springboot整合jwt与vue的后端管理系统4

最新推荐文章于 2024-05-29 16:13:40 发布
最新推荐文章于 2024-05-29 16:13:40 发布
阅读量851 收藏
点赞数
分类专栏: springboot项目 文章标签: vue.js spring boot 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45905045/article/details/123487174
版权

接着上章节下面我们做一下身份认证

登录成功之后前端就可以获取到了jwt的信息,所以后端进行用户身份识别的时候,我们需要通过请求头中获取jwt,然后解析出我们的用户名,这样我们就可以知道是谁在访问我们的接口啦,然后判断用户是否有权限等操作

那么我们自定义一个过滤器用来进行识别jwt

JWTAuthenticationFilter

代码如下

import cn.hutool.core.util.StrUtil;

import com.rao.service.SysUserService;
import com.rao.utils.JwtUtils;
import com.rao.utils.RedisUtil;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtException;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.TreeSet;

@Slf4j
public class JWTAuthenticationFilter extends BasicAuthenticationFilter {
     @Autowired
    JwtUtils jwtUtils;
     @Autowired
    RedisUtil redisUtil;

     @Autowired
    SysUserService sysUserService;

    public JWTAuthenticationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
       log.info("jwt 校验filter");
        String jwt = request.getHeader(jwtUtils.getHeader());
        if (StrUtil.isBlankOrUndefined(jwt)){
            chain.doFilter(request,response);
            return;
        }
        Claims claimByToken = jwtUtils.getClaimByToken(jwt);
        if (claimByToken==null){
            throw new JwtException("token异常");
        }
        if(jwtUtils.isTokenExpired((Claims) claimByToken.getExpiration())){
            throw new  JwtException("token异常");

        }
        String username = claimByToken.getSubject();
        log.info("用户-{},正在登录!",username);
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken =
                new UsernamePasswordAuthenticationToken(username,null,new TreeSet<>());
        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
        chain.doFilter(request,response);


    }
}

上面的逻辑也很简单,正如我前面说到的,获取到用户名之后我们直接把封装成UsernamePasswordAuthenticationToken,之后交给SecurityContextHolder参数传递authentication对象,这样后续security就能获取到当前登录的用户信息了,也就完成了用户认证。
当认证失败的时候会进入AuthenticationEntryPoint,于是我们自定义认证失败返回的数据

com.markerhub.security.JwtAuthenticationEntryPoint

import cn.hutool.json.JSONUtil;
import com.rao.common.lang.Result;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.ServletOutputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.nio.charset.StandardCharsets;

@Slf4j
@Component
public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
      log.info("认证失败!未登录");
      response.setContentType("application/json;charset=UTF-8");
      response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        ServletOutputStream outputStream = response.getOutputStream();
        Result fail = Result.fail("请先登录!");
        outputStream.write(JSONUtil.toJsonStr(fail).getBytes(StandardCharsets.UTF_8));
        outputStream.flush();
        outputStream.close();

    }
}

 不过是啥原因,认证失败,我们就要求重新登录,所以返回的信息直接明了“请先登录!”哈哈。
然后我们把认证过滤器和认证失败入口配置到SecurityConfig中:

protected void configure(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable()
                .formLogin()
                .failureHandler(loginFailureHandler)
                .successHandler(loginSuccessHandler)
                .and()
                .authorizeRequests()
                .antMatchers(URL_WHITELIST).permitAll()
                .anyRequest().authenticated()
                .and()
                .exceptionHandling()
                .authenticationEntryPoint(authenticationEntryPoint)

                //不会创建session
                .and()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .addFilter(jwtAuthenticationFilter())
                .addFilterBefore(captchaFilter, UsernamePasswordAuthenticationFilter.class)
        ;

    }
    @Bean
    JWTAuthenticationFilter jwtAuthenticationFilter()throws Exception{
        JWTAuthenticationFilter jwtAuthenticationFilter = new JWTAuthenticationFilter(authenticationManager());
       return  jwtAuthenticationFilter;
    }

