Spring Security + jwt 实现安全控制

最新推荐文章于 2024-06-14 09:53:05 发布
最新推荐文章于 2024-06-14 09:53:05 发布
阅读量351 收藏
点赞数
文章标签: json java 数据库
原文链接:https://juejin.im/post/5c9227d8e51d4512b752b571
版权

权限系统是每个系统必不可少的一部分,我们可以自己实现根据自己的需求采用不同的技术方案。最近在我们的管理后台尚使用了Spring Security + JWT实现了后台的权限系统,包括用户登录,角色分配,鉴权与授权。

理解权限框架本质

有哪些技术方案? 业内通用的做法有Shiro,Spring Security,还有很多公司自己实现的基于url拦截的权限框架。从个人使用体验上来说,有好用的轮子就应该选择用经过很多人验证过的轮子。而不是自己沉迷于简单的增删改,时间应该花在研究security的原理,代码组织架构上,因为我也见过几个项目自己手写的权限框架,并没有用的很流畅,反而总是在一些url匹配不够通用上问题频出。 那么权限框架的本质是什么? 对,就是匹配逻辑。举个简单例子,网站用户A拥有权限标识:"user_add","coupon_delete","coupon_all",接收到request请求后,判断此请求需要的权限标识是否匹配。权限标识可以是:menu_url,menu_code,role_code等等,我们可以选择系统中变动频率小的变量来做角色标识。因为这个权限标识只能硬编码或者ant风格匹配在目标资源上。举个例子:假如你的系统角色固定,那就用角色code作权限标识,若是菜单基本固定,就用菜单url做标识。后面会具体讲到

用户登录的逻辑和jwt

用户到底是怎么登录的? 这个问题对于初级工程师来说会很迷惑,曾经也经历过。所以简单说明下。在一般的web软件开发中,开发者不需要关注会话这件事情,因为tomcat容器自动帮我们管理的会话session,他的流程是这样的,用户访问服务,服务端生成session会话,并且把sessionId回写到浏览期的cookie中,浏览器后面的每次请求就会携带上这个sessionId。服务端就能标识这个用户了,至于登陆鉴权的逻辑都是基于你能唯一标识当前的用户来做的。通用的做法是,用户成功登陆后,服务端会把用户信息存放在sessionId标识的session中。随着用户体量增多,在分布式的环境下一般的做法是session共享,或者采用redis接替tomcat管理session会话的方案。 为什么要用jwt? 全程是json web token,关于jwt是什么,可以参考阮一峰的文章:JSON Web Token 入门教程。使用了jwt后,我们完全把登陆信息存放在客户端,每次认证都是由客户端带着鉴权参数过来。具体的逻辑是服务端生成token,包含token有效期,存放的鉴权信息等,下发给客户端。客户端自放在本地。服务端就可以提供无状态的服务了,非常方便扩展。

实际案例

导入依赖

<!-- 基于spring boot  -->
 <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.2.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
复制代码

配置security

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 读取忽略的配置文件
     */
    @Autowired
    private FilterIgnorePropertiesConfig filterIgnorePropertiesConfig;

    /**
     * 未携带token的异常处理
     */
    @Autowired
    private JwtAuthenticationEntryPoint unauthorizedHandler;

    /**
     * 业务的用户密码验证
     */
    @Autowired
    private JwtUserDetailsService jwtUserDetailsService;

    /**
     * 自定义基于JWT的安全过滤器
     */
    @Autowired
    private JwtAuthorizationTokenFilter authenticationTokenFilter;

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
// 配置基于数据库的用户密码查询  密码使用security自带的BCryptEncoder(结合了随机盐和加密算法)
        auth.userDetailsService(jwtUserDetailsService)
                .passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();
        http.headers().frameOptions().disable();

        // 【1】授权异常及不创建会话(不使用session)
        http.exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        //允许不登录访问的接口
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = http.authorizeRequests();

        // 【2】 从配置文件读取url
        registry.antMatchers(HttpMethod.OPTIONS, "/**").anonymous();
        filterIgnorePropertiesConfig.getUrls().forEach(url -> registry.antMatchers(url).permitAll());

