快速上手spring security的三篇文章三:JWT访问授权代码实现

最新推荐文章于 2024-08-05 19:09:24 发布
最新推荐文章于 2024-08-05 19:09:24 发布
阅读量416 收藏
点赞数 2
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41498815/article/details/115241767
版权

本篇博文主要是对请求授权操作代码实现,代码是基于上篇博文Springboot整合Spring Security 做JWT登录认证代码实现来实现的,大家可以先看上一篇登录认证再来看这篇可能会好理解一点。

访问授权流程

spring security访问授权主要流程图:
在这里插入图片描述

根据流程图所示,我们要实现的功能代码包含如下几部分:

  • 有效授权认证信息类(Authentication)
  • 请求拦截过滤器(Filter)
  • 授权校验实现类(Provider)
  • 授权成功处理器(SuccessHandler)
  • 授权失败处理器(FailHandler)
  • 授权校验配置类(Configure)
有效授权认证类代码实现

此功能代码主要是用于传输用户请求授权携带的认证信息。

public class JwtAuthenticationToken extends AbstractAuthenticationToken {

    private static final long serialVersionUID = 3981518947978158945L;

    private UserDetails principal;
    
    private String credentials;
    
    private DecodedJWT token;

    public JwtAuthenticationToken(DecodedJWT token) {
        super(Collections.emptyList());
        this.token = token;
    }

    public JwtAuthenticationToken(UserDetails principal, DecodedJWT token, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        this.token = token;
    }

    @Override
    public void setDetails(Object details) {
        super.setDetails(details);
        this.setAuthenticated(true);
    }

    @Override
    public Object getCredentials() {
        return credentials;
    }

    @Override
    public Object getPrincipal() {
        return principal;
    }

    public DecodedJWT getToken() {
        return token;
    }
}
访问请求过滤器代码实现

过滤器主要实现功能如下:
(1)获取到请求携带的认证信息
(2)将认证信息交给相应的认证类进行认证
(3)根据认证结果指定相应的处理类处理

public class JwtAuthenticationFilter extends OncePerRequestFilter {

    private RequestMatcher authenticationRequestMatcher;
    private List<RequestMatcher> permissiveRequestMatchers;
    private AuthenticationManager authenticationManager;

    private AuthenticationSuccessHandler successHandler = new SavedRequestAwareAuthenticationSuccessHandler();
    private AuthenticationFailureHandler failureHandler = new SimpleUrlAuthenticationFailureHandler();

    //指定请求规则
    public JwtAuthenticationFilter() {
        this.authenticationRequestMatcher = new RequestHeaderRequestMatcher("Authorization");
    }

    @Override
    public void afterPropertiesSet() throws ServletException {
        Assert.notNull(authenticationManager, "authenticationManager must be specified");
        Assert.notNull(successHandler, "AuthenticationSuccessHandler must be specified");
        Assert.notNull(failureHandler, "AuthenticationFailureHandler must be specified");
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //判断请求头是否携带token
        if (!authenticationRequestMatcher.matches(request)) {
            filterChain.doFilter(request, response);
            return;
        }
        Authentication authResult = null;
        AuthenticationException failed = null;
        try {
            String jwtToken = StringUtils.removeStart(request.getHeader("Authorization"), "Bearer ");
            if (StringUtils.isNotBlank(jwtToken)) {
                //将请求携带的认证信息封装成我们用于授权的认证对象
                JwtAuthenticationToken authenticationToken = new JwtAuthenticationToken(JWT.decode(jwtToken));
                //认证信息校验开始
                authResult = this.authenticationManager.authenticate(authenticationToken);
            } else {
                failed = new InsufficientAuthenticationException("token 不能为空");
            }
        } catch (JWTDecodeException e) {
            logger.error("jwt format error", e);
            failed = new InsufficientAuthenticationException("jwt format error", failed);
        } catch (InternalAuthenticationServiceException e) {
            logger.error(
                    "An internal error occurred while trying to authenticate the user.",
                    failed);
            failed = e;
        } catch (AuthenticationException e) {
            // Authentication failed
            failed = e;
        }
        if (authResult != null) {

            successfulAuthentication(request, response, filterChain, authResult);
        } else if (!permissiveRequest(request)) {
            unsuccessfulAuthentication(request, response, failed);
            return;
        }

        filterChain.doFilter(request, response);

