SpringSecurity集成JWT实现后端认证授权保姆级教程-认证配置篇

已于 2024-04-20 15:29:17 修改
阅读量1.2k 收藏 23
点赞数 22
分类专栏: 服务/框架/技术 SSM知识 Java 文章标签: springsecurity spring boot java 后端 jwt
于 2024-01-10 00:49:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37699336/article/details/135442801
版权
服务/框架/技术 同时被 3 个专栏收录
111 篇文章 16 订阅
订阅专栏
Java
70 篇文章 3 订阅
订阅专栏
SSM知识
58 篇文章 3 订阅
订阅专栏

🍁 作者:知识浅谈,CSDN签约讲师,CSDN博客专家,华为云云享专家,阿里云专家博主
📌 擅长领域:全栈工程师、爬虫、ACM算法
💒 公众号:知识浅谈
🔥 微信:zsqtcyl 联系我领取福利

视频教程:SpringSecurity集成JWT实现后端认证授权保姆级教程-认证配置
完整代码:SecurityJwt
上一篇:SpringSecurity集成JWT实现后端认证授权保姆级教程-工具类准备篇
下一篇:SpringSecurity集成JWT实现后端认证授权保姆级教程-授权配置篇
🤞上边的各种配置都完成之后,本节开始进行SpringSecurity的认证🤞

🎈用户类继承UserDetails

为什么要继承这个UserDetails类呢,因为后续SpringSecurity中进行认证授权都是通过实现UserDetail接口和UserDetailsService

针对数据准备篇的CustUser实体类进行更改,实现UserDetails 并实现其对应的方法

@TableName(value ="cust_user")
@Data
public class CustUser implements Serializable, UserDetails {  //这里新增实现UserDetails 
    @TableId(type = IdType.AUTO)
    private Integer id;
    private String username;
    private String nickname;
    private Integer enable;
    private String password;
//----------------------------------------------------以下为新增的部分---------------------------------
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    @Override
    public boolean isEnabled() {
        return true;
    }
    //------------------------------------------------------------------------------------------------
    @TableField(exist = false)
    private static final long serialVersionUID = 1L;
}

🎈用户Service实现UserDetailService

实现UserDetailService并实现其对应的loadUserByUsername

  1. 针对之前的数据准备篇的CustUserService接口 进行更改

    public interface CustUserService extends IService<CustUser>, UserDetailsService {  //这个地方新增继承这个UserDetailsService接口 
}

  2. 针对之前的数据准备篇的CustUserServiceImpl实现类 进行更改

    @Service
public class CustUserServiceImpl extends ServiceImpl<CustUserMapper, CustUser> implements CustUserService{ //这个地方新增实现CustUserService接口
//-----------------------------------------------------以下为新增的内容------------------------------------------
    @Autowired
    private CustUserMapper custUserMapper;

    @Autowired
    private SysMenuMapper menuMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        LambdaQueryWrapper<CustUser> queryWrapper = new LambdaQueryWrapper<>();
        queryWrapper.eq(CustUser::getUsername, username);
        CustUser user = custUserMapper.selectOne(queryWrapper);
        if (user == null) {
            log.error("用户名不存在");
            throw new UsernameNotFoundException("用户名不存在");
        }else {
            return user;
        }
    }
//----------------------------------------------------------------------------
}

    上边的这个主要是实现loadUserByUsername方法在SpringSecurity认证的过程中使用的到。

🎈SecurityConfig配置类重要

在config文件夹下新增Security配置类,这类用于指定拦截路径、设置登录退出接口,异常处理等,直接上代码

package com.example.demo.config;

import com.example.demo.common.Vo.Result;
import com.example.demo.service.CustUserService;
import com.example.demo.utils.JwtUtil;
import com.google.gson.Gson;

import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Slf4j
@EnableWebSecurity
@Configuration
@RequiredArgsConstructor
@EnableGlobalMethodSecurity(prePostEnabled = true) // 开启方法安全权限校验
public class SecurityConfiguration {

    private final JwtUtil jwtUtil; // 注入JwtUtil
    @Autowired
    private CustUserService custUserService;
    @Bean
    public BCryptPasswordEncoder passwordEncoder(){
         return new BCryptPasswordEncoder();
    }

