【SpringSecurity】SpringSecurity2.7.x 的使用(04)

已于 2022-11-03 23:39:24 修改
阅读量585 收藏 2
点赞数
分类专栏: spring boot SpringSecurity 文章标签: java 开发语言
于 2022-11-03 23:34:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60969145/article/details/127678649
版权

文章目录


前后完全分离下认证和授权
在这里插入图片描述

有两种方式可以解决前后端分离

  1. 生成随机字符串存入redis中,key为随机字符串,value为用户信息,每次请求携带这个唯一的字符串,通过查询redis来验证过是否为合法登录
  2. 使用JWT生成token,JWT也是生成一串字符串,通过一定的加密方式以及一定的标记(签名sign)生成的,解析时也要通过相同的方式来解析

三、 前后完全分离下认证和授权

3.1 什么是JWT

Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

3.2 JWT的原理

JWT的原理是,服务器认证以后,生成一个JSON对象,发回给用户,就像下面这样。

{
	"姓名":"张三""角色":"管理员",
	"到期时间":"2022年8月1日0点0分"
}

以后,用户与服务端通信的时候,都要发回这个JSON对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名(详见后文)。
服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。

3.3 JWT的数据结构

实际的 JWT大概就像下面这样。
在这里插入图片描述
它是一个很长的字符串,中间用点(.)分隔成三个部分。注意,JWT内部是没有换行的,这里只是为了便于展示,将它写成了几行。
JWT的三个部分依次如下。

  1. Header (头部)
  2. Payload(负载 载荷)
  3. Signature(签名)

写成一行,就是下面的样子。
Header.Payload.Signature

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJsb2dpbkluZm8iOnsiYXV0aG9yaXRpZXMiOlsiL3VzZXIvZGVsZXRlIiwiL3VzZXIvaW5zZXJ0IiwiL3VzZXIvcXVlcnkiLCIvdXNlci91cGRhdGUiXSwidXNlcm5hbWUiOiJ6aGFuZ3NhbiJ9LCJleHAiOjE2Njc0ODY1MjAsImlhdCI6MTY2NzQ3OTM2Nn0.k2gyEU6xRn-sPahRAZXKskenX4814Nbp0msdDbZyg-o

3.3.1 Header

Header 部分是一个JSON对象,描述JWT的元数据,通常是下面的样子。

{
	"alg": "HS256",
	"typ": "JWT"
}

上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256 (写成 HS256) ;typ属性表示这个令牌(token)的类型(type), JWT令牌统一写为JWT。
最后,将上面的JSON对象使用Base64URL算法转成字符串。

3.3.2 Payload

Payload 部分也是一个JSON对象,用来存放实际需要传递的数据。JWT规定了7个官方字段,供选用。
iss (issuer):签发人
exp (expiration time):过期时间

sub (subject):主题
aud (audience):受众

nbf (Not Before):生效时间

iat (lssued At):签发时间

jti (JWT ID):编号
除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。

{
	"sub": "1234567890",
	"name" : "John Doe",
	"userid":2
 	"admin": true
}

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。这个JSON 对象也要使用Base64URL 算法转成字符串。

3.3.3 Signature

Signature部分是对前两部分的签名,防止数据篡改。
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用Header里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

HMACSHA256(base64UrlEncode(header)
				 + ".”"+base64UrlEncode(payload),secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

3.4 编写JWT工具类

1. 引入jar包

<!--JWT的依赖-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.18.3</version>
</dependency>

2. 编写工具类

package com.aaa.springsecuritydemo02.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * @author : 尚腾飞
 * @version : 1.0
 * @createTime : 2022/11/2 15:38
 * @description : jwt工具类
 */
public class JwtUtils {
    /**
     * 签名:很关键!只有服务器知道,不要告诉其他人,
     * 知道签名和加密算法后是可以解析出内容的
     */
    private static  String sign = "ykq-aaa";

    /**
     * 获取token
     * @param map
     * @return
     */
    public static String getJwtToken(Map map){
        Map<String,Object> head = new HashMap<>();
        head.put("alg","HS256");
        head.put("typ","JWT");
        //定义颁发时间
        Date iat = new Date();
        //过期时间
        Calendar expire = Calendar.getInstance();
        expire.set(Calendar.SECOND,7200);
        Date expireTime = expire.getTime();

        return JWT.create()
                //设置头信息
                .withHeader(head)
                //设置颁发时间
                .withIssuedAt(iat)
                //设置过期时间
                .withExpiresAt(expireTime)
                //自定义的内容
                .withClaim("loginInfo", map)
                //签名
                .sign(Algorithm.HMAC256(sign));
    }