        //需要登录才允许访问
        filterIgnorePropertiesConfig.getAuthenticates().forEach(url -> registry.antMatchers(url).authenticated());

        //其它的严格控制权限,必须权限拥有的菜单中对应的api_url才允许访问 【3】 权限控制
        //registry.anyRequest().access("@permissionService.hasPermission(request,authentication)");
        registry.anyRequest().authenticated();

        // 把token拦截器配置在security 用户名和密码拦截器之前  【4】 从token解析的逻辑
        http.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        // AuthenticationTokenFilter will ignore the below paths
        web.ignoring()
                .antMatchers(
                        HttpMethod.GET,
                        "/*.html",
                        "/**/*.html",
                        "/**/*.css",
                        "/**/*.js"
                );
    }
}
复制代码
处理配置文件
@Data
@Configuration
@RefreshScope
@ConditionalOnExpression("!'${ignore}'.isEmpty()") 
@ConfigurationProperties(prefix = "ignore")
public class FilterIgnorePropertiesConfig {

    private List<String> urls = new ArrayList<>();

    private List<String> authenticates = new ArrayList<>();

}
复制代码

application.yml

ignore:
  urls:
  - /auth/**
  - /act/**
  - /druid/*
  - /*/user/login
复制代码

anonymous:都支持访问 permitAll():不登陆也能访问 authenticated():登陆就能访问 access():严格控制权限

token拦截器

拦截器主要做了这么几件事:

1.从请求头里面获取token 2.解析token里面存放的用户信息 3.用户信息不为空,且当前请求SecurityContextHolder(默认的实现是ThreadLocal)中的用户信息为空,就设置进去。 3.1用redis标记了token是否是用户手动过期掉的,因为token本身存放了过期时间 无法修改。 3.2根据3中简要的用户信息查询全部用户信息,包括角色,菜单等。如果你足够信任token,也可以省略这里查询数据库。

@Slf4j
@Component
public class JwtAuthorizationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private FilterIgnorePropertiesConfig filterIgnorePropertiesConfig;

    private OrRequestMatcher orRequestMatcher;

    @Autowired
    private UserDetailsService userDetailsService;

    private final JwtTokenUtil jwtTokenUtil;

    private final String tokenHeader;

    private int expiration;

    @Autowired
    private RedisManager redisManager;

    @PostConstruct
    public void init() {
// 初始化忽略的url不走过此滤器
        List<RequestMatcher> matchers = filterIgnorePropertiesConfig.getUrls().stream()
                .map(url -> new AntPathRequestMatcher(url))
                .collect(Collectors.toList());
        orRequestMatcher = new OrRequestMatcher(matchers);
    }

    public JwtAuthorizationTokenFilter(JwtTokenUtil jwtTokenUtil, @Value("${jwt.header}") String tokenHeader, @Value("${jwt.expiration}") Long expire) {
        this.jwtTokenUtil = jwtTokenUtil;
        this.tokenHeader = tokenHeader;
        this.expiration = (int) (expire / 1000);
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {

        String requestURI = request.getRequestURI();
        log.debug("processing authentication for '{}'", requestURI);
        final String requestHeader = request.getHeader(this.tokenHeader);

        JwtUser jwtUser = null;
        String authToken = null;
        if (requestHeader != null && requestHeader.startsWith("Bearer ")) {
            authToken = requestHeader.substring(7);
            try {
                jwtUser = jwtTokenUtil.getJwtUserFromToken(authToken);
            } catch (ExpiredJwtException e) {
                // token 过期
                throw new AccountExpiredException("登陆状态已过期");
            } catch (MalformedJwtException e) {
                log.info("解析前端传过来的Authentication错误,但不影响业务逻辑!token:{}", requestHeader);
            } catch (Exception e) {
                log.info("JwtAuthorizationTokenFilter处理异常!{}", e.getMessage());
            }
        }
        log.debug("checking authentication for user '{}'", jwtUser);

