草鸡的SpringSecuity+JWT

最新推荐文章于 2024-01-15 20:33:15 发布
最新推荐文章于 2024-01-15 20:33:15 发布
阅读量201 收藏
点赞数
分类专栏: 草鸡的专栏 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rigou11/article/details/118343307
版权

背景:最近在搭建这玩意儿,本来就毕设那会用了一下,还是我自己全栈,也不需要前后端分离,但是现在不行了,前后端分离了。而且这边还有账号登录验证和短信验证码验证,草鸡累了。

  @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/teach/common/*").permitAll().anyRequest().authenticated()
                .antMatchers("/teach/courseware/*").hasAuthority("teacher")
//                .and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and().addFilter(new JWTAuthenticationFilter(authenticationManager())).
                addFilter(new JWTAuthorizationFilter(authenticationManager()))
                .addFilter(new JWTSAMAuthenticationFilter(authenticationManager()))
                .exceptionHandling().authenticationEntryPoint(new JwtAuthenticationEntryPoint())
                .accessDeniedHandler(new jwtAccessDeniedHandler())
                .and().logout()
                .and().csrf().disable();
        http.cors().disable();
    }

首先这是重写WebSecurityConfigurerAdapterd,来加入新加的JWT用户名登录和短信验证码登录的登录成功生成token的过滤器和一个鉴权的过滤器。

MyDetailService

@Component
public class MyUserDetailService implements UserDetailsService {
    @Autowired
    UserService userService;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if (null==username || "".equals(username)){
            return null;
        }
        UserDTO userDTO = userService.findUserInfoByUsername(username);
        if (null==userDTO){
            return null;
        }
        List<GrantedAuthority> authorities=new ArrayList<GrantedAuthority>();
        authorities.add(new SimpleGrantedAuthority(userDTO.getRole()));
        return new UserInfo(userDTO.getId(),userDTO.getUsername(),userDTO.getPassword(),authorities);
    }
}

自定义了一个detailservice,做这个第一当然是从数据库中动态验证用户信息,第二用户的id也封装进去了,毕竟后期真的写代码,还是用户id用的比较广泛。

UserInfo

package com.ccas.common.entity;

import io.swagger.models.auth.In;
import lombok.Data;
import lombok.NoArgsConstructor;
import lombok.ToString;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;

import java.util.Collection;
import java.util.List;


public class UserInfo extends User {

    private Integer id;

    private String username;

    private String password;

    private String role;



    public UserInfo(Integer id,String username, String password, Collection<? extends GrantedAuthority> authorities) {
        super(username, password, authorities);
        this.id=id;
    }

    public UserInfo(String username, String password, Collection<? extends GrantedAuthority> authorities) {
        super(username, password, authorities);
    }

    public Integer getId() {
        return id;
    }

    public String getRole() {
        return role;
    }

    public void setRole(String role) {
        this.role = role;
    }
}

这边重写了Spring security的user类,毕竟从上可以看到原始的这个类只有用户,密码和权限组,这边把id和单个角色放进去了。

JWTAuthenticationFilter

package com.ccas.common.jwt;

public class JWTAuthenticationFilter extends UsernamePasswordAuthenticationFilter {

    private AuthenticationManager authenticationManager;

    @Autowired
    UserService userService;


    public JWTAuthenticationFilter(AuthenticationManager authenticationManager) {
        setAuthenticationManager(authenticationManager);
        this.authenticationManager = authenticationManager;
        super.setFilterProcessesUrl("/teach/common/login");

        System.out.println("filter==="+authenticationManager+"---");
    }


    @Override
    public Authentication attemptAuthentication(HttpServletRequest request,
                                                HttpServletResponse response) throws AuthenticationException {

        // 从输入流中获取到登录的信息

        try {
            JSONObject jsonObject = new JSONObject();  //   前端 发送 json 对象  username  password
            JWTUser loginUser  = jsonObject.parseObject(request.getInputStream(), JWTUser.class);
            return authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(loginUser.getUsername(), loginUser.getPassword())
            );
        } catch (Exception e) {
            try {
                Result info = new Result();
                info.setCode(500);
                info.setMessage("账号或密码认证失败");
                response.setContentType("text/json;charset=utf-8");
                String s = JSONObject.toJSONString(info);
                response.getWriter().print(s);
            } catch (IOException e1) {
                e1.printStackTrace();
            }
            return null;
        }
    }

