使用Spring Boot和JWT实现安全认证

于 2024-07-12 16:27:16 发布
阅读量423 收藏 12
点赞数 12
文章标签: spring boot 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010405836/article/details/140320763
版权

使用Spring Boot和JWT实现安全认证

大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!

1. 什么是JWT?

JSON Web Token(JWT)是一种开放标准(RFC 7519),定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。在Web开发中,JWT通常用于跨域认证和授权,特别适合于分布式系统的身份验证。

2. 使用Spring Boot集成JWT

在Spring Boot项目中,我们可以通过集成Spring Security和引入JWT库来实现安全认证功能。

添加依赖

pom.xml中添加Spring Security和JWT的依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

配置Spring Security

创建一个SecurityConfig类来配置Spring Security:

package cn.juwatech.security;

import cn.juwatech.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserService userService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/api/public").permitAll()
            .anyRequest().authenticated();
    }

    @Override
    @Bean
    public UserDetailsService userDetailsService() {
        return userService;
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

定义用户服务

创建一个UserService类实现UserDetailsService接口:

package cn.juwatech.service;

import cn.juwatech.model.User;
import cn.juwatech.repository.UserRepository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class UserService implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found with username: " + username);
        }
        return new org.springframework.security.core.userdetails.User(
                user.getUsername(), user.getPassword(), user.getAuthorities());
    }
}

3. 使用JWT进行身份认证

在Spring Boot中,我们可以通过自定义一个JwtTokenProvider类来实现JWT的生成和验证。

package cn.juwatech.security;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.function.Function;

@Component
public class JwtTokenProvider {

    @Value("${jwt.secret}")
    private String secretKey;

    @Value("${jwt.expiration}")
    private long validityInMilliseconds;

    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();
        return Jwts.builder()
                .setClaims(claims)
                .setSubject(userDetails.getUsername())
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + validityInMilliseconds))
                .signWith(SignatureAlgorithm.HS512, secretKey)
                .compact();
    }

    public boolean validateToken(String token, UserDetails userDetails) {
        final String username = extractUsername(token);
        return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
    }

    public String extractUsername(String token) {
        return extractClaim(token, Claims::getSubject);
    }

    public Date extractExpiration(String token) {
        return extractClaim(token, Claims::getExpiration);
    }

    public <T> T extractClaim(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = extractAllClaims(token);
        return claimsResolver.apply(claims);
    }

    private Claims extractAllClaims(String token) {
        return Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token).getBody();
    }

    private boolean isTokenExpired(String token) {
        return extractExpiration(token).before(new Date());
    }
}

4. 集成JWT到Spring Boot Controller

编写一个Controller来处理用户登录和JWT的生成:

package cn.juwatech.controller;

import cn.juwatech.model.AuthenticationRequest;
import cn.juwatech.model.AuthenticationResponse;
import cn.juwatech.security.JwtTokenProvider;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.ResponseEntity;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class AuthenticationController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private JwtTokenProvider jwtTokenProvider;

    @PostMapping("/authenticate")
    public ResponseEntity<?> createAuthenticationToken(@RequestBody AuthenticationRequest authenticationRequest) {
        Authentication authentication = authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(authenticationRequest.getUsername(), authenticationRequest.getPassword())
        );

        UserDetails userDetails = (UserDetails) authentication.getPrincipal();
        String token = jwtTokenProvider.generateToken(userDetails);

        return ResponseEntity.ok(new AuthenticationResponse(token));
    }
}

5. 使用JWT进行访问控制

在需要进行访问控制的Controller中,可以使用JWT进行身份验证:

package cn.juwatech.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class HelloController {

    @GetMapping("/hello")
    public String hello() {
        return "Hello, JWT!";
    }
}

总结

本文介绍了如何使用Spring Boot和JWT实现安全认证。通过集成Spring Security和自定义JwtTokenProvider,我们可以实现基于JWT的用户身份验证和访问控制功能,提升了系统的安全性和可扩展性。

微赚淘客系统3.0小编出品,必属精品,转载请注明出处!

