对于《mall商城》中“mall整合SpringSecurity和JWT实现认证和授权”的理解

最新推荐文章于 2022-07-01 20:57:44 发布
最新推荐文章于 2022-07-01 20:57:44 发布
阅读量621 收藏 2
点赞数
分类专栏: java学习之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42449963/article/details/120812269
版权

SpringSecurity JWT 权限管理 登录验证 品牌列表
关键词由CSDN通过智能技术生成

目录

分析项目

mall-tiny-04

流转流程

1、访问登录接口

访问接口/admin/login来登录,由于该项目添加了SpringSecurity配置,所以我们来看下com.macro.mall.tiny.config.SecurityConfig,里面配置了对/admin/login接口是不需要认证,如下:
在这里插入图片描述

并且在com.macro.mall.tiny.controller.UmsAdminController》login方法上也没有添加@PreAuthorize,所以也不需要权限限制,既然认证授权都不需要,那就直接执行该方法即可

2、获取token返回前端

在上述的login方法中,我们可以看到以下代码:

String token = adminService.login(umsAdminLoginParam.getUsername(), umsAdminLoginParam.getPassword());

我们先来看该login方法中的第一行代码,如下:

UserDetails userDetails = userDetailsService.loadUserByUsername(username);

由于在com.macro.mall.tiny.config.SecurityConfig中重新定义了一个UserDetailsService,这就是上述userDetailsService对应的Bean

public UserDetailsService userDetailsService() {
    return new UserDetailsService() {
        @Override
        public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
            UmsAdmin admin = adminService.getAdminByUsername(username);
            if (admin != null) {
                List<UmsPermission> permissionList = adminService.getPermissionList(admin.getId());
                // 取自AuthenticationException
                return new AdminUserDetails(admin,permissionList);
            }
            // 取自AuthenticationException
            throw new UsernameNotFoundException("用户名或密码错误");
        }
    };
}

“mall作者”中是lambda表达式写法,这上面是匿名内部类写法,因此userDetailsService.loadUserByUsername(username)中调用的就是上面匿名内部类中的写法,我们来看匿名内部类中的第一行代码UmsAdmin admin = adminService.getAdminByUsername(username);,其实这行代码的作用就是根据用户名获取用户详细信息对象,当然我们还可以看getAdminByUsername()方法的具体实现,大家可能对example.createCriteria().andUsernameEqualTo(username);有所困惑,其实该代码的含义就是为sql语句拼接做准备,大家可以看一下UmsAdminMapper.xmlid=selectByExample的sql语句,其实<include refid="Example_Where_Clause" />作用就是拼接where username = "XXX",现在我们就从数据库中获取到用户详细信息了

之后根据用户id使用List<UmsPermission> permissionList = adminService.getPermissionList(admin.getId());从数据库中取出了用户的权限信息

最后通过return new AdminUserDetails(admin,permissionList);返回了用户信息和权限信息

当然AdminUserDetails实现了UserDetails,所以UserDetails userDetails = userDetailsService.loadUserByUsername(username);中才能使用UserDetails 来接收loadUserByUsername方法的返回值

我们继续回到com.macro.mall.tiny.service.impl.UmsAdminServiceImpl》login方法,现在我们已经获得了userDetails对象,里面有用户信息和权限信息,之后我们通过以下代码来验证密码是否正确,如下:

if (!passwordEncoder.matches(password, userDetails.getPassword())) {
    throw new BadCredentialsException("密码不正确");
}

之后把权限赋值给了用户,但是我感觉这个授权没啥用,毕竟直接把token返回了,权限也就在过滤器链中有效,如下:

UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
SecurityContextHolder.getContext().setAuthentication(authentication);

之后通过工具类获取了token,如下:

token = jwtTokenUtil.generateToken(userDetails);

之后com.macro.mall.tiny.controller.UmsAdminController》login方法中就把token放在了Map集合中返回给前端

3、获取品牌列表

调用/brand/listAll接口,由于SpringSecurity的存在,所以一定会经过com.macro.mall.tiny.config.SecurityConfig,里面的configure方法会拦截该请求,然后交给httpSecurity.addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);中的JwtAuthenticationTokenFilter对象处理,我们来看JwtAuthenticationTokenFilter的内部信息,里面有一个doFilterInternal方法,我们来具体看一下com.macro.mall.tiny.component.JwtAuthenticationTokenFilter》doFilterInternal方法的详细代码,如下:
第一行是String authHeader = request.getHeader(this.tokenHeader);,作用是获取header中的token,由于token以Bearer开头,所以就有了下述两条语句,如下:

if (authHeader != null && authHeader.startsWith(this.tokenHead)) {
	String authToken = authHeader.substring(this.tokenHead.length());
	……
}

