Spring Security Auth2.0的快速实现

最新推荐文章于 2024-04-29 09:50:49 发布
最新推荐文章于 2024-04-29 09:50:49 发布
阅读量319 收藏 1
点赞数
分类专栏: Java随笔 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50379749/article/details/128655846
版权

Spring Security Auth2.0的快速实现

**注:**本文只是用于快速实现,没有原理,以及说明

1.加入依赖
<!--security -->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
            <version>5.3.4.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>5.3.4.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>5.3.4.RELEASE</version>
        </dependency>
2.yml文件中配置
jwt:
  #JWT存储的请求头
  tokenHeader: Authorization
  #JWT加解密使用的密钥,可修改
  secret: erabbit-secret
  #JWT超期限的时间(60*60*24)
  expiration: 604800
  #JWT负载中拿到的开头
  tokenHead: Bearer
3.加入配置文件
JwtAuthencationTokenFilter
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @author Mr.li
 * @program: magipe
 * @description jwt登陆授权过滤器
 * @create 2021-06-18
 **/
public class JwtAuthencationTokenFilter extends OncePerRequestFilter {

    @Value("${jwt.tokenHeader}")
    private String tokenHeader;
    @Value("${jwt.tokenHead}")
    private String tokenHead;
    @Autowired
    private JwtTokenUtil jwtTokenUtil;
    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
                                    FilterChain filterChain) throws ServletException, IOException {
        String authHeader=httpServletRequest.getHeader(tokenHeader);
        //存在token
        if (null!=authHeader&&authHeader.startsWith(tokenHead)){
            String authToken = authHeader.substring(tokenHead.length());
            String username = jwtTokenUtil.getUserNameFromToken(authToken);
            //token存在用户名但未登陆
            if (null!=username&&null== SecurityContextHolder.getContext().getAuthentication()){
                //登陆
                UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                //验证token是否有效,重新设置用户对象
                if (jwtTokenUtil.validateToken(authToken,userDetails)) {
                    UsernamePasswordAuthenticationToken authenticationToken = new
                            UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                    authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpServletRequest));
                    SecurityContextHolder.getContext().setAuthentication(authenticationToken);
                }
            }
        }
        filterChain.doFilter(httpServletRequest,httpServletResponse);
    }
}
RestAuthorizationEntryPoint
import com.erabbit.erabbit.admin.model.ResultBody;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * @author Mr.li
 * @program: magipe
 * @description 当未登录或者token实现时间访问接口是,自定义返回结果
 * @create 2021-06-18
 **/
@Component
public class RestAuthorizationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
                         AuthenticationException e) throws IOException, ServletException {
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json");
        PrintWriter out=httpServletResponse.getWriter();
        ResultBody resultBody=ResultBody.failed();
        resultBody.code(401);
        out.write(new ObjectMapper().writeValueAsString(resultBody));
        out.flush();
        out.close();

    }
}
RestfulAccessDeniedHandler
import com.erabbit.erabbit.admin.model.ResultBody;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * @author Mr.li
 * @program: magipe
 * @description 当接口没有权限时,自定义返回结果
 * @create 2021-06-18
 **/
@Component
public class RestfulAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json");
        PrintWriter out=httpServletResponse.getWriter();
        ResultBody resultBody=ResultBody.failed();
        resultBody.code(403);
        out.write(new ObjectMapper().writeValueAsString(resultBody));
        out.flush();
        out.close();
    }
}
JwtTokenUtil
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * @author Mr.li
 * @program: magipe
 * @description
 * @create 2021-06-17
 **/
@Component
public class JwtTokenUtil {
    private static final String CLAIM_KEY_USERNAME="sub";
    private static final String CLAIM_KEY_CREATED="created";
    @Value("${jwt.secret}")
    private String secret;
    @Value("${jwt.expiration}")
    private Long expiration;
    /*
     * @Author li
     * @Description //根据用户信息生成token
     * @Date  2021/6/17/017
     * @Param
     * @return
     **/
    public String generateToken(UserDetails userDetails){
        Map<String,Object> claims= new HashMap<>();
        claims.put(CLAIM_KEY_USERNAME,userDetails.getUsername());
        claims.put(CLAIM_KEY_CREATED,new Date());
        return generateToken(claims);
    }

    /*
     * @Author li
     * @Description //从token中获取登录用户名
     * @Date  2021/6/17/017
     * @Param [token]
     * @return java.lang.String
     **/
    public String getUserNameFromToken(String token){
        String username;
        try {
            Claims claims=getClaimsFormToken(token);
            username=claims.getSubject();
        }catch (Exception e){
            username=null;
        }
        return username;
    }

