springBoot+springSecurity+jwt实现权限管理以及token管理

最新推荐文章于 2024-08-28 09:02:59 发布
最新推荐文章于 2024-08-28 09:02:59 发布
阅读量1.4k 收藏 10
点赞数 3
分类专栏: 后端 文章标签: spring jwt spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43226072/article/details/108210825
版权

springBoot+springSecurity+jwt实现权限管理以及token管理

前言

首先这里是关于springSecurity+jwt的一个权限管理,因为目前大多数项目都普遍会用到权限这方面的功能,所以自己也学着写写,不由自主的就会想到springSecurity或者是shiro来实现不同角色拥有不同权限,来访问相应的资源。两者各有优缺点。

优点:
1:Spring Security基于Spring开发,项目中如果使用Spring作为基础,配合Spring Security做权限更加方便,而Shiro需要和Spring进行整合开发
2:Spring Security功能比Shiro更加丰富些,例如安全防护
3:Spring Security社区资源比Shiro丰富
缺点:
1:Shiro的配置和使用比较简单,Spring Security上手复杂
2:Shiro依赖性低,不需要任何框架和容器,可以独立运行,而Spring Security依赖于Spring容器

一、项目配置

1.依赖注入

这里引入了jwt、数据源、Json、redis、jpa以及连接池的相关依赖。

 <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!--jwt-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>

        <!--mysql-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
           <version>5.1.20</version>
        </dependency>

        <!--spring-data-jpa-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-jpa</artifactId>
            <version>2.1.8.RELEASE</version>
        </dependency>

        <!--redis-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
            <version>2.1.8.RELEASE</version>
        </dependency>

        <!--fastjson-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.61</version>
        </dependency>

        <!--durid数据源-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.20</version>
        </dependency>

2.yml配置文件

spring:
  datasource:
    driver-class-name: com.mysql.jdbc.Driver
    url: jdbc:mysql://localhost/test?characterEncoding=utf-8
    type: com.alibaba.druid.pool.DruidDataSource
    password: ******
    username: root
  jpa:
    database: mysql
    show-sql: true
    hibernate:
      ddl-auto: update
  redis:
    host: localhost
    port: 6379
    password: ******
    database: 0

这里虽然配置了redis,但是项目中并没有把token与redis进行关联。

二、实体类

这里就没有整合mybatis进行数据操作,而是使用的Jpa。项目运行后自动建表和字段名。

package com.security.demo.entity;

import javax.persistence.*;

/**
 * 用户实体类
 * @author  zwj
 * @date    2020/08/19
 * @version 1.0
 */
@Entity
@Table(name = "tb_user")
public class User {

    @Id
    @GeneratedValue
    @Column(name = "id")
    private Integer id;

    @Column(name = "username")
    private String username;

    @Column(name = "password")
    private String password;

    @Column(name = "role")
    private String role;

    public Integer getId() { return id; }

    public void setId(Integer id) {
        this.id = id;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getRole() {
        return role;
    }

    public void setRole(String role) {
        this.role = role;
    }
}

三、Repository

创建UserRepository继承JpaRepository<User,Integer>类,写一个根据用户名查找用户的方法。
就不需要和之前用mybatis要去写接口、xml文件等等。这个用起来很方便。

package com.security.demo.repository;

import com.security.demo.entity.User;
import org.springframework.data.jpa.repository.JpaRepository;

/**
 * 用于查询数据库
 * @author  zwj
 * @date    2020/08/19
 * @version 1.0
 */
public interface UserRepository extends JpaRepository<User,Integer> {

        /**
         * 通过username查找user信息
         * @param username
         * @return
         */
        User findByUsername(String username);
}

四、jwt工具类

主要是对redis和jwt的操作,使用redis实现登录、登出动态管理。(redis的部分暂时没有实现)

/**
 * Token工具类
 * @author  zengwenjie
 * @date    2020/8/19 23:5
 * @version 1.0
 */
@Component
public class JwtTokenUtil {

    public static final String TOKEN_HEADER="Authorization";


    public static final String TOKEN_PREFIX="Bearer ";