    // 成功验证后调用的方法
    // 如果验证成功,就生成token并返回
    @Override
    public void successfulAuthentication(HttpServletRequest request,
                                            HttpServletResponse response,
                                            FilterChain chain,
                                            Authentication authResult) throws IOException, ServletException {
        //  认证成功 我们需要将用户信息 生成token   发送给客户端
        UserInfo userInfo = (UserInfo) authResult.getPrincipal();
        Collection<GrantedAuthority> authorities = userInfo.getAuthorities();
        GrantedAuthority[] objects = authorities.toArray(new GrantedAuthority[]{});
        StringBuffer sb = new StringBuffer();
        for (int i=0;i<authorities.size();i++){
            String authority = objects[i].getAuthority();
            if(i==authorities.size()-1){
                sb.append(authority) ;
            }else{
                sb.append(authority+"-") ;
            }
        }
        userInfo.setRole(sb.toString());

        String token = null;
        response.setContentType("application/json; charset=utf-8");
        Result<Object> errorInfoDTO = new Result();
        try {

            token = JwtUtils.generateToken(userInfo);
            String tokenStr =  JwtUtils.TOKEN_PREFIX+ token;
            Map<String,Object> map=new HashMap<>();
            map.put("token",tokenStr);
            map.put("role",sb.toString());
            response.setHeader(JwtUtils.TOKEN_NAME,tokenStr); //  header形式 发送给客户端浏览器
            errorInfoDTO.setCode(200);
            errorInfoDTO.setMessage("登录成功");
            errorInfoDTO.setData(map);
        } catch (Exception e) {
            e.printStackTrace();
            errorInfoDTO.setCode(500);
            errorInfoDTO.setMessage("token生成失败");
        }
        String s = JSONObject.toJSONString(errorInfoDTO);
        response.getWriter().print(s);
    }

    @Override
    public  void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
        response.setStatus(403);
        response.setContentType("application/json; charset=utf-8");
        if (failed instanceof BadCredentialsException) {
            response.getWriter().write("authentication failed, reason: 密码错误"  );
        }else{
            response.getWriter().write("authentication failed, reason: " + failed.getMessage());
        }
    }
}

      这是用户名密码验证。默认的登录的url是login,所以这边重新定义了一个新的登录url。从前端发送过来的json对象,用一个user对象去接收到,并放入默认的UsernamePasswordAuthenticationToken去进行密码校验,要是成功登录就通过JWTUtils去生成相对应的token。

    public static String generateToken(UserInfo userInfo) throws Exception {
        return Jwts.builder()
                .claim(JwtConstants.JWT_KEY_ID, userInfo.getId())
                .claim(JwtConstants.JWT_KEY_USER_NAME, userInfo.getUsername())
                .claim(JwtConstants.JWT_KEY_USER_ROLE, userInfo.getRole())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRITION))
                .signWith(SignatureAlgorithm.HS256, APPSECRET_KEY)
                .compact();
    }

 接下来就是鉴权了。

package com.ccas.common.jwt;

public class JWTAuthorizationFilter extends BasicAuthenticationFilter {

    public JWTAuthorizationFilter(AuthenticationManager authenticationManager ) {
        super(authenticationManager);
    }

    @Override
    public void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain chain) throws IOException, ServletException {

        String tokenHeader = request.getHeader(JwtUtils.TOKEN_NAME);
        // 如果请求头中没有Authorization信息则直接放行了
        if (tokenHeader == null || !tokenHeader.startsWith(JwtUtils.TOKEN_PREFIX)) {
            chain.doFilter(request, response);
        }else{
            SecurityContextHolder.getContext().setAuthentication(getAuthentication(tokenHeader,response));
            super.doFilterInternal(request, response, chain);
        }

    }

    private UsernamePasswordAuthenticationToken getAuthentication(String tokenHeader,HttpServletResponse response) throws IOException {
        String token = tokenHeader.replace(JwtUtils.TOKEN_PREFIX, "");
        ServletOutputStream out = response.getOutputStream();
        Result errorInfoDTO =  new Result();
        try {
            Map<String, String> infoFromToken = JwtUtils.getInfoFromToken(token);
            String userRole = infoFromToken.get("role");
            String userName = infoFromToken.get("username");
            //  根据token 获取 用户信息  封装到UsernamePasswordAuthenticationToken对象中
            if (userName != null) {
                String[] roles1 = userRole.split("-");
                List<String> list = Arrays.asList(roles1);
                List<GrantedAuthority> listRoles = new ArrayList<GrantedAuthority>();
                for (String s : list) {
                    listRoles.add(new SimpleGrantedAuthority(s));
                }
                return new UsernamePasswordAuthenticationToken(infoFromToken, null, listRoles);
            }
        } catch (Exception e) {
            response.setStatus(HttpServletResponse.SC_INTERNAL_SERVER_ERROR);
            errorInfoDTO.setCode(500);
            errorInfoDTO.setMessage("认证解析失败");
            String s = JSONObject.toJSONString(errorInfoDTO);
            out.write(s.getBytes());
            out.flush();
            out.close();
        }
        return  null;
    }
}

  public static Map<String,String> getInfoFromToken(String token) throws Exception {
        Claims claims = Jwts.parser().setSigningKey(APPSECRET_KEY).parseClaimsJws(token).getBody();
        Map<String,String> map=new HashMap<>();
        map.put("id",claims.get("id").toString());
        map.put("username",claims.get("username").toString());
        map.put("role",claims.get("role").toString());
        return map;
    }