    /*
     * @Author li
     * @Description //验证token是否有效
     * @Date  2021/6/17/017
     * @Param [token, userDetails]
     * @return boolean
     **/
    public boolean validateToken(String token,UserDetails userDetails){
        String username=getUserNameFromToken(token);
        return username.equals(userDetails.getUsername()) && !isTokenExpired(token);
    }

    /*
     * @Author li
     * @Description //判断token是否失效
     * @Date  2021/6/17/017
     * @Param [token]
     * @return boolean
     **/
    private boolean isTokenExpired(String token){
        Date expireDate=getExpiredDateFromToken(token);
        return expireDate.before(new Date());
    }

    /*
     * @Author li
     * @Description //从token中获取过期时间
     * @Date  2021/6/17/017
     * @Param [token]
     * @return java.util.Date
     **/
    private Date getExpiredDateFromToken(String token){
        Claims claims=getClaimsFormToken(token);
        return claims.getExpiration();
    }

    /*
     * @Author li
     * @Description //判断token是否可以被刷新
     * @Date  2021/6/17/017
     * @Param [token]
     * @return boolean
     **/
    public boolean canRefresh(String token){
        return !isTokenExpired(token);
    }

    /*
     * @Author li
     * @Description //刷新token
     * @Date  2021/6/17/017
     * @Param [token]
     * @return java.lang.String
     **/
    public String refreshToken(String token){
        Claims claims=getClaimsFormToken(token);
        claims.put(CLAIM_KEY_CREATED,new Date());
        return generateToken(claims);
    }

    /*
     * @Author li
     * @Description //从token中获取荷载
     * @Date  2021/6/17/017
     * @Param [token]
     * @return io.jsonwebtoken.Claims
     **/
    private Claims getClaimsFormToken(String token){
        Claims claims=null;
        try{
            claims=Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        }catch (Exception e){
            e.printStackTrace();
        }
        return claims;
    }
    /*
     * @Author li
     * @Description //根据荷载生成JWT TOKEN
     * @Date  2021/6/17/017
     * @Param [claims]
     * @return java.lang.String
     **/
    private String generateToken(Map<String,Object> claims){
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate())
                .signWith(SignatureAlgorithm.HS512,secret)
                .compact();
    }

    /*
     * @Author li
     * @Description //生成token失效时间
     * @Date  2021/6/17/017
     * @Param []
     * @return java.util.Date
     **/
    private Date generateExpirationDate(){
        return new Date(System.currentTimeMillis()+expiration*1000);
    }
}
SecurityConfig
import com.erabbit.erabbit.admin.entity.User;
import com.erabbit.erabbit.admin.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

/**
 * @author Mr.li
 * @program: magipe
 * @description
 * @create 2021-06-18
 **/
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserService userService;
    @Autowired
    private RestAuthorizationEntryPoint restAuthorizationEntryPoint;
    @Autowired
    private RestfulAccessDeniedHandler restfulAccessDeniedHandler;

    @Override
    protected void configure(AuthenticationManagerBuilder auth)throws Exception{
        auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //使用jwt不需要csrf
        http.csrf()
                .disable()
                //基于token,不需要session
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                //允许登陆访问
                .antMatchers("/login/user",
                        "/user/info").anonymous()
                .antMatchers(
                        "/",
                        "/*.html",
                        "/**/*.html",
                        "/**/*.css",
                        "/**/*.js",
                        "/profile/**"
                ).permitAll()
                .antMatchers("/swagger-ui.html").anonymous()
                .antMatchers("/swagger-resources/**").anonymous()
                .antMatchers("/webjars/**").anonymous()
                .antMatchers("/*/api-docs").anonymous()
                //除了上面的都要认证
                .anyRequest()
                .authenticated()
                .and()
                .headers()
                .cacheControl();
        //添加jwt,登陆授权过滤器
        http.addFilterBefore(jwtAuthencationTokenFilter(), UsernamePasswordAuthenticationFilter.class);
        //添加自定义未授权和未登录结果返回
        http.exceptionHandling()
                .accessDeniedHandler(restfulAccessDeniedHandler)
                .authenticationEntryPoint(restAuthorizationEntryPoint);
    }

