java jwt实战,Spring Boot Security Jwt Authentication详解实战

最新推荐文章于 2024-05-29 16:37:34 发布
最新推荐文章于 2024-05-29 16:37:34 发布
阅读量523 收藏
点赞数
文章标签: java jwt实战

引言

在这篇文章中,我们将通过JWT(JSOn Web Token)认证来保护我们的REST API 。我们将使用基于spring boot maven的配置来开发并保护我们的API,并提供单独的API用于注册并生成令牌。我们将扩展OncePerRequestFilter类,以使用JWT定义我们的自定义认证机制。认证机制可以应用于URL和方法。最后,我们将使用谷歌高级REST客户端测试实现。

项目结构

以下是我们将为spring  boot JWT认证而建立的最终项目结构。

3b70caa5b9bb4c6288ee726ab91ce0b7.png

JWT认证机制

以下类继承了OncePerRequestFilter,确保每个请求调度都有一次执行。该类检查授权头并验证JWT令牌并在上下文中设置验证。这样做可以保护我们的API免受那些没有任何授权令牌的请求。有关哪些资源需要保护以及哪些不可以配置WebSecurityConfig.java

JwtAuthenticationFilter.java

public class JwtAuthenticationFilter extends OncePerRequestFilter {

@Autowired

private UserDetailsService userDetailsService;

@Autowired

private JwtTokenUtil jwtTokenUtil;

@Override

protected void doFilterInternal(HttpServletRequest req, HttpServletResponse res, FilterChain chain) throws IOException, ServletException {

String header = req.getHeader(HEADER_STRING);

String username = null;

String authToken = null;

if (header != null && header.startsWith(TOKEN_PREFIX)) {

authToken = header.replace(TOKEN_PREFIX,"");

try {

username = jwtTokenUtil.getUsernameFromToken(authToken);

} catch (IllegalArgumentException e) {

logger.error("an error occured during getting username from token", e);

} catch (ExpiredJwtException e) {

logger.warn("the token is expired and not valid anymore", e);

} catch(SignatureException e){

logger.error("Authentication Failed. Username or Password not valid.");

}

} else {

logger.warn("couldn't find bearer string, will ignore the header");

}

if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

UserDetails userDetails = userDetailsService.loadUserByUsername(username);

if (jwtTokenUtil.validateToken(authToken, userDetails)) {

UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, Arrays.asList(new SimpleGrantedAuthority("ROLE_ADMIN")));

authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(req));

logger.info("authenticated user " + username + ", setting security context");

SecurityContextHolder.getContext().setAuthentication(authentication);

}

}

chain.doFilter(req, res);

}

}

以下是用于生成身份验证令牌以及从令牌中提取用户名的util类。这里是我们需要url的配置,例如/ token / *和/ signup / *是公开可用的,其余url是受限于公共访问。

JwtTokenUtil.java

@Component

public class JwtTokenUtil implements Serializable {

public String getUsernameFromToken(String token) {

return getClaimFromToken(token, Claims::getSubject);

}

public Date getExpirationDateFromToken(String token) {

return getClaimFromToken(token, Claims::getExpiration);

}

public T getClaimFromToken(String token, Function claimsResolver) {

final Claims claims = getAllClaimsFromToken(token);

return claimsResolver.apply(claims);

}

private Claims getAllClaimsFromToken(String token) {

return Jwts.parser()

.setSigningKey(SIGNING_KEY)

.parseClaimsJws(token)

.getBody();

}

private Boolean isTokenExpired(String token) {

final Date expiration = getExpirationDateFromToken(token);

return expiration.before(new Date());

}

public String generateToken(User user) {

return doGenerateToken(user.getUsername());

}

private String doGenerateToken(String subject) {

Claims claims = Jwts.claims().setSubject(subject);

claims.put("scopes", Arrays.asList(new SimpleGrantedAuthority("ROLE_ADMIN")));

return Jwts.builder()

.setClaims(claims)

.setIssuer("http://devglan.com")

.setIssuedAt(new Date(System.currentTimeMillis()))

.setExpiration(new Date(System.currentTimeMillis() + ACCESS_TOKEN_VALIDITY_SECONDS*1000))

.signWith(SignatureAlgorithm.HS256, SIGNING_KEY)

.compact();

}

public Boolean validateToken(String token, UserDetails userDetails) {

final String username = getUsernameFromToken(token);

return (

username.equals(userDetails.getUsername())

