SpringBoot添加密码安全配置以及Jwt配置

于 2024-07-25 11:59:12 发布
阅读量465 收藏 8
点赞数 12
文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64468032/article/details/140685249
版权

Maven仓库(依赖查找)

1、SpringBoot安全访问配置

首先添加依赖 spring-boot-starter-security

然后之后每次启动项目之后,访问任何的请求都会要求输入密码才能请求。(如下)

在没有配置的情况下,默认用户名为 user ,密码在控制台中查找(如下)。

  • 修改SpringBoot安全访问配置,首先要创建一个UserDetailsServiceImpl类来继承UserDetailsService来接入数据库信息,然后再实现一个utils的工具类UserDetailsImpl来实现UserDetails。最后的逻辑就是在那个安全验证中输入你的账号和密码,如果在数据库中找到了username就将这个条字段作为通关令牌存起来,当退出的时候再删除
  • 注:这里如果没有加密的话要使用的话在密码那个字段的属性中加一个{noop}

添加安全访问的配置文件如下。

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    public UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper<User> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("username", username);
        User user = userMapper.selectOne(queryWrapper);
        if(user == null)
            return (UserDetails) new RuntimeException("用户不存在!");
        return new UserDetailsImpl(user);
    }
}
@Data
@AllArgsConstructor
@NoArgsConstructor
public class UserDetailsImpl implements UserDetails {
    private User user;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return user.getPasswd();
    }

    @Override
    public String getUsername() {
        return user.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

以上配置添加之后即可正常使用数据库中的密码进行验证。前提是userMapper可以正常使用,进行查找用户。

如果数据库中的密码没有加密,可以通过测试类将密码进行加密,然后用加密之后的字符串与数据库中的数据进行替换即可。(如下)

@SpringBootTest
class TestJwtApplicationTests {

    @Test
    void contextLoads() {
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        String encode = bCryptPasswordEncoder.encode("123456");
        System.out.println(encode);
    }
}

2、 配置JWT验证

2.1、配置类的编写添加

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired
    private UserMapper userMapper;

    @Override
    protected void doFilterInternal(HttpServletRequest request, @NotNull HttpServletResponse response, @NotNull FilterChain filterChain) throws ServletException, IOException {
        String token = request.getHeader("Authorization");

        if (!StringUtils.hasText(token) || !token.startsWith("Bearer ")) {
            filterChain.doFilter(request, response);
            return;
        }

        token = token.substring(7);

        String userid;
        try {
            Claims claims = JwtUtil.parseJWT(token);
            userid = claims.getSubject();
        } catch (Exception e) {
            throw new RuntimeException(e);
        }

        User user = userMapper.selectById(Integer.parseInt(userid));

        if (user == null) {
            throw new RuntimeException("用户名未登录");
        }

        UserDetailsImpl loginUser = new UserDetailsImpl(user);
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(loginUser, null, null);

        SecurityContextHolder.getContext().setAuthentication(authenticationToken);

        filterChain.doFilter(request, response);
    }
}

 下面类里面的JWT_KEY的字符串是必须自己随机生成然后长度是有限制的如果后期报错记得修改长度。这个东西很重要,是你密码的加密规则。

@Component
public class JwtUtil {
    public static final long JWT_TTL = 60 * 60 * 1000L * 24 * 14;  // 有效期14天
    public static final String JWT_KEY = "SDFGjhdsfalshdfHFdsjkdsfds121232131afasdfac";

    public static String getUUID() {
        return UUID.randomUUID().toString().replaceAll("-", "");
    }

    public static String createJWT(String subject) {
        JwtBuilder builder = getJwtBuilder(subject, null, getUUID());
        return builder.compact();
    }

    private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        SecretKey secretKey = generalKey();
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        if (ttlMillis == null) {
            ttlMillis = JwtUtil.JWT_TTL;
        }

        long expMillis = nowMillis + ttlMillis;
        Date expDate = new Date(expMillis);
        return Jwts.builder()
                .setId(uuid)
                .setSubject(subject)
                .setIssuer("sg")
                .setIssuedAt(now)
                .signWith(signatureAlgorithm, secretKey)
                .setExpiration(expDate);
    }

    public static SecretKey generalKey() {
        byte[] encodeKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        return new SecretKeySpec(encodeKey, 0, encodeKey.length, "HmacSHA256");
    }