    /**
     * 获取AuthenticationManager 登录验证的时候使用
     * @param authenticationConfiguration
     * @return
     * @throws Exception
     */
    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception {
        return authenticationConfiguration.getAuthenticationManager();
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
         http.authorizeHttpRequests(
                (authz)->authz
                        .antMatchers("/user/login").permitAll() // 允许匿名用户访问login用于登录
                        .antMatchers("/user/logout").permitAll() // 允许匿名用户访问logout用于登出
                        .antMatchers("/doc.html", "/webjars/**", "/v2/api-docs", "/swagger-resources/**").permitAll() // 允许匿名用户访问swagger
                        .antMatchers("/test").hasAuthority("test") // 拥有test权限的用户才能访问test接口
                        .anyRequest().authenticated()) // 其他请求必须经过身份验证
                .exceptionHandling(conf->conf // 异常处理
                        .authenticationEntryPoint((req, res, authException) -> { //认证异常
                            log.info("认证异常");
                            res.setContentType( "application/json;charset=utf-8" );
                            res.getWriter().write(new Gson().toJson(Result.error(401, authException.getMessage())));
                        })
                        .accessDeniedHandler((req, res, authException) -> { //权限异常
                            log.info("权限异常");
                            res.setContentType("application/json;charset=utf-8");
                            res.getWriter().write(new Gson().toJson(Result.error(403, authException.getMessage())));
                        })
                )
                .csrf(AbstractHttpConfigurer::disable) // 禁用csrf
                .sessionManagement(conf->conf.sessionCreationPolicy(SessionCreationPolicy.STATELESS)) // 禁用session
//                .addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class)//指定过滤器
                .cors();
        return http.build();
    }
}

🎈编写登录成功后返回的带有token的实体类

在这里插入图片描述

package com.example.demo.Vo;


import com.example.demo.domain.CustUser;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
@AllArgsConstructor
@NoArgsConstructor
public class AuthUserVo extends CustUser {
    private String token;
}

🎈编写用户登录退出接口

现在我们要实现的是编写登录接口实现用户登录返回token,上边的配置类放行了/user/login 用作登录,本次是编写后端登自定义登录模块,所以不使用SpringSecurity自带的表单登录。

在这里插入图片描述

package com.example.demo.controller;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.example.demo.Vo.AuthUserVo;
import com.example.demo.common.Vo.Result;
import com.example.demo.domain.CustUser;
import com.example.demo.utils.JwtUtil;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;
import org.springframework.beans.BeanUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.web.bind.annotation.*;
import javax.servlet.http.HttpServletRequest;
import java.util.concurrent.TimeUnit;
import static com.example.demo.common.constants.OtherConstants.AUTH_TOKEN;
import static com.example.demo.common.constants.OtherConstants.USER_PREFIX;


@Api(tags = "用户模块")
@RestController
@RequestMapping("/user")
public class UserController {
    @Autowired
    private RedisTemplate redisTemplate;
    @Autowired
    private AuthenticationManager authenticateManager;
    @Autowired
    private JwtUtil jwtUtil;
    @ApiOperation(value = "用户登录")
    @PostMapping("/login")
    public Result login(@RequestBody CustUser user) {
        Result result = new Result();
        try {
            UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword());
            Authentication authenticate = authenticateManager.authenticate(usernamePasswordAuthenticationToken);
            if (authenticate == null) {
                return Result.error(401, "登录校验失败");
            } else {
                user = (CustUser) authenticate.getPrincipal();
                String token = jwtUtil.createJwt(user);//创建token
                AuthUserVo authUserVo = new AuthUserVo();
                BeanUtils.copyProperties(user, authUserVo);
                authUserVo.setToken(token);
    //            将token放在redis中
                redisTemplate.opsForValue().set(USER_PREFIX + String.valueOf(user.getId()),user,30, TimeUnit.MINUTES);
                return Result.success(authUserVo);
            }
        } catch (Exception e) {
            return result.error500("登陆失败");
        }
    }


    @ApiOperation(value = "用户退出")
    @GetMapping("/logout")
    public Result logout(HttpServletRequest req) {
        String token = req.getHeader(AUTH_TOKEN);
        if (token == null || "".equals(token)) {
            return Result.error(401, "token为空");
        } else {
            DecodedJWT decodedJWT = jwtUtil.resolveJwt(token);
            CustUser user = jwtUtil.toUser(decodedJWT);
            redisTemplate.delete(USER_PREFIX + String.valueOf(user.getId()));
            return Result.success("退出成功");
        }
    }
}

