单体架构下的认证授权方案 - SpringSecurity + JWT

最新推荐文章于 2023-11-05 00:36:55 发布
最新推荐文章于 2023-11-05 00:36:55 发布
阅读量1.6k 收藏 4
点赞数
分类专栏: 字斟句酌业务代码 文章标签: SpringSecurity JWT JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36756682/article/details/122521559
版权

本文言简意赅,需要有一定的Java编程基础,说再多也不如直接撸代码,文末附SpringSecurity + JWT Demo和Github开源项目 mall-tiny 完成实现方案以供参考。直接看代码有疑惑的同学推荐两个B站免费的教学视频:
尚硅谷SpringSecurity框架教程(spring security源码剖析从入门到精通)_哔哩哔哩_bilibili

SpringSecurity框架教程-SpringSecurity+JWT实现项目级前端分离认证授权-B站最通俗易懂的SpringSecurity课程_哔哩哔哩_bilibili

一、Spring Security简介

Spring Security是一款可定制的身份验证和访问控制框架,是Spring应用程序的标准安全框架。其核心就是一组过滤器链。

Spring Security精简版过滤器链图

刚入门只需要了解三个比较重要的过滤器即可:

1.FilterSecurityInterceptor:方法级权限过滤器,位于过滤器链最低端

2.ExceptionTranslationFilter:异常过滤器,用来处理在认证授权过程中抛出的异常

3.UsernamePasswordAuthenticationFilter:对/login的post请求做拦截,校验表单中的用户名和密码

认证流程图:

完整调用链:官网地址:Architecture :: Spring Security

ChannelProcessingFilter

WebAsyncManagerIntegrationFilter

SecurityContextPersistenceFilter

HeaderWriterFilter

CorsFilter

CsrfFilter

LogoutFilter

OAuth2AuthorizationRequestRedirectFilter

Saml2WebSsoAuthenticationRequestFilter

X509AuthenticationFilter

AbstractPreAuthenticatedProcessingFilter

CasAuthenticationFilter

OAuth2LoginAuthenticationFilter

Saml2WebSsoAuthenticationFilter

UsernamePasswordAuthenticationFilter

OpenIDAuthenticationFilter

DefaultLoginPageGeneratingFilter

DefaultLogoutPageGeneratingFilter

ConcurrentSessionFilter

DigestAuthenticationFilter

BearerTokenAuthenticationFilter

BasicAuthenticationFilter

RequestCacheAwareFilter

SecurityContextHolderAwareRequestFilter

JaasApiIntegrationFilter

RememberMeAuthenticationFilter

AnonymousAuthenticationFilter

OAuth2AuthorizationCodeGrantFilter

SessionManagementFilter

ExceptionTranslationFilter

FilterSecurityInterceptor

SwitchUserFilter

二、准备工作

准备工作非常简单,创建一个springboot项目,引入Spring Security依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

随便写一个Controller中的方法,然后启动项目直接调用,会发现地址栏自动跳转到了/login,并提示输入用户名和密码

 默认用户名user,密码在控制台里打印

 输入后可以发现Controller里的方法已经可以调用,原理其实就是Spring Security包内提供了一系列的默认实现,包括默认用户名密码,默认登录页,默认登录接口等,然后利用SpringBoot的自动装配依次读取并配置。

三、我们要对框架原默认流程做哪些修改

ok,准备工作完成之后,我们思考一个问题,究竟我们要对框架原默认流程做哪些修改?

首先Spring Security默认用户密码是系统生成,这肯定需要改成从数据库中读取。

其次API层面的权限定制化需要我们自己去实现

再有虽然是单体项目,但目前业内大多也都是前后端分离,那么Spring Security原有的session认证传递就不是很好用(前后端分离还需要解决跨域session传递问题,如果后期项目体量变大做了分布式还需要去解决分布式session的问题),所以需要换成业内推崇的JWT(Token)方案。

四、动手实现

登录时序图:

 将默认生成的用户名和密码改成查库获取:

新建配置类定制化Spring Security:

 自定义JWT拦截器:

 登录接口代码片段:

