spring boot java jwt,Spring Boot+Spring Security+Jwt

最新推荐文章于 2022-10-05 19:34:00 发布
最新推荐文章于 2022-10-05 19:34:00 发布
阅读量110 收藏
点赞数
文章标签: spring boot java jwt

一: RestApi接口增加JWT认证功能

用户填入用户名密码后,与数据库里存储的用户信息进行比对,如果通过,则认证成功。传统的方法是在认证通过后,创建sesstion,并给客户端返回cookie。

现在我们采用JWT来处理用户名密码的认证。区别在于,认证通过后,服务器生成一个token,将token返回给客户端,客户端以后的所有请求都需要在http头中指定该token。

服务器接收的请求后,会对token的合法性进行验证。验证的内容包括:

内容是一个正确的JWT格式

检查签名

检查claims

检查权限

处理登录

创建一个类JWTLoginFilter,核心功能是在验证用户名密码正确后,生成一个token,并将token返回给客户端:

该类继承自UsernamePasswordAuthenticationFilter,重写了其中的2个方法:

attemptAuthentication :接收并解析用户凭证。

successfulAuthentication :用户成功登录后,这个方法会被调用,我们在这个方法里生成token。

二:授权验证

用户一旦登录成功后,会拿到token,后续的请求都会带着这个token,服务端会验证token的合法性。

创建JwtAuthenticationFilter类,我们在这个类中实现token的校验功能。

该类继承自BasicAuthenticationFilter,在doFilterInternal方法中,从http头的Authorization 项读取token数据,然后用Jwts包提供的方法校验token的合法性。

如果校验通过,就认为这是一个取得授权的合法请求。

三:SpringSecurity配置

通过SpringSecurity的配置,将上面的方法组合在一起。

这是标准的SpringSecurity配置内容,就不在详细说明。注意其中的

.addFilter(new JWTLoginFilter(authenticationManager()))

.addFilter(new JwtAuthenticationFilter(authenticationManager()))

这两行,将我们定义的JWT方法加入SpringSecurity的处理流程中。

四:简单测试

下面对我们的程序进行简单的验证:

{

"timestamp": 1567564486909,

"status": 401,

"error": "Unauthorized",

"message": "Full authentication is required to access this resource",

"path": "/users/userList"

}

curl http://localhost:8080/users/userList

原因就是因为这个url没有授权,所以返回401

b1f8ef5a0a982834e0e085de2f937a3c.png

2.注册一个新用户

curl -H "Content-Type: application/json" -X POST -d '{

"username": "admin",

"password": "password"

}' http://localhost:8080/users/signup

aca7ee739d0a67579aee1d7d095a1c12.png

3.登录,会返回token,在http header中,Authorization: Bearer 后面的部分就是token

curl -i -H "Content-Type: application/json" -X POST -d '{

"username": "admin",

"password": "password"

}' http://localhost:8080/login

温馨提醒:这里的login方法是spring specurity框架提供的默认登录url

11b1ed2051aaeb4882b4f9d27976b5f9.png

4.用登录成功后拿到的token再次请求/users/userList接口

4.1将请求中的XXXXXX替换成拿到的token

4.2这次可以成功调用接口了

curl -H "Content-Type: application/json"

-H "Authorization: Bearer XXXXXX"

"http://localhost:8080/users/userList"

cd2e136fbed34cced2c36635ff3bd9a9.png

5.设置了1分钟后Token过期,如果1分钟后再次请求/users/userList接口返回Token过期的异常提示如下图:

dd6ca87b9d9fc1c21aac9dc161de093a.png

五:建议及改进

若您有任何建议,可以通过发送邮件至827358369@qq.com向我反馈。本人承诺,任何

建议都将会被认真考虑,优秀的建议将会被采用,但不保证一定会在当前版本中实现。

587c8534c6749ba204b013fb5efe50dc.png

703fb3639c867ddc61d2f903cbe62294.png

b6d04db974cb87b9ef8b1da8fc9c3cd9.png

温馨提示:这里的登录接口还是使用的默认地址,如果你的token过期了,需要你重新登录生成新的token.