    /**
     * 秘钥
     */
    public static final String SECRET="lovejly";

    public static final String ISS="MANAGER_ZWJ";

    /**
     * 过期时间是3600秒,既是1个小时
      */
    private static final long EXPIRATION = 60*60*1000;


    public static StringRedisTemplate redisTemplate;

    /**
     * 创建Token
     * @return token
     */
    public static String createToken(UserDetails userDetails){
        Map<String,Object> claims=new HashMap<>();
        Collection<? extends GrantedAuthority> authorities=userDetails.getAuthorities();
        String role="";
        for (GrantedAuthority authority:authorities){
            role=authority.getAuthority();
        }
        claims.put("role",role);
        return doGenerateToken(claims,userDetails.getUsername());
    }

    /**
     * 从数据声明生成令牌
     *
     * @param claims 数据声明
     * @return 令牌
     */
    public static String doGenerateToken(Map<String,Object> claims,String subject){
        Date expiration=new Date(System.currentTimeMillis()+EXPIRATION);
        return Jwts.builder()
                //签发时间
                .setIssuedAt(new Date())
                //签发者
                .setIssuer(ISS)
                //声明
                .setClaims(claims)
                //过期时间
                .setExpiration(expiration)
                //面向用户
                .setSubject(subject)
                .signWith(SignatureAlgorithm.HS256,SECRET)
                .compact();
    }

    /**
     * 获取用户名
     * @param token
     * @return  username
     */
    public static String getUsername(String token){
        return getTokenBody(token).getSubject();
    }

    /**
     * 获取用户角色
     * @param token
     * @return  role
     */
    public static String getRole(String token){
        return getTokenBody(token).get("role").toString();
    }

    /**
     * 解析token
     * @param token
     * @return
     */
    public static Claims getTokenBody(String token){
        return Jwts.parser()
                .setSigningKey(SECRET)
                .parseClaimsJws(token)
                .getBody();
    }

    /**
     * token是否过期
     * @param token
     * @return true or false
     */
    public static boolean isExpiration(String token){
        return getTokenBody(token).getExpiration().before(new Date());
    }

    /**
     * 刷新token
     * @param token
     * @return token
     */
    public static String refreshToken(String token){
        String refreshToken;
        try {
            Claims claims=getTokenBody(token);
            claims.put("create",new Date());
            refreshToken=doGenerateToken(claims,claims.getSubject());
        }catch (Exception e){
            refreshToken=null;
        }
        return refreshToken;
    }

    /**
     * 验证Token
     * @return true or false
     */
    public static boolean validateToken(String token,String username){
        String subject=getUsername(token);
        return (subject.equals(username)
                &&!isExpiration(token));
    }


}

五、业务逻辑类

使用springSecurity需要实现UserDetailsService接口供权限框架调用,重写loadUserByUsername()方法,要调用的方法也就是上面repository中定义的方法。

/**
 * 账号密码的验证
 * @author  zengwenjie
 * @date    2020/8/19 23:5
 * @version 1.0
 */
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    private UserRepository userRepository;

    public UserDetailsServiceImpl(UserRepository userRepository){
        this.userRepository=userRepository;
    }

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        User user=userRepository.findByUsername(s);
        if (user==null){
            throw new UsernameNotFoundException(s);
        }
        return new JwtUser(user);
        //return new org.springframework.security.core.userdetails.User(user.getUsername(),user.getPassword(),emptyList());
    }
}

由于该接口方法需要返回一个UserDetails类型的接口,可以去实现UserDetails接口,也可以不用实现。org.springframework.security.core.userdetails.User该封装类已经实现了UserDetails接口,可以直接调用,也可以自定义类去实现接口。这里就用的是自定义类。
JwtUser

/**
 * 提供用户信息
 * @author  zwj
 * @date    2020/08/19
 * @version 1.0
 */
public class JwtUser implements UserDetails {
    private Integer id;
    private String username;
    private String password;
    private Collection<? extends GrantedAuthority> authorities;

