SpringSecurity实现Jwt自定义登录

已于 2022-02-27 22:02:20 修改
阅读量5.2k 收藏 14
点赞数 3
文章标签: java 安全 http springsecurity spring
于 2022-01-20 15:44:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45537574/article/details/122558545
版权

文章目录

一、springsecurity的工作流程

上手之前先看一下springsecurity的工作流程:
Java设计模式中有一种责任链模式,而spring security就是基于这种模式,利用多个过滤器Filter,组成一条过滤链,针对web请求进行安全验证,同时会将验证的信息封装成身份令牌:Authentication,在访问受保护的资源时,通过来校验上下文中的Authentication来判断是否允许访问。

基于前后端分离的情况下,对于spring security在项目中的使用,一般都是后端提供登录接口给到前端,当用户登录成功返回token或者cookie,前端拿着令牌访问后端资源。

再来认识一些重要的类:
Authentication:认证通过构建的身份令牌

public interface Authentication extends Principal, Serializable {
	//角色权限标识集合
    Collection<? extends GrantedAuthority> getAuthorities();
	//一般存放我们的密码
    Object getCredentials();
	//一般存放用户信息
    Object getDetails();
	//获取用户身份信息,在未认证的情况下获取到的是用户名,在已认证的情况下获取到的是 UserDetails
    Object getPrincipal();
	//是否认证 true false
    boolean isAuthenticated();
	//设置isAuthenticated
    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

Authentication是一个接口,下面还有不同的具体实现;

SecurityContext:上下文对象,我们的上面讲到的令牌Authentication就是放在这个里面:

public interface SecurityContext extends Serializable {
	//只有俩个方法,get/set
    Authentication getAuthentication();

    void setAuthentication(Authentication var1);
}

SecurityContextHolder:获取SecurityContext的静态工具类
AuthenticationManager:内部的authenticate方法针对web请求进行认证,放回认证的Authentication对象。

简单描述下springsecurity的认证流程就是:
1、将请求丢给AuthenticationManagerauthenticate方法进行认证
2、认证成功后返回Authentication对象
3、SecurityContextHolder获取SecurityContext对象
4、将Authentication放入SecurityContext

二、springboot+springsecurity+jwt

方案:对于前段后分离的情况下,再加上微服务,cookie-session 的方案可能不太友好,除非服务端将session做成服务节点共享,放到缓存等等,除此以外jwt令牌、或者token+redis也能在微服务中作为登录方案,后端提供登录接口给到前端,认证成功则返回jwt令牌,后续请求所有接口前端都要携带上jwt令牌,后端接受到请求需要在springsecurity中添加filter对令牌做解析,放行请求。

1、项目准备

pom.xml

 <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-dependencies</artifactId>
                <version>2.3.1.RELEASE</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>

    <dependencies>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!--lombok-->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.12</version>
        </dependency>

    </dependencies>

2、编写过滤器AuthenticationLoginFilter

public class AuthenticationLoginFilter extends AbstractAuthenticationProcessingFilter {

    /**
     * 构造方法,调用父类的,设置登录地址/login,请求方式POST
     */
    public AuthenticationLoginFilter() {
        super(new AntPathRequestMatcher("/login", "POST"));
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) {
        //获取表单提交数据
        String username = request.getParameter("username");
        String password = request.getParameter("password");
        //封装到token中提交
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
                username, password);
        return getAuthenticationManager().authenticate(authRequest);

    }
}

这个过滤器相当于我们定义了登录接口,AbstractAuthenticationProcessingFilter本身有了一个子类UsernamePasswordAuthenticationFilter继承,我们这里选择重写attemptAuthentication方法,可以让我们直接访问到/login接口,我们再来看一下springsecurity内部UsernamePasswordAuthenticationFilter本身的实现:

public class UsernamePasswordAuthenticationFilter extends
		AbstractAuthenticationProcessingFilter {
		
	public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
	public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";

	private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
	private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;
	private boolean postOnly = true;

	public UsernamePasswordAuthenticationFilter() {
		super(new AntPathRequestMatcher("/login", "POST"));
	}
	
	public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}
		String username = obtainUsername(request);
		String password = obtainPassword(request);

		if (username == null) {
			username = "";
		}
		if (password == null) {
			password = "";
		}
		username = username.trim();

		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);

		return this.getAuthenticationManager().authenticate(authRequest);
	}	
}

和我们AuthenticationLoginFilter没什么区别,在springsecurity配置中,需要将我们写的AuthenticationLoginFilter 添加到UsernamePasswordAuthenticationFilter的前面,并且在AuthenticationLoginFilter 注入其需要的bean。