七:联系作者(微信) 18611966723

八:增加了刷新token的机制

5637bf24e04fc2f932ebd353fb728e8c.png

6f1121b097db0440c376c97b22470ea3.png

青山布衣
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
JwtSpring Security,Spring Cloud OAuth2,Spring Cloud Security
zhaomengxia123的博客
09-23 196
首先pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.a...
javaspringboot spring security + JWT鉴权
heguu的博客
05-28 528
一些理解,不一定正确 请求通过API,进入Basic Authentication Filter,在这里拿到token,解析token,拿到username和password,将用户输入的用户名密码进行封装,并提供给 AuthenticationManager.authenticate()进行验证,验证成功后,返回一个认证成功的UsernamePasswordAuthenticationToken(Authentication)对象,然后放在security的context中,继续过滤链。 如果没有tok
SpringBoot+Security+Jwt登录认证与权限控制(一)
weixin_48568302的博客
06-21 1443
SpringBoot+Security+Jwt登录认证与权限控制
Java权限管理|基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
qq_38200425的博客
12-09 3525
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证 1. 项目说明 主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限; 2.
spring-boot + spring-security + jwt 实现前后端分离的权限管理
weixin_53100045的博客
09-16 825
基于 spring-boot + spring-security + jwt 的前后端分离的权限管理
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
spring boot +spring Security+ jwt+oauth2.rar
06-13
Spring BootSpring SecurityJWT 和 OAuth2 是现代Web应用程序开发中的关键组件,它们共同构建了一个安全、高效的身份验证和授权框架。在这个项目中,我们看到一个整合了这些技术的实战应用,下面将详细阐述这些...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring SecurityJWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
Spring Boot+Spring Security+JWT实现系统认证与授权
Cloud-Future的博客
08-03 2982
Spring Boot+Spring Security+JWT实现系统认证与授权 Spring Boot整合Spring Security实现JWT认证 Spring Boot项目使用JWT认证 JWT认证 OAuth2 JWT认证
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
程序员小明1024
10-05 993
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
SpringBoot整合SpringSecurity实现JWT认证
Java笔记虾
01-04 7975
作者:智慧zhuhuixblog.csdn.net/jpgzhu/article/details/105200598前言微服务架构,前后端分离目前已成为互联网项目开发的业界标准,其核心思...
SpringBoot+SpringSecurity+JWT实现认证和授权
oyc的博客
01-17 5万+
一、背景: 在 B/S 系统中,登录功基本都是依靠 Cookie 来实现的,用户登录成功之后主要需要客户端和服务端完成以下两项工作: (1)服务端将登录状态记录到 Session 中,或者签发Token; (2)客户端利用Cookie保存于服务端对应的 Session ID 或 Token。之后每次请求都会带上Cookie信息(包含Session ID或者Token),当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单点登录:单点登录(Single Sign On, S.
Springboot+Spring-Security+JWT 实现用户登录和权限认证
热门推荐
congge
06-08 27万+
如今,互联网项目对于安全的要求越来越严格,这就是对后端开发提出了更多的要求,目前比较成熟的几种大家比较熟悉的模式,像RBAC 基于角色权限的验证,shiro框架专门用于处理权限方面的,另一个比较流行的后端框架Spring-Security,该框架提供了一整套比较成熟,也很完整的机制用于处理各类场景下的可以基于权限,资源路径,以及授权方面的解决方案,部分模块支持定制化,而且在和oauth2.0进...
SpringBoot+SpringSecurity+JWT实RESTfulAPI权限控制
林老师带你学编程
10-26 4万+
关于什么是jwt(json web token),还有jwt的工作流程我这边就不多介绍,主要给大家介绍一下SpringBoot中如何整合Security然后在添加jwt的支持。 想学习分布式、微服务、JVM、多线程、架构、java、python的童鞋,千万不要扫码,否则后果自负~ 通过SpringBoot+Security+JWT来实现token校验的过程。在生产环境中,对发布API增加授...
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
qq_44709990的博客
02-23 4万+
登录和用户认证是一个网站最基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Spring Security + JWT实现登录及用户认证
使用Spring BootSpring Security验证JWT
最佳 Java 编程
06-03 124
对于我当前的项目,我将使用Spring Boot设置REST API (最有可能使用BoxFuse运行)。 为了能够使用API​​端点,应用程序将检查传入的请求是否具有较早提供的有效JWT令牌 (由我信任的API服务提供)。 为了实现此功能,我想利用Spring Security,因为它与Spring Boot非常吻合。 在搜寻有关此组合的信息时,我遇到了一个很好地描述背景信息的网站 ,但...
SpringBoot+SpringSecurity+JWT整合实现单点登录SSO史上最全详解
程序员闪充宝
01-05 4289
作者:波波烤鸭blog.csdn.net/qq_38526573/article/details/103409430一、什么是单点登陆单点登录(Single Sign On),简称为 S...
spring boot + spring security + jwt + spring mvc + mybatis + redis商城项目
最新发布
12-12
Spring Boot 是一个用于构建微服务的开源...综上所述,借助于 Spring BootSpring SecurityJWTSpring MVC、MyBatis 和 Redis 这些技术,可以构建出一个高性能、安全可靠的商城项目,为用户提供良好的购物体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值