SpringSecurity+jwt权限管理demo

最新推荐文章于 2024-07-30 17:25:47 发布
最新推荐文章于 2024-07-30 17:25:47 发布
阅读量618 收藏
点赞数
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/saienenen/article/details/115273545
版权

一,前言

我发现很多开源项目在权限安全这方面用的都是Spring-Security。所以这段时间学习了 Spring-Security ,做了一个权限管理demo巩固一下。之前有做过一个 shiro 的权限管理demo,前端就是借用那个项目的,只有一点地方改变。shiro

二,代码实践

1,POM

不止有这几个依赖,后面会提供源码

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <!--Hutool Java工具包-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>4.5.7</version>
        </dependency>
        <!--JWT(Json Web Token)登录支持-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>

2,JwtTokenUtil

Jwt 工具类,用于生成token,验证token等操作…

@Component
public class JwtTokenUtil {

    private static final Logger LOGGER = LoggerFactory.getLogger(JwtTokenUtil.class);
    private static final String CLAIM_KEY_USERNAME = "sub";
    private static final String CLAIM_KEY_CREATED = "created";
    @Value("${jwt.secret}")
    private String secret;
    @Value("${jwt.expiration}")
    private Long expiration;
    @Value("${jwt.tokenHead}")
    private String tokenHead;

    /**
     * 根据负责生成JWT的token
     */
    private String generateToken(Map<String, Object> claims) {
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate())
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    /**
     * 从token中获取JWT中的负载
     */
    private Claims getClaimsFromToken(String token) {
        Claims claims = null;
        try {
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            LOGGER.info("JWT格式验证失败:{}",token);
        }
        return claims;
    }

    /**
     * 生成token的过期时间
     */
    private Date generateExpirationDate() {
        return new Date(System.currentTimeMillis() + expiration * 1000);
    }

    /**
     * 从token中获取登录用户名
     */
    public String getUserNameFromToken(String token) {
        String username;
        try {
            Claims claims = getClaimsFromToken(token);
            username =  claims.getSubject();
        } catch (Exception e) {
            username = null;
        }
        return username;
    }

    /**
     * 验证token是否还有效
     *
     * @param token       客户端传入的token
     * @param userDetails 从数据库中查询出来的用户信息
     */
    public boolean validateToken(String token, UserDetails userDetails) {
        String username = getUserNameFromToken(token);
        return username.equals(userDetails.getUsername()) && !isTokenExpired(token);
    }

    /**
     * 判断token是否已经失效
     */
    private boolean isTokenExpired(String token) {
        Date expiredDate = getExpiredDateFromToken(token);
        return expiredDate.before(new Date());
    }

    /**
     * 从token中获取过期时间
     */
    private Date getExpiredDateFromToken(String token) {
        Claims claims = getClaimsFromToken(token);
        return claims.getExpiration();
    }

    /**
     * 根据用户信息生成token
     */
    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();
        claims.put(CLAIM_KEY_USERNAME, userDetails.getUsername());
        claims.put(CLAIM_KEY_CREATED, new Date());
        return generateToken(claims);
    }

    /**
     * 判断token是否可以被刷新
     */
    public boolean canRefresh(String token) {
        return !isTokenExpired(token);
    }

    /**
     * 当原来的token没过期时是可以刷新的
     *
     * @param oldToken 带tokenHead的token
     */
    public String refreshHeadToken(String oldToken) {
        if(StrUtil.isEmpty(oldToken)){
            return null;
        }
        String token = oldToken.substring(tokenHead.length());
        if(StrUtil.isEmpty(token)){
            return null;
        }
        //token校验不通过
        Claims claims = getClaimsFromToken(token);
        if(claims==null){
            return null;
        }
        //如果token已经过期,不支持刷新
        if(isTokenExpired(token)){
            return null;
        }
        //如果token在30分钟之内刚刷新过,返回原token
        if(tokenRefreshJustBefore(token,30*60)){
            return token;
        }else{
            claims.put(CLAIM_KEY_CREATED, new Date());
            return generateToken(claims);
        }
    }

