SpringSecurity集成JWT实现后端认证授权保姆级教程-授权配置篇

已于 2024-04-20 15:29:05 修改
阅读量1.1k 收藏 19
点赞数 24
分类专栏: 服务/框架/技术 Java SSM知识 文章标签: springsecurity swagger spring boot jwt
于 2024-01-11 02:34:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37699336/article/details/135495744
版权
服务/框架/技术 同时被 3 个专栏收录
111 篇文章 16 订阅
订阅专栏
Java
70 篇文章 3 订阅
订阅专栏
SSM知识
58 篇文章 3 订阅
订阅专栏

🍁 作者:知识浅谈,CSDN签约讲师,CSDN博客专家,华为云云享专家,阿里云专家博主
📌 擅长领域:全栈工程师、爬虫、ACM算法
💒 公众号:知识浅谈
🔥 微信:zsqtcyl 联系我领取福利

视频教程:SpringSecurity集成JWT实现后端认证授权保姆级教程-授权配置
完整代码:SecurityJwt
上一篇:SpringSecurity集成JWT实现后端认证授权保姆级教程-认证配置篇
🤞上一节编写了对应的SpringSecurity的认证,本节开始进行SpringSecurity授权🤞

🎈修改用户类返回用户权限信息

修改对应的getAuthorities方法
在这里插入图片描述

@TableName(value ="cust_user")
@Data
public class CustUser implements Serializable, UserDetails {  //这里新增实现UserDetails 
    @TableId(type = IdType.AUTO)
    private Integer id;
    private String username;
    private String nickname;
    private Integer enable;
    private String password;
//----------------------------------------------------以下为新增的部分---------------------------------
     @TableField(exist = false)
    private List<String> permissions;  //权限集合

    //存储SpringSecurity所需要的权限信息的集合
    //安全限制,不允许序列化
    @JSONField(serialize = false)
    @JsonIgnore
    @TableField(exist = false)
    private List<GrantedAuthority> authorities;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
//        return Arrays.asList(new SimpleGrantedAuthority("ROLE_USER"));
        if (this.authorities == null) {
            //把permissions中字符串类型的权限信息转换成GrantedAuthority对象存入authorities中
            this.authorities = this.permissions.stream().distinct().map(SimpleGrantedAuthority::new).collect(Collectors.toList());
        }
        return this.authorities;
    }
    //------------------------------------------------------------------------------------------------
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    @Override
    public boolean isEnabled() {
        return true;
    }

    @TableField(exist = false)
    private static final long serialVersionUID = 1L;
}

🎈对CustUserServiceImpl 进行修改

对CustUserServiceImpl 中的loadUserByUsername进行修改

  1. 针对之前的数据准备篇的CustUserServiceImpl实现类 进行更改

    @Service
public class CustUserServiceImpl extends ServiceImpl<CustUserMapper, CustUser> implements CustUserService{ //这个地方新增实现CustUserService接口

    @Autowired
    private CustUserMapper custUserMapper;

    @Autowired
    private SysMenuMapper menuMapper;
    //-----------------------------------------------------以下为修改的内容------------------------------------------
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        LambdaQueryWrapper<CustUser> queryWrapper = new LambdaQueryWrapper<>();
        queryWrapper.eq(CustUser::getUsername, username);
        CustUser user = custUserMapper.selectOne(queryWrapper);
        if (user == null) {
            log.error("用户名不存在");
            throw new UsernameNotFoundException("用户名不存在");
        }else {
            List<String> permissions = menuMapper.selectPermsByUserId(user.getId());
            user.setPermissions(permissions); //封装权限
            return user;
        }
    }
//----------------------------------------------------------------------------
}

    上边的这个主要是实现loadUserByUsername方法中获取数据库中用户的权限。
    添加之后会发现上边的menuMapper.selectPermsByUserId(user.getId());报错,因为我们还没有在menuMapper新增selectPermsByUserId方法,接下来我们新增一个查询用户权限的方法。

🎈SecurityConfig配置类修改

新增JwtAuthenticationFilter 注入 并添加到addFilterBefore中

@Slf4j
@EnableWebSecurity
@Configuration
@RequiredArgsConstructor
@EnableGlobalMethodSecurity(prePostEnabled = true) // 开启方法安全权限校验
public class SecurityConfiguration {

//----------------------------新增--------------------------------------------------
    private final JwtAuthenticationFilter jwtFilter; // 注入JwtAuthenticationFilter
//------------------------------------------------------------------------------
    private final JwtUtil jwtUtil; // 注入JwtUtil

    @Autowired
    private CustUserService custUserService;


    @Bean
    public BCryptPasswordEncoder passwordEncoder(){
         return new BCryptPasswordEncoder();
    }

    /**
     * 获取AuthenticationManager 登录验证的时候使用
     * @param authenticationConfiguration
     * @return
     * @throws Exception
     */
    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception {
        return authenticationConfiguration.getAuthenticationManager();
    }