    /**
     * 使用user创建jwtUser的构造器
     * @param user
     */
    public JwtUser(User user) {
        id = user.getId();
        username = user.getUsername();
        password = user.getPassword();
        authorities = Collections.singleton(new SimpleGrantedAuthority(user.getRole()));
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

六、过滤器

使用JwtLoginFilter去进行用户账号的验证,使用JWTAuthorizationFilter去进行用户权限的验证。

创建JwtLoginFilter类继承UsernamePasswordAuthenticationFilter类,
重写了其中的2个方法:attemptAuthentication :接收并解析用户凭证。
successfulAuthentication :用户成功登录后,这个方法会被调用,我们在这个方法里生成token,并调用authenticationManager.authenticate()让springSecurity去验证账号的合法性。

/**
 * 启动登录认证流程过滤器
 * @author  zwj
 * @date    2020/08/19
 * @version 1.0
 */
public class JwtLoginFilter extends UsernamePasswordAuthenticationFilter {

    private AuthenticationManager authenticationManager;

    /**
     * 构造方法注入authenticationManager
     * @param authenticationManager
     */
    public JwtLoginFilter(AuthenticationManager authenticationManager){
        this.authenticationManager=authenticationManager;
        super.setFilterProcessesUrl("/auth/login");
    }


//    @Override
//    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
//        super.doFilter(req, res, chain);
//    }

    /**
     * 接收并解析用户凭证
     * @param request
     * @param response
     * @return
     * @throws AuthenticationException
     */
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        try {
            /*
            从流中读取用户信息,接收并解析用户凭证
             */
            User user = new ObjectMapper()
                    .readValue(request.getInputStream(), User.class);

            return authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(
                            user.getUsername(),
                            user.getPassword(),
                            new ArrayList<>())
            );
        } catch (IOException e) {
            throw new RuntimeException(e);
        }
    }

    /**
     * 用户成功登录后,这个方法会被调用,我们在这个方法里生成token
     * @param request
     * @param response
     * @param chain
     * @param authResult
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        JwtUser jwtUser=(JwtUser) authResult.getPrincipal();
        String token= JwtTokenUtil.createToken(jwtUser);
        response.setHeader("token",JwtTokenUtil.TOKEN_PREFIX+token);
    }

    /**
     * 验证失败后调用
     * @param request
     * @param response
     * @param failed
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
        response.getWriter().write("authentication failed, reason: " + failed.getMessage());
    }
}

授权验证
用户一旦登录成功后,在response中拿到token,后续的请求都会带着这个token,服务端会验证token的合法性。
创建JwtAuthenticationFilter类,该类继承自BasicAuthenticationFilter,在doFilterInternal方法中,从http头的Authorization 项读取token数据,然后用Jwts包提供的方法校验token的合法性。如果校验通过,就认为这是一个取得授权的合法请求。

/**
 * 验证成功当然就是进行鉴权了
 *  登录成功之后走此类进行鉴权操作
 * @author  jie
 * @date    2020/8/21 0:02
 * @version 1.0
 */
@Component
public class JwtAuthorizationFilter extends BasicAuthenticationFilter {

    @Autowired
    public JwtAuthorizationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        String tokenHead=request.getHeader(JwtTokenUtil.TOKEN_HEADER);
        if (tokenHead==null||!tokenHead.startsWith(JwtTokenUtil.TOKEN_PREFIX)){
            chain.doFilter(request,response);
            return;
        }
        // 如果请求头中有token,则进行解析,并且设置认证信息
        SecurityContextHolder.getContext().setAuthentication(getAuthentication(tokenHead));
        super.doFilterInternal(request, response, chain);
    }

    /**
     * 这里从token中获取用户信息并新建一个token
     * @param tokenHead
     * @return new token
     */
    private UsernamePasswordAuthenticationToken getAuthentication(String tokenHead){
        String token=tokenHead.replace(JwtTokenUtil.TOKEN_PREFIX,"");
        String username=JwtTokenUtil.getUsername(token);
        String role=JwtTokenUtil.getRole(token);
        if (username!=null){
            return new UsernamePasswordAuthenticationToken(username,null,
                    Collections.singleton(new SimpleGrantedAuthority(role)));
        }
        return null;
    }
}