微赚淘客系统开发者
关注
  • 12
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录和权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
总的来说,这个项目展示了如何结合Spring BootSpring Security和JWT实现一个安全的登录认证系统,以及如何利用MyBatisPlus简化数据库操作。通过这个实现,开发者可以快速构建一个安全的、基于令牌的Web服务,为...
Spring Boot+Spring Security+JWT实现系统认证与授权
Cloud-Future的博客
08-03 2950
Spring Boot+Spring Security+JWT实现系统认证与授权 Spring Boot整合Spring Security实现JWT认证 Spring Boot项目使用JWT认证 JWT认证 OAuth2 JWT认证
Spring Boot使用JWT进行安全认证
微赚淘客系统开发者博客
07-01 284
大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!
SpringBoot+SpringSecurity+JWT实现认证和授权
热门推荐
oyc的博客
01-17 5万+
一、背景: 在 B/S 系统中,登录功基本都是依靠 Cookie 来实现的,用户登录成功之后主要需要客户端和服务端完成以下两项工作: (1)服务端将登录状态记录到 Session 中,或者签发Token; (2)客户端利用Cookie保存于服务端对应的 Session ID 或 Token。之后每次请求都会带上Cookie信息(包含Session ID或者Token),当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单点登录:单点登录(Single Sign On, S.
Spring Boot | Spring Boot使用JWT实现单点登录
jonssonyan
09-15 4467
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 传统的session认证 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们.
Spring Boot 实现 JWT
云胡
06-21 7552
Web 网站离不开用户认证,这边我们不用 ,而直接使用JWT 的背景知识可以看阮一峰老师的这篇文章: JSON Web Token 入门教程JWT 由三个部分组成:在 中添加 配置信息。 2.2 新建 JwtUtil 工具类 新建 目录,在 目录下新建 。将当前 注入到 容器中。,匹配 配置文件的前缀,然后将配置文件里面的数据加载到当前类。 2.3 用户登录创建 token 2.3 拦截器验证 token 如何自定义拦截器可以看我的这篇: Spring Boot 2 配置登录拦截。 三、参考资料
如何在Spring Boot项目中集成JWT实现安全认证
m0_68358204的博客
07-06 420
JWT,全称为JSON Web Token,是一种用于在网络应用间传递声明的紧凑、安全的方式。它通常用于身份认证和授权。Header(头部):描述签名算法和类型。Payload(负载):存储用户信息和声明。Signature(签名):用于验证JWT的真实性。
Spring Security整合JWT实现权限认证和授权
weixin_45818966的博客
11-05 4153
关于spring security整合jwt实现前后端权限认证和授权管理
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
qq_44709990的博客
02-23 4万+
登录和用户认证是一个网站最基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Spring Security + JWT实现登录及用户认证
Spring Boot整合JWT
陈宝子的博客
04-01 4084
文章目录1、概述2、优势所在3、结构组成3.1、标头(Header)3.2、有效负载(Payload)3.3、签名(Signature)4、Spring boot整合JWT 1、概述 JWT 简称 JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于各方之间安全地将信息作为JSON对象传输,在数据传输的过程中还可以完成数据加密、签名等相关处理。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qCis1aXN-1648743017357)(C:/Us
Spring Boot整合JWT实现接口访问认证
老徐的博客只有干货
05-10 1097
最近项目组需要对外开发相关API接口,需要对外系统进行授权认证实现流程是先给第三方系统分配appId和appSecret,第三方系统调用我getToken接口获取token,然后将token填入Authorization请求头用于访问相关API接口。 参考文章:https://blog.csdn.net/ltl112358/article/details/79507148 具体实现方式如下:...
