1.9.自定义未授权和未登录结果返回和JWT登录过滤器2.配置Swagger22.1.测试Swagger22.2重新测试项目: 1.登录功能 登录功能使用Spring Security安全框架和JWT令牌实现 整体流程: 首先是前端
springboot整合springsecurityjwt、redis实现权限控制
weixin_41207479的博客
06-28 1172
1、 添加相关依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId
Spring Security+JWT实现权限管理
LC的博客
03-14 6135
SpringSecurityspring全家桶中的一个安全管理框架,类似于shiro,但是比shiro功能更加的丰富。 主要核心功能是 认证 和 授权 : 认证:验证当前访问系统的是不是本系统的用户,并且要确定具体是哪个用户 授权:经过认证后判断当前用户是否有权限进行某个操作 一、快速入门 1.1初探 引入Spring Security的依赖 <!-- springsecurity--> <dependency> <groupId&g
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
Springboot+SpringSecurity+JWT实现用户登录权限认证示例
08-19
总的来说,Spring Boot + Spring Security + JWT的组合提供了一个强大且可扩展的用户认证和权限管理系统,适用于各种现代Web应用。在实际开发中,根据项目需求,可能还需要考虑如密码加密、刷新令牌、多因素认证等...
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
通过Spring Boot的便捷性,Spring Security安全性,JWT的无状态认证,MyBatis-Plus的高效数据操作,以及MySQL的稳定存储,实现用户登录、角色分配、权限验证等功能,为开发人员提供了一个可参考的权限管理解决...
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip
07-02
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+...
Spring Security + JWT实现权限管理
honor_zhang的博客
07-29 2062
本博客主要使用Spring Security + JWT实现权限管理,利用JWT生成token,返回给登录接口,在访问其他接口时,采用Beare Token的方式携带登录时获取的token进行验证。登录与验证的流程如下。 登录流程 ...
Spring Security Jwt redis 实现登录权限管理
weixin_39505091的博客
12-12 1952
文章目录一. 登录校验二. 全局 Ajax 设置三. 跨域配置四. 定时任务管理 一. 登录校验 二. 全局 Ajax 设置 请求需要在 header 中携带 token,可以通过全局统一配置来实现,避免每个请求都需要写一遍,后续再引入配置文件即可。下面的配置中还对错误码进行了统一封装。 $.ajaxSetup({ cache : false, headers : { "token" : localStorage.getItem("token") }, error : function(xhr,
SpringBoot+SpringSecurity改造为前后端分离+Jwt权限认证系统,Token过期刷新问题
热门推荐
zzzgd_666的博客
07-18 1万+
前言 一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。 但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了 SpringSecurity默认的是采用Session来判断请求的用户是否登录的,但是不方便分布式...
SpringSecurity+jwt+Redis实现权限控制
loveandstory的博客
05-27 2642
认证流程 ![2022-05-01_20_32.png](https://img-blog.csdnimg.cn/img_convert/e26754ff622934f41b1c0388a8121997.png#clientId=u053830b8-c837-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=546&id=u38baedfc&margin=[object Object]&na
【深入浅出Spring原理及实战】「开发实战系列」SpringSecurityJWT实现权限管控以及登录认证指南
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
12-23 979
SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面,相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊。实际开发中还是要根据业务和项目的需求来决定使用哪一种.// 获取表单输入中返回的用户名 String userName =(String) authentication . getPrincipal();
权限管理jwtspring security
qq_45904712的博客
03-18 181
【代码】权限管理jwtspring security
第四章 SpringBoot快速开发框架 - Spring Security + JWT实现登录权限认证
暗夜91的博客
05-01 473
SpringBoot集成Spring Security + JWT实现登录权限认证
Spring Security整合JWT实现权限认证和授权
weixin_45818966的博客
11-05 4262
关于spring security整合jwt实现前后端权限认证和授权管理
jwt+springsecurity登录
08-24
在使用JWTSpring Security实现登录功能时,需要进行以下几个步骤: 首先,客户端会向服务器发送登录请求,提供用户名和密码。 服务器端接收到登录请求后,会验证用户名和密码的正确性。 如果用户名和密码验证通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值