权限认证接口测试:主要还是@PreAuthorize注解,此处应该将权限和接口url的匹配关系写入数据库内,动态从数据库中查询获取,mall-tiny项目有完整实现

 数据库SQL:

/*
Navicat MySQL Data Transfer

Source Server         : localhost
Source Server Version : 50719
Source Host           : localhost:3306
Source Database       : mall_tiny

Target Server Type    : MYSQL
Target Server Version : 50719
File Encoding         : 65001

Date: 2020-08-24 14:06:42
*/

SET FOREIGN_KEY_CHECKS=0;

-- ----------------------------
-- Table structure for ums_admin
-- ----------------------------
DROP TABLE IF EXISTS `ums_admin`;
CREATE TABLE `ums_admin` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `username` varchar(64) DEFAULT NULL,
  `password` varchar(64) DEFAULT NULL,
  `icon` varchar(500) DEFAULT NULL COMMENT '头像',
  `email` varchar(100) DEFAULT NULL COMMENT '邮箱',
  `nick_name` varchar(200) DEFAULT NULL COMMENT '昵称',
  `note` varchar(500) DEFAULT NULL COMMENT '备注信息',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `login_time` datetime DEFAULT NULL COMMENT '最后登录时间',
  `status` int(1) DEFAULT '1' COMMENT '帐号启用状态:0->禁用;1->启用',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=16 DEFAULT CHARSET=utf8 COMMENT='后台用户表';

-- ----------------------------
-- Records of ums_admin
-- ----------------------------
INSERT INTO `ums_admin` VALUES ('1', 'test', '$2a$10$NZ5o7r2E.ayT2ZoxgjlI.eJ6OEYqjH7INR/F.mXDbjZJi9HF0YCVG', 'http://macro-oss.oss-cn-shenzhen.aliyuncs.com/mall/images/20180607/timg.jpg', 'test@qq.com', '测试账号', null, '2018-09-29 13:55:30', '2018-09-29 13:55:39', '1');
INSERT INTO `ums_admin` VALUES ('3', 'admin', '$2a$10$rNGcsXjfhVgJ9wJwOoaalO3XJ5GRTZWVFVFA9e0kPKb/YaOBgwtk.', 'http://macro-oss.oss-cn-shenzhen.aliyuncs.com/mall/images/20180607/timg.jpg', 'admin@163.com', '系统管理员', '系统管理员', '2018-10-08 13:32:47', '2019-04-20 12:45:16', '1');
INSERT INTO `ums_admin` VALUES ('4', 'macro', '$2a$10$Bx4jZPR7GhEpIQfefDQtVeS58GfT5n6mxs/b4nLLK65eMFa16topa', 'string', 'macro@qq.com', 'macro', 'macro专用', '2019-10-06 15:53:51', '2020-02-03 14:55:55', '1');
INSERT INTO `ums_admin` VALUES ('6', 'productAdmin', '$2a$10$6/.J.p.6Bhn7ic4GfoB5D.pGd7xSiD1a9M6ht6yO0fxzlKJPjRAGm', null, 'product@qq.com', '商品管理员', '只有商品权限', '2020-02-07 16:15:08', null, '1');
INSERT INTO `ums_admin` VALUES ('7', 'orderAdmin', '$2a$10$UqEhA9UZXjHHA3B.L9wNG.6aerrBjC6WHTtbv1FdvYPUI.7lkL6E.', null, 'order@qq.com', '订单管理员', '只有订单管理权限', '2020-02-07 16:15:50', null, '1');
INSERT INTO `ums_admin` VALUES ('10', 'ceshi', '$2a$10$RaaNo9CC0RSms8mc/gJpCuOWndDT4pHH0u5XgZdAAYFs1Uq4sOPRi', null, 'ceshi@qq.com', 'ceshi', null, '2020-03-13 16:23:30', null, '1');

默认账号admin/admin

五、项目工程地址

博主DEMO地址:https://github.com/L1021204735/SpringSecurity-JWT

mall-tiny项目地址:GitHub - macrozheng/mall-tiny: mall-tiny是一款基于SpringBoot+MyBatis-Plus的快速开发脚手架,拥有完整的权限管理功能,可对接Vue前端,开箱即用。