    /**
     * 验证token是否有效
     * @param token
     * @return
     */
    public static boolean verifyToken(String token){
        JWTVerifier build = JWT.require(Algorithm.HMAC256(sign)).build();
        try {
            //调用校验功能,校验失败会报错
            build.verify(token);
            return true;
        } catch (JWTVerificationException e) {
            //校验失败,return false
            System.out.println("token无效");
            return false;
        }
    }

    /**
     * 从token中获取相关的载荷内容
     * @param token
     * @return
     */
    public static Map<String, Object> getTokenChaim(String token){
        //获取一个JWT校验对象
        JWTVerifier build = JWT.require(Algorithm.HMAC256(sign)).build();
        //调用校验功能
        DecodedJWT verify = build.verify(token);
        //取出我们上面存的载荷
        Claim claim = verify.getClaim("loginInfo");
        //返回map
        return claim.asMap();
    }
}

3.5 修改登录成功后返回json的方法

//认证
http
        .formLogin()
        //登录的处理路径,无需自己创建该路径的业务处理功能。
        .loginProcessingUrl("/login")
        //登录成功返回json
        .successHandler((request, response, authentication) -> {
            //设置返回类型
            response.setContentType("application/json;charset=utf-8");
            PrintWriter writer = response.getWriter();

            //从authentication中拿到登录的用户信息,强转为类型User
            User principal = (User) authentication.getPrincipal();
            //从用户信息中拿到权限信息
            Collection<GrantedAuthority> authorities = principal.getAuthorities();
            //将权限信息转换为list集合
            List<String> list = authorities.stream().map(GrantedAuthority::getAuthority).collect(Collectors.toList());
            //定义一个map,用来存放用户信息
            Map<String, Object> map = new HashMap<>();
            //将用户名放入map
            map.put("username", principal.getUsername());
            //将权限信息放入map
            map.put("authorities", list);
            //通过工具类获取token
            String jwtToken = JwtUtils.getJwtToken(map);
            //将token返回
            Result result = new Result(200, "登录成功", jwtToken);
            String jsonStr = JSONUtil.toJsonStr(result);
            writer.print(jsonStr);

            writer.flush();
            writer.close();
        })

登录成功后将token返回给前端,以后前端每次请求都要携带这个token,我们在后端写一个过滤器,每次有请求的时候都要验证是否为合法用户!

3.6 创建一个过滤器类并继承OncePerRequestFilter父类

package com.aaa.springsecuritydemo02.filter;

import cn.hutool.core.util.ObjectUtil;
import cn.hutool.json.JSONUtil;
import com.aaa.springsecuritydemo02.entity.Result;
import com.aaa.springsecuritydemo02.utils.JwtUtils;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.List;
import java.util.Map;
import java.util.stream.Collectors;

/**
 * @author : 尚腾飞
 * @version : 1.0
 * @createTime : 2022/11/3 15:26
 * @description :
 */
@Component
public class JwtVerifyFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        response.setContentType("application/json;charset=utf-8");
        //获取token
        String token = request.getHeader("token");
        //获取请求路径
        String path = request.getRequestURI();
        //获取请求方式
        String method = request.getMethod();
        //是否为登录请求
        if ("/login".equals(path) && "POST".equals(method)) {
            filterChain.doFilter(request, response);
            return;
        }
        //判断是否传入了token
        if (ObjectUtil.isNotEmpty(token)) {
            //使用工具类,验证token是否有效
            boolean verifyToken = JwtUtils.verifyToken(token);
            if (verifyToken) {
                //获取载荷信息
                Map<String, Object> tokenChaim = JwtUtils.getTokenChaim(token);
                //从载荷中获取登录的用户名
                String username = tokenChaim.get("username").toString();
                //从载荷中获取登录者的权限
                List<String> list = (List<String>) tokenChaim.get("authorities");
                //将权限转换为list
                List<SimpleGrantedAuthority> authorities = list.stream().map(item -> new SimpleGrantedAuthority(item)).collect(Collectors.toList());

