SpringBoot - SpringSecurity结合JWT的身份验证及动态权限解决方案

最新推荐文章于 2024-07-17 23:15:51 发布
最新推荐文章于 2024-07-17 23:15:51 发布
阅读量2.3k 收藏 13
点赞数 4
分类专栏: SpringBoot 安全框架 文章标签: JWT SpringSecurity 认证 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40885085/article/details/115270013
版权
本文介绍了如何使用SpringBoot结合SpringSecurity和JWT实现身份验证及动态权限控制。详细阐述了登录认证阶段、授权阶段的流程,包括账号密码验证、JWT token的创建和权限管理。同时,提到了注销阶段、未授权处理的处理方法,以及SpringSecurity配置的核心代码。提供了一个基于SpringBoot的JWT和SpringSecurity认证授权Demo的下载链接。
摘要由CSDN通过智能技术生成

花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo,并按照自己的想法完成了动态权限问题。在写这个Demo之初,使用的是SpringSecurity自带的注解权限,但是这样权限就显得不太灵活,在实现之后,感觉也挺复杂的,欢迎大家给出建议。Demo下载地址,见文末。

JWT是什么可以参考我另一篇博文:浅谈JWT身份认证及其优缺点

认证流程及授权流程

我画了个建议的认证授权流程图,后面会结合代码进行解释整个流程。
在这里插入图片描述

一、登录认证阶段

实现SpringSecurity的UsernamePasswordAuthenticationFilter接口(public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter),在它的实现类的构造方法里设置登录的请求路径和请求方式。

this.setPostOnly(false);
// 认证路径 - 发送什么请求,就会进行认证
this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/service_auth/admin/index/login","POST"));

当前端发起配置的请求时,请求会被拦截,进入到attemptAuthentication方法进行验证,在这个方法里可以从request中取出账号、密码,从而调用AuthenticationManagerauthenticate去校验账号、密码是否正确。

@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
        throws AuthenticationException {
   
    try {
   
        User user = new ObjectMapper().readValue(request.getInputStream(), User.class);
        // 也可以直接获取账号密码
        String username = obtainUsername(request);
        String password = obtainPassword(request);
        log.info("TokenLoginFilter-attemptAuthentication:尝试认证,用户名:{}, 密码:{}", username, password);
        // 在authenticate里去进行校验的,校验过程中会去把UserDetailService里返回的SecurityUser(UserDetails)里的账号密码和这里传的账号密码进行比对
        // 并在UserDetailService里将权限进行赋予
        // 校验通过,会进入到successfulAuthentication方法
        return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword(), new ArrayList<>()));
    } catch (IOException e) {
   
        throw new RuntimeException(e);
    }
}
那么这个authenticate方法是怎么验证我们账号密码正确性的呢?

打上断点,跟随源码,我们进入到authenticate方法内部:
在这里插入图片描述
然后进入这个方法内部,继续往下走,看到一段核心代码:
在这里插入图片描述
进入retrieveUser方法里,然后往下走,看到一句核心代码,这个核心代码就是获取用户信息的:
在这里插入图片描述
这里注意,调用了UserDetailsServiceloadUserByUsername方法,传入的就是前端传过来的username,意思就是要根据这个username去获取UserDetails对象,所以我们就要去查询数据库,所以我们就要实现UserDetailsService接口并重写loadUserByUsername方法。

@Service("userDetailsService")
@Slf4j
public class UserDetailServiceImpl implements UserDetailsService {
   