    }

    /**
     * 校验成功处理
     *
     * @param request
     * @param response
     * @param chain
     * @param authResult
     * @throws IOException
     * @throws ServletException
     */
    protected void successfulAuthentication(HttpServletRequest request,
                                            HttpServletResponse response, FilterChain chain, Authentication authResult)
            throws IOException, ServletException {
        SecurityContextHolder.getContext().setAuthentication(authResult);
        successHandler.onAuthenticationSuccess(request, response, authResult);
    }

    /**
     * 校验失败处理
     * 
     * @param request
     * @param response
     * @param failed
     * @throws IOException
     * @throws ServletException
     */
    protected void unsuccessfulAuthentication(HttpServletRequest request,
                                              HttpServletResponse response, AuthenticationException failed)
            throws IOException, ServletException {
        SecurityContextHolder.clearContext();
        failureHandler.onAuthenticationFailure(request, response, failed);
    }

    /**
     * 授权失败,判断请求是否需要处理
     * 
     * @param request
     * @return
     */
    protected boolean permissiveRequest(HttpServletRequest request) {
        if (permissiveRequestMatchers == null) {
            return false;
        }
        for (RequestMatcher permissiveMatcher : permissiveRequestMatchers) {
            if (permissiveMatcher.matches(request)) {
                return true;
            }
        }
        return false;
    }

    /**
     * 设置指定请求,如果请求授权失败也不影响该请求进行
     *
     * @param urls
     * @return
     */
    public void setPermissiveRequestMatchers(String... urls) {
        if (permissiveRequestMatchers == null) {
            permissiveRequestMatchers = new ArrayList<>();
        }
        for (String url : urls) {
            permissiveRequestMatchers.add(new AntPathRequestMatcher(url));
        }
    }

    public void setAuthenticationManager(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }

    public void setSuccessHandler(AuthenticationSuccessHandler successHandler) {
        this.successHandler = successHandler;
    }

    public void setFailureHandler(AuthenticationFailureHandler failureHandler) {
        this.failureHandler = failureHandler;
    }
}
授权校验实现类代码实现
用户信息处理类(UserDetailsService实现类)

代码功能实现了基于auth0用户token的封装,用户登出逻辑处理。


@Component
public class SelfUserService implements UserDetailsService {

    @Autowired
    RedisTemplate<Object, Object> redisTemplate;

    //token有效期,设为半个钟
    public static final int EXPIRE_TIME = 1800000;

    @Autowired
    UserMapper userMapper;

    /**
     * 根据用户名获取用户信息
     *
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userMapper.selectByName(username);
        if (user == null) {
            throw new UsernameNotFoundException("用户名不存在");
        }
        return org.springframework.security.core.userdetails.User.builder().username(username).password(user.getPassword()).roles("USER").build();
    }

    /**
     * 将用户信息封装成用户认证jwt
     *
     * @param username
     * @return
     */
    public String getUserToken(String username) {
        Date expireTime = new Date(System.currentTimeMillis() + EXPIRE_TIME);
        String salt = getSalt(username);
        String token = JWT.create().withSubject(username)
                .withIssuedAt(new Date())
                .withExpiresAt(expireTime)
                .sign(Algorithm.HMAC256(salt));
        return token;
    }

    /**
     * 获取加密算法密钥
     * 
     * @param username
     * @return
     */
    public String getSalt(String username){
        //先从Redis中获取
        String key = "salt" + username;
        Object saltObj = redisTemplate.opsForValue().get(key);
        String salt = "";
        //如果Redis获取密钥失败,从数据库中获取
        if(saltObj == null){
            User user = userMapper.selectByName(username);
            salt = user.getSalt();
        }else {
            salt = String.valueOf(saltObj);
        }
        //如果库里也没,重新生成密钥并将密钥更新至数据库和Redis中
        if(StringUtils.isBlank(salt)){
            salt = StringRandomUtil.generateString(15);
            userMapper.refreshSalt(username,salt);
            redisTemplate.opsForValue().set(key,salt);
        }
        return salt;
    }

    public void createUser(String username, String password) {
        String encryptPwd = SelfPasswordEncod.encode(password);
        /**
         * @todo 保存用户名和加密后密码到数据库
         */
    }

