做基于Spring Security Jwt认证的Starter包

最新推荐文章于 2024-05-29 16:37:34 发布
最新推荐文章于 2024-05-29 16:37:34 发布
阅读量674 收藏
点赞数
分类专栏: springboot 文章标签: java springboot security jwt 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41090272/article/details/101034859
版权
本文介绍了如何创建一个基于Spring Security的JWT认证Starter包,实现一键开启JWT认证功能。内容包括JWT的背景、Spring Security的核心类解释、Starter包实现的认证流程,以及详细的步骤解析,旨在简化前后端分离项目的用户身份管理。最后提供了项目源码的GitHub链接。
摘要由CSDN通过智能技术生成

以前老的项目大多采用的是session进行用户身份的管理,目前很多公司的项目都是前后端分离, 这样使用session 成本就会变高,然后多数项目会采用Jwt进行用户的身份的管理。

JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。有不清楚的同学可以先看看者篇文章:10分钟了解JSON Web令牌(JWT)

今天要做的事就是将Jwt认证和授权的过程封装成一个Springboot 的Stater包,只需要使用EnableJwtSecurity注解,就可以一键开启Jwt认证功能,无需在每个项目都拷贝同样的认证代码,非常的麻烦。代码已经放在github上,链接地址在文末,有兴趣的可以亲自使用一下,欢迎提出您的宝贵意见。
该Starter包含的功能
1、支持白名单过滤功能
2、支持配置token刷新时间
3、支持生成随机盐的方式生成Jwt(默认是使用的固定的盐)
4、最重要的当然是Jwt认证功能啦

接下来我们开始讲解该Starter的认证思路,篇幅有点长,请耐心阅读

Spring Security 核心类简介

AuthenticationManager, 用户认证的管理类,所有的认证请求(比如login)都会通过提交一个token给AuthenticationManager的authenticate()方法来实现。当然事情肯定不是它来做,具体校验动作会由AuthenticationManager将请求转发给具体的实现类来做。根据实现反馈的结果再调用具体的Handler来给用户以反馈。这个类基本等同于shiro的SecurityManager。

AuthenticationProvider, 认证的具体实现类,一个provider是一种认证方式的实现,比如提交的用户名密码我是通过和DB中查出的user记录做比对实现的,那就有一个DaoProvider;如果我是通过CAS请求单点登录系统实现,那就有一个CASProvider。这个是不是和shiro的Realm的定义很像?基本上你可以帮他们当成同一个东西。按照Spring一贯的作风,主流的认证方式它都已经提供了默认实现,比如DAO、LDAP、CAS、OAuth2等。。

UserDetailService, 用户认证通过Provider来做,所以Provider需要拿到系统已经保存的认证信息,获取用户信息的接口spring-security抽象成UserDetailService。虽然叫Service,但是我更愿意把它认为是我们系统里经常有的UserDao。

AuthenticationToken, 所有提交给AuthenticationManager的认证请求都会被封装成一个Token的实现,比如最容易理解的UsernamePasswordAuthenticationToken。这个就不多讲了,连名字都跟Shiro中一样。

SecurityContext,当用户通过认证之后,就会为这个用户生成一个唯一的SecurityContext,里面包含用户的认证信息Authentication。通过SecurityContext我们可以获取到用户的标识Principle和授权信息GrantedAuthrity。在系统的任何地方只要通过SecurityHolder.getSecruityContext()就可以获取到SecurityContext。在Shiro中通过SecurityUtils.getSubject()到达同样的目的。

##Spring Security Filter

Spring Security 的底层是通过一系列的 Filter 来管理的,每个 Filter 都有其自身的功能,而且各个 Filter 在功能上还有关联关系,所以它们的顺序也是非常重要的。

Filter 顺序
1.Spring Security 已经定义了一些 Filter,不管实际应用中你用到了哪些,它们应当保持如下顺序。

2.ChannelProcessingFilter,如果你访问的 channel 错了,那首先就会在 channel 之间进行跳转,如 http 变为 https。