                //把解析的结果封装到SecurityContext中,可以交于security判断相应的权限
                UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username, null, authorities);
                SecurityContext context = SecurityContextHolder.getContext();
                context.setAuthentication(authenticationToken);
                //放行
                filterChain.doFilter(request, response);
                return;
            }

        }
        //token为null或者token无效时。响应一个json数据.
        PrintWriter writer = response.getWriter();
        Result result = new Result(500, "token无效", null);
        String jsonStr = JSONUtil.toJsonStr(result);
        
        writer.print(jsonStr);

        writer.flush();
        writer.close();
    }
}

过滤器的整体思想就是校验token的合法性

  1. 判断请求路径是否为登录请求,如果是登录请求肯定是没有token的,直接放行。
  2. 校验token,如果token不为空并且是有效的,就拿到载荷中的信息,封装到SecurityContext中,封装时 构造方法有三个参数,一个是用户名一个是权限,密码传null就行。

修改security的配置类
在这里插入图片描述

  • 将自己的过滤器放到UsernamePasswordAuthenticationFilter过滤器前面。
  • 我们自己定义的过滤器里面,判断是否为登录请求,如果是登录请求就去下面的过滤器去登录的。登录过滤器在前面,就没有意义了。

3.7 使用脚手架创建vue项目框架

创建vue项目时有一点就是把路由选上就行了,如果不想要严格的语法定义,把语法那一项关闭。具体步骤略…(之前笔记里有写)

3.7.1 安装element-ui 和 axios

在脚手架框架中要想使用element首先得安装

cnpm i element-ui -S

并在main.js中添加

import ElementUI from 'element-ui';
import 'element-ui/lib/theme-chalk/index.css';

//让Vue引入使用ElementUI
Vue.use(ElementUI);

axios简介和安装

axios的优点:
易用、简洁且高效的http库。 支持原始JS中的Promise,做异步请求数据工具。

向后端发送Ajax请求,安装axios

cnpm  i  --save axios

import axios from 'axios'

//设置路径的默认前缀
axios.defaults.baseURL="http://localhost:9090"
//把axios挂载到vue对象
Vue.prototype.$http=axios;