&& !isTokenExpired(token));

}

}

以下是我们在上面的实现中使用的常量。

Constants.java

public class Constants {

public static final long ACCESS_TOKEN_VALIDITY_SECONDS = 5*60*60;

public static final String SIGNING_KEY = "devglan123r";

public static final String TOKEN_PREFIX = "Bearer ";

public static final String HEADER_STRING = "Authorization";

}

Spring Boot安全配置

现在让我们定义我们通常的spring引导安全配置。我们注入了userDetailsS​​ervice以从数据库中获取用户凭据。

在这里,注释@EnableGlobalMethodSecurity启用了方法级别的安全性,您可以使用注释(例如@Secured)注释您的方法,以在方法级别提供基于角色的身份验证。

WebSecurityConfig.java

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled = true)

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

@Resource(name = "userService")

private UserDetailsService userDetailsService;

@Autowired

private JwtAuthenticationEntryPoint unauthorizedHandler;

@Override

@Bean

public AuthenticationManager authenticationManagerBean() throws Exception {

return super.authenticationManagerBean();

}

@Autowired

public void globalUserDetails(AuthenticationManagerBuilder auth) throws Exception {

auth.userDetailsService(userDetailsService)

.passwordEncoder(encoder());

}

@Bean

public JwtAuthenticationFilter authenticationTokenFilterBean() throws Exception {

return new JwtAuthenticationFilter();

}

@Override

protected void configure(HttpSecurity http) throws Exception {

http.cors().and().csrf().disable().

authorizeRequests()

.antMatchers("/token/*").permitAll()

.anyRequest().authenticated()

.and()

.exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()

.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

http

.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);

}

@Bean

public BCryptPasswordEncoder encoder(){

return new BCryptPasswordEncoder();

}

}

以下是暴露在代表用户创建令牌的控制器,如果您注意到WebSecurityConfig.java我们已将此url配置为不进行身份验证,以便用户可以使用有效凭据生成JWT令牌。

AuthenticationController.java

@RestController

@RequestMapping("/token")

public class AuthenticationController {

@Autowired

private AuthenticationManager authenticationManager;

@Autowired

private JwtTokenUtil jwtTokenUtil;

@Autowired

private UserService userService;

@RequestMapping(value = "/generate-token", method = RequestMethod.POST)

public ResponseEntity register(@RequestBody LoginUser loginUser) throws AuthenticationException {

final Authentication authentication = authenticationManager.authenticate(

new UsernamePasswordAuthenticationToken(

loginUser.getUsername(),

loginUser.getPassword()

)

);

SecurityContextHolder.getContext().setAuthentication(authentication);

final User user = userService.findOne(loginUser.getUsername());

final String token = jwtTokenUtil.generateToken(user);

return ResponseEntity.ok(new AuthToken(token));

}

}

我们有非常简单的REST Apis公开测试用途。以下是实现。

@RestController

public class UserController {

@Autowired

private UserService userService;

@RequestMapping(value="/user", method = RequestMethod.GET)

public List listUser(){

return userService.findAll();

}

@RequestMapping(value = "/user/{id}", method = RequestMethod.GET)

public User getOne(@PathVariable(value = "id") Long id){

return userService.findById(id);

}

}

以下是我们的实体类。

User.java

@Entity

public class User {

@Id

@GeneratedValue(strategy= GenerationType.AUTO)

private long id;

@Column

private String username;

@Column

@JsonIgnore

private String password;

@Column

private long salary;

@Column

private int age;

}

默认脚本

以下是在应用程序启动时插入的插入语句。

INSERT INTO User (id, username, password, salary, age) VALUES (1, 'Alex123', '$2a$04$I9Q2sDc4QGGg5WNTLmsz0.fvGv3OjoZyj81PrSFyGOqMphqfS2qKu', 3456, 33);

INSERT INTO User (id, username, password, salary, age) VALUES (2, 'Tom234', '$2a$04$PCIX2hYrve38M7eOcqAbCO9UqjYg7gfFNpKsinAxh99nms9e.8HwK', 7823, 23);

INSERT INTO User (id, username, password, salary, age) VALUES (3, 'Adam', '$2a$04$I9Q2sDc4QGGg5WNTLmsz0.fvGv3OjoZyj81PrSFyGOqMphqfS2qKu', 4234, 45);

