spring security怎么生成JWT返回前端,以及怎么自定义JWT认证过滤器

于 2024-08-26 12:29:13 发布
阅读量206 收藏
点赞数 7
分类专栏: spring security jwt 从0开始做一个前后端分离项目 文章标签: spring 前端 java JWT spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55121347/article/details/141560884
版权

怎么生成JWT返回前端

1.先写一个类,里面含有jwt的生成解析验证过期时间的方法

package com.lzy.util;

import io.jsonwebtoken.*;
import lombok.Data;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

import java.util.Date;

@Component
@Data
@ConfigurationProperties(prefix = "lzy.jwt")

public class JwtUtil {
    Date date = new Date();
    private Long expireDate;
    private String SECRET_KEY;

    //生成JWT
    public String generateToken(String userName) {
        return Jwts.builder()
                .setHeaderParam("typ", "JWT") // 设置头部参数
                .setSubject(userName) // 设置主题或用户 ID
                .setIssuedAt(date) // 设置发行时间
                .setExpiration(new Date(date.getTime() + expireDate * 1000)) // 设置过期时间
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY) // 使用 HMAC SHA-256 算法和秘钥签名
                .compact(); // 生成 JWT 字符串
    }


    //解析JWT
    public Claims parseJwt(String jwt) throws Exception {
        try {
            // 解析 JWT 并返回 Claims 对象
            return Jwts.parser()
                    .setSigningKey(SECRET_KEY) // 设置秘钥
                    .parseClaimsJws(jwt)       // 解析 JWT 字符串
                    .getBody();                // 获取 Claims 对象
        } catch (Exception e) {
            return null;
        }
    }
    //JWT是否过期
    /**
     * 检测 JWT 是否过期
     *
     * @param claims JWT 的 Claims 对象
     * @return 是否已过期
     */
    public boolean isJwtExpired(Claims claims) {
        return claims.getExpiration().before(date);
    }

}

变量写在配置类

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/vueadmin?useUnicode=true&characterEncoding=utf-8&serverTimezone=UTC
    username: root
    password: Qq702196
    driver-class-name: com.mysql.cj.jdbc.Driver
  redis:
    host: localhost
    port: 6379
    password: 123456
  security:
    user:
      name: lzy
      password: 123456
mybatis-plus:
  mapper-locations: classpath:mapper/*.xml
server:
  port: 9270
lzy:
  jwt:
    expireDate: 604800
    SECRET_KEY: fadboabdabodibnkjfbyervrtwqeqdfs

2.在成功执行器中引入

package com.lzy.security;

import cn.hutool.json.JSONUtil;
import com.lzy.common.lang.Result;
import com.lzy.util.JwtUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.ServletOutputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@Component

public class LoginSuccessHandler implements AuthenticationSuccessHandler {
    @Autowired
    JwtUtil jwtUtil;
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        // 将响应的内容类型设置为JSON
        response.setContentType("application/json;charset=utf-8");
        // 获取响应的输出流
        ServletOutputStream out = response.getOutputStream();
        //生成JWT,并且放置到请求头
        String jwt = jwtUtil.generateToken(authentication.getName());
        response.setHeader("Authorization", jwt);
        // 创建一个包含异常消息的Result对象
        Result result = Result.success("成功");
        // 将Result对象转换为JSON字符串,并写入输出流
        out.write(JSONUtil.toJsonStr(result).getBytes("UTF-8"));
        // 刷新输出流
        out.flush();
        // 关闭输出流
        out.close();
    }

    }

因为我这里前端是放入的localstorage

成功

怎么自定义JWT认证过滤器

1.先写一个JWT认证过滤器

package com.lzy.security;

import cn.hutool.core.util.StrUtil;
import com.lzy.util.JwtUtil;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtException;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class JwtAuthenticationFilter extends BasicAuthenticationFilter {
    @Autowired
    JwtUtil jwtUtil;
    public JwtAuthenticationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }
    //重写父类方法
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        //调用父类方法
        String jwt = request.getHeader("Authorization");
        //判断jwt是否为空
        if(StrUtil.isBlankOrUndefined(jwt)){
            chain.doFilter(request,response);
            return;
        }
        //解析jwt
        Claims claims = null;
        try {
            claims = jwtUtil.parseJwt(jwt);
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
        if(claims == null){
            throw new JwtException("token无效");
        }
        if (jwtUtil.isJwtExpired(claims)) {
            throw new JwtException("token已过期");
        }
        //获取用户名
        String username = claims.getSubject();
        //获取权限信息
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, null, null);
        //将用户名和权限信息放入SecurityContextHolder
        SecurityContextHolder.getContext().setAuthentication(token);
        //继续执行过滤器链
        chain.doFilter(request,response);