七、security配置类

SecurityConfig类继承WebSecurityConfigurerAdapter
开启注解@EnableWebSecurity, @EnableGlobalMethodSecurity(prePostEnabled = true)
@EnableWebSecurity的作用 1.加载了WebSecurityConfiguration配置类, 配置安全认证策略。2.加载了AuthenticationConfiguration, 配置了认证信息。

/**
 * @author  zwj
 * @date    2020/08/19
 * @version 1.0
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 实现UserDetailsService接口,用来做登陆验证
     */
    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private CustomAuthenticationEntryPoint customAuthenticationEntryPoint;

    @Autowired
    private CustomAccessDeniedHandler customAccessDeniedHandler;

    /**
     * 加密方式
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //认证用户时用户信息加载配置,注入自定义 UserDetailsService
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors()
                .and()
                .csrf()
                .disable()
                //匿名访问,没有权限的处理类
                .exceptionHandling().authenticationEntryPoint(customAuthenticationEntryPoint)
                //登录后,访问没有权限处理类
                .accessDeniedHandler(customAccessDeniedHandler)
                .and()
                .addFilter(new JwtLoginFilter(authenticationManager()))
                .addFilter(new JwtAuthorizationFilter(authenticationManager()))
                // 基于token,不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                //设置权限
                .authorizeRequests()
                //测试资源,验证了用户才可访问
                .antMatchers("/task/**").authenticated()
                //需要角色为ADMIN才能访问该路径下的资源
                .antMatchers("/task/**").hasRole("ADMIN")
                .anyRequest().permitAll();
    }
}

这里也可以配置不同的资源路径由不同权限的角色用户进行访问。
比如:
1./task/** -->ROLE_ADMIN
2./test/** -->ROLE_USER

八、controller

UserController
这里写了一个注册的的接口,创建的角色默认为ROLE_ADMIN

/**
 * @author  zwj
 * @date    2020/08/19
 * @version 1.0
 */

@RestController
@RequestMapping("/auth")
public class UserController {

    @Autowired
    private UserRepository userRepository;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @PostMapping("/register")
    public JSONObject registerUser(User user){
        user.setUsername(user.getUsername());
        user.setPassword(passwordEncoder.encode(user.getPassword()));
        user.setRole("ROLE_ADMIN");
        userRepository.save(user);
        JSONObject jsonObject=new JSONObject();
        jsonObject.put("user",user);
        return jsonObject;
    }
}

TaskController 对于/task/**路径的资源,角色必须为ROLE_ADMIN才可访问。

/**
 * @author  zwj
 * @date    2020/08/19
 * @version 1.0
 */
@RestController
@RequestMapping("/task")
public class TaskController{

    @GetMapping("/zwj")
    public JSONObject listTasks(){
        System.out.println("1111");
        JSONObject jsonObject=new JSONObject();
        jsonObject.put("zwj","lovejly");
        return jsonObject;
    }

    @PostMapping
    public String newTasks(){
        return "创建了一个新任务";
    }

    @PutMapping("/{taskId}")
    public String updateTasks(@PathVariable("taskId") Integer id){
        return "更新了一下id为:"+id+"的任务";
    }

    @DeleteMapping("/{taskId}")
    public String deleteTasks(@PathVariable("taskId") Integer id){
        return "删除了id为:"+id+"的任务";
    }
}

九、测试结果

首先进行用户的注册,这里就用postman工具。
在这里插入图片描述
注册成功后,我们直接访问/task/zwj,这里显示需要授权才可访问。
在这里插入图片描述
然后访问/auth/login进行登录,生成token
在这里插入图片描述
然后带着token再去访问/task/**下的资源
在这里插入图片描述
总结:这里没有用到redis对token进行管理,是因为生成token的时候,把用户名、角色、过期时间等当做生成token的参数了,所以每次解析token都可以解析出该token的过期时间,所以就不需要redis来存取token了。
完成了这样的一个demo,还是发现需要真正地去弄懂框架的结构,才能知道需要用什么接口,如何配置等等,这里也在网上看了不少资源,借鉴了不少写的不错的博客,自己也获益颇多。

