SpringSecurity+JWT实现

已于 2022-05-05 22:25:16 修改
阅读量515 收藏 2
点赞数
文章标签: http java
于 2021-10-06 22:02:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/relosy/article/details/120630398
版权

SpringSecurity+JWT

JWT认证和Session认证

参考资料:什么是 JWT – JSON WEB TOKEN - 简书 (jianshu.com)

JWT:JSON WEB TOKEN

JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

传统Session认证存在的问题

因为http协议本身是无状态协议,即时用户第一次请求时提供了用户名和密码进行认证,第二次请求时仍需要提供用户名和密码,因为对后端来说并不能知道是哪个用户发出的请求。

传统的Session认证就是用户登录成功后,将用户信息存放在后台session中,前端下次请求时需要在cookie中携带对应的sessionid才能表明其已经登录过。

问题

  • 因为用户信息需要存放在后端的session中(后端内存),当用户信息增多时服务端内存开销变大

  • 用户认证后信息保存在当前服务器中,但对于分布式应用来说,其他服务器服务器中是没有该服务器中的session信息的

  • CSRF跨域问题:session认证的结果被存放在cookie中,攻击者是可以在你访问网站时获取到你的cookie并且伪造请求去请求信息

    (49条消息) 了解cookie以及cookie跨站点伪造攻击(CSRF)_周刚的专栏-CSDN博客

JWT认证方式

token的认证方式下,服务端不需要为用户保存认证信息

大致流程

  • 用户账号密码请求服务器
  • 服务器认证通过
  • 生成一个token(jwt),该jwt是加密的,需要服务端有对于的私钥才能解密。
  • 前端存储用户token,并在后续请求头中携带token
  • 服务器验证token的值并解密取出token中的信息再次生成security中需要的authentication对象。

具体实现

因为Security的认证流程就是一串和UsernamePasswordFilter类似的过滤器在过滤器链上拦截请求然后认证,认证通过就返回认证信息即可,我们可以模拟UsernamePasswordFilter写一个自己的UsernamePasswordFilter

1. JwtFilter

@Slf4j
@RequiredArgsConstructor
@Component
public class JwtFilter extends OncePerRequestFilter {

    private final AppProperties appProperties;
    private final JwtUtil jwtUtil;
    private final ObjectMapper objectMapper;
    /**
    	主要拦截方法,
    	这个方法负责对所有进入的请求判断请求头中是否有token
    */
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        var claimsOpt = Optional.ofNullable((Claims) null);
        
        if (checkJwtToken(request)) {
        	// 如果存在token则对token进行校验
            claimsOpt = validateToken(request);
            claimsOpt.filter(claims -> Objects.nonNull(claims.get("authorities")))
                    .ifPresentOrElse(
                    		// 将信息设置到SecurityContext中
                            this::setSpringAuthentication,
                            SecurityContextHolder::clearContext
                    );
        }
        filterChain.doFilter(request, response);
    }

	// 判断是否存在token,并且token是否以Bearer 开头
    private boolean checkJwtToken(HttpServletRequest request) {
        var header = request.getHeader(appProperties.getJwt().getHeader());
        return Strings.isNotEmpty(header) && header.startsWith(appProperties.getJwt().getPrefix());
    }

    /**
     * 获取 Token 中的Claims中保存的信息,无则返回 empty()
     */
    private Optional<Claims> validateToken(HttpServletRequest request) {
        var token = request.getHeader(appProperties.getJwt().getHeader()).replace(appProperties.getJwt().getPrefix(), "");
        try {
            return Optional.of(Jwts.parserBuilder().setSigningKey(jwtUtil.getKey()).build().parseClaimsJws(token).getBody());
        } catch (ExpiredJwtException | SignatureException | MalformedJwtException | UnsupportedJwtException | IllegalArgumentException e) {
            return Optional.empty();
        }
    }

    private void setSpringAuthentication(Claims claims) {
    	// 这里我是直接从token中解析出的用户信息,安全的方式是只在token中存放基本的用户信息,再这里去重新查询用户信息
        var rawList = CollectionUtil.convertObjectToList(claims.get("authorities"));
        var authorities = rawList.stream()
                .map(String::valueOf)
                .map(SimpleGrantedAuthority::new)
                .collect(Collectors.toList());
        var authentication = new UsernamePasswordAuthenticationToken(claims.getSubject(), null, authorities);
        SecurityContextHolder.getContext().setAuthentication(authentication);
    }
}