JWT用户登录

由于我们有默认脚本来预先填充数据库中的数据以供测试,但我们也可以为用户注册公开一个API。使用此API用户可以注册并使用相同的用户名和密码来生成令牌。为此,我们在控制器类中添加了以下方法。

@RequestMapping(value="/signup", method = RequestMethod.POST)

public User saveUser(@RequestBody UserDto user){

return userService.save(user);

}

一旦添加,我们需要删除此URL的限制以供公众访问。为此,请在我们的Spring Boot security config中添加以下行。

.antMatchers("/token/*", "/signup").permitAll()

现在为了创建用户,我们在UserServiceImpl.java保存数据库中的用户记录方面做了简单的实现。这里要注意的一点是使用bcrypt编码器的密码加密。我们已经自动装配了我们定义为bean的相同编码器WebSecurityConfig.java

@Autowired

private BCryptPasswordEncoder bcryptEncoder;

@Override

public User save(UserDto user) {

User newUser = new User();

newUser.setUsername(user.getUsername());

newUser.setPassword(bcryptEncoder.encode(user.getPassword()));

newUser.setAge(user.getAge());

newUser.setSalary(user.getSalary());

return userDao.save(newUser);

}

这将显示用户注册过程的以下URL以生成JWT令牌。

384.html

测试应用程序

我们将使用Advanced REST Client来测试spring boot jwt认证。

使用令牌生成AuthToken访问资源,而不使用令牌访问资源

384.html

384.html

384.html

weixin_35895485
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security并结合JWT实现用户认证(Authentication) 和用户授权(Authorization)
相约滦北来看你
08-09 5921
引言 在Web应用开发中,安全一直是非常重要的一个方面。Spring Security基于Spring 框架,提供了一套Web应用安全性的完整解决方案。 JwT (JSON Web Token) 是当前比较主源的Token令牌生成方案,非常适合作为登录和授权认证的凭证。 这里我们就使用 Spring Security并结合JWT实现用户认证(Authentication) 和用户授权(Authorization) 两个主要部分的安全内容。 一、JWT与Aoth2的区别 在此之前,只是停留在用的阶段,对二者的
DemoWebSpringBoot_Security:演示Web Spring Boot安全性
03-30
Spring Boot安全实战:DemoWebSpringBoot_Security详解》 在现代Web开发中,安全性是不可或缺的一环。Spring Boot作为Java领域最受欢迎的框架之一,提供了强大的安全支持。本篇文章将深入探讨基于Spring Boot的...
关于Authentication(认证)和Authorization(授权)及Session、Cookie、Token、JWT的一点总结
weixin_42583145的博客
07-06 2962
1.认证 (Authentication) 和授权 (Authorization)的区别 Authentication(认证) 是验证身份的凭据,如用户名/密码等 Authorization(授权) 在Authentication之后,主要用来授权,特定的人才能访问特定的资源,如有些资源的删除、更新操作只对管理员开放。 一般在系统中结合两者使用,保证系统的安全性。 2.什么是Cookie? Cookies是某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。简单来说: Cookie 存
通过OncePerRequestFilter实现JWT登录认证功能
最新发布
weixin_67727883的博客
05-29 823
通过OncePerRequestFilter实现JWT登录认证功能
jwt+token验证
qq_51127361的博客
09-19 1847
导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId
了解认证、授权、凭证、Cookie、Session、Token、JWT
suifeng0614的博客
01-03 1392
了解认证、授权、凭证、Cookie、Session、Token、JWT
JWT token 相关配置 (全局配置 身份认证 重写Authenticate方法)
weixin_69282446的博客
04-27 1774
文章目录一. jwt 全局配置 判断用户是否登录1.settings配置二. 配置jwt过期时间 自定义返回的json数据1.utils.py函数编写,返回指定格式的json数据2.settings配置三. 配置django的认证后端 目的是只让管理员登录 自定义一个认证类 重写Authenticate方法1.utils.py类编写 重写Authenticate方法2.settings配置四. 路由配置五. 模型类1.models.py里定义用户类2.settings配置3 添加测试数据 一.
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
SpringBoot+SpringSecurity+jwt整合详解 SpringBoot是当前最流行的Java框架之一,它提供了便捷的方式来构建基于Web的应用程序。然而,在构建Web应用程序时,安全性是不可忽视的重要方面。因此,本文将详细介绍如何...