    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parserBuilder()
                .setSigningKey(secretKey)
                .build()
                .parseClaimsJws(jwt)
                .getBody();
    }
}

然后修改之前的SecurityConfig配置类,里面的configure方法里面的.antMatchers里面追加的url是不需要验证就能进行使用的请求,比如登录注册等url请求的放开,需要的话可以一直追加。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .antMatchers("/user/login", "/user/account/register/").permitAll()
                .antMatchers(HttpMethod.OPTIONS).permitAll()
                .anyRequest().authenticated();

        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

2.2、jwt的登录验证并且获取验证码

编写LoginServiceImpl,可以进行登录的验证,以及获取token并且返回给用户。之后访问其他请求的时候都需要验证该token验证身份,登录失败会报异常。

@Service
public class LoginServiceImpl{
    @Autowired
    // 认证管理器
    private AuthenticationManager authenticationManager;

    public Map<String, String> getToken(String username, String password) {
        // 将输入进来的username和password封装成一个密码加密过后的对象
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(username, password);
        // 该方法接收一个认证令牌对象,也就是认证请求作为参数,如果其中的信息匹配到目标账号,
        // 则该方法返回同一个认证令牌对象,不过其中被认证过程填充了更多的账号信息,比如授权和用户详情等。
        Authentication authenticate = authenticationManager.authenticate(authenticationToken);// 如果登录失败会自动报异常
        UserDetailsImpl loginUser = (UserDetailsImpl)authenticate.getPrincipal();
        User user = loginUser.getUser();
        String jwt = JwtUtil.createJWT(user.getId().toString());
        Map<String, String> map = new HashMap<>();
        map.put("error_message", "success");
        map.put("token", jwt);

        return map;
    }
}

前端正常调用接口即可,将获取的token进行存储即可,用于,存储位置尽量安全。

2.3、未放开url请求的处理

通过以下操作可以直接从token中获取用户的信息,然后通过用户的信息进行验证并返回用户需要的信息。

@Service
public class InfoServiceImpl {
    @Autowired
    private UserMapper userMapper;

    public Map getInfoById() {
        Map data = new HashMap<>();
        UsernamePasswordAuthenticationToken token = (UsernamePasswordAuthenticationToken) SecurityContextHolder.getContext().getAuthentication();
        UserDetailsImpl loginUser = (UserDetailsImpl)token.getPrincipal();
        User user = loginUser.getUser();
        user.setPasswd("");
        data.put("user", user);
        data.put("error_message", "success");
        return data;
    }
}