        //生成jwt的token的过期时间是一天,而这里控制实际过期时间是两个小时(application.yml配置的过期时间)
        if (jwtUser != null && jwtUser.getUsername() != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            if (redisManager.exists(CacheAdminConstant.USER_AUTHORITY_NOT_EXPIRED + authToken)) {
                redisManager.expire(CacheAdminConstant.USER_AUTHORITY_NOT_EXPIRED + authToken, expiration);
            } else {
                throw new AccountExpiredException("登录信息已经过期或已经退出登录,请重新登录!");
            }

            UserDetails user = userDetailsService.loadUserByUsername(jwtUser.getUsername());
            UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(user, null, user.getAuthorities());
            authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            log.debug("authorizated user '{}', setting security context", user.getUsername());
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }
        chain.doFilter(request, response);
    }

    /**
     * 可以重写
     * @param request
     * @return 返回为true时,则不过滤即不会执行doFilterInternal
     * @throws ServletException
     */
    @Override
    protected boolean shouldNotFilter(HttpServletRequest request) throws ServletException {
        return orRequestMatcher.matches(request);
    }
}
复制代码
从持久层查询用户

1.把用户的权限标识封装到GrantedAuthority对象,这是security封装的权限顶级接口。 2.检验菜单权限的时候就会通过这里封装的权限标识来比对。 3.关于权限标识的选取上文有提到,尽量选择不容易变动的变量(角色Code|菜单Code|菜单path)。 4.这个对象就是放在线程变量的用户对象,serurity的注解也会从这里取出权限标识来比对

@Primary
@Service
@Transactional(propagation = Propagation.SUPPORTS, readOnly = true, rollbackFor = Exception.class)
public class JwtUserDetailsService implements UserDetailsService {

    @Autowired
    private SysUserService sysUserService;

    @Override
    public UserDetails loadUserByUsername(String username){

        // 根据登陆的用户名查询用户相关的信息
        UserEntity user = sysUserService.loadUserByUsername(username);

        if (user == null) {
            throw new UsernameNotFoundException("该账户不存在,请联系管理员添加");
        } else {
            return create(user);
        }
    }

    public UserDetails create(UserEntity user) {
        JwtUser jwtUser = new JwtUser();
        BeanUtils.copyProperties(user, jwtUser);

        Set<String> roleCodeList = new HashSet<>();
//        roleCodeList.addAll(user.getRoleIdList().stream().map(String::valueOf).collect(Collectors.toList()));
// 选取菜单permission作为权限标识
        roleCodeList.addAll(user.getPermissionList().stream().filter(StringUtils::isNotEmpty).collect(Collectors.toSet()));
        Collection<? extends GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleCodeList.toArray(new String[0]));
        jwtUser.setAuthorities(authorities);

        return jwtUser;
    }

}
复制代码
用户登陆的流程

上面的部分是用户带着token来访问授权接口,或者不带token访问公用接口。那么token是怎么生成的呢?我们需要暴露公开的登陆接口,校验用户信息状态等。成功通过校验后,把部分用户信息封装在token里面下发给客户端。 这是一个基于的jjwt的jwtToken工具类:

@Component
@Slf4j
public class JwtTokenUtil {

    private transient Clock clock = DefaultClock.INSTANCE;

    @Value("${jwt.secret}")
    private String secret;

    @Value("${jwt.expiration}")
    private Long expiration;

    @Value("${jwt.header}")
    private String tokenHeader;

    @Autowired
    private RedisManager redisManager;

    private ObjectMapper mapper = new ObjectMapper();

    public JwtUser getJwtUserFromToken(String token) throws Exception {
        String subject = getClaimFromToken(token, Claims::getSubject);
        Map<String, Object> subjectMap = mapper.readValue(subject, Map.class);