3.SecurityContextPersistenceFilter,这样的话在一开始进行 request 的时候就可以在 SecurityContextHolder 中建立一个 SecurityContext,然后在请求结束的时候,任何对 SecurityContext 的改变都可以被 copy 到 HttpSession。

4.ConcurrentSessionFilter,因为它需要使用 SecurityContextHolder 的功能,而且更新对应 session 的最后更新时间,以及通过 SessionRegistry 获取当前的 SessionInformation 以检查当前的 session 是否已经过期,过期则会调用 LogoutHandler。

认证处理机制,如 UsernamePasswordAuthenticationFilter,CasAuthenticationFilter,BasicAuthenticationFilter 等,以至于 SecurityContextHolder 可以被更新为包含一个有效的 Authentication 请求。

5.SecurityContextHolderAwareRequestFilter,它将会把 HttpServletRequest 封装成一个继承自 HttpServletRequestWrapper 的 SecurityContextHolderAwareRequestWrapper,同时使用 SecurityContext 实现了 HttpServletRequest 中与安全相关的方法。

6.JaasApiIntegrationFilter,如果 SecurityContextHolder 中拥有的 Authentication 是一个 JaasAuthenticationToken,那么该 Filter 将使用包含在 JaasAuthenticationToken 中的 Subject 继续执行 FilterChain。

7.RememberMeAuthenticationFilter,如果之前的认证处理机制没有更新 SecurityContextHolder,并且用户请求包含了一个 Remember-Me 对应的 cookie,那么一个对应的 Authentication 将会设给 SecurityContextHolder。

8.AnonymousAuthenticationFilter,如果之前的认证机制都没有更新 SecurityContextHolder 拥有的 Authentication,那么一个 AnonymousAuthenticationToken 将会设给 SecurityContextHolder。

9.ExceptionTransactionFilter,用于处理在 FilterChain 范围内抛出的 AccessDeniedException 和 AuthenticationException,并把它们转换为对应的 Http 错误码返回或者对应的页面。