    /**
     * 账户退出,更新用户加密密钥
     * 
     * @param username
     */
    public void deleteUserLoginInfo(String username) {
        String key = "salt" + username;
        String salt = StringRandomUtil.generateString(15);
        userMapper.refreshSalt(username,salt);
        redisTemplate.opsForValue().set(key,salt);
    }
}
授权校验实现类(AuthenticationProvider实现类)
@Component
public class JwtAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    private SelfUserService selfUserService;

    /**
     * 认证主方法
     *
     * @param authentication
     * @return
     * @throws AuthenticationException
     */
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        DecodedJWT jwt = ((JwtAuthenticationToken)authentication).getToken();
        if(jwt.getExpiresAt().before(Calendar.getInstance().getTime())){
            throw new NonceExpiredException("Token expires");
        }
        String username = jwt.getSubject();
        UserDetails user = selfUserService.loadUserByUsername(username);
        if(user == null || user.getPassword()==null){
            throw new NonceExpiredException("Token expires");
        }
        //根据用户获取用户token加密密钥
        String encryptSalt = selfUserService.getSalt(username);
        try {
            //校验用户信息,这里只是简单代码展示只校验参数用户名
            Algorithm algorithm = Algorithm.HMAC256(encryptSalt);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withSubject(username)
                    .build();
            verifier.verify(jwt.getToken());
        } catch (Exception e) {
            throw new BadCredentialsException("JWT token verify fail", e);
        }
        JwtAuthenticationToken token = new JwtAuthenticationToken(user, jwt, user.getAuthorities());
        return token;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return authentication.isAssignableFrom(JwtAuthenticationToken.class);
    }
}
授权成功处理类(AuthenticationSuccessHandler实现类)

授权成功,指定token刷新时间,判断token是否需要刷新,如果需要生成新的token传回前端。因为我们token设置的有效时长为半个钟,如果在这半个钟中用户有对系统请求访问,在一定时间内,我们需要更新其token。

@Component
public class JwtRefreshTokenHandler implements AuthenticationSuccessHandler {

    //刷新间隔5分钟
    private static final int tokenRefreshInterval = 300;

    @Autowired
    private SelfUserService jwtUserService;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        DecodedJWT jwt = ((JwtAuthenticationToken)authentication).getToken();
        boolean shouldRefresh = shouldTokenRefresh(jwt.getIssuedAt());
        if(shouldRefresh) {
            String newToken = jwtUserService.getUserToken(((UserDetails)authentication.getPrincipal()).getUsername());
            response.setHeader("Authorization", newToken);
        }
    }
    protected boolean shouldTokenRefresh(Date issueAt){
        LocalDateTime issueTime = LocalDateTime.ofInstant(issueAt.toInstant(), ZoneId.systemDefault());
        return LocalDateTime.now().minusSeconds(tokenRefreshInterval).isAfter(issueTime);
    }
}
授权校验配置类代码实现

JwtAuthenticationConfigure授权校验配置类:


@Component
public class JwtAuthenticationConfigure<T extends JwtAuthenticationConfigure<T,B>,B extends HttpSecurityBuilder<B>> extends AbstractHttpConfigurer<T,B> {

    private JwtAuthenticationFilter authFilter;

    public JwtAuthenticationConfigure() {
        this.authFilter = new JwtAuthenticationFilter();
    }

    @Override
    public void configure(B http) throws Exception {
        authFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
        authFilter.setFailureHandler(new LoginFailureHandler());

        JwtAuthenticationFilter filter =postProcess(authFilter);
        http.addFilterBefore(filter, LogoutFilter.class);
    }


    public JwtAuthenticationConfigure<T, B> permissiveRequestUrls(String ... urls){
        authFilter.setPermissiveRequestMatchers(urls);
        return this;
    }

    public JwtAuthenticationConfigure<T, B> tokenValidSuccessHandler(AuthenticationSuccessHandler successHandler){
        authFilter.setSuccessHandler(successHandler);
        return this;
    }