🎈新增JwtAuthenticationFilter.java 拦截检查token是否有效

在这里插入图片描述

package com.example.demo.filter;

import com.auth0.jwt.interfaces.DecodedJWT;

import com.example.demo.domain.CustUser;
import com.example.demo.utils.JwtUtil;
import lombok.RequiredArgsConstructor;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Objects;

import static com.example.demo.common.constants.OtherConstants.AUTH_TOKEN;


/**
 * @author: YinLei
 * Package:  com.zsqt.security.filter
 * @date: 2024/1/3 16:40
 * @Description:
 * @version: 1.0
 */

@Component
@RequiredArgsConstructor
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    private final JwtUtil jwtUtil;
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String token = request.getHeader(AUTH_TOKEN);

        if (!StringUtils.hasText(token)) {
            //放行
            filterChain.doFilter(request, response);
            return;
        }

        DecodedJWT jwt = jwtUtil.resolveJwt(token); //解析token
        if (jwt != null) {//如果token有效,将用户信息放入到SecurityContext中
            CustUser user = jwtUtil.toUser(jwt);
            if (Objects.isNull(user)) {
                throw new RuntimeException("用户未登录");
            }
            if (jwtUtil.checkRedis(user)) {// 验证redis中是否存在该用户
                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, user.getAuthorities());
                usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); //这个方法将用户信息放入到SecurityContext中 手动设置用户信息
            }else {
                throw new RuntimeException("Token失效");
            }
        }else{
            throw new RuntimeException("Token失效");
        }
        filterChain.doFilter(request, response); // 如果token无效,进行下一个过滤器
    }
}

🎈登录接口测试

因为我们配置了swagger,所以我们直接在swagger测试登录,最后返回了token
swagger文档默认地址(上边的配置文件已经放行文档地址):http://localhost:8080/doc.html
在这里插入图片描述