    /**
     * 判断token在指定时间内是否刚刚刷新过
     * @param token 原token
     * @param time 指定时间(秒)
     */
    private boolean tokenRefreshJustBefore(String token, int time) {
        Claims claims = getClaimsFromToken(token);
        Date created = claims.get(CLAIM_KEY_CREATED, Date.class);
        Date refreshDate = new Date();
        //刷新时间在创建时间的指定时间内
        if(refreshDate.after(created)&&refreshDate.before(DateUtil.offsetSecond(created,time))){
            return true;
        }
        return false;
    }

}

补充

在token这部分内容我的实现思路是:
前端发起登录请求,登录成功获取token,这个token有效期为7天(可能太长了不合理)。
前端每隔一段时间刷新这个token,如果token过期,则重新登录。

//定时刷新token
const timer = setInterval(() => {
	let token = getToken()
	if (token == null || token == '') {
		return
	}
	store
		.dispatch('refreshToken')
		.then(() => {
			console.log('token刷新成功')
		})
		.catch(() => {
			console.log('token刷新失败')
		})
}, 60 * 1000)

3,AdminUserDetails

了解 Spring-Security的知道,框架提供了一个实现UserDetails接口的对象–User。这个可以说是认证授权的主体,即用户本身,存储着用户的权限,角色等信息。
我们可以自定义这个主体对象,从数据库综查询出用户的权限,角色等信息…只需要实现UserDetails接口即可

public class AdminUserDetails implements UserDetails {

    private Admin admin;

    private List<Resource> permissionList;

    public AdminUserDetails(Admin admin, List<Resource> permissionList) {
        this.admin = admin;
        this.permissionList = permissionList;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        //返回当前用户的权限
        return permissionList.stream()
                .filter(permission -> permission.getUrl()!=null)
                .map(permission ->new SimpleGrantedAuthority(permission.getUrl()))
                .collect(Collectors.toList());
    }


    @Override
    public String getPassword() {
        return admin.getPassword();
    }

    @Override
    public String getUsername() {
        return admin.getUserName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }


    @Override
    public boolean isAccountNonLocked() {
        return true;
    }


    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }


    @Override
    public boolean isEnabled() {
        return admin.getStatus().equals(1);
    }
}

4,JwtAuthenticationTokenFilter

在这个demo中,我们依然是从请求中获取前端发过来的token,然后进行一系列的验证。

public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    private static final Logger LOGGER = LoggerFactory.getLogger(JwtAuthenticationTokenFilter.class);

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    @Value("${jwt.tokenHeader}")
    private String tokenHeader;

    @Value("${jwt.tokenHead}")
    private String tokenHead;

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain chain) throws ServletException, IOException {
        //获取请求头中的token
        String authHeader = request.getHeader(this.tokenHeader);
        //判断token是否存在
        if (authHeader != null && authHeader.startsWith(this.tokenHead)) {
            String authToken = authHeader.substring(this.tokenHead.length());// The part after "Bearer "
            String username = jwtTokenUtil.getUserNameFromToken(authToken);
            LOGGER.info("checking username:{}", username);
            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
                //验证token是否还有效
                if (jwtTokenUtil.validateToken(authToken, userDetails)) {
                    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                    authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    LOGGER.info("authenticated user:{}", username);
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            }
        }
        chain.doFilter(request, response);
    }
}

5,RestAuthenticationEntryPoint

当未登录或者token失效访问接口时,自定义的返回结果

@Component
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        response.getWriter().println(JSONUtil.parse(RestResponse.fail(SystemCode.AccessTokenError.getCode(),SystemCode.AccessTokenError.getMessage())));
        response.getWriter().flush();
    }
}

6,RestfulAccessDeniedHandler

当访问接口没有权限时,自定义的返回结果

@Component
public class RestfulAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request,
                       HttpServletResponse response,
                       AccessDeniedException e) throws IOException, ServletException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        response.getWriter().println(JSONUtil.parse(RestResponse.fail(SystemCode.AccessDenied.getCode(),SystemCode.AccessDenied.getMessage())));
        response.getWriter().flush();
    }
}

7,NRSCLogoutSuccessHandler

退出登录成功后返回结果

public class NRSCLogoutSuccessHandler implements LogoutSuccessHandler {

    private ObjectMapper objectMapper = new ObjectMapper();


    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication)
            throws IOException, ServletException {
            response.setContentType("application/json;charset=UTF-8");
            response.getWriter().write(objectMapper.writeValueAsString(RestResponse.ok("退出登录")));