        // 在token中存储了用户ID 用户名  用户状态
        JwtUser jwtUser = new JwtUser();
        jwtUser.setUserId(Long.valueOf(subjectMap.get("userId").toString()));
        jwtUser.setUsername((String) subjectMap.get("username"));
        jwtUser.setState((Integer) subjectMap.get("state"));

        return jwtUser;
    }

    public Date getIssuedAtDateFromToken(String token) {
        return getClaimFromToken(token, Claims::getIssuedAt);
    }

    public Date getExpirationDateFromToken(String token) {
        return getClaimFromToken(token, Claims::getExpiration);
    }

    public <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = getAllClaimsFromToken(token);
        return claimsResolver.apply(claims);
    }

    private Claims getAllClaimsFromToken(String token) {
        return Jwts.parser()
                .setSigningKey(secret)
                .parseClaimsJws(token)
                .getBody();
    }

    private Boolean isTokenExpired(String token) {
        final Date expirationDate = getExpirationDateFromToken(token);
        return expirationDate.before(clock.now());
    }

    private Boolean isCreatedBeforeLastPasswordReset(Date created, Date lastPasswordReset) {
        return (lastPasswordReset != null && created.before(lastPasswordReset));
    }

    private Boolean ignoreTokenExpiration(String token) {
        // here you specify tokens, for that the expiration is ignored
        return false;
    }

    // 登陆校验成功后调用这个接口生成token下发
    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();

        try {
            String subject = mapper.writeValueAsString(userDetails);
            log.info("generateToken subject:{}", subject);
            String token = doGenerateToken(claims, subject);
            redisManager.set(CacheAdminConstant.USER_AUTHORITY_NOT_EXPIRED + token, "1", (int) (expiration / 1000));
            return token;
        } catch (JsonProcessingException e) {
            throw new IllegalArgumentException("Cannot format json", e);
        }
    }

    private String doGenerateToken(Map<String, Object> claims, String subject) {
        final Date createdDate = clock.now();
        final Date expirationDate = calculateExpirationDate(createdDate);

        return Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)
                .setIssuedAt(createdDate)
                .setExpiration(expirationDate)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    public Boolean canTokenBeRefreshed(String token, Date lastPasswordReset) {
        final Date created = getIssuedAtDateFromToken(token);
        return !isCreatedBeforeLastPasswordReset(created, lastPasswordReset)
                && (!isTokenExpired(token) || ignoreTokenExpiration(token));
    }

    public String refreshToken(String token) {
        final Date createdDate = clock.now();
        final Date expirationDate = calculateExpirationDate(createdDate);

        final Claims claims = getAllClaimsFromToken(token);
        claims.setIssuedAt(createdDate);
        claims.setExpiration(expirationDate);

        return Jwts.builder()
                .setClaims(claims)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    public Boolean validateToken(String token, UserDetails userDetails) throws Exception {
        JwtUser user = (JwtUser) userDetails;
        final JwtUser jwtUser = getJwtUserFromToken(token);
        return (
                jwtUser.getUsername().equals(user.getUsername())
                        && !isTokenExpired(token));
    }

    private Date calculateExpirationDate(Date createdDate) {
        //过期时间1天
        return new Date(createdDate.getTime() + 1000 * 60 * 60 * 24);
    }
}
复制代码
jwt token刷新机制

我们回顾下token机制相比传统的session机制带来的好处,服务无状态,服务端不用存储用户的session,用户数过多也不会占用资源,方便服务水平拓展...,token也有一个缺点就是由于token的有效期是保存在客户端的,当用户主动退出,或者服务端要踢出用户的时候很难做到。refresh token可以实现这种场景,并且能实现用户无感知登陆。访问资源的称之为access token,客户端访问所有的资源都需要带上,它的有效期比较短。refresh token是用来刷新access token,它的有效期是比较长的。接下来回顾一下整个会话管理流程:

  • 客户端使用用户名和密码认证
  • 服务端校验用户名和密码,下发access_token(2小时有效)和refresh_token(7天有效)
  • 客户端带着access_token访问需要认证的资源,access_token有效,返回资源。
  • access_token过期,返回和客户端约定的响应码,客户端带着refresh_token刷新access_token.
  • refresh_token 有效,正常返回,refresh_token过期走重新登陆流程。
  • 客户端使用新的 access_token 访问需要认证的接口