spring boot+jwt实现api的token认证详解
08-26
在本文中,我们将深入探讨如何使用Spring BootJWT(JSON Web Token)来实现API的Token认证JWT是一种轻量级的身份验证和授权机制,它允许应用程序在客户端和服务器之间安全地传输信息,而无需在每次请求时进行...
Spring Boot+Spring Security+JWT实现给RestApi增加认证控制
05-23
新一代基于Spring BootSpring Security、Oauth2等实现的权限控制和认证服务、支持第三方oauth授权和获取资源信息功能等;Spring Boot+Spring Security+JWT实现给RestApi增加认证控制
新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制的项目
05-21
本项目“新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制”正是针对这一需求而设计的。以下是关于这个项目及其相关技术的详细说明。 **Spring Boot** Spring Boot简化了Spring应用的...
spring boot 3.x版本中集成spring security 6.x版本进行实现动态权限控制解决方案
最新发布
C_AJing的博客
07-08 1174
框架会自动使用的方法进行用户加载,在加载用户以后,会在过滤器中的方法中,进行前端输入的用户信息和加载的用户信息进行信息对比。/*** 这里为了演示方便,模拟从数据库查询,直接设置一下权限");return new User("jack" , // 用户名称 new BCryptPasswordEncoder() . encode("123456") , //密码 list //权限列表);} }/**
Spring BootSpring MVC的区别和联系
技术研究中心
07-06 716
Spring Boot简化了Spring应用的开发过程,而Spring MVC则提供了构建Web应用的强大功能。Spring Boot集成了Spring MVC的所有功能,通过自动配置简化了Spring MVC应用的搭建过程。Spring BootSpring MVC是互补的技术,Spring Boot包含并扩展了Spring MVC。Spring Boot内置了Tomcat服务器,开发者无需额外配置,只需运行Spring Boot应用即可启动内置服务器并部署Spring MVC应用。
Spring Boot】关系映射开发(二):一对多映射
书山有路,学海无涯。记录成长,追逐梦想
07-07 1004
单向关系的一对多注解@oneToMany,只用于关系的发出端(一的一方)。另外,需要关系的发出端定义一个集合类型的接收端的字段属性。在一对多关联关系映射中,默认是以中间表方式来映射这种关系的。中间表的名称为“用下画线连接关系的拥有端(发岀端)和 Inverse 端(接收端)”,中间表两个字段分别为两张表的表名加下画线_再加主键组成。
Spring Boot Security自定义AuthenticationProvider
2201_75600005的博客
07-08 467
在配置器中我们去实例化一个认证管理器AuthenticationManager,这个认证管理器中包含了两个认证器,分别是MobilecodeAuthenticationProvider(手机验证码)、DaoAuthenticationProvider(用户名密码)。下面的只是名字不同改成自己的provider名字即可。
Spring Boot集成Spring Security和JWT和redis来实现安全认证和授权无感刷新
06-03
好的,这是一个比较复杂的问题,我会尽力回答。首先,Spring Boot是一个非常流行的Java框架,它可以帮助开发人员快速构建高效的Web应用程序。Spring Security是Spring的一个子项目,它提供了一种安全框架,可以用来保护应用程序中的资源。 JWT是一种轻量级的身份验证和授权机制,它可以在客户端和服务器之间传递信息,以便进行安全认证和授权。Redis是一个内存数据存储系统,它可以用来缓存数据,并且具有高性能和可扩展性。 要实现安全认证和授权无感刷新,首先需要配置Spring Security和JWT。可以使用Spring Security的配置来定义哪些资源需要保护,以及如何对它们进行保护。可以使用JWT来生成和验证令牌,并将令牌存储在Redis中。 一旦配置完成,客户端可以通过提供有效的JWT令牌来访问受保护的资源。如果令牌过期,客户端可以通过向服务器发送特定的请求来刷新令牌。服务器可以使用Redis中存储的信息来验证令牌,并生成新的令牌以供客户端使用。 总之,Spring Boot集成Spring Security和JWT和Redis可以实现安全认证和授权无感刷新,保护应用程序中的资源,并提高应用程序的安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值