    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
         http.authorizeHttpRequests(
                (authz)->authz
                        .antMatchers("/user/login").permitAll() // 允许匿名用户访问login用于登录
                        .antMatchers("/user/logout").permitAll() // 允许匿名用户访问logout用于登出
                        .antMatchers("/doc.html", "/webjars/**", "/v2/api-docs", "/swagger-resources/**").permitAll() // 允许匿名用户访问swagger
//                        .antMatchers("/test").hasAuthority("test") // 拥有test权限的用户才能访问test接口
                        .anyRequest().authenticated()) // 其他请求必须经过身份验证
                .exceptionHandling(conf->conf // 异常处理
                        .authenticationEntryPoint((req, res, authException) -> { //认证异常

                            log.info("认证异常");
                            res.setContentType( "application/json;charset=utf-8" );
                            res.getWriter().write(new Gson().toJson(Result.error(401, authException.getMessage())));
                        })
                        .accessDeniedHandler((req, res, authException) -> { //权限异常
                            log.info("权限异常");
                            res.setContentType("application/json;charset=utf-8");
                            res.getWriter().write(new Gson().toJson(Result.error(403, authException.getMessage())));
                        })
                )
                .csrf(AbstractHttpConfigurer::disable) // 禁用csrf
                .sessionManagement(conf->conf.sessionCreationPolicy(SessionCreationPolicy.STATELESS)) // 禁用session
                //----------------------------新增--------------------------------------------------
                .addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class)//指定过滤器
                //-----------------------------------------------------------------------------------
                .cors();
        return http.build();
    }
}

🎈新增根据用户id查询权限的方法

在mapper/SysMenuMapper中的新增方法selectPermsByUserId

public interface SysMenuMapper extends BaseMapper<SysMenu> {
    List<String> selectPermsByUserId(Integer id);
}

在resources/SysMenuMapper/xml中的新增方法selectPermsByUserId

    <select id="selectPermsByUserId" resultType="java.lang.String">
        SELECT
            DISTINCT m.`perms`
        FROM
            sys_user_role ur
                LEFT JOIN `sys_role` r ON ur.`role_id` = r.`id`
                LEFT JOIN `sys_role_menu` rm ON ur.`role_id` = rm.`role_id`
                LEFT JOIN `sys_menu` m ON m.`id` = rm.`menu_id`
        WHERE
            user_id = #{id}
          AND r.`status` = 0
          AND m.`status` = 0
    </select>

🎈编写权限测试的接口

在数据库中的增加test权限
在这里插入图片描述

@Api(tags = "测试类")
@RestController
@RequestMapping("/test")
public class TestController {

    @Autowired
    private CustUserService custUserService;

    @ApiOperation(value = "测试方法")
    @PreAuthorize("hasAuthority('test')")  // 权限验证 需要用户具有test权限
    @GetMapping("/test")
    public CustUser test(){
        return custUserService.getById(1);
    }

