Spring Security + jwt 思路和代码

最新推荐文章于 2024-04-01 14:22:12 发布
最新推荐文章于 2024-04-01 14:22:12 发布
阅读量1.5k 收藏
点赞数
分类专栏: jwt SpringBoot SpringSecurity 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43960768/article/details/123528366
版权
SpringBoot 同时被 3 个专栏收录
20 篇文章 0 订阅
订阅专栏
SpringSecurity
6 篇文章 1 订阅
订阅专栏
jwt
1 篇文章 0 订阅
订阅专栏

目录

1.创建User实体类实现UserDetails并重写其方法

2.创建UserDetailsServiceImpl实现UserDetailsService

3.security配置中暴露一个登录接口并处理登录逻辑

- 暴露/user/login接口

- 处理登录逻辑

4.配置jwt过滤器

5.配置未登录就访问资源和权限不足的异常处理类

- 未登录就访问资源

- 权限不足

6.在security配置类中添加jwt过滤器和异常处理类

附录:

application.yml

JwtConfig

JwtUtils

RespBean

LoginUser

项目结构

1.创建User实体类实现UserDetails并重写其方法

@Data
@AllArgsConstructor
@NoArgsConstructor
@Accessors(chain = true)
@TableName("sys_user")
public class User implements UserDetails {

    @TableId
    private Long id;
    private String username;
    private String password;
    private String nickname;
    private Integer sex;
    private Boolean status;
    private Integer isAdmin;
    private String avatar;
    private String address;
    private String openId;
    private String phone;
    private String email;

    @TableField(exist = false)
    private List<Role> roles;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> authorities = new ArrayList<>();
        for (Role role : roles) {
            if (role.getCode().startsWith("ROLE_")) {
                authorities.add(new SimpleGrantedAuthority(role.getCode()));
            }
            authorities.add(new SimpleGrantedAuthority("ROLE_" + role.getCode()));
        }
        return authorities;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return status;
    }
}

2.创建UserDetailsServiceImpl实现UserDetailsService

@Service
@Transactional
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userMapper.loadUserByUsername(username);
        if (ObjectUtils.isEmpty(user)){
            throw new UsernameNotFoundException("用户名或密码不存在");
        }
        return user;
    }
}

3.security配置中暴露一个登录接口并处理登录逻辑

  - 暴露/user/login接口

@Configuration
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    
    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //- 放行暴露的登录接口
                .antMatchers("/user/login").anonymous()
                .anyRequest().authenticated()
                .and()
                .csrf().disable();
    }
}

- 处理登录逻辑

@Service
@Transactional
@Slf4j
public class UserServiceImpl implements UserService {

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Autowired
    private JwtUtils jwtUtils;

    @Autowired
    private JwtConfig jwtConfig;

    @Override
    public RespBean login(LoginUser loginUser) {
        log.info("1.开始登录");
        UserDetails userDetails = userDetailsService.loadUserByUsername(loginUser.getUsername());
        log.info("2.判断密码是否正确");
        if (!passwordEncoder.matches(loginUser.getPassword(),userDetails.getPassword())){
            return RespBean.fail("账号或密码错误,请重新输入");
        }
        log.info("3.判断账号是否禁用");
        if (!userDetails.isEnabled()){
            return RespBean.fail("账号已禁用,请联系管理员");
        }
        log.info("4.登录成功,将用户信息保存到SecurityContextHolder");
        SecurityContextHolder.getContext().setAuthentication(new UsernamePasswordAuthenticationToken(userDetails,null,userDetails.getAuthorities()));
        log.info("5.生成jwt并将tokenHead和token返回给前端");
        String token = jwtUtils.generatorToken(userDetails);
        Map<String ,Object> map = new HashMap<>(2);
        map.put("tokenHead",jwtConfig.getTokenHead());
        map.put("token",token);
        return RespBean.success("登录成功",map);
    }
}

4.配置jwt过滤器

@Component
@Slf4j
public class JwtFilter extends OncePerRequestFilter {

    @Autowired
    private JwtConfig jwtConfig;

    @Autowired
    private JwtUtils jwtUtils;

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest req, HttpServletResponse resp, FilterChain chain) throws ServletException, IOException {
        log.info("1.从req中获取header");
        String header = req.getHeader(jwtConfig.getTokenHeader());

        if (StringUtils.hasText(header) && header.startsWith(jwtConfig.getTokenHead())) {
            log.info("2.获取token");
            String token = header.substring(jwtConfig.getTokenHead().length());
            log.info("3.判断token是否过期");
            if (!jwtUtils.isExpired(token)) {
                log.info("4.从token中获取用户名并从SecurityContextHolder中获取authentication");
                Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
                //- 如果是非法token则获取不到username,会抛出异常并被OncePerRequestFilter的捕获,从而由于没有登录记录,返回401
                String username = jwtUtils.getUsernameFromToken(token);

                if (StringUtils.hasText(username) && ObjectUtils.isEmpty(authentication)) {
                    log.info("token中获取到的用户名不为空,但是没有登录记录,则先登录处理");
                    log.info("4.1 登录");
                    UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                    log.info("4.2 将用户信息保存到SecurityContextHolder中");
                    SecurityContextHolder.getContext().setAuthentication(new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()));
                    log.info("4.3 登录成功--->{}", SecurityContextHolder.getContext().getAuthentication());