    }

}

8,SecurityConfig

Spring-Security 配置

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private AdminService adminService;
    @Autowired
    private RestfulAccessDeniedHandler restfulAccessDeniedHandler;
    @Autowired
    private RestAuthenticationEntryPoint restAuthenticationEntryPoint;

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity.csrf()// 由于使用的是JWT,我们这里不需要csrf
                .disable()
                .sessionManagement()// 基于token,所以不需要session
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                //退出登陆相关的逻辑
                .logout()
                //自定义退出的url---默认的为/logout
                .logoutUrl("/api/admin/logout")
                //自定义退出成功处理器
                .logoutSuccessHandler(LogoutSuccessHandler())
                .and()
                .authorizeRequests()
                .antMatchers("/api/admin/login")// 对登录注册要允许匿名访问
                .permitAll()
                .antMatchers(HttpMethod.OPTIONS)//跨域请求会先进行一次options请求
                .permitAll()
                .anyRequest()// 除上面外的所有请求全部需要鉴权认证
                .authenticated();
        // 禁用缓存
        httpSecurity.headers().cacheControl();
        // 添加JWT filter
        httpSecurity.addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);
        //添加自定义未授权和未登录结果返回
        httpSecurity.exceptionHandling()
                .accessDeniedHandler(restfulAccessDeniedHandler)
                .authenticationEntryPoint(restAuthenticationEntryPoint);
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService())
                .passwordEncoder(passwordEncoder());
    }

    @Bean
    public LogoutSuccessHandler LogoutSuccessHandler(){
        return new NRSCLogoutSuccessHandler();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public UserDetailsService userDetailsService() {
        //获取登录用户信息
        return username -> {
            Admin admin = adminService.getAdminByUsername(username);
            if (admin != null) {
                List<Resource> permissionList = adminService.getPermissionList(admin.getId());
                return new AdminUserDetails(admin,permissionList);
            }
            throw new UsernameNotFoundException("用户名或密码错误");
        };
    }


    @Bean
    public JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter(){
        return new JwtAuthenticationTokenFilter();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