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
   
        log.info("根据username去数据库查询用户信息,username:{}", username);
        // 1、从数据库中取出用户信息 - 这里模拟,直接new一个User对象
        User user = new User();
        user.setUsername(username);
        // 111111经过加密后
        user.setPassword("96e79218965eb72c92a549dd5a330112");
        SecurityUser securityUser = new SecurityUser(user);
        // 可以根据查出来的user.getId()去查询这个用户对应的权限集合 - 这里模拟,直接new一个结合
        List<String> authorities = new ArrayList<>();
        // 将权限赋予用户
        securityUser.<
最低0.47元/天 解锁文章
九月清晨柳成荫
关注
  • 4
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springSecurity整合jwt做系统权限控制
qq_41988229的博客
01-16 967
springSecurity+jwt基于url的权限动态校验
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity + JWT 实现登录认证
最新发布
xaiobit_hl的博客
07-17 1469
Component@Override// 1.获取 JWT 令牌if (!// 2.判断 JWT 令牌正确性// 3.获取用户信息,存储 Security 中= null= null) {// 4.创建用户对象null,// 绑定 request 对象。
spring security实现动态授权
02-08
通过修改spring security源代码实现动态权限管理。用户信息、角色信息和资源信息保存在数据库中,可动态配置权限,不用重新启动服务。改完即时生效,付例子
Spring Security安全框架---动态授权
qq_32923295的博客
04-19 485
上一篇文章说了spring security认证登陆,这章说一下动态授权 在文章的代码基础下,新增sys_user_role表和sys_role表 CREATE TABLE `sys_user_role` ( `user_id` int(11) NOT NULL, `role_id` int(11) NOT NULL, PRIMARY KEY (`user_id`,`role_id`), KEY `fk_role_id` (`role_id`), CONSTRAINT `fk_r
SpringSecurity+JWT实现认证授权详细步骤
sunao1106的博客
08-03 1154
1. 实现**UserDetailsService**对象中的`loadUserByUsername`方法,根据用户名查询用户信息以及权限信息; 2. 自定义controller登录接口; 3. 自定义service层登录逻辑,调用`loadUserByUsername`获取用户信息并且校验密码,如果认证成功则生成一个jwt返回,将用户信息存入**SecurityContextHolder**上下文; 4. 自定义**JwtAuthenticationTokenFilter**过滤器,获取请........
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
Spring Boot结合Spring SecurityJWT(JSON Web Token)提供了一种高效且灵活的解决方案。本文将深入探讨如何使用这些技术来构建用户登录和权限认证系统。 首先,让我们了解这三个关键组件: 1. **Spring Boot**...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
03-02
**基于SpringBoot+SpringSecurity+JWT权限管理系统详解** 在当今的Web开发中,权限管理和认证是不可或缺的部分,尤其在企业级应用中更是如此。本篇文章将深入探讨如何使用SpringBootSpringSecurity以及JSON Web...
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
在本项目中,我们主要...Spring Security的安全性,JWT的无状态认证,MyBatis-Plus的高效数据操作,以及MySQL的稳定存储,实现了用户登录、角色分配、权限验证等功能,为开发人员提供了一个可参考的权限管理解决方案
实战篇:Security+JWT组合拳 | 附源码
程序IT圈
07-03 471
之前我们已经说过用Shiro和JWT来实现身份认证和用户授权,今天我们再来说一下「SecurityJWT」的组合拳。简介先赘述一下身份认证和用户授权:用户认证(Authenticatio...
springboot springsecurity动态权限控制
09-18
springboot springsecurity动态权限控制,实现数据库动态管理菜单权限
SpringSecurity 动态权限
热门推荐
qq_34287953的博客
01-29 1万+
springboot+mybatis+SpringSecurity 实现用户角色权限数据库管理 spring security的简单原理: 使用众多的拦截器对url拦截,以此来管理权限。但是这么多拦截器,笔者不可能对其一一来讲,主要讲里面核心流程的两个。 首先,权限管理离不开登陆验证的,所以登陆验证拦截器AuthenticationProcessingFilter要讲; 还有就是对访问的资源管理吧,所以资源管理拦截器AbstractSecurityInterceptor要讲; 但拦截器里面的实现需
Spring Security+JWT实现认证授权
weixin_44196561的博客
03-29 5429
目录 一、登录校验流程 3、 整合JWT大致流程 前端响应类 JWT工具类 重写UserDetailsService的方法 重写登录接口 认证过滤器 授权基本流程 封装权限信息 RBAC权限模型 自定义失败处理 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 授权:经过认证后判断当前用户是否有权限进行某个操作 一、登录校验流程 1、Spring Security 完整流程 SpringSecurity的原理其实就是一个过滤器链,内部包含了提供
security+jwt
limpiditysky的博客
06-14 325
security+jwt
Spring Security实现接口基于路径的动态权限控制
荔枝当大佬的博客
10-24 1737
在荔枝之前的一篇博客中,已经对Spring Security的鉴证授权的相关知识进行了梳理,弄清楚了为什么使用JWT以及用户登录后台执行的相关的鉴证授权的逻辑。在下面的文章中荔枝主要是补充梳理一下在真实的项目中如何使用Spring Security来实现接口动态权限控制的功能。
SpringSecurity动态授权流程及实现
zjy660358的专栏
11-13 1327
需求:如何通过修改数据库中某个角色的对某一访问路径的权限,进而动态的限制该角色的权限
SpringBoot整合SpringSecurity实现动态权限控制
faozhe
11-01 1620
一:依赖坐标 <!--springboot整合SpringSecurity--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 导入Sp
Spring Security 动态权限实现方案
JavaShark的博客
06-24 3345
最近在做 TienChin 项目,用的是 RuoYi-Vue 脚手架,在这个脚手架中,访问某个接口需要什么权限,这个是在代码中硬编码的,具体怎么实现的,松哥下篇文章来和大家分析,有的小伙伴可能希望能让这个东西像 vhr 一样,可以在数据库中动态配置,因此这篇文章和小伙伴们简单介绍下 Spring Security 中的动态权限方案,以便于小伙伴们更好的理解 TienChin 项目中的权限方案。通过代码来配置 URL 拦截规则和请求 URL 所需要的权限,这样就比较死板,如果想要调整访问某一个 URL 所需要
SpringBoot+SpringSecurity+JWT
09-19
SpringBoot是一个开源的Java开发框架,它简化了Spring应用程序的创建和配置过程。SpringSecuritySpring家族中的一个安全管理框架,用于在Web应用程序中实现认证授权的功能。JWT是一种用于在客户端和服务器之间传递安全信息的开放标准。在SpringBootSpringSecurity结合中,可以使用JWT来实现认证授权的功能。 为了在SpringBoot中使用SpringSecurityJWT,你需要进行以下几个步骤: 1. 引入相关依赖:在项目的pom.xml文件中添加SpringSecurityJWT的依赖。 2. 创建一个实现了UserDetailsService接口的类:该类用于加载用户的信息,并将其提供给SpringSecurity进行认证。 3. 创建一个实现了JwtTokenUtil接口的类:该类用于生成和解析JWT Token。 4. 创建一个实现了AuthenticationEntryPoint接口的类:该类用于处理认证失败的情况。 5. 创建一个实现了JwtAuthenticationFilter类:该类用于在每个请求中验证JWT Token,并将用户的信息设置到SpringSecurity的上下文中。 6. 配置SpringSecurity:在SpringBoot的配置文件中配置SpringSecurity的相关属性,例如登录路径、认证路径和权限配置等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值