3、编写登录成功/失败处理器

在认证成功或者认证失败,都会调用相对应的处理器执行成功/失败方法

1、登录成功处理器LoginAuthenticationSuccessHandler

@Component
@Slf4j
public class LoginAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Autowired
    private JwtUtils jwtUtils;
    
    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest,
                                        HttpServletResponse httpServletResponse,
                                        Authentication authentication) throws IOException {
        UserDetails userDetails = (UserDetails) authentication.getPrincipal();
        SecurityContextHolder.getContext().setAuthentication(authentication);
        //生成令牌
        String accessToken = jwtUtils.createToken(userDetails.getUsername());
        renderToken(httpServletResponse, LoginToken.builder().accessToken(accessToken).build());
    }

    /**
     * 渲染返回 token 数据,因为前端页面接收的都是Result对象,故使用application/json返回
     */
    public void renderToken(HttpServletResponse response, LoginToken token) throws IOException {
        ResponseUtils.result(response, R.ok(token, "登录成功"));
    }
}

工具类 ResponseUtils 和 响应体:

public class ResponseUtils {

    public static void result(HttpServletResponse response, R msg) throws IOException {
        response.setContentType("application/json;charset=UTF-8");
        ServletOutputStream out = response.getOutputStream();
        ObjectMapper objectMapper = new ObjectMapper();
        out.write(objectMapper.writeValueAsString(msg).getBytes("UTF-8"));
        out.flush();
        out.close();
    }
}

返回响应体

@Builder
@ToString
@NoArgsConstructor
@AllArgsConstructor
@Accessors(chain = true)
public class R<T> implements Serializable {

	private static final long serialVersionUID = 1L;

	@Getter
	@Setter
	/**
	 * 返回标记:成功标记=0,失败标记=1
	 */
	private int code;

	@Getter
	@Setter
	/**
	 * 返回信息
	 */
	private String msg;

	@Getter
	@Setter
	/**
	 * 数据
	 */
	private T data;

	public static <T> R<T> ok() {
		return restResult(null, CommonConstants.SUCCESS, null);
	}

	public static <T> R<T> ok(T data) {
		return restResult(data, CommonConstants.SUCCESS, null);
	}

	public static <T> R<T> ok(T data, String msg) {
		return restResult(data, CommonConstants.SUCCESS, msg);
	}

	public static <T> R<T> failed() {
		return restResult(null, CommonConstants.FAIL, null);
	}

	public static <T> R<T> failed(String msg) {
		return restResult(null, CommonConstants.FAIL, msg);
	}

	public static <T> R<T> failed(T data) {
		return restResult(data, CommonConstants.FAIL, null);
	}

	public static <T> R<T> failed(T data, String msg) {
		return restResult(data, CommonConstants.FAIL, msg);
	}

	private static <T> R<T> restResult(T data, int code, String msg) {
		R<T> apiResult = new R<>();
		apiResult.setCode(code);
		apiResult.setData(data);
		apiResult.setMsg(msg);
		return apiResult;
	}

}

public interface CommonConstants {
	
	/**
	 * 成功标记
	 */
	Integer SUCCESS = 0;

	/**
	 * 失败标记
	 */
	Integer FAIL = 1;
	
}

2、登录失败处理器LoginAuthenticationFailureHandler

@Component
public class LoginAuthenticationFailureHandler implements AuthenticationFailureHandler {
    /**
     * 一旦登录失败则会被调用
     *
     * @param httpServletRequest
     * @param response
     * @param exception          这个参数是异常信息,可以根据不同的异常类返回不同的提示信息
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest,
                                        HttpServletResponse response,
                                        AuthenticationException exception) throws IOException {

        //TODO 根据项目需要返回指定异常提示,陈某这里演示了一个用户名密码错误的异常
        //BadCredentialsException 这个异常一般是用户名或者密码错误
        if (exception instanceof BadCredentialsException) {
            ResponseUtils.result(response, R.failed("用户名或密码不正确"));
        }
        ResponseUtils.result(response, R.failed("登录失败"));
    }
}

4、实现UserDetailsService

UserDetailsService主要就是为了那用户名称去我们的数据库查询,这里我们需要自己去实现再注入到springsecurity
UserDetailsServiceImpl

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private PasswordEncoder passwordEncoder;
    
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if ("root".equals(username)){
            SecurityUser userDetails = new SecurityUser();
            userDetails.setUsername("root");
            userDetails.setPassword(passwordEncoder.encode("root"));
            //角色
            SimpleGrantedAuthority grantedAuthorityRole = new SimpleGrantedAuthority("ROLE_ADMIN");
           
