spring secruity实现jwt

最新推荐文章于 2023-06-04 13:43:16 发布
最新推荐文章于 2023-06-04 13:43:16 发布
阅读量236 收藏
点赞数
文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44756582/article/details/107030611
版权

jwt

jwt(jSON Web Token)相关知识自行百度
什么是 JWT – JSON WEB TOKEN
jwt官网

spring secruity实现jwt步骤

  1. 导入jwt实现框架
  2. 重写UsernamePasswordFilter
  3. 重写BasicAuthFilter

导入jwt实现框架

首先打开jwt官网
https://jwt.io/
在这里插入图片描述
点击Libary或者向下滚动,找到实现的第三方框架
在这里插入图片描述
选择一个框架使用即可
我选择的是:
https://github.com/jwtk/jjwt
根据官网提示,引入第三方框架
maven
在这里插入图片描述
gradle
在这里插入图片描述
编写测试类测试是否引入成功
在这里插入图片描述
在这里插入图片描述
成功生成token,说明框架引入成功!

重写UsernamePasswordFilter

public class JwtAuthenticateFilter extends UsernamePasswordAuthenticationFilter {

    private static final String strKey = "JABC-wdPO129854HAdsaLIY087FAwef235=";

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        Authentication authentication;
        try(InputStream inputStream = request.getInputStream()) {
            ObjectMapper mapper = new ObjectMapper();
            Map<String,String> map = mapper.readValue(inputStream, Map.class);
            String username = map.get("username");
            String password = map.get("password");
            authentication = this.getAuthenticationManager().authenticate(new UsernamePasswordAuthenticationToken(username,password));
        }catch (IOException e) {
            e.printStackTrace();
            authentication = this.getAuthenticationManager().authenticate(new UsernamePasswordAuthenticationToken("",""));
        }finally {

        }
        return authentication;
    }

    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        User user = (User) authResult.getPrincipal();
        List<String> roles = user.getAuthorities().stream().map(GrantedAuthority::getAuthority).collect(Collectors.toList());

        Key key = Keys.hmacShaKeyFor(strKey.getBytes());

        String token = Jwts.builder()
                .setHeaderParam("TYP","JWT")
                .setSubject(user.getUsername())
                .setIssuer("www.boycharse.top")
                .claim("role",roles)
                .signWith(key)
                .compact();

        response.setHeader("Authorization","Bearer " + token);
    }
}

首先,spring secruity在进行登录时,登录的数据会通过UsernamePasswordAuthenticationFilter,默认是表单登录,因为我们要通过json登录,所以我们在这里重写了它的attempAuthentication方法,在里面获取登录的账号密码,然后将账号密码交给AuthenticationManager的authenticate方法完成后续的认证。
认证成功后,我们要返回token,所以我们重写了successfulAuthentication
然后我们把UsernamePasswordFilter配置到spring secruity里(先忽略我注释掉的那部分代码)

@Configuration
public class WebSecruityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/api/guest").permitAll()
                .anyRequest()
                .authenticated();

        http.addFilterAt(jwtAuthenticateFilter(), UsernamePasswordAuthenticationFilter.class);
       // http.addFilterAt(new JwtAuthorizationFilter(authenticationManager()), BasicAuthenticationFilter.class);
    }

    @Bean
    public JwtAuthenticateFilter jwtAuthenticateFilter() throws Exception{
        JwtAuthenticateFilter filter = new JwtAuthenticateFilter();
        filter.setAuthenticationManager(authenticationManager());
        filter.setFilterProcessesUrl("/api/token");

        return filter;
    }
}

在application.properties里面我配置了一个用户

spring.security.user.name=user
spring.security.user.password=123456
spring.security.user.roles=admin

我们测试一下
在这里插入图片描述
在这里插入图片描述
这里成功的将token带回来了,我们携带这个token访问一下其他接口试试。
在这里插入图片描述
guest接口可以访问,因为guest所有人都可以访问
在这里插入图片描述
admin却403表示没有权限?但我们登陆的账号是有权限的才对!
我们需要重写BasicAuthFilter

重写BasiceAuthFilter

public class JwtAuthorizationFilter extends BasicAuthenticationFilter {

    private static final String strKey = "JABC-wdPO129854HAdsaLIY087FAwef235=";

    public JwtAuthorizationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        UsernamePasswordAuthenticationToken authenticationToken = getAuthentication(request);
        if (authenticationToken == null) {
            chain.doFilter(request,response);
            return;
        }
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        chain.doFilter(request,response);
    }