 鉴权就是登录成功之后,前端访问别的请求时候,就会自动去鉴权,这时候每次访问就会头部带有一个token的,所以每次请求,这边就会去看头部是不是有个token,要是没有携带token或者token开头没有带最开始装配的前缀就放行直接出个异常。

如果正确携带了token,就开始往下解析token,正常解析之后将返回的UsernamePasswordAuthenticationToken放入Spring security的上下文之中。要是权限不足,内部就会报一个权限不够的异常,这里我只能在全局捕捉那边将其显示出来。

   @GetMapping("/findMenuWare")
    @PreAuthorize("hasAuthority('teacher')")
    public Result<Object> findMenuWare(){
        Map<String,String> userInfo = (Map<String, String>) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        Integer userInfoId=  Integer.parseInt(userInfo.get("id"));
        List<Tree<String>> findMenuWare = menuService.findmenuware(userInfoId);
        return new Result<>(StatusCode.SUCCESS,"查询成功", findMenuWare);
    }

 在鉴权的时候用用户信息map放入Spring security上下文里面,所以这边可以直接拿出来使用用户id。

这些是用户名密码登录。短信的话,就是在前端请求验证码的时候,将验证码放入session之中。

package com.ccas.common.jwt;

public class JWTSAMAuthenticationFilter extends UsernamePasswordAuthenticationFilter {

    private AuthenticationManager authenticationManager;



    public JWTSAMAuthenticationFilter(AuthenticationManager authenticationManager) {
        setAuthenticationManager(authenticationManager);
        this.authenticationManager = authenticationManager;
        super.setFilterProcessesUrl("/teach/common/smslogin");

        System.out.println("filter==="+authenticationManager+"---");
    }


    @Override
    public Authentication attemptAuthentication(HttpServletRequest request,
                                                HttpServletResponse response) throws AuthenticationException {

        // 从输入流中获取到登录的信息
        try {
            JSONObject jsonObject = new JSONObject();  //   前端 发送 json 对象  username  password
            JWTUser loginUser  = jsonObject.parseObject(request.getInputStream(), JWTUser.class);
            String code = (String) request.getSession().getAttribute("code");
            if (code.equals(loginUser.getCode())){
                loginUser.setPassword("www.caoji.com");
                loginUser.setUsername(loginUser.getPhone());
                return authenticationManager.authenticate(
                        new UsernamePasswordAuthenticationToken(loginUser.getUsername(), loginUser.getPassword())
                );
            }else {
                Result info = new Result();
                info.setCode(500);
                info.setMessage("短信验证码错误");
                response.setContentType("text/json;charset=utf-8");
                String s = JSONObject.toJSONString(info);
                response.getWriter().print(s);
                return null;
            }

        } catch (Exception e) {
            try {
                Result info = new Result();
                info.setCode(500);
                info.setMessage("账号或密码认证失败");
                response.setContentType("text/json;charset=utf-8");
                String s = JSONObject.toJSONString(info);
                response.getWriter().print(s);
            } catch (IOException e1) {
                e1.printStackTrace();
            }
            return null;
        }
    }

    // 成功验证后调用的方法
    // 如果验证成功,就生成token并返回
    @Override
    public void successfulAuthentication(HttpServletRequest request,
                                            HttpServletResponse response,
                                            FilterChain chain,
                                            Authentication authResult) throws IOException, ServletException {
        //  认证成功 我们需要将用户信息 生成token   发送给客户端
        UserInfo userInfo = (UserInfo) authResult.getPrincipal();
        Collection<GrantedAuthority> authorities = userInfo.getAuthorities();
        GrantedAuthority[] objects = authorities.toArray(new GrantedAuthority[]{});
        StringBuffer sb = new StringBuffer();
        for (int i=0;i<authorities.size();i++){
            String authority = objects[i].getAuthority();
            if(i==authorities.size()-1){
                sb.append(authority) ;
            }else{
                sb.append(authority+"-") ;
            }
        }
        userInfo.setRole(sb.toString());