}

整合授权校验配置类至web security配置中:


@Configuration
public class WebSecurityConfigure extends WebSecurityConfigurerAdapter {

    @Autowired
    private JsonLoginSuccessHandler jsonLoginSuccessHandler;

    @Autowired
    private JwtRefreshTokenHandler refreshTokenHandler;

    @Autowired
    private JwtAuthenticationProvider jwtAuthenticationProvider;

    @Autowired
    private UsernamePasswordAuthenticationProvider usernamePasswordAuthenticationProvider;

    @Autowired
    private TokenClearLogoutHandler tokenClearLogoutHandler;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/image/**").permitAll()
                .antMatchers("/record/**").hasRole("USER")
                .and()
            .csrf().disable()
            .formLogin().disable()//禁用表单登录
            .cors()
            .and()
            .apply(new LoginConfigure<>()).loginSuccessHandler(jsonLoginSuccessHandler)
            .and()
            .apply(new JwtAuthenticationConfigure<>()).tokenValidSuccessHandler(refreshTokenHandler).permissiveRequestUrls("/logout")
            .and()
            .logout()
            //设置登出处理器,登出操作更新用户密钥
                .addLogoutHandler(tokenClearLogoutHandler)
                .logoutSuccessHandler(new HttpStatusReturningLogoutSuccessHandler())
            .and()
            .sessionManagement().disable();//禁用session
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(usernamePasswordAuthenticationProvider)
        .authenticationProvider(jwtAuthenticationProvider);
    }