    }
}

2.再进行引用

package com.lzy.config;
 
import com.lzy.security.CaptchaFilter;
import com.lzy.security.JwtAuthenticationFilter;
import com.lzy.security.LoginFailureHandler;
import com.lzy.security.LoginSuccessHandler;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) // 开启方法级别的权限注解
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    LoginFailureHandler loginFailureHandler;
    @Autowired
    LoginSuccessHandler loginSuccessHandler;
    @Autowired
    CaptchaFilter captchaFilter;
    @Bean
    JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
        return new JwtAuthenticationFilter(authenticationManager());
    }


    private static final String[] URL_WHITELIST = {
            "/login",
            "/logout",
            "/captcha",
            "/favicon.ico", // 防止 favicon 请求被拦截
    };

    protected void configure(HttpSecurity http) throws Exception {

        //跨域配置
        http.cors().and().csrf().disable()
                //登录配置
                .formLogin()
                .successHandler(loginSuccessHandler).failureHandler(loginFailureHandler)
                //禁用session
                .and().sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                //配置拦截规则
                .and().authorizeRequests()
                //白名单
                .antMatchers(URL_WHITELIST).permitAll()
                //其他请求都需要认证
                .anyRequest().authenticated()
                //异常处理器
                .and().addFilter(jwtAuthenticationFilter())
                //配置自定义的过滤器
                .addFilterBefore(captchaFilter, UsernamePasswordAuthenticationFilter.class);