    @Override
    @Bean
    public UserDetailsService userDetailsService(){
        return username->{
            User infoByUserName = userService.getInfoByUserName(username);
            if (null!=infoByUserName){
                return infoByUserName;
            }
            return null;
        };
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    public JwtAuthencationTokenFilter jwtAuthencationTokenFilter(){
        return new JwtAuthencationTokenFilter();
    }
}

注: ResultBody是返回体,可替换,UserService是用户服务

访问时在Headers里面带上key为Authorization,value则是Bearer+token

4.登录的实现
	@Autowired
    private UserMapper userMapper;
    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private PasswordEncoder passwordEncoder;
    @Autowired
    private JwtTokenUtil jwtTokenUtil;
    @Value("${jwt.tokenHead}")
    private String tokenHead;

 //根据用户名获取用户
    @Override
    public User getInfoByUserName(String username) {
        QueryWrapper<User> queryWrapper = new QueryWrapper<>();
        queryWrapper.lambda().eq(User::getUsername,username);
        return  userMapper.selectOne(queryWrapper);
    }

@Override
    public TokenInfo login(String userName, String password, HttpServletRequest request)  {
        //登陆
        UserDetails userDetails=userDetailsService.loadUserByUsername(userName);
        if (null==userDetails||!passwordEncoder.matches(password,passwordEncoder.encode(userDetails.getPassword()))){
            throw new IllegalArgumentException("账号或密码错误");
        }
        if (!userDetails.isEnabled()){
            throw new IllegalArgumentException("该账号已被禁用");
        }
        //更新登陆
        UsernamePasswordAuthenticationToken authenticationToken=new UsernamePasswordAuthenticationToken(
                userDetails,null,userDetails.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        //生成token
        String token=jwtTokenUtil.generateToken(userDetails);

        TokenInfo tokenInfo = new TokenInfo();
        tokenInfo.setToken(token);
        tokenInfo.setTokenHead(tokenHead);
        return tokenInfo;
    }

返回内容

import lombok.Data;

@Data
public class TokenInfo {

    private String token;