之后我们从token中获取username,如下:

String username = jwtTokenUtil.getUserNameFromToken(authToken);

getUserNameFromToken方法是用来获取username的,如果token有误或者token过期都会导致username是null,如果username是null,那么SecurityContextHolder.getContext().getAuthentication()的值就是null,那么在访问接口的时候就会抛出AuthenticationException异常,然后根据以下代码可以知道抛出异常的时候会交给restAuthenticationEntryPoint对象,如下:

httpSecurity.exceptionHandling()
                .accessDeniedHandler(restfulAccessDeniedHandler)
                .authenticationEntryPoint(restAuthenticationEntryPoint);

大家可以看com.macro.mall.tiny.component.RestAuthenticationEntryPoint类里面的commence方法就会返回值给前端

我们可以继续回到com.macro.mall.tiny.component.JwtAuthenticationTokenFilter类,假设已经通过String username = jwtTokenUtil.getUserNameFromToken(authToken);代码取到了username,此时if (username != null && SecurityContextHolder.getContext().getAuthentication() == null)中的条件满足要求,通过UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);代码可以获取到userDetails 其中的loadUserByUsername方法调用的还是com.macro.mall.tiny.config.SecurityConfig#userDetailsService中的loadUserByUsername方法,上面已经分析过了,这里不再分析,之后又调用了if (jwtTokenUtil.validateToken(authToken, userDetails)),感觉这个调用没啥用,因为if中内容的作用是验证username是否正确和token是否过期,首先username来自于token,这肯定是一样的,另外token如果过期,那么username是null,然后就没法到这个if判断,所以我说这个判断很鸡肋,不知道你是否担心UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);获取的userDetails是null,其实不会的,因为如果无法获取到用户对象,早已经抛出了异常的,之后就是授权操作了,如果有相应的权限才可以调用相应的方法

如果用户有相应的权限值,那就可以通过@PreAuthorize("hasAuthority('pms:brand:read')")中的权限鉴定,如果无法通过权限鉴定,将会抛出AccessDeniedException异常,然后我们在com.macro.mall.tiny.config.SecurityConfig》configure中定义了如下以下处理器:

httpSecurity.exceptionHandling()
                .accessDeniedHandler(restfulAccessDeniedHandler)
                .authenticationEntryPoint(restAuthenticationEntryPoint);

本次由restfulAccessDeniedHandler对象处理该异常,你也可以看到它会将某些内容返回到前端

4、在没有登录的情况下,无法访问没有权限注解的方法

估计是SecurityContextHolder.getContext().getAuthentication()为null,在调用到方法之前被SpringSecurity发现根本没有经过认证,所以触发了AuthenticationException异常,然后就根据com.macro.mall.tiny.component.RestAuthenticationEntryPoint》commence方法中的返回结果给前端做了返回,不过这也只是猜测,但是验证结果是未登录无法访问接口