三,最后

以上是关于 spring-security的内容,在项目中还使用 redis 缓存等。
项目地址

不回头~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springMVC+security权限管理demo
05-30
案例采用spring mvc + security实现权限管理,包含有数据库文件,导入即可看到效果!!!
springsecurity+jwt权限系统demo.zip
11-19
springsecurity+jwt权限系统demo,只有后端,测试请使用postman,未登录情况下不可以访问指定路径的接口,用户登录之后不可以访问管理员接口,管理员可以访问其角色一下的所有接口,角色可以继承
Spring Security 超详细整合 JWT,能否拿下看你自己!
m0_62113349的博客
07-02 364
Spring Security是一个功能强大并且高度可定制的Java安全框架,用于保护基于Spring的应用程序。JWT(JSON Web Tokens)是一种用于在网络应用环境间传递声明的一种紧凑的、URL安全的方式。将Spring SecurityJWT整合可以为应用程序提供一个安全且高效的认证机制。整合Spring SecurityJWT涉及到许多细节,上述步骤提供了一个大致的框架。确保你的开发环境中已经包含了Spring Boot和Spring Security的依赖。
Spring Security学习笔记(三)Spring Security+JWT认证授权流程代码实例
最新发布
飞!!!的博客
07-30 382
JWT(JSON Web Token),是一种开放标准(RFC 7519),用于在网络应用环境间安全地传输信息。本质上是一个经过数字签名的JSON对象,能够携带并传递状态信息(如用户身份验证、授权等)上篇文章已经介绍过Spring Security的认证和鉴权架构。Spring Security的认证主要由AuthenticationManager -> AuthenticationProvider流程。
适合新手入门Spring Security With JWTdemo(确定不收藏?)
yuandengta的博客
07-07 203
Spring SecuritySpring 全家桶中非常强大的一个用来做身份验证以及权限控制的框架,我们可以轻松地扩展它来满足我们当前系统安全性这方面的需求。 但是 Spring Security 相比于其他一些技术比如 JPA 来说更难上手,很多人初学的时候很难通过看视频或者文档发就很快能独立写一个 Demo 出来,于是后面可能就放弃了学习这个东西。 刚来公司的时候的入职培训实战项目以及现在正在做的项目都用到了 Spring Security 这个强大的安全验证框架,可以看出这个框架在身份验证以及
Spring Security With JWT 入门 Demo
Star's Tech Blog
10-05 1278
spring security jwt GitHub :https://github.com/yifanzheng/spring-security-jwt.git 概述 Spring SecuritySpring 全家桶中一个功能强大且高度可定制的身份验证和访问控制框架。与所有 Spring 项目一样,我们可以轻松扩展 Spring Security 以满足自定义要求。 由于 Spring ...
适合初学者入门 Spring Security With JWTDemo
编码行者的博客
10-22 127
https://github.com/Snailclimb/spring-security-jwt-guide
Spring Security 权限控制
Demo_Null
10-15 156
1.1 授权操作 1.1.1 开启注解支持   这个注解支持必须卸载 MVC 的配置文件中,这是因为我们将注解加载 Controller 层上,该层由前端控制器加载,故位于 Spring Ioc 的子容器中,而 MVC 配置文件也是由 DispatcherServlet 加载的。将注解支持写到 Spring 的配置文件中注解将会不生效。 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframewo
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的...* SpringSecurity+JWT demo代码(码云地址、GitHub地址)
Springboot+SpringSecurity+JWT+redis 框架搭建demo
02-03
本项目"Springboot+SpringSecurity+JWT+redis框架搭建demo"提供了一个基于这些技术的登录验证解决方案,旨在实现高效、安全的用户身份验证。下面我们将深入探讨这些技术及其在项目中的应用。 **Spring Boot** ...
springboot-springsecurity-jwt-demo
01-28
一:RestApi接口增加JWT认证功能<br/> 用户填入用户名密码后,与数据库里存储的用户信息进行比对,如果通过,则认证成功。传统的方法是在认证通过后,创建sesstion,并给客户端返回cookie。 现在我们采用JWT来处理用户名密码的认证。区别在于,认证通过后,服务器生成一个token,将token返回给客户端,客户端以后的所有请求都需要在http头中指定该token。 服务器接收的请求后,会对token的合法性进行验证。验证的内容包括: 内容是一个正确的JWT格式 检查签名 检查claims 检查权限 处理登录 创建一个类JWTLoginFilter,核心功能是在验证用户名密码正确后,生成一个token,并将token返回给客户端: 该类继承自UsernamePasswordAuthenticationFilter,重写了其中的2个方法: attemptAuthentication :接收并解析用户凭证。 successfulAuthentication :用户成功登录后,这个方法会被调用,我们在这个方法里生成token。 二:授权验证 用户一旦登录成功后,会拿到token,后续的请求都会带着这个token,服务端会验证token的合法性。 创建JwtAuthenticationFilter类,我们在这个类中实现token的校验功能。 该类继承自BasicAuthenticationFilter,在doFilterInternal方法中,从http头的Authorization 项读取token数据,然后用Jwts包提供的方法校验token的合法性。 如果校验通过,就认为这是一个取得授权的合法请求。 三:SpringSecurity配置 通过SpringSecurity的配置,将上面的方法组合在一起。 这是标准的SpringSecurity配置内容,就不在详细说明。注意其中的 .addFilter(new JWTLoginFilter(authenticationManager())) .addFilter(new JwtAuthenticationFilter(authenticationManager())) 这两行,将我们定义的JWT方法加入SpringSecurity的处理流程中。 四:简单测试 下面对我们的程序进行简单的验证:<br/> 1.