            List<GrantedAuthority> list = new ArrayList<>();
            list.add(grantedAuthorityRole);
           
            userDetails.setAuthorities(list);
            return userDetails;
        }
        throw new UsernameNotFoundException("用户不存在");
    }
    
}

因为这里需要连接数据库,为了节省时间,直接写死 root 账号。

5、权限不足和未登录访问资源处理器

1、权限不足处理器RequestAccessDeniedHandler

@Component
public class RequestAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request,
                       HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException {
        ResponseUtils.result(response, R.failed("权限不足"));
    }
}

2、未登录访问资源处理器EntryPointUnauthorizedHandler

@Component
public class EntryPointUnauthorizedHandler implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException {
        ResponseUtils.result(response,R.failed("无权限,请先登录"));
    }
}

6、Jwt验证过滤器TokenAuthenticationFilter

public class TokenAuthenticationFilter extends OncePerRequestFilter {

    @Autowired
    private JwtUtils jwtUtils;

    /**
     * UserDetailsService的实现类,从数据库中加载用户详细信息
     */
    @Qualifier("userDetailsServiceImpl")
    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        String token = request.getHeader("token");
        /**
         * token存在则校验token
         * 1. token是否存在
         * 2. token存在:
         *  2.1 校验token中的用户名是否失效
         */
        if (!StringUtils.isEmpty(token)){
            String username = jwtUtils.getUsernameFromToken(token);
            //SecurityContextHolder.getContext().getAuthentication()==null 未认证则为true
            if (!StringUtils.isEmpty(username) && SecurityContextHolder.getContext().getAuthentication()==null){
                UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                //如果token有效
                if ("root".equals(userDetails.getUsername())){
                    // 将用户信息存入 authentication,方便后续校验
                    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null,
                            userDetails.getAuthorities());
                    authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    // 将 authentication 存入 ThreadLocal,方便后续获取用户信息
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            }
        }
        //继续执行下一个过滤器
        chain.doFilter(request,response);
    }
}

7、springsecurity配置

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


    @Autowired
    private EntryPointUnauthorizedHandler entryPointUnauthorizedHandler;

    @Autowired
    private RequestAccessDeniedHandler requestAccessDeniedHandler;

    /**
     * 登录成功处理器
     */
    @Autowired
    private LoginAuthenticationSuccessHandler loginAuthenticationSuccessHandler;

    /**
     * 登录失败处理器
     */
    @Autowired
    private LoginAuthenticationFailureHandler loginAuthenticationFailureHandler;

    /**
     * 加密
     */
    @Autowired
    private PasswordEncoder passwordEncoder;

    /**
     * userDetailService
     */
    @Qualifier("userDetailsServiceImpl")
    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtAuthenticationSecurityConfig jwtAuthenticationSecurityConfig;

    @Autowired
    private AuthenticationManager authenticationManager;

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        AuthenticationLoginFilter filter = new AuthenticationLoginFilter();
        filter.setAuthenticationManager(authenticationManager);
        //认证成功处理器
        filter.setAuthenticationSuccessHandler(loginAuthenticationSuccessHandler);
        //认证失败处理器
        filter.setAuthenticationFailureHandler(loginAuthenticationFailureHandler);
        //将这个过滤器添加到UsernamePasswordAuthenticationFilter之前执行
        http.addFilterBefore(filter, UsernamePasswordAuthenticationFilter.class);

        //直接使用DaoAuthenticationProvider
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        //设置userDetailService
        provider.setUserDetailsService(userDetailsService);
        //设置加密算法
        provider.setPasswordEncoder(passwordEncoder);
        http.authenticationProvider(provider);

        http.formLogin()
                //禁用表单登录,前后端分离用不上
                .disable()
                //应用登录过滤器的配置,配置分离
                // 设置URL的授权
                .authorizeRequests()
                // 这里需要将登录页面放行,permitAll()表示不再拦截,/login 登录的url
                .antMatchers("/login")
                .permitAll()
    
                // anyRequest() 所有请求   authenticated() 必须被认证
                .anyRequest()
                .authenticated()
                //处理异常情况:认证失败和权限不足
                .and()
                .exceptionHandling()
                //认证未通过,不允许访问异常处理器
                .authenticationEntryPoint(entryPointUnauthorizedHandler)
                //认证通过,但是没权限处理器
                .accessDeniedHandler(requestAccessDeniedHandler)
                .and()
                //禁用session,JWT校验不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)

                .and()
                //将TOKEN校验过滤器配置到过滤器链中,否则不生效,放到UsernamePasswordAuthenticationFilter之前
                .addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class)
                // 关闭csrf
                .csrf().disable();