明快de玄米61
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
看完就懂-SpringSecurity+JWT 实现单点登录
永远热泪盈眶 坚持输出
05-03 1060
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统,用户只需要登录一次就可以访问所有相互信任的应用系统
解决测试失败问题:mall商城项目》mall整合SpringSecurityJWT实现认证授权(二)》改用其他有权限的帐号登录
qq_42449963的博客
10-16 416
目录原因修改办法 原因 权限值不对 修改办法 1、打开数据库的ums_admin表 2、复制id=1那一行的password,如下: 3、替换id=6那一行的password,点击√,如下: 4、将PmsBrandController类的@PreAuthorize("hasAuthority('pms:brand:read')")的brand改成product,然后重新启动项目,不要在意名称问题,我们要看的是SpringSecurity是否能够实现效果 5、在swagger登录界面,使用use
商城-Spring Security Oauth2 JWT
兴趣是最好的老师
07-05 277
1 用户认证分析 上面流程图描述了用户要操作的各个微服务,用户查看个人信息需要访问客户微服务,下单需要访 问订单微服务,秒杀抢购商品需要访问秒杀微服务。每个服务都需要认证用户的身份,身份认证成 功后,需要识别用户的角色然后授权访问对应的功能。 身份认证 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常 见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。说通俗点,就相当于校验用户 账号密码是否正确。 用户授权 用户认证通过后去访问系统的资源
mall 权限模块的学习
涛涛之海
01-26 845
文章目录mall 权限模块的学习权限管理原理知识什么是权限管理用户认证用户授权权限管理解决方案什么是粗粒度权限和细粒度权限?如何实现粗粒度和细粒度的权限管理基于url拦截的方式实现mall权限模块的功能架构图(用于Spring Security )简单的用户角色权限设计(用于shiro)实际接触到的用户和数据角色和功能角色基于Shiro URL的权限管理认证过程认证执行流程授权过程授权流程配置文件基于Spring Security URL的权限管理JWT的组成JWT实例JWT实现认证授权的原理参考文章
畅购商城七:基于SpringSecurityJWT的Oauth2.0实现
Mactavish_Cui的博客
02-24 465
系统架构 存在两大类的服务器,一种是认证服务器,负责接受令牌的申请请求以及颁发令牌,传统上还会有资源服务器携带令牌在认证服务器进行校验的过程(当然我们的采用的是公钥和私钥的校验机制) 在具体实现上,只要是依赖了oauth的微服务就会通过认证服务器进行校验,而如何进行认证则需要在认证服务器当进行相关的配置 认证服务器 认证服务器的内容如下,包含oauth与springSecurity的配置类、Controller与Service及其实现、封装的pojo: 配置 AuthorizationServer
GitHub开源项目学习 电商系统Mall (四) mall整合SpringSecurityJWT实现认证授权(一)
panjianlongWUHAN的专栏
12-20 1724
mall整合SpringSecurityJWT实现认证授权(一) https://github.com/macrozheng/mall 跳过了官方Learning较简单的Swagger-UI的实现整合Redis实现缓存功能的部分,通过整合SpringSecurityJWT实现后台用户的登录和授权功能,同时改造Swagger-UI的配置使其可以自动记住登录令牌进行发送。 项目使用框架...
整合springbootSecurityJWT实现登录认证和权限管理
rainlua的博客
01-31 881
1.组件简介 SpringSecurity SpringSecurity是一个强大的可高度定制的认证授权框架,对于Spring应用来说它是一套Web安全标准。SpringSecurity注重于为Java应用提供认证授权功能,像所有的Spring项目一样,它对自定义需求具有强大的扩展性。 JWT JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种...
第四步:整合SpringSecurityJWT实现认证授权
q392636814的博客
01-06 935
1 添加依赖 <!--SpringSecurity依赖配置--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!--Hutool Java工具包--> <dependency>
SpringBoot整合SpringSecurityJWT(十二)
BushRo
01-16 1685
文章目录JWTJWT的组成头部(Header)载荷(playload)签证(signature)JWT实现认证授权的原理SpringSecurity整合数据库表引入pom依赖application.yml配置文件添加JWT token的工具类相关方法说明:添加JwtAuthenticationTokenFilter添加SpringSecurity的配置类相关依赖及方法说明自定义的返回结果添加Ad...
shop-mall:SpringBoot(2.0.5)+MybatisPlus(3.0.7)项目骨架,支持SpringSecurity+JWT权限验证,整合Redis+MongoDB+RabbitMQ+Elasticseach,Quartz定时任务,EasyPoi的Excel导出,Swagger2接口文档,工具包LombokFastJsonHutoolJasypt
05-13
 SpringBoot(2.0.5)+MybatisPlus(3.0.7)项目骨架,支持SpringSecurity+JWT权限验证,整合Redis+MongoDB+RabbitMQ+Elasticseach,Quartz定时任务,EasyPoi的Excel导出,Swagger2接口文档,工具包Lombok/FastJson...
mall订单模块的业务学习
涛涛之海
12-14 2692
订单相关的业务学习 首先,我们先整体看一下com.macro.mall 包下面的结构,不知道大家之前有没有学习过mvc 模式或者开发过项目,感觉和自己项目的整体结构还是有些类似的,我们接下来仔细看看。 mall-admin 后台商城管理系统接口 com.macro.mall ├── bo -- 工具类及通用代码 ├── component -- 切面组件 ├── config -- 配置层 ├── controller -- 控制层 ├── dao -- (data access object 数
项目mall学习——SpringSecurity+JWT实现登录认证
TonegawaKaiji的博客
06-05 613
项目mall使用SpringSecurityJWT实现登录认证
仅需四步,整合SpringSecurity+JWT实现登录认证
macrozheng的专栏
12-11 1928
学习过我的mall项目的应该知道,mall-admin模块是使用SpringSecurity+JWT实现登录认证的,而mall-portal模块是使用的SpringSecurity基于...
Github标星25K+Star,SpringBoot实战电商项目mallSpringCloud版本啦!
macrozheng的专栏
12-02 3871
去年12月的时候,mall项目正式发布,作为Github上面最火的SpringBoot实战电商项目,累计获得了25000+Star。今年还是12月,mall项目微服务版本mall-swa...
Github开源项目详解--Mall(一)
全网粉丝10W+、全栈领域优质创作者、掘金、阿里云等社区博客专家、专注于全栈领域和毕业项目实战
07-01 5192
跟着视频学了那么多技术,有没有自己尝试过做一个开源项目呢?下面让我们一步一步分析这个最火的前后端分离项目项目地址:https://github.com/YuyanCai/mall从0开始一个开源项目是一个电商后台管理系统的前端项目,基于Vue+Element实现。主要包括商品管理、订单管理、会员管理、促销管理、运营管理、内容管理、统计报表、财务管理、权限管理、设置等功能。[外链图片转存…(img-kDx7BIEi-1656677294008)]mall项目(50k+star)是一套电商系统,使用现阶段主流