2. SecurityConfig配置类

public class BaseSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    protected JwtFilter jwtFilter;
    // ....
    @Override
    protected void configure(HttpSecurity http) throws Exception {
    	// 这里省略的其他security的配置代码,只给出了如何将filter设置到UsernamePasswordAuthenticationFilter之前的配置
        http
        		// ....
                .addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class)
    }

}

3. 生成JWT的工具类

pom.xml中导入依赖

<!--JWT-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

创建JwtTokenUtils类

@Slf4j
public class JwtTokenUtils {

    public static final String TOKEN_HEADER = "Authorization";
    public static final String TOKEN_PREFIX = "Bearer ";
    //密钥自定义
    private static final String SECRET = "xxx";
    //签授人自定义
    private static final String ISS = "XXX";

    // 过期时间是3600秒,既是1个小时 单位秒
    private static final long EXPIRATION = 7200L;

    // 选择了记住我之后的过期时间为7天 单位秒
    private static final long EXPIRATION_REMEMBER = 604800L;

    // 创建token
    public static String createToken(String subject,HashMap<String,Object> claims,boolean isRememberMe) {
        long expiration = isRememberMe ? EXPIRATION_REMEMBER : EXPIRATION;
        return Jwts.builder()
                .signWith(SignatureAlgorithm.HS512, SECRET)
                .setClaims(claims)
                .setIssuer(ISS)
                .setSubject(subject)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + expiration * 1000))
                .compact();
    }

    // 从token中获取用户名
    public static String getUsername(String token){
        return getTokenBody(token).getSubject();
    }


    // 是否已过期
    public static boolean isExpiration(String token) {
        try {
            return getTokenBody(token).getExpiration().before(new Date());
        } catch (ExpiredJwtException e) {
            return true;
        }
    }
	
    private static Claims getTokenBody(String token){
        return Jwts.parser()
                .setSigningKey(SECRET)
                .parseClaimsJws(token)
                .getBody();
    }
    //解析token并获取我们存放的信息
    public static Object getClaims(String token,String claim){
        return getTokenBody(token).get(claim);
    }