        String token = null;
        response.setContentType("application/json; charset=utf-8");

        Result<Object> errorInfoDTO = new Result();
        try {
            token = JwtUtils.generateToken(userInfo);
            String tokenStr =  JwtUtils.TOKEN_PREFIX+ token;
            Map<String,Object> map=new HashMap<>();
            map.put("token",tokenStr);
            map.put("role",sb.toString());
            response.setHeader(JwtUtils.TOKEN_NAME,tokenStr); //  header形式 发送给客户端浏览器
            errorInfoDTO.setCode(200);
            errorInfoDTO.setMessage("登录成功");
            errorInfoDTO.setData(map);
        } catch (Exception e) {
            e.printStackTrace();
            errorInfoDTO.setCode(500);
            errorInfoDTO.setMessage("token生成失败");
        }
        String s = JSONObject.toJSONString(errorInfoDTO);
        response.getWriter().print(s);
    }

    @Override
    public  void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
        response.setStatus(403);
        response.setContentType("application/json; charset=utf-8");
        if (failed instanceof BadCredentialsException) {
            response.getWriter().write("authentication failed, reason: 密码错误"  );
        }else{
            response.getWriter().write("authentication failed, reason: " + failed.getMessage());
        }
    }
}


  @SuppressWarnings("deprecation")
    protected void additionalAuthenticationChecks(UserDetails userDetails,
                                                    UsernamePasswordAuthenticationToken authentication)
            throws AuthenticationException {
        if (authentication.getCredentials() == null) {
            logger.debug("Authentication failed: no credentials provided");

            throw new BadCredentialsException(messages.getMessage(
                    "AbstractUserDetailsAuthenticationProvider.badCredentials",
                    "Bad credentials"));
        }

        String presentedPassword = authentication.getCredentials().toString();

        if ((!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) && !presentedPassword.equals("www.caoji.com")) {
            logger.debug("Authentication failed: password does not match stored value");

            throw new BadCredentialsException(messages.getMessage(
                    "AbstractUserDetailsAuthenticationProvider.badCredentials",
                    "密码错误"));
        }
    }

jWTUser就是把上面用户名密码和这边的手机号验证码封装了一个json对象了,想要好接受来着。改了一个密码校验的源码,要是正确密码或者是我自定义的"www.caoji.com"都算验证通过。前端传来的code和之前存在session之中的code进行校验,要是一致,手动把密码设置为我的caoji自定义密码,反正这样也是可以走得通。