 身份认证:

之前我们的用户名密码配置在配置文件中的,而且密码也用的是明文,这明显不符合我们的要求,我们的用户必须是存储在数据库中,密码也是得经过加密的。所以我们先来解决这个问题,然后再去弄授权。

 下面我们接着讲如何将密码进行加密的方式

com.markerhub.config.SecurityConfig

@Bean
BCryptPasswordEncoder bCryptPasswordEncoder() {
   return new BCryptPasswordEncoder();
}

在此基础加上测试路径加在白名单上:

测试一下

 @Autowired
    SysUserService userService;
    @Autowired
    BCryptPasswordEncoder bCryptPasswordEncoder;
    @GetMapping("/test/pass")
    public Result test(){
        // 密码加密
        String pass = bCryptPasswordEncoder.encode("111111");

        // 密码验证
        boolean matches = bCryptPasswordEncoder.matches("111111", pass);

        return Result.succ(MapUtil.builder()
                .put("pass", pass)
                .put("marches", matches)
                .build()
        );
    }

这样系统就会使用我们找个新的密码策略进行匹配密码是否正常了。之前我们配置文件配置的用户名密码去掉:

  • application.yml
#  security:
#    user:
#      name: user
#      password: 111111

 

 测试成功密码111111加密完成

把admin的密码换成自己加密的密码

但是先我们登录过程系统不是从我们数据库中获取数据的,因此,我们需要重新定义这个查用户数据的过程,我们需要重写UserDetailsService接口。

com.markerhub.security.UserDetailsServiceImpl

package com.rao.security;

import com.rao.entity.SysUser;
import com.rao.service.SysUserService;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.TreeSet;

@Slf4j
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    SysUserService sysUserService;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        SysUser user = sysUserService.getByUsername(username);

        if (user==null){
            throw new UsernameNotFoundException("用户名或密码不正确!");

        }
        return new AccountUser(user.getId(), user.getUsername(), user.getPassword(), new TreeSet<>());
    }
}

因为security在认证用户身份的时候会调用UserDetailsService.loadUserByUsername()方法,因此我们重写了之后security就可以根据我们的流程去查库获取用户了。然后我们把UserDetailsServiceImpl配置到SecurityConfig中:

  • com.markerhub.config.SecurityConfig
@Autowired
UserDetailsServiceImpl userDetailsService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
   auth.userDetailsService(userDetailsService);
}

 然后上面UserDetailsService.loadUserByUsername()默认返回的UserDetails,我们自定义了AccountUser去重写了UserDetails,这也是为了后面我们可能会调整用户的一些数据等。

com.markerhub.security.AccountUser

package com.rao.security;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.util.Assert;

import java.util.Collection;


public class AccountUser implements UserDetails {
    private Long userId;

    private String password;

    private final String username;

    private final Collection<? extends GrantedAuthority> authorities;

    private final boolean accountNonExpired;

    private final boolean accountNonLocked;

    private final boolean credentialsNonExpired;

    private final boolean enabled;
    public AccountUser(Long userId, String username, String password, Collection<? extends GrantedAuthority> authorities) {
        this(userId, username, password, true, true, true, true, authorities);
    }


    public AccountUser(Long userId, String username, String password, boolean enabled, boolean accountNonExpired,
                       boolean credentialsNonExpired, boolean accountNonLocked,
                       Collection<? extends GrantedAuthority> authorities) {
        Assert.isTrue(username != null && !"".equals(username) && password != null,
                "Cannot pass null or empty values to constructor");
        this.userId = userId;
        this.username = username;
        this.password = password;
        this.enabled = enabled;
        this.accountNonExpired = accountNonExpired;
        this.credentialsNonExpired = credentialsNonExpired;
        this.accountNonLocked = accountNonLocked;
        this.authorities = authorities;
    }