                }
            }
        }
        //- 放行
        chain.doFilter(req, resp);
    }
}

5.配置未登录就访问资源和权限不足的异常处理类

- 未登录就访问资源

@Configuration
public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest req, HttpServletResponse resp, AuthenticationException authException) throws IOException, ServletException {
        resp.setContentType("application/json;charset=utf-8");
        resp.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        PrintWriter pw = resp.getWriter();
        pw.write(new ObjectMapper().writeValueAsString(RespBean.fail("请先登录")));
        pw.flush();
        pw.close();
    }
}

- 权限不足

@Configuration
public class MyAccessDenied implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse resp, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        resp.setContentType("application/json;charset=utf-8");
        resp.setStatus(HttpServletResponse.SC_FORBIDDEN);
        PrintWriter pw = resp.getWriter();
        pw.write(new ObjectMapper().writeValueAsString(RespBean.fail("权限不足,请联系管理员")));
        pw.flush();
        pw.close();
    }
}

6.在security配置类中添加jwt过滤器和异常处理类

@Configuration
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private JwtFilter jwtFilter;

    @Autowired
    private MyAuthenticationEntryPoint myAuthenticationEntryPoint;

    @Autowired
    private MyAccessDenied myAccessDenied;

    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //- 放行暴露的登录接口
                .antMatchers("/user/login").anonymous()
                .anyRequest().authenticated()
                .and()
                .csrf().disable();

        //- 各种异常处理
        http.exceptionHandling().authenticationEntryPoint(myAuthenticationEntryPoint).accessDeniedHandler(myAccessDenied);

        //- 添加过滤器
        http.addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

附录:

 application.yml

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/sport?useUnicode=true&characterEncoding=utf-8&serverTimezone=Asia/Shanghai
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: root

jwt:
  tokenHeader: Authorization
  secret: asfasfsd
  expiration: 1800
  tokenHead: 'Barber '
mybatis-plus:
  mapper-locations: classpath:mappers/*.xml

JwtConfig

@Data
@Component
@ConfigurationProperties(prefix = "jwt")
public class JwtConfig {

    private String tokenHeader;

    private String secret;

    private Long expiration;

    private String tokenHead;


}

JwtUtils

@Component
public class JwtUtils {

    @Autowired
    private JwtConfig jwtConfig;


    /**
     * 根据用户名和创建时间生成token
     *
     * @param userDetails 用户信息
     * @return
     */
    public String generatorToken(UserDetails userDetails) {
        Map<String, Object> map = new HashMap<>(2);
        map.put("username", userDetails.getUsername());
        map.put("created", new Date());
        return generatorJwt(map);
    }


    /**
     * 根据荷载信息生成jwt
     *
     * @param map
     * @return
     */
    public String generatorJwt(Map<String, Object> map) {
        return Jwts.builder()
                .setClaims(map)
                .signWith(SignatureAlgorithm.HS512, jwtConfig.getSecret())
                .setExpiration(new Date(System.currentTimeMillis() + jwtConfig.getExpiration() * 1000))
                .compact();
    }


    /**
     * 解析token并得到实体,若token不合法则返回null
     *
     * @param token
     * @return
     */
    public Claims getTokenBody(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(jwtConfig.getSecret())
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

    /**
     * 从token中得到用户名
     * @param token
     * @return
     */
    public String getUsernameFromToken(String token) {
        return (String) getTokenBody(token).get("username");
    }



    public boolean isExpired(String token){
        return getTokenBody(token).getExpiration().before(new Date());
    }

    public String refreshTokenExpiration(String token){
        Claims claims = getTokenBody(token);
        claims.setExpiration(new Date(System.currentTimeMillis() + jwtConfig.getExpiration() * 1000));
        return generatorJwt(claims);
    }

}

RespBean

@Data
@AllArgsConstructor
@NoArgsConstructor
@Accessors(chain = true)
public class RespBean {

    public boolean flag;

    private String msg;

    private Object data;

    public static RespBean success(String msg,Object o){
        return new RespBean(true,msg,o);
    }

    public static RespBean fail(String msg){
        return new RespBean(false,msg,null);
    }

}

LoginUser

@Data
@AllArgsConstructor
@NoArgsConstructor
@Accessors(chain = true)
public class LoginUser {

    private String username;

    private String password;
}

项目结构

 