    }

    // 自定义的Jwt Token校验过滤器
    @Bean
    public TokenAuthenticationFilter authenticationTokenFilterBean() {
        return new TokenAuthenticationFilter();
    }

    /**
     * 加密算法
     *
     * @return
     */
    @Bean
    public PasswordEncoder getPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }
}

8、接口测试

登录接口

1、登录成功 ip:端口/login
username:root
password:root
在这里插入图片描述

2、登录失败
username:root
password:321456(错误密码)
在这里插入图片描述

携带令牌访问受保护的资源

定义一个UserController

@RestController
@RequestMapping("/user")
public class UserController {


    @GetMapping()
    //只有角色为'ROLE_ADMIN'
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public String getUser() throws JsonProcessingException {
        return "root";
    }

    @GetMapping("/info")
    //只有角色'ROLE_USER'
    @PreAuthorize("hasRole('ROLE_USER')")
    public String getUserInfo() throws JsonProcessingException {
        return "root";
    }
}

将登陆返回的access_token 携带在头部进行请求
在这里插入图片描述
访问/user/info

在这里插入图片描述
因为我们代码中赋值的角色信息为’ROLE_ADMIN’,所以访问/use成功,访问/user/info 则显示权限不足

当我们不携带token访问资源时:
在这里插入图片描述
提示我们需要先登录。

"小王"
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
SecuritySpring Boot配置自定义登录接口
qq_43887341的博客
06-21 1180
SecuritySpring Boot配置自定义登录接口
spring security自定义用户登入
m0_46392265的博客
06-15 421
2.创建实体类实现UserDetailsService接口。1.设置security的配置类。
springsecurity oauth2.0 springboot整合 spring security自定义登录页面5
健康平安的活着的专栏
08-08 3978
自定义认证页面 1.1 说明 1. 如果用户没有自定义登录页面,spring security 默认会启动自身内部的登录页面,尽管自动生成的登录页面很方便 快速启动和运行,但大多数应用程序都希望定义自己的登录页面。 1.2 自定义登录页面 在新建一个webapp目录,和resouces目录,平级,将login.jsp页面考配到这个页面下 页面代码: <%@ page contentType="text/html;charset=UTF-8" pageEncoding="utf-.
SpringSecurity之二:web自定义用户登录
铃萌的博客
05-01 2528
官方文档:Hello Spring Security :: Spring Security 一、认证流程 先了解下SpringSecurity认证的流程,如下图(图片来自官网): step1:用户提交请求,AbstractAuthenticationProcessingFilter会从请求信息中生成Authentication对象,Authentication对象根据AbstractAuthenticationProcessingFilter子类决定; step2:通过Authentication.
SpringSecurity + JWT实现登录认证
最新发布
qh1112的博客
05-06 435
springSecurity整合jwt+redis实现token
自定义SpringSecurity的登陆接口
weixin_35749440的博客
01-06 769
Spring Security 中,可以使用自定义登录接口来实现自定义登录逻辑。 首先,你需要继承 UsernamePasswordAuthenticationFilter 类并重写 attemptAuthentication 方法,在这个方法中编写你的登录逻辑。然后,使用 AuthenticationManager 去验证用户名和密码。 接下来,你需要在你的 Spring Secur...
SpringSecurity+自定义登录界面+JwtToken+拦截器+前后端分离
qq_47737949的博客
01-23 3120
SpringSecurity+自定义登录界面+JwtToken+拦截器+前后端分离
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
SpringSecurityJWT实现token认证和授权.zip
08-09
在这个主题中,我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证和授权。 JWT 是一种轻量级的、安全的、无状态的身份验证机制,常用于API的鉴权。它通过在客户端和服务器之间传递令牌...
Spring security+jwt服务鉴权完整代码.zip
09-09
本项目"Spring security+jwt服务鉴权完整代码.zip"是基于Spring Security实现JWT身份验证服务。主要包含了以下关键知识点: 1. **JWT令牌生成与验证**:JWT由三部分组成:头部(Header)、负载(Payload)和签名...
Spring Security结合JWT的方法教程
08-28
Spring Security 结合 JWT 的方法教程 Spring Security 是一个基于 Java安全框架,提供了强大的身份验证和...通过本教程,读者可以了解 Spring Security 结合 JWT实现细节,并掌握如何使用 JWT 实现身份验证。
SpringSecurity自定义多重登录方式
头发茂密的假程序猿
12-27 5121
前后分离项目,SpringSecurity自定义多重登录方式,通过自定义AuthenticationProvider实现,同时自定义过滤器进行登录验证
Spring Security -- 自定义登录
smile_code_dog的博客
04-15 2515
Spring Security自定义登录 1 使用formLogin() http .formLogin() .loginPage("/myLogin") // 自定义登录页面 .loginProcessingUrl("/doLogin") // 自定义登录接口 .permitAll(); 2 自定义登录过滤器 SpringSecurity 默认使用的是 UsernamePasswordAuthenticationFilter 过滤器,我们可以实现 AbstractA
前后分离项目整合spring security自定义登录验证接口,并解决maximumSessions(1)不生效的问题
Johnson_7的博客
09-19 4385
前后分离项目整合spring security自定义登录验证接口,并解决maximumSessions(1)不生效的问题
厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecuritySpring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2224
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
SpringSecurity+JWT自定义用户认证服务
遭不住啊
08-23 777