十、参考文献

https://blog.csdn.net/ech13an/article/details/80779973
https://blog.csdn.net/sxdtzhaoxinguo/article/details/77965226

jie958654064
关注
专栏目录
SpringBoot/SpringSecurity/Mybatis/JWT实现权限控制流程
fuu123f的博客
08-26 1851
简介 目前市场主流的安全控制框架主要分为Shiro\Security\CAS等 Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 实际上,Shiro的主要功能是管理应用程序中与安全相关的全部,同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的,支持各种自定义行为。Shiro提供的默认实现,使其能完成与其他安全框架同样的功能,这不也是我们一直努力想要得到的吗! Apa
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
SpringBoot整合SpringSecurity + JWT
最新发布
zznnniuu的博客
08-28 751
Token 也是一种用于用户身份鉴权的手段。他其实是一种代表用户身份验证和授权的令牌。在 Web 应用程序中,常用的身份验证方案是基于令牌的身份验证 (Token-based Authentication)。当用户成功登录时,服务器会生成一个 Token 并将其返回给客户端。客户端在后续的请求中将 Token 包含在请求头或请求参数中发送给服务器。服务器接收到 Token 后,会进行验证和解析,以确定用户的身份和权限。Token 通常是基于某种加密算法生成的,因此具有一定的安全性。
springsecurity配合token进行权限控制
tansty_zh的博客
08-18 2160
springsecurity配合token进行权限控制 Gitee地址:https://gitee.com/tansty/springboot-permission-control 参考别人的博客:https://blog.csdn.net/u012702547/article/details/89629415 一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 原理图 [外链图片转存失败,源
SpringtBoot+SpringSecurity+Jwt+MyBatis整合实现用户认证以及权限控制
又蠢又笨的懒羊羊程序猿的博客
10-18 1237
文章目录前言数据库表结构项目结构图核心配置类SecurityConfig实体类工具类用户登录认证Token令牌验证获取用户权限用户权限验证Service层实现类统一响应类Controller流程解析测试**登录测试**公共接口测试访问具有访问权限的接口访问无访问权限的接口 前言 本项目采用SpringBoot+SpringSecurity+Jwt+Mybatis,实现了基于数据库的用户认证以及权限分配。 pom.xml导入依赖 <dependencies> <depend
Springboot集成JWT实现token令牌,同时集成SpringSecurity实现API鉴权
qq_36655073的博客
05-20 1402
前言 为啥不用session和cookie,而要用token 传统的web应用,使用jsp作为前端展示的情况下,大家习惯用的手段都是用户登录后,将用户的信息放到tomcat的session中保存,返回前端时,cookies中有个jsessionId。后续的各种操作都会用到这个jsessionId从tomcat的session列表中,读取用户的信息,再根据用户的信息做各种数据的处理。 这种处理方式在单web应用中问题是不大的。但是自从分布式、微服务等理念流行之后,各个服务组件之间的session共享问题就有
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
总的来说,Spring Boot + Spring Security + JWT的组合提供了一个强大且可扩展的用户认证和权限管理系统,适用于各种现代Web应用。在实际开发中,根据项目需求,可能还需要考虑如密码加密、刷新令牌、多因素认证等...
基于springboot+springSecurity+jwt实现的基于token权限管理
02-24
Spring BootSpring SecurityJWT(JSON Web Token)的组合提供了一种高效且灵活的方式来实现权限管理。这个基于"springboot+springSecurity+jwt实现的基于token权限管理"的示例项目,旨在帮助开发者理解和实践...
基于springboot+springSecurity+jwt实现的基于token权限管理的一个demo,适合新手
03-02
本篇文章将深入探讨如何使用SpringBootSpringSecurity以及JSON Web TokenJWT)技术来构建一个简单的权限管理Demo,非常适合初学者学习。 **1. SpringBoot简介** SpringBootSpring框架的一种简化版本,它旨在...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
