SpringSecurity——整合JWT

最新推荐文章于 2024-10-08 18:33:57 发布
最新推荐文章于 2024-10-08 18:33:57 发布
阅读量2.5k 收藏 4
点赞数 1
文章标签: java 前端 jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41297145/article/details/128497941
版权

目录

一、核心流程

  1. 引入依赖
  2. 创建JwtToken工具类
  3. 在SecurityConfig中配置使用successHandler自定义含JwtToken的响应数据
  4. 在SecurityConfig中使用addFilterBefore自定义JwtFilter过滤器

在第3步中,需要做一个登录验证成功时的拦截,拦截后生成JwtToken然后写入到响应内容里面,这样前端就能接收到通过/login请求获取到的JwtToken数据。于此同时,也需要将拦截时获取到的authentication写入到SecurityContextHolder中,为下次前端通过JwtToken验证做准备。

在第4步中,通过增加JwtFilter过滤器来验证身份,允许前端通过携带正确且未过期的JwtToken进行身份验证,验证时需要同样需要通过LoadUserByUsername方法获取UserDetails对象(Principal对象),然后创建一个UsernamePasswordAuthenticationToken对象给SecurityContextHolder验证,如果和步骤2中写入的authentication一致,即验证成功,正确获取到用户权限。

二、代码实现

2.1 引入依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>4.0.0</version>
</dependency>

2.2 创建JwtToken工具类

JwtToken工具类的核心功能包括创建token和验证token

package com.example.demo.utils.jwt;

/**
 * @Author : HuangJiajian
 * @create 2022/9/28 10:29
 */
public class JwtUtils {
    private static final String secret = "test123456";

    /**
     * @Author HJJ
     * @Date 2022-12-28 16:59
     * @Params  userId,userName
     * @Return token
     * @Description 创建Token,默认时间为7天
     */
    public static String createToken(String userName, String authentications){
        long expire = 7 * 24 * 3600 * 1000;
        return JWT.create().withAudience(userName)
                .withIssuedAt(new Date())
                .withExpiresAt(new Date(System.currentTimeMillis()+ expire))
                .withClaim("authentications", authentications)
                .sign(Algorithm.HMAC256(userName+secret));
    }

    /**
     * @Author HJJ
     * @Date 2022-12-28 16:59
     * @Params token, userName
     * @Return boolean
     * @Description 验证Token,过期或不正确时会返回false
     */
    public static boolean verifyToken(String token, String userName){
        DecodedJWT jwt = null;
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(userName+secret)).build();
            jwt = verifier.verify(token);
            return true;
        } catch (Exception e) {
            System.out.println(e);
        }
        return false;
    }
}

3.3 配置successHandler

在SecurityConfig文件中配置登录验证成功时的拦截器,详细配置可见另一篇文章

package com.example.demo.config.security;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
        // 登录
        httpSecurity.formLogin()
                .loginProcessingUrl("/login")
                .loginPage("/login.html")
                .successHandler(new AuthenticationSuccessConfig())
                .failureHandler(new AuthenticationFailConfig());
    }
}

自定义AuthenticationSuccessConfig登录成功拦截,重点需要关注将authentication写入SecurityContextHolder的步骤将JwtToken写入response的步骤

package com.example.demo.config.security;

/**
 * @Author : HuangJiajian
 * @create 2022/10/20 16:24
 */
public class AuthenticationSuccessConfig implements AuthenticationSuccessHandler {
    /**
     * @Author HJJ
     * @Date 2022-12-28 17:20
     * @Params
     * @Return
     * @Description 整合JWT,在身份验证成功时,生成JwtToken并将authentication写入SpringSecurity中
     */
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        UsernamePasswordAuthenticationToken user = (UsernamePasswordAuthenticationToken) authentication;
        String token = JwtUtils.createToken(user.getName(), user.getAuthorities().toString());
        SecurityContextHolder.getContext().setAuthentication(authentication);
        response.setContentType("text/json;charset=utf-8");
        PrintWriter writer = response.getWriter();
        writer.write(JSON.toJSONString(new AjaxResult(AjaxResult.CODE.SUCCESS, "success", token)));
        writer.flush();
        writer.close();
    }
}

3.4 配置addFilterBefore

在SecurityConfig文件中配置Filter,详细配置可见另一篇文章

package com.example.demo.config.security;

@Configuration
public class SecurityConfig {

    @Autowired
    private JwtFilter jwtFilter;

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
        httpSecurity.addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

自定义JwtFilter拦截器,

package com.example.demo.config.security;

/**
 * @Author : HuangJiajian
 * @create 2022/12/29 9:14
 */
@Component
public class JwtFilter extends OncePerRequestFilter {
    @Autowired
    private UserDetailServiceImpl userDetailsService;
    /**
     * @Author HJJ
     * @Date 2022-12-29 9:18
     * @Params
     * @Return
     * @Description 获取请求中携带的JwtToken信息,并验证其真实性
     */
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String token = "";
        String username = "";
        for (Cookie cookie : request.getCookies()) {
            if (cookie.getName().equals("username")) {
                username = cookie.getValue();
            }
            if (cookie.getName().equals("token")) {
                token = cookie.getValue();
            }
        }
        if (token.isEmpty() || username.isEmpty()){
            filterChain.doFilter(request, response);
            return;
        }
        UserDetails userDetails = userDetailsService.loadUserByUsername(username);
        if (JwtUtils.verifyToken(token, username)) {
            // 验证成功后,将authentication与在第一次登录时写入的权限做对比,如果成功即可跳过原本的验证了
            UsernamePasswordAuthenticationToken authentication = 
            		new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
            authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            SecurityContextHolder.getContext().setAuthentication(authentication);
        } else {
            System.out.println(username + "JwtToken验证失败");
        }
        filterChain.doFilter(request, response);
    }
}