将生成的refresh_token以及过期时间存储在服务端的数据库中,只有在申请新的access_token时才会验证。同时我们也能实现在服务端踢出用户,只需要禁用|删除refresh_token,用户在刷新access_token时就会重新去登陆。(时间精度的控制取决于access_token的有效期)

接口权限控制

当我们完成了用户登陆-token下发-请求拦截认证的流程后,当request到达Controller层,SecurityContextHolder已经存储了用户的常用信息(用户名,权限标识等等),所以在Controller层可以直接使用注解来鉴权。

@PreAuthorize("hasAuthority('test_menu_code')")
    @PostMapping("/getUserInfo")
    public ResponseResult getUserInfo() {
        return new ResponseResult(getUser());
    }
复制代码

至此,完成了整个权限控制。代码只是列出了关键的部分,没有达到运行的流程,需要有一定基础的程序员来根据自己的业务定制。只是提供了一个企业级权限控制的实现方案。

转载于:https://juejin.im/post/5c9227d8e51d4512b752b571

weixin_34032827
关注
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
总的来说,这个项目展示了如何结合Spring Boot、Spring SecurityJWT实现一个安全的登录认证系统,以及如何利用MyBatisPlus简化数据库操作。通过这个实现,开发者可以快速构建一个安全的、基于令牌的Web服务,为...
架构师一1.功能权限
qq_38564282的博客
12-07 281
默认配置下,管理后台的所有 API 接口都必须登录后才允许访问,用户 App 的所有 API 接口无需登录就可以访问。每个 Maven Module 可以实现自定义的 AuthorizeRequestsCustomizer Bean,额外定义每个 Module 的 API 接口的访问规则。例如说@Override// Swagger 接口文档// Spring Boot Actuator 的安全配置// Druid 监控// Spring Boot Admin Server 的安全配置。
ruoyiAPI 接口无需登录就可以访问的配置
最新发布
z3zz3691的博客
06-14 1896
默认配置下,管理后台的所有 API 接口都必须登录后才允许访问,用户 App 的所有 API 接口无需登录就可以访问。每个 Maven Module 可以实现自定义的Bean,额外定义每个 Module 的 API 接口的访问规则。例如说模块的类,代码如下:@Override// Swagger 接口文档// Spring Boot Actuator 的安全配置// Druid 监控// Spring Boot Admin Server 的安全配置@Override。
Spring Security学习总结
皮蛋小粥的博客
11-09 1591
关于设计模式的文章在公众号上面已经更新完了,感兴趣的小伙伴可以关注公众号每天学Java随时查看! 学习Spring Security是在一个客户的项目上看到客户在自己项目上使用Spring Security,当时很好奇这么框架是干嘛的,就私下问了他们的技术人员:Security是做什么的。他大致的意思是说,Security是一个提供安全权限控制的框架,利用这个框架可以为系统中的人员定制相关的权限...
SpringSecurity+JWT 身份验证及动态权限解决方案
weixin_47428270的博客
08-29 607
SpringSecurity+JWT 身份验证及动态权限解决方案,登录
Springboot+Spring-Security+JWT 实现用户登录和权限认证
热门推荐
congge
06-08 27万+
如今,互联网项目对于安全的要求越来越严格,这就是对后端开发提出了更多的要求,目前比较成熟的几种大家比较熟悉的模式,像RBAC 基于角色权限的验证,shiro框架专门用于处理权限方面的,另一个比较流行的后端框架是Spring-Security,该框架提供了一整套比较成熟,也很完整的机制用于处理各类场景下的可以基于权限,资源路径,以及授权方面的解决方案,部分模块支持定制化,而且在和oauth2.0进...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现是认证流程中的一种重要方式,它可以帮助我们实现安全的认证和授权。通过使用SpringSecurity+JWT,我们可以实现基于token的认证方式,以便更好地保护我们的系统。 七、参考资料 * ...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
单点登录SSO解决方案之SpringSecurity+JWT实现.docx
10-26