请求获取用户列表接口:http://localhost:8080/users/userList接口,会收到403错误<br/> { "timestamp": 1518333248079, "status": 403, "error": "Forbidden", "message": "Access Denied", "path": "http://localhost:8080/users/userList" } curl http://localhost:8080/users/userList<br/> 原因就是因为这个url没有授权,所以返回403<br/> ![输入图片说明](https://gitee.com/uploads/images/2018/0211/154022_8d9806ae_130820.png "jwt-1.png") 2.注册一个新用户<br/> curl -H "Content-Type: application/json" -X POST -d '{<br/> "username": "admin",<br/> "password": "password"<br/> }' http://localhost:8080/users/signup<br/> ![输入图片说明](https://gitee.com/uploads/images/2018/0211/154042_74fb2aa6_130820.png "jwt-2.png") 3.登录,会返回token,在http header中,Authorization: Bearer 后面的部分就是token<br/> curl -i -H "Content-Type: application/json" -X POST -d '{<br/> "username": "admin",<br/> "password": "password"<br/> }' http://localhost:8080/login<br/> 温馨提醒:这里的login方法是spring specurity框架提供的默认登录url ![输入图片说明](https://gitee.com/uploads/images/2018/0211/154308_9576ce90_130820.png "jwt-3.png") 4.用登录成功后拿到的token再次请求/users/userList接口<br/> 4.1将请求中的XXXXXX替换成拿到的token<br/> 4.2这次可以成功调用接口了<br/> curl -H "Content-Type: application/json"<br/> -H "Authorization: Bearer XXXXXX"<br/> "http://localhost:8080/users/userList" ![输入图片说明](https://gitee.com/uploads/images/2018/0211/154315_241cd6b2_130820.png "jwt-4.png")
spring-security-jwt-rest-demo:一个用于测试RESTful应用程序的Spring SecurityJWT的演示
03-28
Spring Boot REST应用程序+带有JWTSpring Security 一个用于测试RESTful应用程序的Spring SecurityJWT的演示 用法 要登录,请在'/ login'处将以下代码添加到GET请求的正文中: {"username":"user","password":"password"} 要访问受保护的资源“ / quotes”,请将通过登录获得的令牌添加到请求的Authentication标头中: Authentication: Bearer XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 执行 Spring Security是在com.hendisantika.jwt.config软件包中配置的: WebSecurityConfig定义了以下策略:访问资源,用于登录和身份验证的筛
权限控制demo
09-08
可以实现按钮的控制
权限控制Demo
08-28
权限控制Demo
springboot+security+jwtdemo
10-22
springboot+security+jwtdemo代碼
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
Springboot+SpringSecurity+JWT实现登录认证及鉴权
tony_stark的博客
08-18 4373
因为现在项目重构,在网上找了很多这方面的案例,常用的登录认证和前端鉴权就是SpringSecurity+JWT来实现。所以在网上搜了一些案例,集成到自己的项目中,做了适应项目的修改及调整,分享demo出来给有需要的码友。 备注:其实在项目中一般都只会用到登录认证,至于鉴权,Security实际上就是将所有权限的角色遍历,和当前登录用户的角色匹配是否具有权限,每次请求都会遍历,过于繁琐,在实际项目中一般很少使用。 1.首先引入pom.xml依赖: <dependency> <grou
spring security_spring-security-oauth2官方jwt-demo运行实例解析
weixin_39542850的博客
11-26 289
简述在开发过程中权限控制必不可少,如何选择一款优秀的权限架构是一份很头疼的事,而shiro和spring-security则是市面上比较优秀的两款权限开源框架,通过改造对应的定制化源码扩展出自己业务所需的架构。下面主要来运行一下官方spring-security-oauth2权限框架的测试demo,通过运行的效果来初步认识这款权限架构。1、下面是从官方下载[源码地址:https://github....
springsecurity+oauth2+jwt demo
10-26
Spring Security是一个强大的安全框架,可以用于保护Spring应用程序中的资源和用户身份验证。OAuth2是一种开放标准,用于对第三方应用程序进行安全授权。JWT(JSON Web Token)是一种用于认证和授权的开放标准。 Spring Security OAuth2 JWT Demo是一个示例应用程序,演示了如何使用Spring Security,OAuth2和JWT进行身份验证和授权。这个示例应用程序包括以下功能: 1. 用户注册和登录:用户可以通过注册页面创建新的账户,并使用已注册的账户登录到应用程序。 2. 资源保护:应用程序中的某些资源需要进行身份验证,只有经过身份验证的用户才能访问这些资源。 3. OAuth2授权:通过使用OAuth2,应用程序可以允许用户使用第三方应用程序进行身份验证和授权。 4. JWT签发和验证:当用户成功进行身份验证后,应用程序会生成一个JWT,用于在后续的请求中进行身份验证和授权。 5. 客户端凭证管理:应用程序支持管理和授权第三方应用程序的客户端凭证,以控制他们对资源的访问权限。 这个示例应用程序可以帮助开发人员理解和使用Spring Security,OAuth2和JWT来保护他们的应用程序并进行身份验证和授权。通过了解和熟悉这些技术,开发人员可以更好地保护他们的应用程序并提供更安全的用户体验。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值