}
postman 测试
登录

在这里插入图片描述

请求预先写好的一个接口

将登录获取的token放到请求头中,属性名为Authorization,发送请求可见请求成功。

在这里插入图片描述

登出操作后再次请求预先写好的接口,请求失败,token校验失败。登出操作我们更新了用户加密密钥,导致再次请求时,token校验失败。
在这里插入图片描述

项目地址:https://gitee.com/huangjinfa/booking.git

天天发梦的梦想哥
关注
专栏目录
SpringSecurity整合JWT
胡峻峥的博客
01-19 1104
一、前言   最近负责支付宝小程序后端项目设计,这里主要分享一下用户会话、接口鉴权的设计。参考过微信小程序后端的设计,会话需要依靠redis。相关的开发人员和我说依靠Redis并不是很靠谱,redis在业务高峰期不稳定,容易出现问题,总会出现用户会话丢失、超时的问题。之前听过JWT相关的设计,决定尝试一下。 二、什么是JWT   JSON Web TokenJWT)是一个开放标准(RFC ...
SpringSecurity框架教程-Spring Security+JWT实现项目级前端分离认证授权
m0_45209551的博客
05-10 994
SpringSecurity框架使用到讲解
SpringSecurityJWT整合
热门推荐
BLU_111的博客
12-06 18万+
SpringSecurityJWT整合 数据库基于:SpringSecurity从数据库中获取用户信息进行验证 依赖: <dependencies> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <ver
SpringSecurity + JWT实战(前后端分离)
最新发布
As_Yua的博客
08-05 1838
先来聊一聊什么是SpringSecurity ,在上一篇文章中已经聊过了,大家可以去看看接下来我们聊聊什么是JWTJson web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且的,特别适用于。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
SpringSecurity整合jwt
qq_51705526的博客
05-02 7326
前言: 准备把权限管理写到自己的jee项目中, 索性想到了SpringSecurity框架, 就来学一下! 认证 登录校验流程 token可以存在localstoryge springsecurity完整流程 就是一个过滤链 UsernamePasswordAuthenticationFilter:(认证)处理登录页面填写了用户名和密码之后的登录请求ExcpetionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationEx
springsecurity-jwt整合
weixin_44846436的博客
03-27 1042
方法,设置到其中。3、认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。2)创建我们自己的决策管理器AccessDecisionManager,实现decide方法,判断步骤1)中获取到的角色和我们目前登录的角色是否相同,相同则允许访问,不相同则不允许访问,123456 //这里是密钥,只要够复杂,一般不会被破解。
SpringSecurity 整合 JWT
niceyoo的博客
06-02 1万+
项目集成Spring Security(一) 在上一篇基础上继续集成 JWT实现用户身份验证。 前言 前后端分离项目中,如果直接把 API 接口对外开放,我们知道这样风险是很大的,所以在上一篇中我们引入了 Spring Security ,但是我们在登陆后缺少了请求凭证部分。 什么是JWT? JWT是 Json Web Token 的缩写。它是基于 RFC 7519 标准定义的一种可以安全...
spring-security-jwt-guide:从零入门 !Spring Security With JWT(含权限验证)后端部分代码
04-30
spring-security-jwt-guide 如果国内访问缓慢的话,可以通过码云查看: 。 前言 是 Spring 全家桶中非常强大的一个用来做身份验证以及权限控制的框架,我们可以轻松地扩展它来满足我们当前系统安全性这方面的需求。...
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
04-11
通过这个项目,开发者不仅可以了解如何在Spring Boot应用中引入Spring Security,还能掌握JWT的使用和实现过程,这对于构建安全的RESTful服务非常有帮助。同时,提供的源代码和文档可以帮助开发者快速上手,并根据...
Spring Security+JWT简述
m0_67266585的博客
09-08 2178
Spring SecuritySpring家族的一个安全管理框架, 相比于另一个安全框架Shiro, 它具有更丰富的功能。一般中大型项目都是使用SpringSecurity做安全框架, 而Shiro上手比较简单spring security 的核心功能:认证(你是谁): 只有你的用户名或密码正确才能访问某些资源授权(你能干嘛): 当前用户具有哪些功能, 将资源进行划分, 如在公司中分为普通资料和高级资料, 只有经理用户以上才能访文高级资料, 其他人只能拥有访问普通资料的权限。
SpringBoot+Spring Security+JWT更草堂)
Roc的博客
09-12 7845
SpringsecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
SpringBoot 整合Spring Security(二)JWT Token认证 及认证思路分析
Lyndon的专栏
08-04 1291
单点登录相关
springSecurity整合JWT
weixin_44044929的博客
07-25 1316
JWT的原理,手写JWTSpringSecurity整合JWT
SpringSecurity——整合JWT
qq_41297145的博客
12-30 2460
在第4步中,通过增加JwtFilter过滤器来验证身份,允许前端通过携带正确且未过期的JwtToken进行身份验证,验证时需要同样需要通过LoadUserByUsername方法获取UserDetails对象(Principal对象),然后创建一个UsernamePasswordAuthenticationToken对象给SecurityContextHolder验证,如果和步骤2中写入的authentication一致,即验证成功,正确获取到用户权限。自定义JwtFilter拦截器,
Spring Security(7) jwt整合
愤怒的菜鸟博客
03-28 2128
jwt 基本介绍 jwt 全称是jsonWebToken, 简单的说就是一种能够携带信息的token。 在传统的web环境中,浏览器和后端通过记录在浏览器的cookie 和存储在服务端的session 来实现登录状态,而cookie session的方式在多分布式环境下可能带来session复制,跨域访问,单点登录等问题; 直接使用后端生成token的方式,服务端也需要存储生成的token信息,因为token是无意义的。而使用jwt ,能够携带一些必要得信息比如用户id 和用户名称等; 后端就不需要对生成的
springsecurityjwt
08-31
Spring SecuritySpring家族中的一个安全管理框架,相比于另外一个安全框架Shiro,它提供了更丰富的功能,并且拥有更丰富的社区资源。 一般来说,中大型的项目会选择使用Spring Security作为安全框架,而小项目则更多地使用Shiro,因为相比于Spring Security,Shiro的上手更简单一些。 由于Spring Security会保护项目的资源,如果想要实现跨域访问,需要配置Spring Security来支持跨域访问。在配置中,可以关闭csrf保护、配置Session的创建策略为STATELESS(不通过Session获取SecurityContext)、设置允许匿名访问的接口以及其他需要鉴权认证的请求。同时,还可以添加过滤器来处理认证和权限校验,并配置异常处理器来处理认证失败和访问被拒绝的情况。 总之,Spring Security是一个功能丰富的安全管理框架,可以用于中大型项目的安全管理,而Shiro则更适合小项目。通过配置Spring Security,可以实现跨域访问和其他权限校验方法。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值