spring boot + spring security + jwt实现

最新推荐文章于 2024-08-05 19:09:24 发布
最新推荐文章于 2024-08-05 19:09:24 发布
阅读量560 收藏 1
点赞数
分类专栏: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36452442/article/details/104787266
版权

第一步:加载依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

第二步:配置jwt失效时间等信息 

jwt:
  secret: secret
  expiration: 7200000
  token: Authorization

第三步:配置security

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

  @Autowired
  ApplicationParams params;

  @Autowired
  private JwtUserDetailsService jwtUserDetailsService;

  @Autowired
  JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

  @Autowired
  JwtAuthenticationFilter jwtAuthenticationFilter;

  /**
   * 不需要登录就能访问的URL
   *
   * @param web
   */
  @Override
  public void configure(WebSecurity web) {
    web.ignoring().antMatchers(params.getAntMatchers());
  }

  @Bean
  public PasswordEncoder passwordEncoder(
      @Value("${self-params.user.userSuperPassword}") String userSuperPassword) {
    return SelfPasswordEncoder.create(userSuperPassword);
  }

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
            .exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint)
            .and()
            .authorizeRequests()
            .antMatchers("/login").permitAll()
            .antMatchers(HttpMethod.OPTIONS, "/**").anonymous()
            .anyRequest().authenticated()   // 剩下所有的验证都需要验证
            .and()
            .csrf().disable()                      // 禁用 Spring Security 自带的跨域处理
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    // 定制我们自己的 session 策略:调整为让 Spring Security 不创建和使用 session、
                 
http.addFilterBefore(jwtAuthenticationFilter,UsernamePasswordAuthenticationFilter.class);
  }

  @Override
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(jwtUserDetailsService);
  }
}

第四步:jwt工具类(包含生产token)

@Component
public class JwtTokenUtil {

    private static final long serialVersionUID = -3301605591108950415L;

    @Value("${jwt.secret}")
    private  String secret;

    @Value("${jwt.expiration}")
    private Long expiration;

    @Value("${jwt.token}")
    private String tokenHeader;

    private Clock clock = DefaultClock.INSTANCE;

    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();
        return doGenerateToken(claims, userDetails.getUsername());
    }

    private String doGenerateToken(Map<String, Object> claims, String subject) {
        final Date createdDate = clock.now();
        final Date expirationDate = calculateExpirationDate(createdDate);

        return "Bearer " + Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)
                .setIssuedAt(createdDate)
                .setExpiration(expirationDate)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    private Date calculateExpirationDate(Date createdDate) {
        return new Date(createdDate.getTime() + expiration);
    }

    public Boolean validateToken(String token, UserDetails userDetails) {
        final String username = getUsernameFromToken(token);
        return (username.equals(userDetails.getUsername())
                && !isTokenExpired(token)
        );
    }

    public String getUsernameFromToken(String token) {
        return getClaimFromToken(token, Claims::getSubject);
    }

    public <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = getAllClaimsFromToken(token);
        return claimsResolver.apply(claims);
    }

    private Claims getAllClaimsFromToken(String token) {
        return Jwts.parser()
                .setSigningKey(secret)
                .parseClaimsJws(token)
                .getBody();
    }


    private Boolean isTokenExpired(String token) {
        final Date expiration = getExpirationDateFromToken(token);
        return expiration.before(clock.now());
    }

    public Date getExpirationDateFromToken(String token) {
        return getClaimFromToken(token, Claims::getExpiration);
    }
}

第五步:login方法生产token并返回给前端

@PostMapping("/login")
  public String login(User user, HttpServletRequest request){
    final UserDetails userDetails = userDetailsService.loadUserByUsername(user.getLoginName());
    final String token = jwtTokenUtil.generateToken(userDetails);
    return ReturnUtil.success(token);
  }



@Override
  public UserDetails loadUserByUsername(String loginName) throws UsernameNotFoundException {
    if (adminAccountName.equals(loginName)) {
//      List<SimpleGrantedAuthority> authorities =
//              getSimpleGrantedAuthorities(
//                      roleService.getAllNoCancel(),
//                      functionService.getAllNoCancel(),
//                      menuService.getAllNoCancel(),
//                      SystemStringEnum.RolePowerEnum.ADMIN.getCode());
      List<GrantedAuthority> authorityList = new ArrayList<>();
      authorityList.add(new SimpleGrantedAuthority("ROLE_USER"));
      UserDetails userDetails = new LoginUserVO(
              adminId,
              adminName,
              adminAccountName,
              passwordEncoder.encode(adminPassword),
              true,
              authorityList);
      return userDetails;
    } else {
      User user = userMapper.loginUser(loginName);
      if (Objects.isNull(user)) {
        throw new UsernameNotFoundException("用户名或密码错误!");
      }
//      return getUserDetails(user);
      return null;
    }
  }