    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
        String token = request.getHeader("Authorization");
        if (!StringUtils.isEmpty(token) && token.startsWith("Bearer ")) {
            try {
                Jws<Claims> parseToken = Jwts.parserBuilder()
                        .setSigningKey(strKey.getBytes())
                        .build()
                        .parseClaimsJws(token.replace("Bearer ",""));
                String username = parseToken.getBody().getSubject();
                
                // 获得username对应的权限,这里写死,默认username对应的权限是admin
                GrantedAuthority authoritie = new SimpleGrantedAuthority("admin");
                List<GrantedAuthority> authorities = new ArrayList<>();
                authorities.add(authoritie);
                if (!StringUtils.isEmpty(username)) {
                   return new UsernamePasswordAuthenticationToken(username,null,authorities);
                }
            }catch (Exception e) {
                e.printStackTrace();
            }
        }
        return null;
    }
}

这里我们获取头部的token,拿到token的username并解析对应的权限,然后配置到AuthenticationToken中。

WebSecruityConfig配置如下:

public class JwtAuthorizationFilter extends BasicAuthenticationFilter {

    private static final String strKey = "JABC-wdPO129854HAdsaLIY087FAwef235=";

    public JwtAuthorizationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        UsernamePasswordAuthenticationToken authenticationToken = getAuthentication(request);
        if (authenticationToken == null) {
            chain.doFilter(request,response);
            return;
        }
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        chain.doFilter(request,response);
    }

    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
        String token = request.getHeader("Authorization");
        if (!StringUtils.isEmpty(token) && token.startsWith("Bearer ")) {
            try {
                Jws<Claims> parseToken = Jwts.parserBuilder()
                        .setSigningKey(strKey.getBytes())
                        .build()
                        .parseClaimsJws(token.replace("Bearer ",""));
                String username = parseToken.getBody().getSubject();

                // 获得username对应的权限,这里写死,默认username对应的权限是admin
                GrantedAuthority authoritie = new SimpleGrantedAuthority("admin");
                List<GrantedAuthority> authorities = new ArrayList<>();
                authorities.add(authoritie);
                if (!StringUtils.isEmpty(username)) {
                   return new UsernamePasswordAuthenticationToken(username,null,authorities);
                }
            }catch (Exception e) {
                e.printStackTrace();
            }
        }
        return null;
    }
}

我们再测试一次:
首先通过token接口获取token
在这里插入图片描述
然后测试admin
在这里插入图片描述
大功告成!

