Spring Boot Security JWT 权限实现

最新推荐文章于 2024-08-06 17:56:45 发布
最新推荐文章于 2024-08-06 17:56:45 发布
阅读量322 收藏
点赞数
文章标签: java 数据库 json
原文链接:https://my.oschina.net/lfy2008/blog/1553531
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

是什么?解决了哪些问题
  • JSON Web Token,看名字就知道是什么了。
  • 和session相比不用在server端保存一个连接客户端的会话
  • 没有将生成的token保存到server端,所以即使每次请求是不同的服务端,也可以运行,实现了分布式。
原理

image

JSON Web Token结构

结构: xxxx.yyyy.zzzzz

  • Header
    Header包含两部分:1、token的类型,这里是JWT,2、所使用的hash算法(HMAC SHA256 或者 RSA)
{
  "alg": "HS256",
  "typ": "JWT"
}

然后Base64加密

  • Payload
    主要包含三类声明:
  1. 预保留的声明(Reserved claims),这类推荐但是不强制使用,包括: iss (issuer), exp (expiration time), sub (subject), aud (audience), and others
  2. 公共声明(Public claims),这类可以添加任何信息但不建议添加敏感信息。
  3. 私有声明(Private claims),消费者和提供者之间共享的信息表明双方可以使用它们。 例如
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后Base64加密

  • Signature
    这一部分是将加密的header,加密的payload,秘钥(secret,存放到服务端),用header中定义的加密算法进行加密。例如:
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)
Java实现:
使用组件
    <dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>
		<dependency>
			<groupId>io.jsonwebtoken</groupId>
			<artifactId>jjwt</artifactId>
			<version>0.7.0</version>
	</dependency>
  1. 用户名密码登录到后台,用secret生成一个token
    Controller登录相关代码
  @RequestMapping(value = "${jwt.route.authentication.path}", method = RequestMethod.POST)
    public ResponseEntity<?> createAuthenticationToken(@RequestBody JwtAuthenticationRequest authenticationRequest, Device device) throws AuthenticationException {

        // Perform the security
        final Authentication authentication = authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(
                        authenticationRequest.getUsername(),
                        authenticationRequest.getPassword()
                )
        );
        SecurityContextHolder.getContext().setAuthentication(authentication);

        // Reload password post-security so we can generate token
        final UserDetails userDetails = userDetailsService.loadUserByUsername(authenticationRequest.getUsername());
        final String token = jwtTokenUtil.generateToken(userDetails, device);

        // Return the token
        return ResponseEntity.ok(new JwtAuthenticationResponse(token));
    }

生成token:

  private String doGenerateToken(Map<String, Object> claims, String subject, String audience) {
        final Date createdDate = new Date();
        final Date expirationDate = calculateExpirationDate(createdDate);

        return Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)//用户名
                .setAudience(audience)
                .setIssuedAt(createdDate)
                .setExpiration(expirationDate)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }
  1. 用户后续每次请求时将token放在header中传到后台
  2. 后台filter解析token来获取用户名等需要的信息
    解密token:
    private Claims getClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            claims = null;
        }
        return claims;
    }

filter部分代码

 final String requestHeader = request.getHeader(this.tokenHeader);

        String username = null;
        String authToken = null;
        if (requestHeader != null && requestHeader.startsWith("Bearer ")) {
            authToken = requestHeader.substring(7);
            try {
                username = jwtTokenUtil.getUsernameFromToken(authToken);
            } catch (IllegalArgumentException e) {
                logger.error("an error occured during getting username from token", e);
            } catch (ExpiredJwtException e) {
                logger.warn("the token is expired and not valid anymore", e);
            }
        } else {
            logger.warn("couldn't find bearer string, will ignore the header");
        }

        logger.info("checking authentication for user " + username);
        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

            // It is not compelling necessary to load the use details from the database. You could also store the information
            // in the token and read it from it. It's up to you ;)
            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

            // For simple validation it is completely sufficient to just check the token integrity. You don't have to call
            // the database compellingly. Again it's up to you ;)
            if (jwtTokenUtil.validateToken(authToken, userDetails)) {
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                logger.info("authenticated user " + username + ", setting security context");
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
Web入口配置
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
    
}

config中添加filter:

        // Custom JWT based security filter
        httpSecurity
                .addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
核心接口及其实现
  • WebSecurityConfig
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
    
}
  • UserDetailsService 需要实现,用来获取用户信息
package org.springframework.security.core.userdetails;

public interface UserDetailsService {
    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}
  • UserDetails需要实现,关联用户信息
package org.springframework.security.core.userdetails;

import java.io.Serializable;
import java.util.Collection;
import org.springframework.security.core.GrantedAuthority;

public interface UserDetails extends Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    String getPassword();

