SpringBoot - SpringSecurity结合JWT的身份验证及动态权限解决方案

最新推荐文章于 2024-08-05 19:09:24 发布
最新推荐文章于 2024-08-05 19:09:24 发布
阅读量2.3k 收藏 13
点赞数 4
分类专栏: SpringBoot 安全框架 文章标签: JWT SpringSecurity 认证 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40885085/article/details/115270013
版权
本文介绍了如何使用SpringBoot结合SpringSecurity和JWT实现身份验证及动态权限控制。详细阐述了登录认证阶段、授权阶段的流程,包括账号密码验证、JWT token的创建和权限管理。同时,提到了注销阶段、未授权处理的处理方法,以及SpringSecurity配置的核心代码。提供了一个基于SpringBoot的JWT和SpringSecurity认证授权Demo的下载链接。
摘要由CSDN通过智能技术生成

花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo,并按照自己的想法完成了动态权限问题。在写这个Demo之初,使用的是SpringSecurity自带的注解权限,但是这样权限就显得不太灵活,在实现之后,感觉也挺复杂的,欢迎大家给出建议。Demo下载地址,见文末。

JWT是什么可以参考我另一篇博文:浅谈JWT身份认证及其优缺点

认证流程及授权流程

我画了个建议的认证授权流程图,后面会结合代码进行解释整个流程。
在这里插入图片描述

一、登录认证阶段

实现SpringSecurity的UsernamePasswordAuthenticationFilter接口(public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter),在它的实现类的构造方法里设置登录的请求路径和请求方式。

this.setPostOnly(false);
// 认证路径 - 发送什么请求,就会进行认证
this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/service_auth/admin/index/login","POST"));

当前端发起配置的请求时,请求会被拦截,进入到attemptAuthentication方法进行验证,在这个方法里可以从request中取出账号、密码,从而调用AuthenticationManagerauthenticate去校验账号、密码是否正确。

@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
        throws AuthenticationException {
   
    try {
   
        User user = new ObjectMapper().readValue(request.getInputStream(), User.class);
        // 也可以直接获取账号密码
        String username = obtainUsername(request);
        String password = obtainPassword(request);
        log.info("TokenLoginFilter-attemptAuthentication:尝试认证,用户名:{}, 密码:{}", username, password);
        // 在authenticate里去进行校验的,校验过程中会去把UserDetailService里返回的SecurityUser(UserDetails)里的账号密码和这里传的账号密码进行比对
        // 并在UserDetailService里将权限进行赋予
        // 校验通过,会进入到successfulAuthentication方法
        return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword(), new ArrayList<>()));
    } catch (IOException e) {
   
        throw new RuntimeException(e);
    }
}
那么这个authenticate方法是怎么验证我们账号密码正确性的呢?

打上断点,跟随源码,我们进入到authenticate方法内部:
在这里插入图片描述
然后进入这个方法内部,继续往下走,看到一段核心代码:
在这里插入图片描述
进入retrieveUser方法里,然后往下走,看到一句核心代码,这个核心代码就是获取用户信息的:
在这里插入图片描述
这里注意,调用了UserDetailsServiceloadUserByUsername方法,传入的就是前端传过来的username,意思就是要根据这个username去获取UserDetails对象,所以我们就要去查询数据库,所以我们就要实现UserDetailsService接口并重写loadUserByUsername方法。

@Service("userDetailsService")
@Slf4j
public class UserDetailServiceImpl implements UserDetailsService {
   