前端的请求中需要加上token,注意Bearer后面要加一个空格。

 然后即可正常使用。

AE_
关注
  • 12
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot2.6整合SpringSecurity+JWT
01-11
在本文中,我们将深入探讨如何在SpringBoot 2.6版本中整合Spring Security与JSON Web Token(JWT)技术。Spring Security是Spring框架的一个模块,提供了一套强大的安全控制机制,而JWT则是一种轻量级的身份验证和...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security-oauth2`和`spring-security-jwt`依赖。 2. **用户实体类与数据访问层**:...
最新springBoot_security配置+ jwt 登录实现
i_am_bad_man的博客
04-22 519
null ) {try {// 授权//验证失败log.info("{} 验证失败",jwt);
SpringBoot篇】登录校验 — JWT令牌
小吉妙妙屋
11-29 9268
头部包含了令牌使用的加密算法信息,载荷包含了所需传输的用户信息,签名用于保证令牌的完整性和真实性,防止令牌被篡改。每次向服务器发送请求时,在请求的头部中携带该令牌,以便服务器对请求进行身份验证。服务器收到请求后,从请求头中提取JWT令牌,并进行解析和验证。用户向服务器发送登录请求,服务器进行身份验证,如果验证成功则返回一个JWT令牌给客户端。(相当于校验令牌,只要解析令牌不报错,就相当于校验jwt令牌正确)运行后发现,出现了jwt令牌。
SpringBoot整合JWT
热门推荐
AkiraNicky的博客
08-12 6万+
一. JWT简介 1. 什么是JWTJWT(JSONWeb Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 2. 为...
springboot2.3.x整合JWT
胖虎儿的博客
11-28 6222
springboot整合JWT,让我们的校验不再困难
基于springboot+vue项目配置JWT
qq_67596313的博客
06-07 295
记录自己学习项目自己完成的项目功能
SpringBoot2+SpringSecurity+JWT完成安全认证
cheng137666的博客
11-26 2558
SpringBoot2+SpringSecurity+JWT完成安全认证1. 写在前面2. pom.xml3. application.yml4. 创建配置类,映射yml中的变量5. 创建AccessDeniedHandler类6.创建AuthenticationEntryPoint类7.创建jwt工具类8.创建SecurityAuthenticationTokenFilter9.配置项目中用到的bean10.配置UserDetailService11.配置SecurityConfig12.最后一步,配置
SpringBoot整合JWT+Vue
weixin_48974246的博客
11-01 1095
4.每次请求时,携带token(此处可以在vue编写一个请求前置拦截器,这样携带token这个步骤就可以降低冗余,此处略)3.Vue将登录成功后接收到的token存储在浏览器。2.登录成功返回token。
SpringBoot + Security + JWT安全策略
weixin_45698637的博客
10-21 1947
SpringBoot + Security + JWT安全策略配置
SpringBoot中使用SpringSecurity+JWT
qq_42757083的博客
04-05 646
一、JWT 前提知识 1.1. 对称加密,非对称加密,加盐。 1.2. 报文鉴别,数字签名,身份认证等数据安全。 1.3. jwt介绍 JWT的作用 2.1. 就是把签证解密之后与头部和载荷对应,从而确认身份。 二、SpringSecurity 前提知识 1.1. 了解是什么,知道自定义登陆等 三、实践 添加依赖 <!-- springSecurity依赖:安全框架--> <dependency>
springboot-jwt:Spring Boot JWT示例
04-11
在`springboot-jwt-main`项目中,你可以看到这些功能的实现细节,包括配置、控制器、过滤器和服务等。 通过这个示例,开发者可以理解如何在Spring Boot应用中实施安全的身份验证,为API提供安全的访问控制。结合JWT...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
这包括定义权限访问规则、创建JWT过滤器以及自定义安全配置。在`SecurityConfig`类中,我们可以创建一个`JwtTokenFilter`,这个过滤器将在每个请求到达时检查JWT,并将其解析为用户信息。 ```java @Configuration @...
springboot整合security与jwt
08-05
同时,还需要配置JWT的解析器和生成器。 JWT的生成通常包含用户信息,如用户名、角色等,并通过私钥签名。当用户登录成功后,服务器会返回这个Token,客户端需要在后续的请求中携带这个Token。为了存储和验证Token...
【spring boot】初学者项目快速练手
m0_67357141的博客
07-17 1062
快速生成一个初始的项目代码,会生成一个demo文件打开intellj idea,导入demo文件。
Spring Boot配置文件的语法规则
2301_77053417的博客
07-21 1030
名字是很固定的,必须是:application.properties或者application.yml,这两个都是配置文件的格式,一般我们使用其中一个即可(一般yml使用的较多)。(3)当项目中properties和yml都存在,并且里面的内容冲突时,会以properties中的为配置项,也就是其优先级更高。一般双引号里面的东西不会被被转义,单引号里面的会被转义,也就是\n在单引号下就只是一个串,在双引号下是换行。=左边的就是key,=右边的是value,在获取配置文件时,需要填入完整的key。
使用AOP优化Spring Boot Controller参数:自动填充常用字段的技巧
最新发布
todoitbo的博客
07-21 855
本篇博客将深入介绍如何利用AOP技术,在Spring Boot应用中实现对Controller保存方法参数的重写。我们将重点讨论如何利用AOP切面,自动填充常用字段(如创建时间、修改时间、创建人、修改人),以提高代码的重用性和可维护性。
spring boot 实现token验证登陆状态
WenZhengshi的博客
07-18 383
3、启动服务器测试下,写个controller和html,客户端请求获取token。1、添加maven依赖到pom.xml。html (请求token)
springboot配置jwt
03-28