10.FilterSecurityInterceptor,保护 Web URI,并且在访问被拒绝时抛出异常。

  • 以下是Spring Security 大致的认证流程:
    认证流程

##Jwt 认证流程

看了以上的知识我们要做的无非就是定义一个Filter用于过滤需要认证的请求,

最低0.47元/天 解锁文章
飞阁流云
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微服务常用组件封装项目过程详细介绍总述(七)---基于springboot的自定义security starter组件开发
weixin_47407416的博客
12-16 781
spring-security-oauth2进行springboot starter组件封,同时集成spring-security-oauth2,justauth-spring-boot-starter,,对spring-security进行简单扩充,自定义处理各种handle,但不涉及具体的认证,具体认证后续会有一个认证服务专门去处理认证跟三方登录问题
springboot-jwt-starter:用于无状态和基于令牌的身份验证应用程序的Spring Boot JWT入门工具
01-29
_ _ _ _ _ _ _ ___ _ __ _ __(_)_ __ __ _| |__ ___ ___ | |_ (_)_ _| |_ ___| |_ __ _ _ __| |_ ___ _ __ / __| '_ \| '__| | '_ \ / _` | '_ \ / _ \ / _ \| __| | \ \ /\ / / __| / __| __/ _` | '__| __/ _ \ '__| \__ \ |_) | | | | | | | (_| | |_) | (_) | (_) | |_ | |\ V V /| |_ \__ \ || (_| | | | || __/ | |___/ .__/|_| |_|_| |_|\__, |_.__/ \___/ \___/ \__| _/ | \_/\_/ \__| |___/\__\__,_|_| \__\___|_| |_|
SpringSecurity启动器
热门推荐
钟健的博客
03-22 6万+
Spring Security 启动器 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 编写 SpringSecurityConfig 安全配置类 SpringSecurityConfig 安全控制配置类作为安全控制中心, 用
通过OncePerRequestFilter实现JWT登录认证功能
最新发布
weixin_67727883的博客
05-29 883
通过OncePerRequestFilter实现JWT登录认证功能
(五)Spring Securityspring-boot-starter-security)应用详解
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
01-29 5069
前提:在看完这两篇文章的基础上再进行本篇文章的开发 (三)Spring Security 应用详解 (四)spring-boot-starter-security 工作原理 连接数据库认证 前边的例子我们是将用户信息存储在内存中,实际项目中用户信息存储在数据库中,本节实现从数据库读取用户信息。根据前边对认证流程研究,只需要重新定义UserDetailService即可实现根据用户账号查询数据库。 创建数据库 我这里MySQL版本是5.7.31 创建user_db数据库 CREATE DATABASE `us
1、Spring Security初体验
tqq的博客
07-25 112
Spring Security初体验 1、创建项目,导入依赖 只要导入了spring-boot-starter-security这个依赖,那么项目中所有的接口都被保护起来了 例如: 随便创建一个接口,启动项目 在浏览器中输入地址,就会提示要进行登录, 用户名默认是user,密码在启动项目的时候,会在控制台中被打印出来登录后就能正常的访问我们所创建的接口 以后再访问这个接口也不用再登录了 致谢 江南一点雨 ...
(三)Spring Securityspring-boot-starter-security)应用详解
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
01-28 2306
如何通过Spring Boot开发Spring Security应用,Spring Boot提供spring-boot-starter-security用于开发Spring Security应用。 创建maven工程 创建maven工程 security-spring-boot,工程结构如下: 引入以下依赖: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0"
springsecurity介绍和入门案例
m0_51523819的博客
10-28 1315
springsecurity入门及其案例
SpringBoot中的Security简单入门实现
jingjiaohuan的博客
11-01 1604
以上是10月31日对29日的Security学习进行日常总结。
(九)Spring Securityspring-cloud-starter-oauth2)应用详解------JWT令牌------数据库存储
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
01-31 793
前提:在看完这两篇文章的基础上再进行本篇文章的开发 (七)Spring Securityspring-cloud-starter-oauth2)应用详解 (八)Spring Securityspring-cloud-starter-oauth2)应用详解 通过上边的测试我们发现,当资源服务和授权服务不在一起时,资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能 。 解决上边问题: 令牌采用JWT格式即可解决上边的问题,用户认证通过会得
Springboot安全管理
weixin_67691477的博客
05-08 1568
Actuator Security用于对项目的一些运行环境提供安全监控,例如Health健康信息、Info运行信息等,它主要作为系统指标供运维人员查看管理系统的运行情况。WebFlux SecuritySpring Boot整合Spring WebFlux框架搭建的Web应用的安全管理。MVC SecuritySpring Boot整合Spring MVC框架搭建的Web应用的安全管理。Spring Security是基于Spring生态圈的,用于提供安全访问控制解决方案的框架。
(七)Spring Securityspring-cloud-starter-oauth2)应用详解------认证授权服务------授权码模式和密码模式
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
01-30 5361
OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过于复杂,2.0版本已得到广泛应
Spring Boot 框架学习笔记(五)( SpringSecurity安全框架 )
qq_47267252的博客
06-13 1009
Spring Boot 框架学习笔记(五) SpringSecurity安全框架 新建项目
SpringSecurity源码学习(一)
仔哥学编程
12-09 417
记录笔者学习SpringSecurity的全过程
spring-cloud-starter-securityspring-cloud-starter-oauth2
qq_30359369的博客
12-02 2万+
之前学过spring-security,最近又在学习spring-cloud-starter-securityspring-cloud-starter-oauth2, 脑子里顿时冒出一个问题: 之前学的spring-security和最近学的spring-cloud-starter-security有什么关系, spring-cloud-starter-securityspring-clou......