马凡乐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot2.6整合SpringSecurity+JWT
01-11
SpringBoot2.6整合SpringSecurity+JWT相关代码
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
SpringSecurity登陆接口
Leon_Jinhai_Sun的博客
06-05 4519
SpringSecurity
Spring Boot+Spring Security6的配置方法
最新发布
qq_68534248的博客
04-01 820
Autowired@Bean// 调用 JwtUserDetailService实例执行实际校验@Component@Autowired@Overridetry {// 查询数据库用户表,获得用户信息// 使用获得的信息创建SecurityUserDetailspassword,// 以及其他org.springframework.security.core.userdetails.UserDetails接口要求的信息。
SpringSecurity中.antMatchers的anoymous()方法和permitAll()的区别
LionHearthz的博客
04-18 5421
antMatchers的anoymous()方法和permitAll()方法的区别
基于配置的权限控制
Leon_Jinhai_Sun的博客
06-08 115
权限控制
springboot整合SpringSecurity并实现简单权限控制
听钱塘信来的博客
11-28 6590
springboot整合SpringSecurity并实现简单权限控制
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统
04-30
基于当前流行技术组合的前后端分离商城系统:SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含商城、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券...
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springsecurity 的学习授权与认证
健康平安的活着的专栏
07-25 414
springSecurity 1.1 SpringSecurity的概念作用 Springsecurity 基于 Spring 框架,提供了一整套 完整的安全性Web 应用解决方案框架。主要有用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security重要核心功能。 1.用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程.
Spring Security】前后端分离 入门-实践 JWT+Redis
weixin_45866411的博客
06-12 1100
最近在学习《Spring 实战》这本书,学习完第四章后,发现确实很强大。现在这个时代,信息可能是我们最有价值的东西,安全性是绝大多数应用系统的一个重要切面。(以上已经是我一年前写的草稿了,现如今已经工作了,但是还是想保留一下)自动配置Spring SecuritySpring Security 完整流程配置自己的过滤器设置自定义的用户储存自定义登录页防范CSRF攻击前后端分离,使用token登录验证权限系统跨域问题配置登录处理器。
springsecurity+jwt实现登录权限认证
anan_yyds的博客
06-13 533
创建springsecurity配置类,在这里使用@Bean注解来注入过滤器的bean,交给spring管理。@Configuration注解来注入bean,否则后续会导致security放行失败从而拦截了登录接口。创建登录过滤器,验证token登录权限,注意该类不需要添加@Component。在yml配置文件中编写关于token管理的基本配置。可以自定义添加未授权和未登录的返回结果。首先导入security框架的依赖。
SpringSecurity整合jwt
qq_51705526的博客
05-02 6946
前言: 准备把权限管理写到自己的jee项目中, 索性想到了SpringSecurity框架, 就来学一下! 认证 登录校验流程 token可以存在localstoryge springsecurity完整流程 就是一个过滤链 UsernamePasswordAuthenticationFilter:(认证)处理登录页面填写了用户名和密码之后的登录请求ExcpetionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationEx
诚之和:Springboot中如何集成Spring Security JWT实现接口权限认证
weixin_45378258的博客
08-16 178
本篇文章主要介绍了在Springboot项目中集成Spring-Security JWT实现接口权限认证的详细步骤,对于正在学习Springboot框架的小伙伴有一定的学习参考的价值。 1、添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <
实现SpringSecurity + jwt 乱七八糟的坑
changaspl
08-18 896
前言 ​ 利用SpringSecurity实现jwt,主要是实现两个拦截器,一个附则登录的拦截,一个负责不是登录的拦截。然后在配置文件添加这个拦截器即可。网上很多教程,感觉都不一样,后来阅读源码,发现其实是继承了他们的父类,效果是一样的。 ​ 登录拦截继承 UsernamePasswordAuthenticationFilter类,重写attemptAuthentication方法,也有的教程实现的是UsernamePasswordAuthenticationFilter类的父类,AbstractAut
Spring Oauth2-Authorization-Server JwtGenerator
面朝大海,春暖花开
05-04 1040
Spring Oauth2-Authorization-Server JwtGenerator 使用 基于 spring-security-oauth2-authorization-server 0.2.3 JwtGenerator 顾名思义,使用 JwtEncoder 来生成 jwt 类型的 token public final class JwtGenerator implements OAuth2TokenGenerator<Jwt> { private final JwtEncoder
Spring security实现代码登录
热门推荐
qq_15167443的博客
10-18 1万+
首先,现阶段网上的spring security配置资料中都涉及登录页面的的登录。几乎找不到根据用户名密码直接登录的方式。现将该方式记录下来。 我碰到的问题:这是一个很常见的业务需求,用户访问系统发送请求时带了用户信息参数,不需要将页面跳转到登录页面进行登录,直接通过请求时的用户信息进行登录Spring Security验证用户信息就OK的。 为了完成这样的一个需求,过程是还是有点曲折的(原来...
Spring Security + jwt
08-19
Spring SecurityJWT(JSON Web Token)是一种常见的组合,用于实现身份验证和授权机制。 JWT是一种轻量级的身份验证和授权的解决方案,它使用JSON格式来定义安全声明。JWT通常由三部分组成:头部(Header)、载荷...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值