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
   
        log.info("根据username去数据库查询用户信息,username:{}", username);
        // 1、从数据库中取出用户信息 - 这里模拟,直接new一个User对象
        User user = new User();
        user.setUsername(username);
        // 111111经过加密后
        user.setPassword("96e79218965eb72c92a549dd5a330112");
        SecurityUser securityUser = new SecurityUser(user);
        // 可以根据查出来的user.getId()去查询这个用户对应的权限集合 - 这里模拟,直接new一个结合
        List<String> authorities = new ArrayList<>();
        // 将权限赋予用户
        securityUser.<
最低0.47元/天 解锁文章
九月清晨柳成荫
关注
专栏目录
springSecurity整合jwt做系统权限控制
qq_41988229的博客
01-16 998
springSecurity+jwt基于url的权限动态校验
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity + JWT实战(前后端分离)
最新发布
As_Yua的博客
08-05 2407
先来聊一聊什么是SpringSecurity ,在上一篇文章中已经聊过了,大家可以去看看接下来我们聊聊什么是JWTJson web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且的,特别适用于。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
spring security实现动态授权
02-08
通过修改spring security源代码实现动态权限管理。用户信息、角色信息和资源信息保存在数据库中,可动态配置权限,不用重新启动服务。改完即时生效,付例子
Spring Security安全框架---动态授权
qq_32923295的博客
04-19 536
上一篇文章说了spring security认证登陆,这章说一下动态授权 在文章的代码基础下,新增sys_user_role表和sys_role表 CREATE TABLE `sys_user_role` ( `user_id` int(11) NOT NULL, `role_id` int(11) NOT NULL, PRIMARY KEY (`user_id`,`role_id`), KEY `fk_role_id` (`role_id`), CONSTRAINT `fk_r
SpringSecurity+JWT实现认证授权详细步骤
sunao1106的博客
08-03 1188
1. 实现**UserDetailsService**对象中的`loadUserByUsername`方法,根据用户名查询用户信息以及权限信息; 2. 自定义controller登录接口; 3. 自定义service层登录逻辑,调用`loadUserByUsername`获取用户信息并且校验密码,如果认证成功则生成一个jwt返回,将用户信息存入**SecurityContextHolder**上下文; 4. 自定义**JwtAuthenticationTokenFilter**过滤器,获取请........
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
Spring Boot结合Spring SecurityJWT(JSON Web Token)提供了一种高效且灵活的解决方案。本文将深入探讨如何使用这些技术来构建用户登录和权限认证系统。 首先,让我们了解这三个关键组件: 1. **Spring Boot**...
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
在本项目中,我们主要...Spring Security的安全性,JWT的无状态认证,MyBatis-Plus的高效数据操作,以及MySQL的稳定存储,实现了用户登录、角色分配、权限验证等功能,为开发人员提供了一个可参考的权限管理解决方案
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
03-02
**基于SpringBoot+SpringSecurity+JWT权限管理系统详解** 在当今的Web开发中,权限管理和认证是不可或缺的部分,尤其在企业级应用中更是如此。本篇文章将深入探讨如何使用SpringBootSpringSecurity以及JSON Web...
SpringSecurity + JWT 实现登录认证
牧夏的个人博客
07-18 665
Componentpublicclassextendsprivate@Overrideprotectedvoidthrows// 1.获取 JWT 令牌Stringtokenif// 2.判断 JWT 令牌正确性if// 3.获取用户信息,存储 SecurityJWTjwtifnullnull) {LonguidStringusername// 4.创建用户对象。
springboot springsecurity动态权限控制
09-18
springboot springsecurity动态权限控制,实现数据库动态管理菜单权限
实战篇:Security+JWT组合拳 | 附源码
程序IT圈
07-03 497
之前我们已经说过用Shiro和JWT来实现身份认证和用户授权,今天我们再来说一下「SecurityJWT」的组合拳。简介先赘述一下身份认证和用户授权:用户认证(Authenticatio...
SpringSecurity 动态权限
热门推荐
qq_34287953的博客
01-29 1万+
springboot+mybatis+SpringSecurity 实现用户角色权限数据库管理 spring security的简单原理: 使用众多的拦截器对url拦截,以此来管理权限。但是这么多拦截器,笔者不可能对其一一来讲,主要讲里面核心流程的两个。 首先,权限管理离不开登陆验证的,所以登陆验证拦截器AuthenticationProcessingFilter要讲; 还有就是对访问的资源管理吧,所以资源管理拦截器AbstractSecurityInterceptor要讲; 但拦截器里面的实现需
Spring Security+JWT实现认证授权
weixin_44196561的博客
03-29 5809
目录 一、登录校验流程 3、 整合JWT大致流程 前端响应类 JWT工具类 重写UserDetailsService的方法 重写登录接口 认证过滤器 授权基本流程 封装权限信息 RBAC权限模型 自定义失败处理 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 授权:经过认证后判断当前用户是否有权限进行某个操作 一、登录校验流程 1、Spring Security 完整流程 SpringSecurity的原理其实就是一个过滤器链,内部包含了提供
security+jwt
limpiditysky的博客
06-14 342
security+jwt
Spring Security实现接口基于路径的动态权限控制
荔枝当大佬的博客
10-24 2003
在荔枝之前的一篇博客中,已经对Spring Security的鉴证授权的相关知识进行了梳理,弄清楚了为什么使用JWT以及用户登录后台执行的相关的鉴证授权的逻辑。在下面的文章中荔枝主要是补充梳理一下在真实的项目中如何使用Spring Security来实现接口动态权限控制的功能。
SpringSecurity动态授权流程及实现
zjy660358的专栏
11-13 1356
需求:如何通过修改数据库中某个角色的对某一访问路径的权限,进而动态的限制该角色的权限
SpringBoot整合SpringSecurity实现动态权限控制
faozhe
11-01 1643
一:依赖坐标 <!--springboot整合SpringSecurity--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 导入Sp
SpringBoot结合Spring SecurityJWT实现登录认证与令牌授权
Spring Security是一个功能强大、可高度定制的认证和访问控制框架,它是基于Servlet API和Spring框架的安全性解决方案Spring Security为基于Spring的应用程序提供全面的安全性支持,包括认证授权等。通过使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值