(四)spring-boot-starter-security 工作原理
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
01-28 1924
Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。根据前边知识的学习,可以通过Filter或AOP等技术来实现,Spring Security 对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。 当初始化Spring Security时,会创建一个名为 SpringSecurityFilterChain 的Servlet过滤器,类型为or
使用Spring Security实现登陆以及权限认证
L_GRAND_ORDER的博客
07-24 1195
使用Spring Security实现登陆以及权限认证 使用之前的准备 先写一些静态页面 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ME7TCAxY-1595599555791)(C:\Users\lenovo\AppData\Roaming\Typora\typora-user-images\image-20200724205656939.png)] 1、使用SpringSecurity之前先导入相关依赖 <dependency> <groupI
Spring Security工作原理和认证流程
yx444535180的专栏
08-25 1315
一、工作原理 Spring Security所解决的问题是安全访问控制,而安全访问控制功能就是对所有访问系统的请求进行拦截,校验每个请求是否能访问它所期望的资源。一般可以通过Filter和AOP来实现,Spring Security对web资源的保护是通过Filter来实现的,所以从Filter来入手学习Spring Security的原理。 当初始化Spring Security的时候,会创建SpringSecurityFilterChain的过滤器,类型为org.springframework.secu
JWT的介绍与使用
weixin_45526725的博客
06-01 462
一、什么是jwt ​ 来自官方的回答: ​ JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自含的方式,用于在各方之间作为 JSON 对象安全地传输信息。该信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 ​ 虽然 JWT 可以加密以在各方之间提供保密,但我们将重点关注签名令牌。签名令牌可以验证其中含的声明的完整性,而加密令牌则对其他方隐藏这些声明。当使用公钥/
springboot整合springsecurity jwt
03-16
Spring Boot可以很方便地整合Spring SecurityJWT(JSON Web Token)。 首先,需要在pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 然后,需要创建一个Security配置类,用于配置Spring SecurityJWT: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Autowired private JwtRequestFilter jwtRequestFilter; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { // 配置用户认证方式 } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Override protected void configure(HttpSecurity httpSecurity) throws Exception { httpSecurity.csrf().disable() .authorizeRequests().antMatchers("/authenticate").permitAll(). anyRequest().authenticated().and(). exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and().sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); httpSecurity.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 在上面的配置类中,需要注入JwtAuthenticationEntryPoint和JwtRequestFilter两个类。其中,JwtAuthenticationEntryPoint用于处理未经授权的请求,JwtRequestFilter用于验证JWT并将用户信息添加到Spring Security上下文中。 接下来,需要创建一个JwtTokenUtil类,用于生成和验证JWT: ```java @Component public class JwtTokenUtil { private static final String SECRET_KEY = "secret"; public String generateToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); return Jwts.builder().setClaims(claims).setSubject(userDetails.getUsername()) .setIssuedAt(new Date(System.currentTimeMillis())) .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10)) .signWith(SignatureAlgorithm.HS512, SECRET_KEY).compact(); } public boolean validateToken(String token, UserDetails userDetails) { final String username = getUsernameFromToken(token); return (username.equals(userDetails.getUsername()) && !isTokenExpired(token)); } private boolean isTokenExpired(String token) { final Date expiration = getExpirationDateFromToken(token); return expiration.before(new Date()); } private Date getExpirationDateFromToken(String token) { return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getExpiration(); } private String getUsernameFromToken(String token) { return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getSubject(); } } ``` 在上面的类中,需要设置一个密钥,用于生成和验证JWT。generateToken方法用于生成JWT,validateToken方法用于验证JWT是否有效。 最后,需要创建一个JwtAuthenticationEntryPoint类和一个JwtRequestFilter类。JwtAuthenticationEntryPoint类用于处理未经授权的请求,JwtRequestFilter类用于验证JWT并将用户信息添加到Spring Security上下文中。 以上就是整合Spring SecurityJWT的基本步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值