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.authorities;
    }

    @Override
    public String getPassword() {
        return this.password;
    }

    @Override
    public String getUsername() {
        return this.username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return this.accountNonExpired;
    }

    @Override
    public boolean isAccountNonLocked() {
        return this.accountNonLocked;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return this.credentialsNonExpired;
    }

    @Override
    public boolean isEnabled() {
        return this.enabled;
    }
}

测试一下获取验证码

然后登录

 测试成功

姜大师在线求学
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT介绍和使用
qq_44907528的博客
06-08 621
JWT的简单介绍和使用
JWT认证原理,并整合SpringBoot
weixin_45747080的博客
12-25 340
JWT认证原理,并整合SpringBoot 1、JWT是什么? JWT是Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 2、JWT的结构 JWT由三部
后端代码解析工具类(until)JwtUtils
最新发布
2201_75464794的博客
05-29 731
个人理解这个JwtUtils类实现了一系列与JWT(JSON Web Token)相关的功能,主要包括:生成JWT:类提供了几种方法来生成JWT,可以基于用户的主体信息(如用户名),也可以包括用户的角色权限,以及可以设置自定义的过期时间。解析JWT:类提供了一个方法来解析传入的JWT,并返回一个Claims对象,这个对象包含了JWT中的所有声明(如主体、过期时间、自定义声明等)。校验JWT:在解析JWT的过程中,类会自动校验JWT的有效性,包括签名是否正确,以及JWT是否过期。
JWT(JSON Web Token) 学习笔记(整合Spring Boot)
yxc852814721的博客
02-10 1009
JWT(JSON Web Token) 学习笔记(整合Spring Boot)1、了解 JWT1.1、什么是 JWT ?1.2、什么时候使用 JWT ?1.3、JWT 的结构?1.3.1、Header1.3.2、PayLoad1.3.3、Signature1.3.4、完整的 JWT1.4、JSON Web 令牌如何工作?1.5、为什么要使用 JWT ?1.5.1、基于传统的 Session 认证2、JWT 的第一个程序(Spring Boot)2.1、引入依赖2.2、创建Token并对其进行签名2.3、根据
Jwt在Java项目中的简单实际应用
dxyzhbb的博客
08-10 450
1.什么是jwt 双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。 2.Jwt在javaweb项目中的简单使用 第一步:引入maven依赖 <!.
java decodetoken_Java DecodedJWT.getClaim方法代码示例
weixin_39710660的博客
02-28 1081
import com.auth0.jwt.interfaces.DecodedJWT; //导入方法依赖的package包/类@Overridepublic Authentication authenticate(Authentication auth) throws AuthenticationException {JWTAuthenticationToken authentication = ...
源码-二十、SpringBoot + Jwt + Vue管理系统(1).zip
10-27
4. **前后端交互**: 管理系统采用RESTful API设计,前端Vue.js通过HTTP/HTTPS请求与后端SpringBoot进行通信。通常包括登录、注册、数据查询、增删改查等操作,数据传输通常采用JSON格式。 5. **Spring Security**: ...
基于SpringBoot3+Vue3整合开发学生信息管理系统.zip
03-04
《基于SpringBoot3+Vue3整合开发学生信息管理系统》是一个典型的现代Web应用程序开发案例,它融合了前沿的技术栈,旨在实现高效、灵活的信息管理。在这个项目中,我们主要关注以下几个核心知识点: 1. **SpringBoot...
基于SpringBoot构建的后端开发脚手架项目,完美整合mybatis+springboot+jwt token
05-15