就这样短信验证也是可以了。

做这个的时候,但是Springsecurity好变态,各种重写简直了。但是我还是想说pro真的好香。那个显示栏,我爱了。争取走上苹果六件套!嘻嘻

不打代码打男人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
草鸡饲养技术手册
12-31
草鸡饲养技术手册》是一本专注于农业领域,特别是家禽养殖业的专业参考资料,旨在提供全面、详实的草鸡养殖知识和技术。手册的内容涵盖了草鸡饲养的各个环节,包括品种选择、育雏管理、饲料配比、疾病预防、环境...
Springboot+SpringSecurity实现权限控制(二、用户登录认证)
一念永恒
03-09 1713
配置Security核心配置类 将WebSecurityConfig放在auth包下 右击鼠标-->点击Generate... -->点击Override Methods... 选择下面的三个configure 禁用防护: http.csrf().disable() 禁用Session的配置: .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) 禁用缓存: .headers().c
SpringBoot整合SpringSecurity遇到的SESSION验证问题
qq_33388068的博客
12-02 4330
SpringBoot整合SpringSecurity遇到的SESSION不一致问题。后端采用springboot+spring security前端还是jsp,所以还是session验证的方式登录。但是整合好后测试发现问题,每次登录跳转到首页之后刷新页面又重定向到了login页面
SpringBoot整合SpringSecurity权限控制(动态拦截url+单点登录)
在计算机领域混战了5年的java开发工程师,正在向全栈奋斗的路上。目前在学习和分享:Java,springboot,spring,vue,系统开发,服务器运维(可做毕业设计)等相关知识。
04-03 2687
Slf4j@Component@Resource@Override//获取身份验证详细信息//用于校验mac地址白名单(这里只是打个比方,登录验证中增加的额外字段)//表单输入的用户名//表单输入的密码//校验用户名密码if (!matches) {!");@Override@Component@Resource@Override//任意登录用户名!");//从数据库获取密码//用户拥有的角色// }
SpringBoot-Security-用户权限分配-配置验证规则
weixin_34041003的博客
02-15 935
Spring Security配置 Spring Security配置是通过 @EnableWebSecurity注释和WebSecurityConfigurerAdapter共同提供基于网络的安全性。 WebSecurityConfigurerAdapter类的configure(HttpSecurity http)方法是设置 HTTP 验证规则,co...
SpringSecurity实现登陆认证并返回token
qq_39835420的博客
09-15 3662
SpringSecurity+oauth2生成token
雪山草鸡的特性与饲养.doc
12-24
【雪山草鸡】是一种由江苏立华畜禽有限公司培育的地方鸡品种,因其良好的市场售价和肉质,备受养殖户青睐。这种鸡具有青脚细腿、公鸡红背黑尾、母鸡麻羽的特征,性成熟早,公鸡45天即会啼鸣,母鸡100天开始产蛋。...
草鸡模块最新源码
12-15
超级模块源码 破解版 最新 4.0 下载 易语言 开源,
超级管理员(Administrator)密码设置工具
10-03
受限帐户权限提升软件(适用于XP、2K、2003) 注意:运行此程序后重新启动计算机有效, 重新启动过程较慢请稍等待 启动后请运行D盘加速.bat可以使启动加速。 ━━━━━━━━━━━━━━━━━━━━━━━━...
怎么做菠菜鸡蛋汤-3页.pdf
11-09
3. 第三种做法是先用草鸡炖制鸡汤,然后将菠菜焯水,接着在鸡汤中加入菠菜,倒入鸡蛋液,待煮沸后调味。这种做法利用鸡汤为底,使汤品味道更加醇厚。 每种做法都有其独特之处,可以根据个人口味和喜好进行选择。...
如何使用Spring Security控制会话
allway2的博客
11-18 3291
并发会话控制功能用于维护活动会话列表以及关联的经过身份验证的用户的信息。我们在本文前面配置了 Spring 安全性使用此事件发布来发布会话生命周期中的事件,并且相应地更新了 SessionRegistry。每次登录的客户尝试访问应用程序的安全部分时,都会检查用户的活动会话。以下是安全性中可用的选项,可以帮助我们配置和控制会话创建。会话超时后,如果他们提交具有无效会话 ID 的请求,我们可以将使用重定向到特定页面。在本文中,我们讨论了 Spring 安全会话管理以及如何使用 Spring 安全性控制会话。
认证和授权:前后端分离状态下使用Spring Security实现安全访问控制
Java精选
10-09 712
本文使用的springboot版本是2.1.3.RELEASE一、简要描述默认情况下,spring security登录成功或失败,都会返回一个302跳转。登录成功跳转到主页,失败跳转到登录页。如果未认证直接访问受保护资源也会跳转到登录页 。而在前后端分离项目中,前后端是通过json数据进行交互,前端通过ajax请求和后端进行交互,ajax是无法处理302跳转的,所以我们希望不管是未登录还是登录成...
SpringCloud-无状态Session配置方法一
wendy专栏
12-04 5488
1、需求 rest客户端访问rest服务端默认状态的配置策略是:无状态的; 假如默认配置策略不是无状态配置,则需要配置为无状态; 若不配置无状态,则rest服务端会爆掉,堆积海量的sessionId;   2、Session状态策略:org.springframework.security.config.http.SessionCreationPolicy public enum S...
SpringSecurity前后端分离的使用
make_progress的博客
07-07 2008
使用SpringSecurity实现安全认证,使用模拟redis的缓存机制,实现不同权限的登录设置。注:application.yml文件没有添加内容。 3.2 config包 3.2.1 WebSecurityConfig 安全配置 3.2.2 UserDetailsServiceImp 用户登录认证 3.2.3 AuthenticationEntryPointImp 用户登录状态认证 3.2.4 AccessDeniedHandlerImp 用户鉴权 3.3 filter包下Authentication
SpringBoot+SpringSecurity改造为前后端分离+Jwt的权限认证系统,Token过期刷新问题
热门推荐
zzzgd_666的博客
07-18 1万+
前言 一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。 但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了 SpringSecurity默认的是采用Session来判断请求的用户是否登录的,但是不方便分布式...
SpringSecurity(05)——会话管理
最新发布
peng_gx的博客
01-15 1248
SpringSecurity会话管理
SpringBoot集成Spring Security实现登陆和简单权限验证
不经意的博客
09-21 7180
1.数据库配置好 2.导依赖 <!-- spring security 安全认证 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependen
《网络流行语的成因与青少年影响研究》
一些人在网络上喜欢将一些词语进行改写,例如将“什么”打成“神马”,将“这样子”打成“酱紫”,将“超级”打成“草鸡”等与本意完全不着边际的词语已经成为了流行语。除此之外,一些流行语,例如“挽尊”,“我和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值