mall在Windows环境下的部署
macrozheng的专栏
05-31 2141
本文主要以图文的形式讲解mall项目所需环境在windows下的安装,主要包括IDEA、Mysql、Redis、Elasticsearch、Mongodb、RabbitM...
SpringBoot集成SpringSecurity完成权限拦截操作
热门推荐
志豪的博客
01-15 1万+
SpringBoot集成 SpringSecurityJWT 实现认证授权(一) SpringSecurity(SpringSecurity是一个强大的可高度定制的认证授权框架,对于Spring应用来说它是一套Web安全标准) JWT(JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。...
GitHub上最火的SpringCloud微服务商城系统项目,附全套教程
一入Java深似海
07-28 8244
项目介绍 mall-swarm是一套微服务商城系统,采用了 Spring Cloud Greenwich、Spring Boot 2、MyBatis、Docker、Elasticsearch等核心技术,同时提供了基于Vue的管理后台方便快速搭建系统。mall-swarm在电商业务的基础集成了注册心、配置心、监控心、网关等系统功能。 系统架构图 组织结构 mall ├── mall-common -- 工具类及通用代码模块 ├── mall-mbg -- MyBatisGenerat.
mall整合RabbitMQ实现延迟消息
macrozheng的专栏
05-24 582
本文主要讲解mall整合RabbitMQ实现延迟消息的过程,以发送延迟消息取消超时订单为例。项目使用框架介绍RabbitMQRabbitMQ是一个被广泛使用的开源消息队列...
springSecurity整合Jwt实现登录认证
最新发布
06-09
好的,这是一个很常见的问题。首先,你需要在Spring Boot项目添加依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 然后,你需要创建一个`JwtTokenFilter`类,用于在每个请求验证JWT令牌: ```java public class JwtTokenFilter extends OncePerRequestFilter { private final JwtTokenProvider tokenProvider; public JwtTokenFilter(JwtTokenProvider tokenProvider) { this.tokenProvider = tokenProvider; } @Override protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException { String token = tokenProvider.resolveToken(httpServletRequest); try { if (token != null && tokenProvider.validateToken(token)) { Authentication auth = tokenProvider.getAuthentication(token); SecurityContextHolder.getContext().setAuthentication(auth); } } catch (JwtException e) { SecurityContextHolder.clearContext(); httpServletResponse.sendError(HttpStatus.BAD_REQUEST.value(), e.getMessage()); return; } filterChain.doFilter(httpServletRequest, httpServletResponse); } } ``` 接下来,你需要创建一个`JwtTokenProvider`类,用于创建和验证JWT令牌: ```java @Component public class JwtTokenProvider { private static final String SECRET_KEY = "secret-key"; private static final long EXPIRATION_TIME = 864_000_000; // 10 days private final UserDetailsService userDetailsService; public JwtTokenProvider(UserDetailsService userDetailsService) { this.userDetailsService = userDetailsService; } public String createToken(Authentication authentication) { UserDetailsImpl user = (UserDetailsImpl) authentication.getPrincipal(); Date now = new Date(); Date expiryDate = new Date(now.getTime() + EXPIRATION_TIME); return Jwts.builder() .setSubject(user.getUsername()) .setIssuedAt(now) .setExpiration(expiryDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public Authentication getAuthentication(String token) { UserDetails userDetails = userDetailsService.loadUserByUsername(getUsername(token)); return new UsernamePasswordAuthenticationToken(userDetails, "", userDetails.getAuthorities()); } public String getUsername(String token) { return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getSubject(); } public boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (JwtException | IllegalArgumentException e) { throw new JwtAuthenticationException("Expired or invalid JWT token"); } } public String resolveToken(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` 最后,你需要修改`WebSecurityConfig`类,以使用JWT令牌进行身份验证: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { private final JwtTokenProvider tokenProvider; public WebSecurityConfig(JwtTokenProvider tokenProvider) { this.tokenProvider = tokenProvider; } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated() .and() .apply(new JwtConfigurer(tokenProvider)); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(12); } } ``` 以上就是整合Spring SecurityJWT进行身份验证的基本步骤。当然,具体实现还需要根据你的业务需求进行调整。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值