    public static String createJwt(User user,Integer rememberMe) throws IOException {
        boolean isRemember = rememberMe == 1;
        Collection<? extends GrantedAuthority> authorities = user.getAuthorities();
        String role = null;
        for (GrantedAuthority authority : authorities) {
            role = authority.getAuthority();
        }
        //在token中放入要保存的用户信息
        //这里存放的保存的信息就是用户二次请求时我们能获取到的信息
        HashMap<String,Object> claims = new HashMap<>();
        claims.put("USER_ROLE",role);
        claims.put("USER_NAME",user.getUsername());
        claims.put("USER_REAL_NAME",user.getRealName());
        //创建token并返回
        return JwtTokenUtils.createToken(user.getUsername(),claims , isRemember);
    }
}
shenyang1026
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 4522
SpringSecurity+JWT快速入门
厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecuritySpring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
Spring Security 超详细整合 JWT
最新发布
2401_86138300的博客
07-02 322
Spring Security是一个功能强大并且高度可定制的Java安全框架,用于保护基于Spring的应用程序。JWT(JSON Web Tokens)是一种用于在网络应用环境间传递声明的一种紧凑的、URL安全的方式。将Spring SecurityJWT整合可以为应用程序提供一个安全且高效的认证机制。整合Spring SecurityJWT涉及到许多细节,上述步骤提供了一个大致的框架。确保你的开发环境中已经包含了Spring Boot和Spring Security的依赖。
Spring Security整合JWT实现权限认证和授权
weixin_45818966的博客
11-05 4175
关于spring security整合jwt实现前后端权限认证和授权管理
SpringSecurity CSRF引发的思考Cookie、Session、Token和JWT
wdquan19851029的专栏
12-27 5283
目录 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 2.CSRF 跨站伪造请求 3.Cookie和Session 4.Cookie和Session的区别 5.什么是Token(重点) 仅仅用seesion+cookie存在的问题 【疑问?】token放在客户端哪里?客户端是怎么每次取到token的 6.JSON Web Token(JWT) Token和JWT: 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 【疑问?】浏览器对于 cookie
认识JWT
weixin_34244102的博客
07-07 544
1. JSON Web Token是什么 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2. 什么时候你应该用JSON Web Tokens 下列场景中使用JSON Web Token是很有用的: Authorization (...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring SecurityJWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
单点登录SSO解决方案之SpringSecurity+JWT实现.docx
10-26
### 单点登录SSO解决方案之SpringSecurity+JWT实现 #### 一、单点登录(SSO)概述 单点登录(Single Sign-On,简称SSO)是一种认证机制,允许用户仅通过一次登录就能访问同一域下的多个应用程序和服务。这种机制...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录和权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
SpringSecurity整合JWT实现认证和授权
weixin_44909963的博客
04-28 5493
SpringSecurity整合JWT实现认证和授权 文章目录SpringSecurity整合JWT实现认证和授权前言一、SpringSecurity介绍和架构分析及使用流程二、使用步骤1.引入库2.读入数据总结 前言 本文主要讲解l通过整合SpringSecurityJWT实现后台用户的登录和授权功能,使用到的技术有nacos,dubbo,SpringSecurity,redis. 一、SpringSecurity介绍和架构分析及使用流程 SpringSecurity是一个安全框架,支持自定义需求。
Java开发 - 单点登录初体验(Spring Security + JWT
CodingFire的博客
03-02 5893
登录这东西很奇怪哎,你说它难吗?好像客户端只需要调接口就行,那有啥难的?当你多多少少对登录的后台有些了解,又觉得好难啊,session,token,cookie,等等一堆东西,有老的大家都不喜欢用的,有新的一些框架的,根据公司项目规模不同,还要考虑成本的问题,真是有些头疼。博主今天推荐的一种登陆方式便是Spring Security + JWT的结合使用,为什么要两者结合呢?
Spring Boot+Spring Security+JWT 实现 RESTful Api 认证 (一)
热门推荐
https://gitee.com/micai-code
09-13 9万+
摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的。现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能够访问API。 一:开发一个简单的API 在IDEA开发工具中新建一个maven工程,添加对应的依赖如下: <dependency> <gro...
SpringBoot整合SpringSecurity实现JWT认证
我的博客
03-30 3万+
前言 微服务架构,前后端分离目前已成为互联网项目开发的业界标准,其核心思想就是前端(APP、小程序、H5页面等)通过调用后端的API接口,提交及返回JSON数据进行交互。 在前后端分离项目中,首先要解决的就是登录及授权的问题。微服务架构下,传统的session认证限制了应用的扩展能力,无状态的JWT认证方法应运而生,该认证机制特别适用于分布式站点的单点登录(SSO)场景 目录 该文会通过创建...
springboot + spring security + jwt实现api权限控制
qq_35494808的博客
08-09 2万+
1、在pom.xml中添加securityjwt的相关依赖,并在启动类上添加注解@EnableWebSecurity <!-- 权限相关依赖(securityjwt)--> <dependency> <groupId>org.springframework.boot</groupId> ...
Springboot+Spring-Security+JWT+Redis实现restful Api的权限管理以及token管理(超详细用爱发电版)
ech13an的博客
06-24 7万+
前言 其实挺早就想写一篇关于jwt的博文去好好总结一下之前踩过的坑了,但是事情有点太多了,一直没抽出时间来写,刚好现在有点时间可以好好静下来写一遍(可能)有点质量的博文吧,毕竟一直都是看别人的博文去学习,我也好好写一遍吧哈哈。既然如果偶然搜到这篇文章的话,我相信大家应该都了解了什么是jwt,比较想知道怎么使用springboot+spring-security实现,当然也可以使用shiro,其...
SpringSecurity+JWT实现前后端分离认证和授权 第二部分:测试+流程分析
Eriksen的博客
07-18 1173
SpringSecurity+JWT
spring-security-jwt的总结与实现
V539413949的博客
04-24 1558
jwt的总结与实现 请求和响应 请求实体-规定的客户端传给jwt认证服务器的参数 响应实体-规定了jwt服务端颁发给客户端的jwt token的结果 jwtUtil类 主要提供了jwt实现方法,如加密规则,生成token,获取token等 SecurityConfigurer类 主要设置了加密方法,用户信息读取方法,配置路由的授权规则等 过滤器JwtRequestFilter 对指定的http请求进行拦截和用户认证等 测试类 可以使用postman类似的工具进行jwt的测试 post http://
Spring Security+JWT实现
08-20
- *1* *2* [厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证](https://blog.csdn.net/qing_gee/article/details/124016059)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shenyang1026

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值