以上就是SpringSecurity整合JwtToken的全过程。

参考文献

  1. Spring Security整合JWT实现前后端分离认证和权限管理(超详细)
发量堪忧的小伙子
关注
SpringSecurity整合JWT
胡峻峥的博客
01-19 1151
一、前言   最近负责支付宝小程序后端项目设计,这里主要分享一下用户会话、接口鉴权的设计。参考过微信小程序后端的设计,会话需要依靠redis。相关的开发人员和我说依靠Redis并不是很靠谱,redis在业务高峰期不稳定,容易出现问题,总会出现用户会话丢失、超时的问题。之前听过JWT相关的设计,决定尝试一下。 二、什么是JWT   JSON Web Token(JWT)是一个开放标准(RFC ...
Springcloud+ Springsecurity oauth2.0 + jwt简单实现认证
killdrsa的博客
04-09 3907
基于Springcloud+ Springsecurity oauth2.0 + jwt 实现一个认证授权手脚架 一.用户的认证与授权 什么是用户身份认证? 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认 证表现形式有:用户名密码登录,指纹打卡等方式。 什么是用户授权? 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允...
菜鸟日记——Spring Security整合JWT的代码及流程详细解析(一,securityconfig部分)(超详细)
zahuilg10的博客
01-02 1494
文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 当刚开始学习spring security整合JWT时总是无法分清楚JWT整合的具体过程,在网上找到的代码总是没有详细的注释,所以写了这样一篇文章,来记录 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pand
Spring Security 整合 JWT
最新发布
Switch
10-08 1095
*** 指定用户登录的访问地址*/@Override// 解析提交的 JSON 数据// 判断用户名、密码是否为空throw new UsernameOrPasswordNullException("用户名或密码不能为空");// 将用户名、密码封装到 Token 中此过滤器继承了 AbstractAuthenticationProcessingFilter ,用于处理 JWT(JSON Web Token)的用户身份验证过程。
SpringSecurityJWT整合
热门推荐
BLU_111的博客
12-06 18万+
SpringSecurityJWT整合 数据库基于:SpringSecurity从数据库中获取用户信息进行验证 依赖: <dependencies> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <ver
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
小威的博客
04-22 2万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
SpringSecurity整合jwt
qq_51705526的博客
05-02 7429
前言: 准备把权限管理写到自己的jee项目中, 索性想到了SpringSecurity框架, 就来学一下! 认证 登录校验流程 token可以存在localstoryge springsecurity完整流程 就是一个过滤链 UsernamePasswordAuthenticationFilter:(认证)处理登录页面填写了用户名和密码之后的登录请求ExcpetionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationEx
IDEA DataGrip连接sqlserver 提示驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接的解决方法
qq_53058639的博客
02-23 695
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
单点登录SSO解决方案之SpringSecurity+JWT实现.docx
10-26
### 单点登录SSO解决方案之SpringSecurity+JWT实现 #### 一、单点登录(SSO)概述 单点登录(Single Sign-On,简称SSO)是一种认证机制,允许用户仅通过一次登录就能访问同一域下的多个应用程序和服务。这种机制...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
02-24
本示例项目——"基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo",旨在为新手提供一个易于理解的学习平台,来掌握如何在Spring Boot应用中实现用户认证与授权。下面将详细介绍这个项目所...
Spring Security 解析(六) —— 基于JWT的单点登陆(SSO)开发及原理解析
xy5489的博客
12-31 691
单点登陆本质上就是授权码模式,所以理解起来还是很容易的,如果非要给个流程图,还是那张授权码流程图:本文介绍 基于JWT的单点登陆(SSO)开发及原理解析 开发的代码可以访问代码仓库 ,项目的github 地址 :## 零基础入门对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。![](同时每个成长路线对应的板块都有配套的视频提供:![](因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
SpringCloud微服务整合Spring Security进行统一鉴权
lyy的博客
04-15 3858
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要做这一步。
SpringSecurity 整合 JWT
niceyoo的博客
06-02 1万+
项目集成Spring Security(一) 在上一篇基础上继续集成 JWT ,实现用户身份验证。 前言 前后端分离项目中,如果直接把 API 接口对外开放,我们知道这样风险是很大的,所以在上一篇中我们引入了 Spring Security ,但是我们在登陆后缺少了请求凭证部分。 什么是JWT? JWT是 Json Web Token 的缩写。它是基于 RFC 7519 标准定义的一种可以安全...
SpringBoot 整合Spring Security(二)JWT Token认证 及认证思路分析
Lyndon的专栏
08-04 1431
单点登录相关
springSecurity整合JWT
weixin_44044929的博客
07-25 1336
JWT的原理,手写JWTSpringSecurity整合JWT
springsecurity-jwt整合
weixin_44846436的博客
03-27 1073
方法,设置到其中。3、认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。2)创建我们自己的决策管理器AccessDecisionManager,实现decide方法,判断步骤1)中获取到的角色和我们目前登录的角色是否相同,相同则允许访问,不相同则不允许访问,123456 //这里是密钥,只要够复杂,一般不会被破解。
SpringCloud微服务整合Spring Security OAuth2
lyy的博客
04-12 3284
要记得引入common后也要做必要的配置,比如nacos,相关配置可见博客:https://blog.csdn.net/qq_41076797/article/details/128509393、https://blog.csdn.net/qq_41076797/article/details/128508723;外面请求进来先通过网关进行身份认证,未登录的去登录,已登录的网关找到auth进行鉴权,通过才放行到具体的普通功能性微服务。代码会在后面给出,因为这段代码在后面的配置文件中。
SpringSecurity系列——基于SpringBoot2.7的登录接口(内有惊喜)day2-1
m0_67401270的博客
09-08 884
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值