}

到这授权就已经好了。如果还想根据角色进行权限认证,可自己百度,后边有时间我会更新。

🍚总结

大功告成,撒花致谢🎆🎇🌟,关注我不迷路,带你起飞带你富。
Writted By 知识浅谈

知识浅谈
关注
  • 24
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
SpringSecurity+SpringBoot后端分离的权限验证和管理的实现方法
qq_29586495的博客
12-10 4065
SpringSecurity+SpringBoot+前后端分离的权限验证和管理的实现方法 0.本文目标 使用SpringSecurity框架进行访问用户的身份验证和权限鉴定,而且做成前后端分离的模式,即后端数据库没有界面,只返回Json作为处理结果。 1.SpringSecurity的作用 SpringSecurity提供了一个权限的验证管理的快速搭建工具。 以Web开发为例,使用SpringSecurity框架后, 可以对前端发来的url请求进行拦截,从而验证用户的权限是否允许该用户进行此请求。 提供了
从零构建后端项目-配置Shiro+JWT
chengbo_eva的博客
06-20 2190
从零构建后端项目-配置Shiro+JWT 进阶
Spring Boot 如何使用 JWT 进行认证授权
程序员徐师兄的博客
06-23 1878
JWT 是一种基于 JSON 的开放标准,用于在客户端和服务器之间安全地传输信息。JWT 由三部分组成:Header、Payload 和 Signature。
如何使用JWT进行身份验证授权
dotNET跨平台
05-05 2166
简介JWT定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。工作流程1、用户使用账号、密码登录应用,登录的请求发送到认证服务器。2、认证服务器进行用户验证,然后创建JWT字符串返回给客户端。3、客户端请求接口时,在请求头带上JWT。应用服务器验证JWT合法性,如果合法则继续调用应用接口返回结果。数据结...
.Net Core JWT 授权
weixin_59180442的博客
06-05 3282
当我们开发 Web 应用程序时,通常需要对用户进行身份验证授权JWT(JSON Web Token)是一种安全传输信息的标准,它可以在各种应用程序和服务之间安全地传输信息,例如用户身份验证授权信息。在 .NET 中,我们可以使用 JWT 实现身份验证授权,并基于声明式安全实现权限控制。
一步步教你实现JWT认证授权
weixin_52533007的博客
08-11 2645
本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远!JWT认证(JSON Web Token authentication)是一种基于Token的身份验证机制。它使用JSON Web Token(JWT)作为身份验证的凭据,并通过对JWT进行验证来确认用户的身份和授权用户访问受保护的资源。大家不要把三者想的太复杂session是诞生并保存在服务器那边的,由服务器主导一切。
SpringSecurityJWT实现token认证授权.zip
08-09
在这个主题中,我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证授权JWT 是一种轻量的、安全的、无状态的身份验证机制,常用于API的鉴权。它通过在客户端和服务器之间传递令牌...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring SecurityJWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现认证流程中的一种重要方式,它可以帮助我们实现安全的认证授权。通过使用SpringSecurity+JWT,我们可以实现基于token的认证方式,以便更好地保护我们的系统。 七、参考资料 * ...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security-oauth2`和`spring-security-jwt`依赖。 2. **用户实体类与数据访问层**:...
SpringSecurity JwtAuthenticationTokenFilter过滤器
weixin_46256404的博客
11-15 3726
SpringSecurity JwtAuthenticationTokenFilter过滤器
【项目实践】一文带你搞定Spring Security + JWT实现后端分离下的认证授权
竹林幽深
11-05 93
【项目实践】一文带你搞定Session和JWT【项目实践】一文带你搞定页面权限、按钮权限以及数据权限在这两文章中我们没有使用安全框架就搞定了认证授权功能,并理解了其核心原理。R在之前就说过,核心原理掌握了,无论什么安全框架使用起来都会非常容易!那么本文就讲解如何使用主流的安全框架Spring Security实现认证授权功能。当然,本文并不只是对框架的使用方法进行讲解,还会剖析Spring Security的源码,看到最后你就会发现你掌握了使用方法的同时,还对框架有了深度的理解!
.Net Core之JWT授权
虚幻私塾
03-03 1531
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 一、什么是JWT 文章参考:https://www.leo96.com/article/detail/55 JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义 了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。由于此信息是经
后端进阶之路——综述Spring Security认证授权(一)
Why_does_it_work的博客
08-02 3581
Spring Security是一个功能强大的Java框架,用于在应用程序中实现认证(Authentication)和授权(Authorization)功能。它提供了一套细粒度的安全性控制机制,帮助保护应用程序免受恶意攻击和未经授权的访问。 以下是Spring Security的基本概念和作用的简要总结:
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
最新发布
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证
Spring security 配置的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
热门推荐
单筱风的博客
12-17 2万+
1.Spring Security 中的异常处理 我们在 Spring Security 实战干货系列文章中的 自定义配置类入口 WebSecurityConfigurerAdapter 一文中提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口: AuthenticationEntryPoint 该类用来统一处理 AuthenticationEx
JWT+SpringSecurity登陆和授权功能
weixin_43515246的博客
06-14 409
Lombok是一个Java库,能自动插入编辑器并构建工具,简化Java开发。通过添加注解的方式,不需要为类编写getter或eques方法,同时可以自动化日志变量。@Setter 注解在类或字段,注解在类时为所有字段生成setter方法,注解在字段上时只为该字段生成setter方法。@Getter 使用方法同上,区别在于生成的是getter方法。@ToString 注解在类,添加toString方法。@EqualsAndHashCode 注解在类,生成hashCode和equals方法。
JWT鉴权中心 实现鉴权授权 刷新Token
yiyang1208的博客
12-05 1635
JWT鉴权授权 .net
Spring Boot集成Spring SecurityJWT和redis来实现安全认证授权无感刷新
06-03
好的,这是一个比较复杂的问题,我会尽力回答。首先,Spring Boot是一个非常流行的Java框架,它可以帮助开发人员快速构建高效的Web应用程序。Spring SecuritySpring的一个子项目,它提供了一种安全框架,可以用来保护应用程序中的资源。 JWT是一种轻量的身份验证授权机制,它可以在客户端和服务器之间传递信息,以便进行安全认证授权。Redis是一个内存数据存储系统,它可以用来缓存数据,并且具有高性能和可扩展性。 要实现安全认证授权无感刷新,首先需要配置Spring SecurityJWT。可以使用Spring Security配置来定义哪些资源需要保护,以及如何对它们进行保护。可以使用JWT来生成和验证令牌,并将令牌存储在Redis中。 一旦配置完成,客户端可以通过提供有效的JWT令牌来访问受保护的资源。如果令牌过期,客户端可以通过向服务器发送特定的请求来刷新令牌。服务器可以使用Redis中存储的信息来验证令牌,并生成新的令牌以供客户端使用。 总之,Spring Boot集成Spring SecurityJWT和Redis可以实现安全认证授权无感刷新,保护应用程序中的资源,并提高应用程序的安全性和可靠性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

知识浅谈

您的支持将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值