Java小白白又白
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security项目权限设计过程解析
08-25
Spring Security 是一个强大的安全框架,广泛应用于 Java Web 开发中,尤其在单体项目和微服务架构中。它提供了一套完整的解决方案,包括身份验证、授权、会话管理等,帮助开发者实现安全控制。在本篇文章中,我们将...
单体springcloud工程示例,带完善的权限系统
07-21
7. **Spring Cloud Security**:安全工具包,提供了OAuth2认证授权服务,为微服务添加安全控制。 在描述中提到的“完善的权限系统”,可能包含以下方面: 1. **用户认证**:通常采用OAuth2协议,实现用户的登录...
企业级SpringBoot单体项目模板 —— 使用 AOP + JWT实现登陆鉴权
最新发布
是江迪呀 的博客
11-05 419
手把手教你从0到1搭建一个企业级单体项目
Spring Boot 学习之路之 Spring Security(二)加入mybatis
zuixincainiao的博客
10-28 580
Spring Boot 整合 mybatis 用 Security 实现登录认证以及授权
SpringSecurity教程
qq_36506462的博客
09-17 1194
SpringSecurity4教程 B站视频地址 github示例代码 由于B站up主未提供资料,个人整理,主要看代码理解 一、SpringSecurity入门开发 官网 思维导图 [外链图片转存失败(img-Yvr4Iavv-1568698216549)(https://www.iliutao.com/upload/2019/9/p1-c15be4c5161b4c7eb2bf47e98bfc51...
Spring Boot中的JSON技术-时间处理
成长需要沉淀。
01-07 1112
Spring Boot中的JSON技术-时间处理 1、准备 1.1、数据库 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dGekwzgI-1641524928490)(D:/%E5%9B%BE%E7%89%87%E7%BB%9F%E4%B8%80%E4%BF%9D%E7%AE%A1%E5%A4%84/image-20220107105844295.png)] 1.2、Model package com.wnx.mall.tiny.mbg.model; import com
基于springsecurityjwt实现的单体项目token认证
Instanceztt的博客
07-13 858
在一些体量较小的的系统,我们一般使用单体系统就可以满足项目的需求。而基于token的认证方式基本成为了现有主要认证方式,本文主要介绍通过jwt来实现springsecurity单体项目认证方式,希望能对你有一些启发。jks是java keystore的简称,是java的数字证书库,查看证书私钥需要密码,避免私钥一名文的形式出现在代码中在命令行(cmd)中执行命令:keytool -genkeypair -alias mytest -keyalg RSA -keypass mypass -keystore
基于SpringCloud-微服务系统设计方案.rar
12-24
本文将深入探讨基于SpringCloud的微服务系统设计方案,涵盖核心组件、架构设计原则以及实施策略。 1. **微服务架构基础** 微服务架构是一种将单一应用程序分解为一组小型服务的方法,每个服务运行在其自己的进程中...
spring-session
10-20
Spring Session 可以轻松地与 Spring Security 集成,实现基于 session 的认证授权。此外,它也支持其他非 Spring 框架,如 Play Framework 或 Grails,通过提供适配器来实现会话共享。 7. **监控和调试** 为了...
微服务访问安全设计方案全探索
01-27
本文将探讨传统单体应用与微服务架构下访问安全的设计原理及解决方案,重点在于如何在Spring Cloud微服务环境中确保访问安全。 一、传统单体应用的访问安全设计 传统单体应用的访问安全主要依靠身份验证和权限控制...
单体项目以及前后端分离项目token验证以及验证流程
qq_61935738的博客
03-20 825
单体项目以及前后端分离项目token验证以及验证流程
利用JWT实现认证的整个业务流程时序图
qq_60803513的博客
05-27 1222
我们知道Jwt是实现登陆认证的一个标准化的Api,它是基于token实现的,那么让我们先来看看token的原理: 通俗点来讲,token其实就是一个令牌(也可以理解成一个钥匙)那么token的基本工作流程是什么呢 ...
JWT 思维导图
极客神殿
12-31 340