    String getUsername();

    boolean isAccountNonExpired();

    boolean isAccountNonLocked();

    boolean isCredentialsNonExpired();

    boolean isEnabled();
}
Demo

转载于:https://my.oschina.net/lfy2008/blog/1553531

weixin_34100227
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Maven搭建Spring+SpringMVC+Mybatis+MySql+SpringSecurity项目源码
04-01
Maven搭建Spring+SpringMVC+Mybatis+MySql+SpringSecurity项目源码
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录和权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
JWT生成token工具类实现
qq_40083897的博客
05-15 478
1.JWT由三段字符串组成,中间用.分隔2.JWT 的三个部分依次如下:Header(头部)// Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。Payload(负载)// Payload 部分是一个 JSON 对象,用来存放实际需要传递的数据Signature(签名)// Signature 部分是对前两部分的签名,防止数据篡改3.第一段字符Header,Base64解码后得到jwt的算法。
SpringBoot集成Spring security JWT实现接口权限认证 源码
03-24
详细介绍请看博客:https://blog.csdn.net/hyh17808770899/article/details/109733851 源码完全可行,于2022.03.14根据该博客创建,本资源内容包含项目源码、所关联的数据库表,以及postman测试接口JSON文档
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
rest-security-demo:基于Spring BootSpring SecurityJWT的REST服务安全认证
01-29
基于Spring Boot / Spring Security / JWT的REST服务安全认证 项目介绍 预备知识 认证流程 运行演示 获取令牌 测试账号:user/123456 接口地址:http://localhost:8080/auth/ 访问需要认证的接口 接口地址:...
J031_使用TCP协议支持与多个客户端同时通信
lzn20161229的博客
08-03 379
使用TCP协议支持与多个客户端同时通信。
C++ - 函数重载
jiaowenjie的专栏
08-06 105
/打印的是第二个函数的地址。//打印的是第一个函数的地址。-> 重载函数在本质上是相互独立的不同函数。-> 函数返回值不能作为函数重载的依据。-> 重载函数的函数类型不同。**3.函数默认参数和函数重载****函数重载的注意事项:****4.函数重载的本质**
枚举工具类
qq_43049583的博客
08-04 356
java枚举工具类
等待唤醒机制两种实现方法-阻塞队列
泰勒今天想展开的博客
08-04 450
桌子上有面条-》吃货执行桌子上没面条-》生产者制造执行。
深入理解Java注解
weixin_55745942的博客
08-01 705
Java注解是用来描述程序元素(如类、方法、变量等)的一种机制。它们可以提供关于程序的补充信息,帮助编译器、框架或其他工具更好地理解和处理代码。注解通常以符号开头,后跟注解名称和可能的参数。要创建自定义注解,需要使用@interface关键字定义一个接口,并在接口中声明注解的属性。这个注解名为,可以被用来标记方法。它有一个名为value的属性,具有默认值"default"。
Springboot+Websocket+Security+Vue 实现弹幕推送功能
Gemini1995的博客
08-01 674
【代码】Springboot+Websocket+Security+Vue 实现弹幕推送功能。
string类的模拟实现(C++)
2302_80190394的博客
08-02 1121
C++ string的功能函数实现
javaweb_03:在ide中配置tomcat
qq_52200849的博客
08-01 222
④创建artifact。②点击加号创建,选择。
java java.util.Date 已知逝去时间怎么求年月日
huanghm88的专栏
08-05 249
这样,你就可以得到逝去时间的年月日。需要注意的是,这只是一个简单的方法,不考虑闰年等情况。如果你需要更准确的结果,可以使用其他时间处理库,如Joda-Time或java.time包。
java中static关键字的作用
weixin_41020960的博客
08-01 654
这意味着这个变量被类的所有实例共享,而不是每个实例拥有自己的副本。类变量可以通过类名直接访问,而不需要创建类的实例。关键字是 Java 中一个非常重要的特性,它允许开发者在不创建对象的情况下访问类的方法和变量,这在很多场景下非常有用。这类方法可以在没有创建类的实例的情况下被调用,它们只能访问类的静态变量和静态方法。关键字也可以用于静态初始化块,这是一段在类加载时执行的代码块,用于初始化静态变量。: 静态变量是不变的,一旦在静态初始化块或静态方法中被初始化,它们的值就不能被修改。关键字可以声明静态内部类。
JVM 加载阶段 Class对象加载位置是在 堆中还是方法区?
最新发布
萧曳丶
08-06 196
Class对象的加载位置:Class对象本身是加载到堆区中的。类的类型信息加载位置:类的类型信息(元数据)是加载到方法区(或元空间)中的。因此,对于问题“jvm 加载阶段 Class加载到堆中还是方法区”,答案是:Class对象加载到堆中,而类的类型信息加载到方法区(或元空间)中。这两个区域在JVM的类加载过程中都扮演着重要的角色,共同支持着Java程序的运行。
linux安装weblogic
m0_46400195的博客
08-05 565
域文件位置就是python文件中设置的,位置(cd /root/web/weblogic/softWare/projects/doamins/testDomain)(以自己python为主)想要启动weblogic 12版本及以后都需要去oracle_common目录下配合启动脚本进行服务器启动。weblogic不允许root用户进行安装,所以要提前创建weblogic用户来进行安装。例如:http://192.168.0.143:7001/console。用户名:启动weblogic的用户名。
spring boot security jwt
09-27
Spring Boot Security与...通过整合Spring Boot SecurityJwt,可以实现系统的权限控制,并支持各种粒度的权限控制。同时,Spring Security还提供了丰富的自定义处理器和拦截器等功能,可以灵活地满足不同的业务需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值