Spring Boot 配置 JWT 的步骤如下: 1. 添加依赖 在 pom.xml 文件中添加以下依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 配置 JWT 工具类 创建一个 JWT 工具类,用于生成和验证 JWT。 ```java @Component public class JwtUtil { private String secret = "mysecretkey"; public String generateToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); return createToken(claims, userDetails.getUsername()); } private String createToken(Map<String, Object> claims, String subject) { long now = System.currentTimeMillis(); return Jwts.builder() .setClaims(claims) .setSubject(subject) .setIssuedAt(new Date(now)) .setExpiration(new Date(now + 1000 * 60 * 60 * 24)) .signWith(SignatureAlgorithm.HS256, secret) .compact(); } public Boolean validateToken(String token, UserDetails userDetails) { final String username = extractUsername(token); return (username.equals(userDetails.getUsername()) && !isTokenExpired(token)); } private boolean isTokenExpired(String token) { return extractExpiration(token).before(new Date()); } private Date extractExpiration(String token) { return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody().getExpiration(); } private String extractUsername(String token) { return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody().getSubject(); } } ``` 在上述代码中,我们使用了 jjwt 库来生成和验证 JWT。在生成 JWT 时,我们设置了 JWT 的有效期为一天。 3. 配置 Spring Security 我们需要在 Spring Security 中配置 JWT,以便使用 JWT 来进行身份验证。 ```java @Configuration @EnableWebSecurity public class SecurityConfigurer extends WebSecurityConfigurerAdapter { @Autowired private MyUserDetailsService myUserDetailsService; @Autowired private JwtRequestFilter jwtRequestFilter; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(myUserDetailsService); } @Bean public PasswordEncoder passwordEncoder() { return NoOpPasswordEncoder.getInstance(); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests().antMatchers("/authenticate").permitAll(). anyRequest().authenticated().and(). exceptionHandling().and().sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class); } @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/security", "/swagger-ui.html", "/webjars/**"); } } ``` 在上述代码中,我们配置了一个自定义的 UserDetailsService,并将它注入到 AuthenticationManagerBuilder 中。我们还在 HttpSecurity 中添加了一个自定义的 JwtRequestFilter,用于验证 JWT。 4. 创建控制器 最后,我们创建一个控制器,用于生成 JWT。 ```java @RestController public class JwtAuthenticationController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtUtil jwtUtil; @Autowired private MyUserDetailsService userDetailsService; @RequestMapping(value = "/authenticate", method = RequestMethod.POST) public ResponseEntity<?> createAuthenticationToken(@RequestBody AuthenticationRequest authenticationRequest) throws Exception { try { authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(authenticationRequest.getUsername(), authenticationRequest.getPassword()) ); } catch (BadCredentialsException e) { throw new Exception("Incorrect username or password", e); } final UserDetails userDetails = userDetailsService .loadUserByUsername(authenticationRequest.getUsername()); final String token = jwtUtil.generateToken(userDetails); return ResponseEntity.ok(new AuthenticationResponse(token)); } } ``` 在上述代码中,我们使用了 AuthenticationManager 来验证用户名和密码,并使用 UserDetails 对象生成 JWT。最后,我们返回 JWT 给客户端。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值