总的来说,这个项目展示了如何结合Spring BootSpring SecurityJWT实现一个安全的登录认证系统,以及如何利用MyBatisPlus简化数据库操作。通过这个实现,开发者可以快速构建一个安全的、基于令牌的Web服务,为...
springboot+springsecurity+jwt实现基于token认证(可能有点详细)
qq_42394044的博客
11-02 1906
准备工作 1、新建一个springboot项目并导入下面依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</gro
SpringBoot集成SpringSecurity 快速上手+详细过程
刘运的博客
05-20 656
1.新建工程,添加依赖,添加配置 <!-- springbot web --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- springbot thymeleaf --&g
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
m0_67261762的博客
07-03 595
Spring Security作为成熟且强大的安全框架,得到许多大厂的青睐。而作为前后端分离的SSO方案,JWT也在许多项目中应用。本文将介绍如何通过Spring Security实现JWT认证。用户与服务器交互大概如下:我们把要整合的Spring SecurityJWT加入到项目的依赖中去: 2.1 JWT整合 2.1.1 JWT工具类 JWT工具类起码要具有以下功能:具体代码如下: 工具类还实现了另一个功能:从HTTP请求头中获取JWT。Filter是Security处理的关键,基本上都是
Spring boot+Spring security+JWT实现后端分离登录认证及权限控制
热门推荐
李哈zzz的博客
03-30 2万+
借鉴文章: Springboot + Spring Security 实现后端分离登录认证及权限控制_I_am_Rick_Hu的博客-CSDN博客_springsecurity后端分离登录认证 最近一段时间,公司给我安排了一个公司子系统的后台管理系统,让我实现权限管理。此时我就考虑到Spring全家桶的Spring security权限管理Spring security大致分为认证和授权两个功能,底层也是通过JavaWeb的Filter过滤器来实现,在Spring security中维护了一个.
Spring SecurityToken存储与会话管理:解析与实践
jakelihua
12-14 937
在Web开发中,Spring Security提供了丰富的支持,特别是在身份验证和授权方面。本文将深入探讨Token的存储位置、会话管理和Cookie、Session、Token的区别,以及它们在实际应用中的应用场景。
SpringBoot项目实战(009)Spring Security(三)JWT+Redis+RefreshToken
IT老吴的博客
07-17 1819
本章打算: 使用redis作为缓存。 使用refreshtoken刷新accesstoken 缓存角色信息到redis
Springboot+springsecurity+jwt实现认证授权和权限管理
GD_MRS_LIN的博客
02-04 503
原文: https://blog.csdn.net/ech13an/article/details/80779973 思路: 搭建springboot工程 导入springSecurityjwt的依赖 用户的实体类 dao层 service层(真正开发时再写,这里就直接调用dao层操作数据库) 实现UserDetailsService接口 实现UserDetails接口 验证用户登录信息的拦截器 验证用户权限的拦截器 springSecurity配置 认证的Controller以及测试的controll
SpringBoot+SpringSecurityJWT实现认证和授权
木一番的博客
11-09 1875
学习一个新知识,咱们应该先分析这个东西是干吗的,它的优缺点是啥。 请看博客:基于jwt和session的区别和优点 知道jwt的作用后,再来看看jwt是如何生成的吧。 1:首先maven里面引入相关依赖 <!--SpringSecurity依赖配置--> <dependency> <groupId>org.springframework....
springSecurity+jwt实现互踢功能
jockha的博客
11-24 1942
一.思路: 原来的实现用户登录态是: 1.后台登陆成功后生成一个令牌(uuid)----JwtAuthenticationSuccessHandler 2.后台把它包装成jwt数据,然后返回给前端—JwtAuthenticationSuccessHandler 3.后台把它加入redis缓存中,并设置失效时间----JwtAuthenticationSuccessHandler 4.前端调用接口时,带入jwt 5.后台写个拦截器或者过滤器,在前端调用接口的时候,从request的header中获取jwt,在
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值