### 单点登录SSO解决方案之SpringSecurity+JWT实现 #### 一、单点登录(SSO)概述 单点登录(Single Sign-On,简称SSO)是一种认证机制,允许用户仅通过一次登录就能访问同一域下的多个应用程序和服务。这种机制...
Spring Security+Oauth2+JWT实现用户登录逻辑,以及使用login接口登录成功返回token获取
z132411的博客
05-07 4675
目录 pom引入 配置Spring Security 1.实现UserDetailsService接口 2.登录成功处理 3.登录失败处理 4.登出处理 5.没有权限处理设置 6.匿名用户访问处理 7.指定加密方式 8.WebSecurityConfig配置 oauth2处理 配置授权服务器 配置资源服务器 jwt配置 jwt转换器 jwt扩展存储 本文整合了前两篇文章,再结合Oauth2实现了单点登录的基本处理。 之前的文章: SpringBoot整合Spring
Spring Security OAuth2 实战
qq_34898847的博客
11-16 1256
Spring Security OAuth2 实战
记使用spring security 后跨域配置失效的问题
java-北京-菜鸟
03-24 4108
之前项目使用的都是shiro,解决跨域问题都是实现WebMvcConfigurer接口,重写以下方法 @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowCredentials(tru...
Spring Security 动态url权限控制(三)
微赚淘客开发者博客
10-19 1358
一、前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-plus 2.2.0 mysql 数据库 maven项目 Spring Security入门学习可参考之前文章: SpringBoot集成Spring Security入门体验(一...
springcloud gateway
越自律越自由
06-18 1万+
了解springcloud Gateway 网关作为流量的入口,常用功能包括路由转发、权限校验、限流控制等。而springcloud gateway作为SpringCloud官方推出的第二代网关框架,取代了Zuul网关。 <dependency> <groupId>org.springframework.cloud</groupId> ...
springBoot集成SpringSecurity问题(1)
weixin_43925859的博客
11-26 536
springBoot集成SpringSecurity时get可以访问post访问403 401的问题: 原因1: 在Security的默认拦截器里,默认会开启CSRF处理,判断请求是否携带了token,如果没有就拒绝访问。并且,在请求为(GET|HEAD|TRACE|OPTIONS)时,则不会开启 解决方法: httpSecurity.csrf().disable(); 原因2: 如果集成...
spring cloud开源项目Pig的云踩坑记
weixin_34061482的博客
12-12 4261
最近看到一个有趣的开源项目pig,主要的技术点在认证授权中心,spring security oauth,zuul网关实现,Elastic-Job定时任务,趁着刚刚入门微服务,赶快写个博客分析一下。此篇文章主要用于个人备忘。如果有不对,请批评。
Druid数据库连接池的正确姿势
zhangxing
11-06 1万+
1.场景还原 在市面上,数据库连接池有好多种方案,今天笔者就阿里巴巴的Druid数据库连接池给大家分享下心得;其中应用Druid数据库连接池的优势在于能够实时监控sql的运行状态,这对项目的后期sql及性能优化,无疑是如虎添翼。2.实现方案①在pom.xml中添加druid依赖包&lt;dependency&gt; &lt;groupId&gt;com.alibaba&lt;/gr...
Jackson 解析json数据之忽略解析字段注解@JsonIgnoreProperties
每天进步一点就够了
04-17 7万+
以前解析json用的惯的就是Google的gson了,用惯了基本就用它了,一直也没发现什么大问题,因为都是解析简单的json数据。但是最近学习springboot,要解析一个比较复杂的json数据。就照之前的用gsonformat自动生成实体类,让gson直接解析,本想着一切ok了,可是确报错了,刚开始以为gsonformat生成的类有错误,因为毕竟json数据较为复杂,于是多生成几次,可是还是不
SpringSecurity+JWT认证实现详解
"SpringSecurity+JWT认证流程...SpringSecurity+JWT的认证流程实现了安全的用户身份验证和授权,通过理解其工作原理,开发者可以更好地设计和实施自己的安全方案。同时,结合缓存机制,可以提升系统的效率和可扩展性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值