U_yong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security+jwt 实现 restful api格式.
09-20
本案例采用jpa 持久化,/auth/login 获取token登入信息,把token 前添加Bearer 注意Bearer 后有个空格,放到headers 请求中.可访问其他信息
SpringSecurity整合JWT
qq_29860591的博客
03-04 459
分布式认证概念说明分布式认证,即我们常说的单点登录,简称SSO,指的是在多应用系统的项目中,用户只需要登录一次,就可以访问所有互相信任的应用系统。分布式认证流程图首先,我们要明确,在分布式项目中,每台服务器都有各自独立的session,而这些session之间是无法直接共享资源的,所以,session通常不能被作为单点登录的技术方案。最合理的单点登录方案流程如下图所示: 总结一下,...
JWTSpring Security
专业的开发者“讨论”
04-23 894
Spring Security的默认行为易于用于标准Web应用程序。 它使用基于cook...
前后端分离SpringSecurity+JWT
niulinbiao的博客
09-08 1520
文章预览前言一、数据库准备1.1、用户表1.2、角色表1.3、用户角色表1.4、权限(菜单)表1.5、角色权限表二、环境准备2.1、整合Mybatis-Plus2.1.1、导入依赖2.1.2、配置文件2.1.3、配置Mybatis-Plus2.1.4、生成代码2.2、结果集封装2.3、全局异常处理2.4、跨域处理三、整合SpringSecurity3.1、引入依赖3.2、Jwt配置3.3、工具类3.3.1、JwtUtils.java3.3.2、RedisUtil配置3.4、验证码配置3.5、登录处理器3.5
SpringSecurity学习
weixin_47827244的博客
07-07 333
SpringSecurity的学习,基于SpringBoot,包括登录、认证、jwt、密码加密、授权、跨域问题的解决等内容
Spring Secruity 项目中用到的包整理
03-21
8. `org.springframework.aop-3.0.5.RELEASE.jar`: 提供了面向切面编程(AOP)的支持,Spring Security使用AOP来实现声明式安全,例如通过注解或XML配置定义访问控制规则。 9. `spring-security-core-3.0.5.RELEASE...
springboot-secruity.zip
01-30
Spring Security测试所需的文件,可用于spring security入门的学习测试,本文档来自于狂神说java系列课程秦疆老师的课堂测验所用,感谢秦疆老师java全栈开发的教导。本文件只用于测试无其他用途
SpringBoot2.0+SpringSecurity5.1.5.RELEASE+MybatisPlus3.1.1的基础权限登陆系统
05-07
SpringBoot2.0+SpringSecurity5.1.5.RELEASE+MybatisPlus3.1.1的基础登陆代码 ...密码使用springsecruity提供的加密方式加密 前端使用thymeleaf+bootstrap 提供登陆后成功页面 sql文件在db下 仅供学习参考
Spring Security3》第四章第四部分翻译(Remember me后台存储和SSL)附前四章doc文件
03-26
这一部分的知识点涵盖了Spring Security中Remember me的功能,用户身份持久化,以及如何通过SSL实现数据传输的安全加密。 1. Remember me服务:Remember me是Spring Security提供的一种功能,允许用户在一段时间内...
【深入浅出Spring Security(五)】自定义过滤器进行前后端登录认证
qq_63691275的博客
06-04 4097
自定义登录认证可以去继承 UsernamePasswordAuthenticationFilter 过滤器重写 attemptAuthentication 方法进行自定义,然后再在自定义的 SecurityConfig 配置类里面去将它配置到 Spring 容器中,注意实例化它后一定要给它内部属性 AuthenticationManager 进行初始化赋值,不然交给Spring容器管理的时候会报错;最后添加到过滤器链中。
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 4471
SpringSecurity+JWT快速入门
Spring Security整合JWT实现权限认证和授权
weixin_45818966的博客
11-05 4171
关于spring security整合jwt实现前后端权限认证和授权管理
Spring Boot+Spring Security+JWT 实现 RESTful Api 认证 (一)
热门推荐
https://gitee.com/micai-code
09-13 9万+
摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的。现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能够访问API。 一:开发一个简单的API 在IDEA开发工具中新建一个maven工程,添加对应的依赖如下: <dependency> <gro...
SpringSecurity+JWT使用步骤及心得
qq_35213765的博客
05-06 1238
1、添加相关依赖 主要是springsecurity和jwt依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://mav
SpringBoot整合SpringSecurity实现JWT认证
我的博客
03-30 3万+
前言 微服务架构,前后端分离目前已成为互联网项目开发的业界标准,其核心思想就是前端(APP、小程序、H5页面等)通过调用后端的API接口,提交及返回JSON数据进行交互。 在前后端分离项目中,首先要解决的就是登录及授权的问题。微服务架构下,传统的session认证限制了应用的扩展能力,无状态的JWT认证方法应运而生,该认证机制特别适用于分布式站点的单点登录(SSO)场景 目录 该文会通过创建...
Springboot+Spring-Security+JWT+Redis实现restful Api的权限管理以及token管理(超详细用爱发电版)
ech13an的博客
06-24 7万+
前言 其实挺早就想写一篇关于jwt的博文去好好总结一下之前踩过的坑了,但是事情有点太多了,一直没抽出时间来写,刚好现在有点时间可以好好静下来写一遍(可能)有点质量的博文吧,毕竟一直都是看别人的博文去学习,我也好好写一遍吧哈哈。既然如果偶然搜到这篇文章的话,我相信大家应该都了解了什么是jwt,比较想知道怎么使用springboot+spring-security去实现,当然也可以使用shiro,其...
SpringSecurity+JWT使用
qq_42218187的博客
03-20 1451
maven依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependen
通过自定义 @CurrentUser 获取当前登录用户
stanWang的博客
03-21 1万+
自定义 @CurrenUser注解/
springsecruity
最新发布
07-28
Spring Security是一个开源的身份验证和授权框架,它为Java应用程序提供了一种简单且灵活的方式来处理身份验证、授权、密码管理和会话管理等安全相关的任务。 Spring Security基于Servlet过滤器和Spring框架提供的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值