一、导入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> <dependency> <groupId>org.springframework.boot&lt
Spring Security 结合jwt 自定义权限认证 基于huike CRM系统
jikeyeka的博客
07-26 1926
crm系统的登录模块 spring security 登录验证 jwt token 鉴权 权限管理
spring security校验jwt token的代码
05-26
Spring Security校验JWT Token的代码可以参考如下: 首先,需要创建JWT Token的验证过滤器类。该类继承自OncePerRequestFilter,并在doFilterInternal()方法中实现JWT Token的校验逻辑: ```java public class JwtTokenAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider jwtTokenProvider; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = jwtTokenProvider.resolveToken(request); try { if (token != null && jwtTokenProvider.validateToken(token)) { Authentication auth = jwtTokenProvider.getAuthentication(token); if (auth != null) { SecurityContextHolder.getContext().setAuthentication(auth); } } } catch (JwtException e) { response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); response.sendError(HttpServletResponse.SC_UNAUTHORIZED, e.getMessage()); return; } filterChain.doFilter(request, response); } } ``` 然后,需要创建JWT Token的提供者类,该类负责创建Token并验证Token: ```java @Component public class JwtTokenProvider { @Value("${jwt.secret}") private String secretKey; @Value("${jwt.token.validity}") private long validityInMilliseconds; private Key getSecretKey() { return Keys.hmacShaKeyFor(secretKey.getBytes()); } public String createToken(String username, List<Role> roles) { Claims claims = Jwts.claims().setSubject(username); claims.put("auth", roles.stream().map(role -> new SimpleGrantedAuthority(role.getAuthority())).filter(Objects::nonNull).collect(Collectors.toList())); Date now = new Date(); Date validity = new Date(now.getTime() + validityInMilliseconds); return Jwts.builder() .setClaims(claims) .setIssuedAt(now) .setExpiration(validity) .signWith(getSecretKey()) .compact(); } public Authentication getAuthentication(String token) { UserDetails userDetails = new User(getUsername(token), "", getAuthorities(token)); return new UsernamePasswordAuthenticationToken(userDetails, "", userDetails.getAuthorities()); } private String getUsername(String token) { return Jwts.parserBuilder().setSigningKey(getSecretKey()).build().parseClaimsJws(token).getBody().getSubject(); } private List<GrantedAuthority> getAuthorities(String token) { Claims claims = Jwts.parserBuilder() .setSigningKey(getSecretKey()) .build() .parseClaimsJws(token) .getBody(); List<LinkedHashMap<String, String>> roles = (List<LinkedHashMap<String, String>>) claims.get("auth"); return roles.stream().map(role -> new SimpleGrantedAuthority(role.get("authority"))).collect(Collectors.toList()); } public boolean validateToken(String token) { try { Jwts.parserBuilder().setSigningKey(getSecretKey()).build().parseClaimsJws(token); return true; } catch (JwtException | IllegalArgumentException e) { e.printStackTrace(); return false; } } public String resolveToken(HttpServletRequest req) { String bearerToken = req.getHeader("Authorization"); if (bearerToken != null && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` 最后,需要把上述过滤器类和提供者类添加到Spring Security的配置中: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenProvider jwtTokenProvider; @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() .authorizeRequests() .antMatchers("/api/v1/auth/login").permitAll() .anyRequest().authenticated() .and() .addFilterBefore(new JwtTokenAuthenticationFilter(jwtTokenProvider), UsernamePasswordAuthenticationFilter.class); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(12); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder()); } @Bean public UserDetailsService userDetailsService() { return new UserServiceImpl(); } } ``` 以上代码用来实现Spring Security校验JWT Token的功能,提供了创建Token、校验Token和获取Token中存储的用户和权限信息等相关方法。您可以根据您的实际需求进行修改和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值