JWT认证时序图 JWT JWT流程及结构图 JWT JWT 身份授权
JWT思维导图
极客神殿
06-05 340
简单整合JWT的原理的一个记录,不全JWT原理 JWT流程、JWT工作流程、JWT系统应用于开发JWT生命周期 java学习JWT流程 jwt认证流程jWT 微服务鉴权方案-JWT
【token身份认证】+jwt技术
在职可交流前端开发,包括:web端、uniapp等,欢迎指教。
06-10 98
用户登录成功后,服务端会生成token令牌响应给客户端;客户端后续请求必须携带此token,服务端获取token进行身份认证判断,确定该请求为正确请求后,才响应请求数据。前端实现思路:后端实现思路:token时序图jwt技术实现token认证技术的一种技术方案安装 npm i jsonwebtoken封装生成和认证token代码.........
Spring Cloud Gateway + JWT 实现登录认证
xiaoqi270620903的专栏
08-23 1084
虽然本篇是讲实战内容的,但是里面又涉及了很多原理性内容,比如网关、JWT 的原理。结合实战讲解,相信大家对如何使用 Spring Cloud Gateway + JWT 实现登录认证有了充分的理解。
手摸手 Spring Cloud Gateway + JWT 实现登录认证
悟空聊架构的专栏
08-30 1560
你好,我是悟空,上篇我已经讲解了 Spring Cloud 的原理和实战,这次就要结合 JWT 来实现登录认证的功能了。本文已收录至《深入剖析 Spring Cloud 底层架构原理》,已更新 18 讲。如何用认证服务做登录认证。如何生成 JWT 令牌(Token)如何用 Gateway 对 Token 验证。Gateway 如何从 Token 中拿到用户信息并转发给业务服务。业务服务如何从请求中拿到身份信息处理业务逻辑。如何刷新令牌。本篇还是基于我的开源项目 PassJava 作为讲解。...
spring boot 单体项目 集成 spring security 实现 登录认证 权限认证 jwt token认证
weixin_40773253的博客
05-06 1701
这篇博文讲述的是不集成oath,通过自己编写jwt 的 token 生成器 实现 spring security 的 登录权限token认证的实现方法。 目录结构如下: pom文件 加入 springsecurityJWT的引用包 <!-- spring security --> <dependency> <groupId&gt...
Spring Security + jwt
08-19
Spring SecurityJWT(JSON Web Token)是一种常见的组合,用于实现身份验证和授权机制。 JWT是一种轻量级的身份验证和授权的解决方案,它使用JSON格式来定义安全声明。JWT通常由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部包含算法和令牌类型等信息,载荷包含用户身份和其他相关信息,签名用于验证令牌的完整性和真实性。 Spring Security提供了对JWT的支持,并可以与Spring Boot框架无缝集成。您可以通过以下步骤来实现Spring Security + JWT的集成: 1. 添加依赖:在项目的构建文件中,添加Spring SecurityJWT相关的依赖,如spring-boot-starter-security和jjwt。 2. 配置Spring Security:创建一个继承自WebSecurityConfigurerAdapter的配置类,并重写configure方法来配置Spring Security。在该方法中,您可以定义身份验证和授权规则。 3. 创建JWT工具类:创建一个JWT工具类,用于生成、解析和验证JWT。您可以使用jjwt库来处理JWT操作。 4. 实现用户认证:在Spring Security配置类中,您可以实现UserDetailsService接口,并重写loadUserByUsername方法来根据用户名加载用户信息。在该方法中,您可以从数据库或其他数据源中获取用户信息,并构建一个UserDetails对象返回。 5. 实现JWT过滤器:创建一个自定义的过滤器,用于解析和验证传入请求中的JWT。在该过滤器中,您可以使用JWT工具类来解析JWT,并将用户信息添加到Spring Security的上下文中。 6. 配置Spring Security过滤器链:在Spring Security配置类中,将JWT过滤器添加到过滤器链中,以确保每个请求都经过JWT验证。 通过以上步骤,您可以实现Spring SecurityJWT的集成,实现基于JWT的身份验证和授权机制。这样,您可以使用JWT生成和验证令牌,并通过Spring Security保护您的应用程序资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值