    }
 
}

努力学习的小宇同学
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解析SpringSecurity+JWT认证流程实现
08-18
我们首先需要配置SpringSecurity过滤器链,然后在认证流程中,我们使用JWT token来验证用户的身份。如果用户的身份验证成功,我们将生成一个JWT token,并将其传递给客户端。 六、结论 SpringSecurity+JWT认证...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
7. **Spring Security配置**:配置Spring Security以启用JWT认证,设置访问控制规则,例如哪些URL需要认证,哪些URL对所有用户开放。 8. **认证Controller**:创建一个专门处理用户登录请求的Controller,接收登录...
04-自定义认证授权过滤器-SpringSecurity集成JWT
weixin_44478828的博客
01-18 475
SpringSecurity框架中是基于cookie/session技术实现http有状态的,cookie/session技术有占用服务端资源等弊端,这里用JWT来代替。生成token,把用户的用户名和权限信息放置在token中响应给前端,在自定义拦截器MyUsernamePasswordAuthenticationFilter中修改代码。创建com.itheima.security.utils.JwtTokenUtil。
Spring Security+jwt+redis+自定义认证逻辑 权限控制
Tian208的博客
02-23 1169
Spring Security+jwt+redis+自定义认证逻辑 权限控制
Spring Security+JWT实现认证与授权
weixin_44196561的博客
03-29 5381
目录 一、登录校验流程 3、 整合JWT大致流程 前端响应类 JWT工具类 重写UserDetailsService的方法 重写登录接口 认证过滤器 授权基本流程 封装权限信息 RBAC权限模型 自定义失败处理 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 授权:经过认证后判断当前用户是否有权限进行某个操作 一、登录校验流程 1、Spring Security 完整流程 SpringSecurity的原理其实就是一个过滤器链,内部包含了提供
SpringSecurity实现Jwt自定义登录
qq_45537574的博客
01-20 5399
文章目录一、SpringSecurity的工作流程二、springboot+springsecurity+jwt1、项目准备2、编写过滤器AuthenticationLoginFilter3、编写登录成功/失败处理器1、登录成功处理器LoginAuthenticationSuccessHandler2、登录失败处理器LoginAuthenticationFailureHandler4、实现UserDetailsService5、权限不足和未登录访问资源处理器1、权限不足处理器RequestAccessDen
SpringSecurityJWT实现token认证和授权.zip
08-09
如果验证成功,过滤器会解析JWT,创建一个代表当前用户的Authentication对象,并将其放入Spring SecuritySecurityContextHolder中,从而实现对资源的访问控制。 为了控制资源的访问权限,Spring Security提供了一...
SpringBoot2.6整合SpringSecurity+JWT
01-11
3. **自定义JWTTokenFilter**:创建一个过滤器,负责处理JWT的验证和生成过滤器需要实现`OncePerRequestFilter`接口,并在`doFilterInternal`方法中实现JWT的解析和校验。 4. **配置AuthenticationProvider**:...
Springboot+SpringSecurity+JWT+redis 框架搭建demo
02-03
本项目"Springboot+SpringSecurity+JWT+redis框架搭建demo"提供了一个基于这些技术的登录验证解决方案,旨在实现高效、安全的用户身份验证。下面我们将深入探讨这些技术及其在项目中的应用。 **Spring Boot** ...
java springboot 集成activeMQ(保姆级别教程)
m0_50641264的博客
08-23 194
java springboot 集成activeMQ(保姆级别教程)
Spring OAuth2.0资源服务源码解析
onePlus5T的博客
08-22 586
主要分析spring-security-oauth2-resource-server的源码,介绍OAuth2.0授权码模式下Spring Boot OAuth2资源服务的运行流程,分析其是如何对令牌进行认证的,并展示资源服务配置
Java--SpringBoot工厂模式
qq_56438516的博客
08-20 890
Spring Boot是一个基于Spring框架的快速开发框架,它提供了许多便利的功能来简化企业级应用的开发。在Spring Boot中,工厂模式是一种常用的设计模式,它用于创建对象,但是不需要指定将要创建的具体类。工厂模式隐藏了实例化对象的具体细节,并且允许系统在不修改客户端代码的情况下引入新的类。
SpringBoot 注解指南
weixin_51582215的博客
08-23 670
基于 SpringBoot 平台开发的项目数不胜数,与常规的基于Spring开发的项目最大的不同之处,SpringBoot 里面提供了大量的注解用于快速开发,而且非常简单,基本可以做到开箱即用!那 SpringBoot 为开发者提供了多少注解呢?我们该如何使用?通常用于修饰controller层的组件,由控制器负责将用户发来的URL请求转发到对应的服务接口,通常还需要配合注解使用。提供路由信息,负责URL到Controller中具体函数的映射,当用于方法上时,可以指定请求协议,比如GETPOSTPUT。
springboot社区医疗服务系统--论文源码调试讲解
u014445459的博客
08-23 1041
刚开始学习Java语言的时候,是不知道还有Tomcat这些东西的,各种语法各种输出在控制台进行输出结果,当Java网站开发的时候就不可避免的学习到了Tomcat服务器。Tomcat准确的来讲不算是服务器,可以说是vue引擎或者一个容器,这些都是学术上或者原理上都比较贴切的,但是实际工作中Tomcat就是作为一个web服务器来用的,因为可以实现网站的发布和运行。420
Spring&SpringBoot
qq_53429120的博客
08-21 1081
Bean代指那些被IoC容器管理的对象Before(前置通知):目标对象的方法调用之前触发After(后置通知):目标对象的方法调用之后触发AfterReturning(返回通知):目标对象方法调用返回完成,在返回结果值之后触发AfterThrowing(异常通知):目标对象方法运行中抛出异常后触发Aroud()环绕通知:在任意的目标对象的方法调用前后触发,甚至不调用目标对象的方法。
springCloud 网关(gateway)配置跨域访问
qq_43757153的博客
08-22 217
如果项目是分布式架构,通过网关进行路由转发的,那么项目中如果存在跨域的访问,在每一个项目中单独配置,显示是错误的,我们只需要在网关处进行处理,其它项目都是由网关进行转发的,他们是不会存在跨域访问的(具体为啥,可以查询跨域产生的原因)然后这个是一个挺简单的东西,没啥好说的,写出来的目的是方便以后遇到,可以及时想起这里有一个解决方案,如有更好方法,欢迎留言。将这个文件复制到网关中即可,当然,也可以在网关的配置文件中进行编写,
高级java每日一道面试题-2024年8月25日-框架篇[Spring篇]-Spring框架中请举例解释@Required注解?
qq_43071699的博客
08-25 224
`@Required` 注解是Spring框架提供的一个标记注解,用于标记setter方法,以确保这些方法在Bean的初始化过程中必须被调用,即其对应的属性必须被注入值。如果Spring容器在初始化Bean时发现这个被`@Required`注解的setter方法没有被调用(即对应的属性没有被注入值),那么它将抛出一个`BeanInitializationException`异常。 这个注解主要用于手动依赖注入的场景,当你需要在Bean被创建后立即检查其依赖项是否已经被注入时。然而,在现代Spring应用程
Spring中的AopUtils
最新发布
小湘西的博客
08-25 208
AopUtils是 Spring Framework 中一个工具类,位于包中。它提供了一系列静态方法,用于处理与面向切面编程(AOP)相关的操作。这些方法主要用于帮助开发人员进行 AOP 相关的操作,提供了一些便捷的工具,使得 AOP 的使用变得更加简单。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值