    private String tokenHead;
}
迟日暖风
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security】oauth2.0介绍
u014416842的博客
05-05 1934
OAuth2.0介绍 OAuth 2.0是用于授权的行业标准协议,允许用户让第三方应用访问该用户在某一网站受保护的资源(比如user API),而无需将用户名和密码提供给第三方应用。OAuth 2.0专注于简化客户端开发,同时为web应用程序、桌面应用程序、移动电话和客厅设备提供特定的授权流程。 角色划分 resource owner:资源所有者,能够授予第三方应用访问特定保护资源的权限。 当资源所有者是个人时,它是被称为最终用户。 resource server: 资源服务器,受保护的资源一般通过..
实战干货!Spring Cloud Gateway 整合 OAuth2.0 实现分布式统一认证授权!
竹林幽深
04-17 2631
新建一个JwtAuthenticationManager,需要实现ReactiveAuthenticationManager这个接口。认证管理的作用就是获取传递过来的令牌,对其进行解析、验签、过期时间判定。详细代码如下:逻辑很简单,就是通过JWT令牌服务解析客户端传递的令牌,并对其进行校验,比如上传三处校验失败,抛出令牌无效的异常。抛出的异常如何处理?如何定制返回的结果?这里抛出的异常可以通过Spring Cloud Gateway的全局异常进行捕获,这个内容在。
Spring Security OAuth 2.0
weixin_46894136的博客
07-15 2215
OAuth2通常用于构建安全的API和Web应用程序,使用户能够授权其他应用程序访问其数据,同时提供了更好的安全性和用户控制。除了OAuth2之外,Spring Security还提供了其他身份验证和授权机制的支持,例如基于表单的身份验证和基于角色的授权。OAuth 2.0是一种授权框架,提供了一套规范和协议,用于实现授权流程和访问令牌的管理,而非单个的授权协议。简化模式的优点是简单易用,适用于客户端是浏览器的应用程序,但缺点是安全性较低,因为访问令牌直接传递给浏览器,容易被恶意攻击者截获。
授权协议OAuth 2.0之基于spring security的实战
最新发布
wang0907的博客
04-29 446
不管是OAuth2.0的授权协议,还是基于OAuth2.0的OIDC认证授权协议,都规定了比较复杂的流程,以及各种需要我们注意的内容。如果是所有的工作都从0来做的话,无疑是需要投入非常多的时间,并且可能由于实现的不够完善,而造成各种安全问题。此时我们就需要做这种事情的一个框架来帮助我们了。当前,该类的框架有spring security,shrio,本文以spring security为例来一起看下。
SpringSecurity+Jwt+Autho2整合(一)
https://juejin.cn/user/4248168663101239/posts
08-08 1103
SpringSecurity+JWT+Autho2整合一. SpringSecurity简介二. SpringSecurity快速入门①. 导入依赖②. 登录页面③. 访问页面④. UserDetailsService详解⑤. UserDetails详解⑥. PasswordEncoder 密码解析器详解⑦. 自定义登录逻辑_修改配置类1. 登录页面配置2. 失败跳转3. 添加控制器的方法4. 设置请求账户和密码的参数名5. 自定义登录成功处理器6. 自定义登录失败处理器7. 访问控制url匹配8. 内置访
一、SpringSecurity+auth2.0系列(Basic基础认证)
qq_38132995的博客
09-04 897
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 **Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(.
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
spring security + oauth 2.0 实现单点登录、认证授权
06-26
spring security + oauth 2.0 实现单点登录、认证授权,直接贴代码
spring security oauth2.0 需要的基础 sql 文件
09-25
spring security oauth2.0 需要的基础 sql 文件
Spring Security OAuth2 实现登录互踢的示例代码
08-19
Spring Security OAuth2 实现登录互踢的示例代码 Spring Security OAuth2 是一个基于 OAuth2 协议的身份验证框架,提供了丰富的身份验证机制和授权机制。本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例...
Spring Security OAuth2 授权码模式的实现
08-18
Spring Security OAuth2 授权码模式是 OAuth 2.0 授权流程中的一种常见模式,该模式要求用户登录并对第三方应用(客户端)进行授权,出示授权码交给客户端,客户端凭授权码换取 access_token(访问凭证)。...
Spring Oauth2.0认证体系
kidkid1208的博客
11-15 615
OAuth2.0是做什么的? 通过token方式,授权第三方应用访问服务器的特定资源。 (如:第三方应用微信登录获取用户头像微信名,或第三方应用调用后端短信发送模块短信发送接口。) OAuth2.0授权的四种方式 授权码模式 授权流程: 第三方应用通过client_id和客户端密码(可选)访问授权服务器验证客户端信息并注册回调(redirect)。(第三方需要提前在授权服务器注册) 用户在授权页面输入用户名密码(或二维码)进行授权。 授权服务器将用户导向redirect_url并附上返回授权码cod
Spring Security OAuth2 JWT认证服务器配置
OceanSky的专栏
07-16 3256
1.四种授权模式 授权码模式 密码模式 客户端模式 简化模式 2.密码模式 http://localhost:9001/oauth/token?username=user&password=user&grant_type=password&client_id=client&client_secret=secret grant_type:授权类型,必选,此处固...
Spring Security(二)OAuth2认证详解
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
Spring Security + OAuth2.0 + JWT 实现单点登录
随笔
07-21 4077
使用 Spring Security + OAuth2.0 + JWT 实现单点登录
Auth2.0 java方式实现代码
qililong88的博客
04-27 6062
在对接的时候用到了Auth2.0,对方用的C#写的项目并给我发了如下的demo: 官网:https://getkong.org/plugins/oauth2-authentication/ 会linux的应该能看懂,直接在linux里执行却不通,后来在¥ curl 后加  "-k"之后就访问通了,原来是因为他用的HTTPS,需要认证,但是没有证书,所以要加上忽略 服务器认证证书,
关于OAuth2.0认证的理解和java实现
热门推荐
弓一的博客
01-10 2万+
本来想写写自己的理解的,发现没什么必要。。。 原理的话看阮一峰这篇就好:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 例子的一看这一篇:http://jinnianshilongnian.iteye.com/blog/2038646 其实对于之前没接触过认证流程的人来说,直接给你一个“oauth2.0”的概念,看了半天网上
大白话唠唠 Oauth2 与授权认证的那些事儿!
石杉的架构笔记
11-26 1358
我的新课《C2C 电商系统微服务架构120天实战训练营》在公众号儒猿技术窝上线了,感兴趣的同学,可以长按扫描下方二维码了解课程详情:课程大纲请参见文末出处:https://kefeng....
auth2.0+jwt+spring security
08-29
Auth2.0是一种用于授权的开放标准,它允许用户授权第三方应用访问他们的资源...综上所述,Auth2.0、JWT和Spring Security是一套强大的工具,可以帮助开发人员构建安全可靠的应用程序,并提供用户认证和资源授权的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值