到这认证就已经好了,接下来就要进行授权了。

🍚总结

大功告成,撒花致谢🎆🎇🌟,关注我不迷路,带你起飞带你富。
Writted By 知识浅谈

知识浅谈
关注
  • 22
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
SpringSecurity集成JWT实现后端认证授权保姆教程-授权配置
乐于分享,共同成长
01-11 1100
SpringSecurity集成JWT实现后端认证授权保姆教程-授权配置
【深入浅出 Spring Security(十三)】使用 JWT 进行前后端分离认证(附源码)
qq_63691275的博客
07-07 3835
使用JWT进行前后端分离认证实现,其后端主要实现其实就是分为俩步(在已经封装好JWT生成和验证工具类的基础上),第一步就是登录认证成功后如何将生成的 jwt 响应给前端?——在AuthenticationSuccessHandler中进行实现;第二步就是前端携带该 jwt 向服务器端发送请求后,如何去认证该请求?——去重写BasicAuthenticationFilter中的doFilterInternal方法,在此方法中进行认证即可...
SpringSecurity集成JWT
lty1392309506的博客
04-18 421
使用 Spring Security 集成 JWT(JSON Web Token)身份验证是一种常见的方式来实现基于令牌的身份验证。在 Spring Boot 应用程序中使用 Spring Security 和 JWT,可以创建一个安全、可扩展的身份验证系统。
3.Spring Security实现JWT token验证
相互学习 共同进步
04-24 3284
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
SpringSecurity集成JWT实现后端认证授权保姆教程-数据准备篇
乐于分享,共同成长
01-07 1109
SpringSecurity集成JWT实现后端认证授权保姆教程-数据准备篇
SpringSecurity集成JWT实现后端认证授权保姆教程-工具类准备篇
乐于分享,共同成长
01-08 669
SpringSecurity集成JWT实现后端认证授权保姆教程-工具类准备篇
SpringSecurity集成JWT实现后端认证授权保姆教程-环境搭建篇
乐于分享,共同成长
01-07 1443
SpringSecurity集成JWT实现后端认证授权保姆教程-环境搭建篇
SpringBoot + Shiro安全框架 + vue(保姆级从零开始)
cygqtt的博客
11-08 269
Component@Autowired// 自定义授权方法@Override// 自定义登录认证方法@Override// 1.获取用户身份信息// 2. 调用业务层获取用户信息(数据库中)// 判断并将数据完成封装if (!
浅析JWT原理及牛客出现过的相关面试题
最新发布
Kixuan214的博客
07-25 911
总结jwt相关原理及牛客出现的面试题(含答案)
SpringSecurityJWT实现token认证授权.zip
08-09
在这个主题中,我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证授权JWT 是一种轻量级的、安全的、无状态的身份验证机制,常用于API的鉴权。它通过在客户端和服务器之间传递令牌...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现认证流程中的一种重要方式,它可以帮助我们实现安全的认证授权。通过使用SpringSecurity+JWT,我们可以实现基于token的认证方式,以便更好地保护我们的系统。 七、参考资料 * ...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring Security和JWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security-oauth2`和`spring-security-jwt`依赖。 2. **用户实体类与数据访问层**:...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
IDEA Eval Reset 使用方法
热门推荐
乐于分享,共同成长
05-08 18万+
IDEA Eval Reset 使用方法 idea eval reset 使用方法 安装插件 离线安装方式 1、下载插件 下载地址:https://plugins.zhile.io/files/ide-eval-resetter-2.1.6.zip 2、安装插件 直接下载插件 zip 包(macOS 可能会自动解压,然后把 zip 包丢进回收站) 通常可以直接把 zip 包拖进 IDE 的窗口来进行插件的安装。.....................
正则表达式(.*?)惰性匹配()
乐于分享,共同成长
12-13 4万+
没什么可说的看这儿就行了,,特别是最后一条。 1、. 匹配任意除换行符“\n”外的字符; 2、*表示匹配前一个字符0次或无限次; 3、+或*后跟?表示非贪婪匹配,即尽可能少的匹配,如*?重复任意次,但尽可能少重复; 4、 .*? 表示匹配任意数量的重复,但是在能使整个匹配成功的前提下使用最少的重复。 如:a.*?b匹配最短的,以a开始,以b结束的字符串。如果把它应用于aabab的话,它会匹配aab.........
(已解决)npm ERR! command failed npm ERR! command git ls-remote ssh://git@github.com/nhn/raphael.git
乐于分享,共同成长
08-05 2万+
这个错必须要记录一下了,看了网上很多的解决方法,最后终于找到原因了, npm ERR! code 128 npm ERR! command failed npm ERR! command git ls-remote ssh://git@github.com/nhn/raphael.git npm ERR! git@github.com: Permission denied (publickey). npm ERR! fatal: Could not read from remote repository.
新知实验室-基于腾讯云音视频TRTC的微信小程序实践
乐于分享,共同成长
11-24 1万+
新知实验室-基于腾讯云音视频TRTC的微信小程序实践
Spring Boot集成Spring Security和JWT和redis来实现安全认证授权无感刷新
06-03
好的,这是一个比较复杂的问题,我会尽力回答。首先,Spring Boot是一个非常流行的Java框架,它可以帮助开发人员快速构建高效的Web应用程序。Spring Security是Spring的一个子项目,它提供了一种安全框架,可以用来保护应用程序中的资源。 JWT是一种轻量级的身份验证和授权机制,它可以在客户端和服务器之间传递信息,以便进行安全认证授权。Redis是一个内存数据存储系统,它可以用来缓存数据,并且具有高性能和可扩展性。 要实现安全认证授权无感刷新,首先需要配置Spring Security和JWT。可以使用Spring Security的配置来定义哪些资源需要保护,以及如何对它们进行保护。可以使用JWT来生成和验证令牌,并将令牌存储在Redis中。 一旦配置完成,客户端可以通过提供有效的JWT令牌来访问受保护的资源。如果令牌过期,客户端可以通过向服务器发送特定的请求来刷新令牌。服务器可以使用Redis中存储的信息来验证令牌,并生成新的令牌以供客户端使用。 总之,Spring Boot集成Spring Security和JWT和Redis可以实现安全认证授权无感刷新,保护应用程序中的资源,并提高应用程序的安全性和可靠性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

知识浅谈

您的支持将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值