第六步:jwt过滤器验证token,通过后把token保存上下文

@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    private final UserDetailsService userDetailsService;
    private final JwtTokenUtil jwtTokenUtil;
    private final String tokenHeader;

    public JwtAuthenticationFilter(@Qualifier("jwtUserDetailsService") UserDetailsService userDetailsService,
                                       JwtTokenUtil jwtTokenUtil, @Value("${jwt.token}") String tokenHeader) {
        this.userDetailsService = userDetailsService;
        this.jwtTokenUtil = jwtTokenUtil;
        this.tokenHeader = tokenHeader;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        final String requestHeader = request.getHeader(this.tokenHeader);
        String username = null;
        String authToken = null;
        if (requestHeader != null && requestHeader.startsWith("Bearer ")) {
            authToken = requestHeader.substring(7);
            try {
                username = jwtTokenUtil.getUsernameFromToken(authToken);
            } catch (ExpiredJwtException e) {
            }
        }

        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

            if (jwtTokenUtil.validateToken(authToken, userDetails)) {
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }

        }
        chain.doFilter(request, response);
    }
}

搞定!前端每次请求时把token放到header中就可以了。更加方便做单点登陆,分布式了。

what bug
关注
专栏目录
springboot整合securityjwt
08-05
springboot2.0整合securityjwt, 还整合了redis,与swagger-ui
Spring Boot中使用使用Spring SecurityJWT
weixin_30481087的博客
12-08 136
目标 1.Token鉴权 2.Restful API 3.Spring Security+JWT 开始 自行新建Spring Boot工程 引入相关依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>sp...
SpringSecurity + JWT实战(前后端分离)
最新发布
As_Yua的博客
08-05 1982
先来聊一聊什么是SpringSecurity ,在上一篇文章中已经聊过了,大家可以去看看接下来我们聊聊什么是JWTJson web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且的,特别适用于。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
SpringBoot 集成 SpringSecurity+JWT
asksl的博客
11-29 4399
SpringBoot 集成 SpringSecurity+JWT
SpringBoot+SpringSecurity+JWT整合
热门推荐
seeyouagain_的博客
01-04 1万+
SpringSecurity入门简单案例适合新手学习
SpringBoot整合SpringSecurity+JWT
qq_43975645的博客
07-18 749
注意:SIGNATURE是生成token的公钥,当外部token进来时需要公钥解密。
新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制的项目
05-21
本项目“新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制”正是针对这一需求而设计的。以下是关于这个项目及其相关技术的详细说明。 **Spring Boot** Spring Boot简化了Spring应用的...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
Spring Boot+Spring Security+JWT实现给RestApi增加认证控制
05-23
新一代基于Spring BootSpring Security、Oauth2等实现的权限控制和认证服务、支持第三方oauth授权和获取资源信息功能等;Spring Boot+Spring Security+JWT实现给RestApi增加认证控制
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统
04-30
基于当前流行技术组合的前后端分离商城系统:SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含商城、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券...
SpringBoot整合SpringSecurityJWT
hello,word!
03-03 5266
SpringBoot整合SpringSecurityJWTSpringSecurity提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限。
SpringBoot2.3集成Spring Security(二) JWT认证
我是你妹她哥的博客
06-21 1895
思路:登录认证获取token提供一个controller,将controller的地址加到spring Security 的config中不做权限控制,访问该controller,将用户名和密码的判断交给spring Security 的userDetailService处理,根据处理的返回结果决定是否生成对应的token值。。具体是怎么找到这个入口的,详情可以看步骤三。接口认证token值加入JWT生成的工具类Spring Security 提供多种认证方式,但我们需要熟悉的是。
SpringBoot集成Spring security JWT实现接口权限认证
雨云21的博客
11-17 2509
1、添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <a
Springboot集成SecurityJWT
qq1016499728博客
11-28 1209
Springboot版本2.3.3 pom依赖 <!--security+JWT--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <gro
SpringBoot 集成SpringSecurity JWT
li123128的博客
08-19 309
Spring SecuritySpring提供的安全框架。提供认证、授权和常见的攻击防护的功能。功能丰富和强大。 Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. 1.2 OAuth2 OAuth(Open Aut
SpringBoot集成Spring SecurityJWT令牌实现登录和鉴权 [ 附源码 ]
"✧treasure mountain✧"
05-16 6746
最近在做项目的过程中 需要用JWT做登录和鉴权 查了很多资料 都不甚详细 在踩过很多坑之后整理了一下 做个笔记 一、概念 什么是JWT Json Web Token (JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519) 该token被设计为紧凑且安全的 特别适用于分布式站点的单点登录(SSO)场景 随着JWT的出现 使得校验方式更加简单便捷化 JWT实际上就是一个字符串 它由三部分组成:头部 载荷和签名 用[.]分隔 类似于:xxxx.xxxx.xxxx 直接根据t
springboot集成springsecurity + jwt的使用
hjh15827475896的博客
06-07 1716
当项目中要用到用户的认证及权限的时候我们一般会使用 springSecurity来解决。
spring boot + spring security + jwt + spring mvc + mybatis + redis商城项目
12-12
Spring Boot 是一个用于构建微服务的开源...综上所述,借助于 Spring BootSpring SecurityJWTSpring MVC、MyBatis 和 Redis 这些技术,可以构建出一个高性能、安全可靠的商城项目,为用户提供良好的购物体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值