spring cloud实战项目
06-29
Spring Cloud实战项目详解》 在当今的互联网时代,微服务架构已经成为大型系统设计的主流选择,Spring Cloud作为Java领域的微服务解决方案,以其强大的功能和易用性深受开发者喜爱。本实战项目旨在深入探讨Spring...
spring-boot-ecommerce:Spring Boot后端电子商务
03-09
Spring Boot后端电子商务开发详解》 在现代的互联网应用开发中,Spring Boot以其简洁、高效的特点成为Java开发者首选的框架之一。尤其在电子商务领域,Spring Boot的强大功能和易用性使得它能够构建稳定且高性能...
spring-boot-sample:弹簧靴样品
06-20
Spring SecuritySpring Boot 中强大的安全框架,用于实现认证(Authentication)和授权(Authorization)。通过简单的配置,可以保护应用的路由,防止未授权的访问,并支持 OAuth2、JWT 等认证机制。 此外,...
http基本认证Authentication OAuth JWT
focus on security
06-29 1168
Authentication: http是一种无状态的协议, 浏览器和web server可以通过cookie来识别身份。 应用程序一般不会使用cookie识别身份,通常是把 "用户名+密码"用BASE64编码放在请求头的Authorization中发送给服务端, 这种方式叫HTTP基本认证(Basic Authentication)。 1.client发送http request到web server 。 2.request中没有包含Authorization头, web server返回一个4.
Spring Security + JWT 实现基于token的登录验证
weixin_41037842的博客
04-11 2540
一、JWT JWT:json web token,是目前最流行的一个跨域认证解决方案:客户端发起用户登录请求,服务器端接收并认证成功后,生成一个 JSON 对象,然后将其返回给客户端。 基于spring security实现登录认证 基础配置 /** * @Description 安全配置 * @Date * */ @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public
HTTP API 认证技术详解(三):JWT Authentication
路多辛的所思所想
01-15 1262
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),定义了一种紧凑的、自包含的格式,用于实现网络应用程序中的身份验证和授权机制。
JWT与OAuth的区别
weixin_43674794的博客
09-19 5744
基于 Token 的 JWT 认证协议与 OAuth2.0 授权框架不恰当比较 2018-02-21JHipster►TokenJWT,OAuth20评论 Authentication(认证)& Authorization(鉴权) Authentication(认证) 关心你是谁 Authorization(鉴权) 关心你能干什么 ...
jwt 身份验证
weixin_57253143的博客
09-23 325
JWT注册登入 第一步:: 将首先配置setting ########### 1、在INSTALLED_APPS中加入'rest_framework.authtoken', ################# INSTALLED_APPS = [ ''' 'rest_framework.authtoken', ''' ] ################### 2、配置jwt验证 ###################### REST_FRAMEWORK = { # 身份认证 'DEFAULT
SpringSecurity整合jwt权限认证全流程解析
小楼夜听雨的博客
12-16 2938
目录 JWT 代码 依赖 jwt工具类 实体类和Service 配置类 过滤器 异常处理 流程分析 总体分析 登录校验过滤器分析 权限认证过滤器分析 配置文件 JWT 本文代码截取自实际项目。 jwt(Json Web Token),一个token,令牌。 简单流程: 用户登录成功后,后端返回一个token,也就是颁发给用户一个凭证。之后每一次访问,前端都需要携带这个token,后端通过token来解析出当前访问对象。 优点 1、一定程度上解放了后端,后端不需要.
Django JWT身份验证
Hi~ o(* ̄▽ ̄*)ブ
07-10 1136
0X00 安装及基础使用 Django JWT是基于Django的auth模块和user model的,所以如果不使用Django的model那么是无法使用Django JWT的。其视图的实现方法是基于Django restframework的APIView和serializers。修正一下,准确的来说Django restframework JWT默认是基于auth模块和user model的...
JWT登录认证
cg_120405的博客
10-24 95
HttpSession机制:在登录完成之后的请求中,每次根据用户的session id 去HttpSession中获取用户信息存入SecurityContextholder(ThreadLocal),后续方法有需要用户信息都去SecurityContextholder中获取,请求结束之前,从SecurityContextholder取出,再存回HttpSession。2.loginService.login()方法。7.loadUserByName方法。9.webConfig配置。
spring boot security jwt
09-27
Spring Boot SecurityJWT(JSON Web Token)的整合是一种常见的身份验证和授权机制。通过引入Spring SecurityJwt相关依赖,可以轻松地实现基于Token的用户身份验证和授权。 整合Jwt的配置一般包括以下几个方面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值