该项目利用了基于springboot + vue + mysql的开发模式框架实现的课设系统,包括了项目的源码资源、sql文件、相关指引文档等等。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理...
基于SpringBoot,Spring Security,JWTVue & Element 的前后端分离权限管理系统.rar
10-20
这是一个全面的IT项目,涉及到多个技术栈的整合,主要用于构建一个功能完善的权限管理系统。下面将分别解析这个系统的核心组成部分和相关知识点。 1. **SpringBoot**:SpringBoot是由Pivotal团队提供的全新框架,它...
springboot+vue权限管理系统.zip
08-05
【标题】"springboot+vue权限管理系统.zip"是一款基于Java的SpringBoot框架和前端Vue.js技术构建的IT毕业设计项目,旨在实现一个完整的权限管理功能系统。该项目利用现代Web开发技术,结合后端服务和前端界面,为...
JWT的学习笔记
qq_40558654的博客
03-31 641
1.什么是JWT? 官网地址: https://jwt.io/introduction/ 定义: Json Web Token(JWT)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。 jwt可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名 通俗解释:JSON Web Token,简称JWT,也就...
基于JWT实现简单的用户登陆验证(超详细)
weixin_47025166的博客
06-20 9493
基于JWT实现简单的用户登陆验证
JWT的讲解和使用
weixin_59244784的博客
09-21 612
JWT的讲解和使用
Java如何使用Jwt鉴权
热门推荐
wang386476890的专栏
04-13 1万+
首先是坐标 <dependency> <groupId>commons-lang</groupId> <artifactId>commons-lang</artifactId> <version>2.6</version> </dependency> <dependency> <groupId>com.auth0
SpringBoot+SpringSecurity+Jwt权限认证---认证
python6_quanzhan的博客
12-10 512
1. 整体逻辑 1. SpringSecurity认证的逻辑规则 启动项目时,SpringBoot自动检索所有带@Configuration的注解,所以就将我们的WebSecurityConfig给加载了,这个config中,我们需要在configure(AuthenticationManagerBuilder auth)方法中注册一个继承自UserDetailsService的接口,这个接口中只有一个方法,那就是使用username获取到数据库中用户信息并返回成UserDetail实体。这个方法需要.
Spring Boot集成JSON Web Token(JWT
攻城狮不是猫
05-22 1187
一:认证 在了解JWT之前先来回顾一下传统session认证和基于token认证。 1.1 传统session认证 http协议是一种无状态协议,即浏览器发送请求到服务器,服务器是不知道这个请求是哪个用户发来的。为了让服务器知道请求是哪个用户发来的,需要让用户提供用户名和密码来进行认证。当浏览器第一次访问服务器(假设是登录接口),服务器验证用户名和密码之后,服务器会生成一个sessionid(只有第一次会生成,其它会使用同一个sessionid),并将该session和用户信息关联起来,然后将sess
来来来~ 码一万字,带你读懂JWT
wdjnb的博客
05-06 2251
1. 为什么要用 JWT ? 认证 在谈起 JWT 之前,我们先了解一下什么是认证。 在登录淘宝、微博等软件或者网站之前,我们需要通过填写账号和密码来校验身份。认证是用来验证用户身份合法性的一种方式。 那我们登录成功之后,网站如何记录我们的身份信息呢? 前面我们在学习 servlet 的时候,知道了传统的系统主要是通过 session 来存储用户的信息。session 将用户的信息存储在服务端。 但是随着用户数量的增多,服务端就需要存一堆用户的认证信息,这种方式会不断增加服务端的压力..
SpringBoot集成 Jwt 实现Token验证访问拦截
树欲静而风不止
08-07 3342
1、Jwt 简介 JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作 为JSON对象传输。由于此信息是经过数字签名的,因此可以进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或 ECDSA的公钥/私钥对对JWT进行签名。 2、应用场景 授权:这是使用JWT最常见的方案。当用户登录后,每个后续请求将会在header带上JWT,允许用户访问允许使用该令牌的路由、服务和资源。...
springboot整合JWT
09-05
通过以上步骤,我们可以实现SpringBootJWT整合,实现了用户的登录和权限验证功能。<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference_title] - *1* [xmljava系统源码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值