打乒乓球只会抽
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springboot - 2.7.3版本 - (九)整合security
10-12
整合security对用户进行授权认证,初步掌握使用方法,实现动态权限管理
spring security 入门demo
08-11
- `spring-security-x509` 演示了如何处理基于X.509证书的SSL客户端认证,这在需要高安全性或企业级应用中常见。 6. **基于LDAP的认证**: - `spring-security-mvc-ldap` 示例可能展示了如何与 Lightweight ...
别再用过时的方式了!全新版本Spring Security,这样用才够优雅!
weixin_42907150的博客
02-02 1115
Spring Security的升级用法确实够优雅,够简单,而且对之前用法的兼容性也比较好!个人感觉一个成熟的框架不太会在升级过程中大改用法,即使改了也会对之前的用法做兼容,所以对于绝大多数框架来说旧版本会用,新版本照样会用!
Spring Security入门
最新发布
qq_62377885的博客
05-22 970
1.1、创建自定义配置实际开发的过程中,我们需要应用程序更加灵活,可以在SpringSecurity中创建自定义配置文件Java自定义配置用来管理用户信息,是UserDetailsService的一个实现,用来管理基于内存的用户信息。创建一个WebSecurityConfig文件:定义一个@Bean,类型是UserDetailsService,实现是InMemoryUserDetailsManager。
SpringSecurity 新版2.7+用法
weixin_45011048的博客
10-31 2954
SpringSecurity 新版2.7+使用方式
新版本Spring Security 2.7 + 用法,直接旧正版粘贴
weixin_42858422的博客
11-17 509
WebSecurityConfigurerAdapter 已经过时了,新版本已经不用这个了。使用@EnableWebSecurity注解。
Spring Security2.7+jwt
m0_52255127的博客
02-03 1503
Spring Security2.7+jwt
SpringSecuritySpringSecurity2.7.x 的使用(03)
qq_60969145的博客
11-02 910
通过源码我们发现,InmermoryUserDetailManger中的loadUserByUsername方法最核心的。而且我们自定义的类也要交于容器来管理。使用springboot + thymeleaf+ mybatis+ druid+springsecurity模拟一下从数据库中查询用户,完成授权认证。为了和security自带的User区分,这里将我们自己的实体类名字叫Users。配置文件要配置密码加密器,否者程序不知道要用那种方式来匹配密码。注意要交给Spring管理。
基于 Spring Cloud 2021 、Spring Boot 2.7、 OAuth2 的 RBAC 权限管理系统源码
05-20
在2.7版本中,可能会包含性能优化、新特性和对其他库的升级,例如Spring Framework 5.x的支持。 Spring Cloud 2021作为微服务生态的重要组成部分,提供了服务发现、配置中心、负载均衡、熔断器、API网关等一系列...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
Spring Boot 2.2 正式发布,大幅性能提升 + Java 13 支持
08-25
通过`spring-boot-starter-rsocket`,开发者可以轻松集成RSocket,并且当配合使用`spring-security-rsocket`时,还能得到Spring Security的集成支持。 在监控和健康检查方面,Spring Boot Actuator的健康检查功能...
apache-cxf-2.7.41.rar
04-30
- 在2.7.x系列版本中,CXF团队主要关注稳定性和性能优化,修复了已知的问题,并引入了一些新的特性和改进。 - 可能包括对JAX-WS和JAX-RS新规范的支持,以及对不同运行环境的兼容性增强。 6. **集成与部署**: - ...
springboot2.7整合springSecurity
gzmyh的博客
02-28 6113
本着前人栽树,后人乘凉的这种思想,自己花了一些时间,用心的整理了一套springboot整合springsecurity的教程。该教程是基于前后端分离,会实现以下两种登录功能:用户名+密码+图片验证码手机号登录这两种方式可以同时存在,并且互不干预。本教程会通过阅读其内置的用户名密码登录的源码,以及结合官网文档来实现一些自定义的登录方式。注:教程主要是开发思路的讲解,其中涉及到的代码仅供参考,为了方便,很多地方忽略了一些细节打开源码可以看到是继承,因此我们就从它开始阅读。
SpringSecurity配置多种登录方式
qq_53318060的博客
10-13 4022
SpringSecurity配置多种登陆方式
SpringSecurity和JWT认证使用适配2.7.5使用
qq_34453560的博客
09-22 152
3.JWT登录授权过滤器,自定义的一个拦截器,拦截请求后对获取请求头对token进行认证,如果token认证通过之后,重写的loadusername方法将从后台获取用户信息,账号,密码,权限路径写入到userdetails,新建UsernamePasswordAuthenticationToken 将用户信息关联到springcontext的上下文中,后续springsecrity的其它过滤器将进行其它验证。1.当未登录或者token失效访问接口时,自定义的返回结果。首先定义后各种过滤器。
新版SpringSecurity配置(SpringBoot>2.7&SpringSecurity>5.7)
热门推荐
钟健的博客
05-17 1万+
使用或者以上版本时,会提示:在 Spring Security 5.7.0-M2 中,我们弃用了,因为我们鼓励用户转向基于组件的安全配置。所以之前那种通过继承的方式的配置组件是不行的。同时也会遇到很多问题,例如:在向SpringSecurity过滤器链中添加过滤器时(例如:JWT支持,第三方验证),我们需要注入对象等问题。
springboot2.7.6整合springsecurity相关配置
woshihedayu的博客
01-30 1955
这里面的逻辑是,获取当前已认证的用户信息,保存在securityUser对象里面。其中,filterChain方法里面定义了最核心的配置信息,包括登录接口的请求路径,用户名、密码的参数名,登录成功的处理类的对象,登录失败的处理类对象,退出的接口路径,退出时删除cookie,退出的处理类对象,还包括处理跨域的配置等。这里面的逻辑就是,根据用户名查询用户信息,如果结果为空,就抛异常,如果不为空,就把用户信息保存到securityUser里面,并返回这个对象。登录的时候,会调用这个方法。2、这是核心配置方法。
SpringBoot2.7.X整合SpringSecurity+JWT(入门级简单易懂)
zyyxiaoxiao的博客
04-12 4392
SpringBoot2.7.9整合SpringSecurity+JWT、入门级简单易懂
springboot2.7+security+jwt 不使用UserDetailsService
weixin_43828003的博客
04-07 137
描述 : 网上代码大部分都使用实体类实现 U...
使用Spring Security 3.x构建企业级安全实践
"Spring Security 3x 快速构建企业级安全" Spring Security 是一个强大且高度可定制的身份验证和授权框架,专为Java EE应用程序设计,尤其适用于构建企业级的安全解决方案。Spring Security 3.x 版本在此基础上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

打乒乓球只会抽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值