java使用token访问url一直携带token认证_SpringBoot入门建站全系列(十二)Spring Security使用token做认证...

最新推荐文章于 2024-07-26 03:16:07 发布
最新推荐文章于 2024-07-26 03:16:07 发布
阅读量1.7k 收藏 5
点赞数 1
文章标签: java使用token访问url一直携带token认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36314729/article/details/112082202
版权
本文详细介绍了如何在SpringBoot项目中利用Spring Security实现JWT(JSON Web Token)进行用户认证。首先,文章阐述了Spring Security在Web应用安全中的作用,接着讲解了配置Spring Security进行JWT认证所需的步骤,包括Maven依赖、配置文件设置、安全控制核心的配置,以及安全处理逻辑如用户认证、token管理、过滤器等。此外,文章还涵盖了自定义的TokenManager、登录过滤器和访问过滤器的实现细节,以及处理未授权请求和登出的逻辑。
摘要由CSDN通过智能技术生成

a521c6d114a85ff6bcd09c803501eb51.png

SpringBoot入门建站全系列(十二)Spring Security使用token做认证

Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

Spring-security其实就是用filter,多请求的路径进行过滤。

如果是基于Session,那么Spring-security会对cookie里的sessionid进行解析,找到服务器存储的sesion信息,然后判断当前用户是否符合请求的要求。

如果是token,则是解析出token,然后将当前请求加入到Spring-security管理的权限信息中去。

上一篇《SpringBoot入门建站全系列(十一)Spring-security进行权限认证》已经介绍了如何使用Spring-security进行form表单的权限控制。

这一篇介绍如何使用token做访问控制,token的访问控制主要是对token的生成和解析,对token的来源并没有强制要求,我们完全可以自己来管理,也可以用jwt token,本篇就以jwt token来讲解如何使用token做访问控制。

项目地址: 品茗IT-同步发布

品茗IT 提供在线支持:

一键快速构建Spring项目工具

一键快速构建SpringBoot项目工具

一键快速构建SpringCloud项目工具

一站式Springboot项目生成

Mysql一键生成Mybatis注解Mapper

如果大家正在寻找一个java的学习环境,或者在开发中遇到困难,可以加入我们的java学习圈,点击即可加入,共同学习,节约学习时间,减少很多在学习中遇到的难题。

一、配置

本文假设你已经引入spring-boot-starter-web。已经是个SpringBoot项目了,如果不会搭建,可以打开这篇文章看一看《SpringBoot入门建站全系列(一)项目建立》。

1.1 Maven依赖

<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
</dependency>
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-dbcp2</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

Spring-security一般需要从数据库中查询用户信息的,所以这里还是要把mybatis引入,以查询用户信息使用。

1.2 配置文件

application.properties 中需要添加下面的配置:

spring.datasource.type=org.apache.commons.dbcp2.BasicDataSource
spring.datasource.dbcp2.max-wait-millis=60000
spring.datasource.dbcp2.min-idle=20
spring.datasource.dbcp2.initial-size=2
spring.datasource.dbcp2.validation-query=SELECT 1
spring.datasource.dbcp2.connection-properties=characterEncoding=utf8
spring.datasource.dbcp2.validation-query=SELECT 1
spring.datasource.dbcp2.test-while-idle=true
spring.datasource.dbcp2.test-on-borrow=true
spring.datasource.dbcp2.test-on-return=false

spring.datasource.driverClassName = com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/boot?useUnicode=true&characterEncoding=utf8&serverTimezone=UTC
spring.datasource.username=cff
spring.datasource.password=123456

mybatis.configuration.log-impl=org.apache.ibatis.logging.stdout.StdOutImpl

token.expire=3600000
token.key=123456

这里的配置主要就是数据库连接和数据源、mybatis的配置。因为要连接数据库。

另外两个token开发的属性,是对token的配置,一般不怎么变化,写死也可以的。

二、安全控制核心

这个配置的作用和上篇的一致。

Spring Security的核心配置就是继承WebSecurityConfigurerAdapter并注解@EnableWebSecurity的配置。

这个配置指明了用户名密码的处理方式、请求路径的开合、登录登出控制等和安全相关的配置。

TokenWebSecurityConfig :

package com.cff.springbootwork.token.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;

import com.cff.springbootwork.token.filter.TokenAuthenticationFilter;
import com.cff.springbootwork.token.filter.TokenLoginFilter;
import com.cff.springbootwork.token.handler.DefaultPasswordEncoder;
import com.cff.springbootwork.token.handler.TokenLogoutHandler;
import
最低0.47元/天 解锁文章
航天面面观
关注
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
java调用一个外部url_java 从程序内部调用外部url/接口
weixin_29980355的博客
02-13 882
本人微信 zf363133213 欢迎各位添加好友,共同探讨问题第一种方法:public Object test(){HttpHeaders headers = new HttpHeaders();//http请求头RestTemplate restTemplate = new RestTemplate();headers.setContentType(MediaType.parseMediaTy...
java不同项目加token访问_SpringBoot入门建站全系列十二Spring Security使用token认证...
weixin_39762075的博客
11-07 263
SpringBoot入门建站全系列十二Spring Security使用token认证Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证...
java通过请求url以及token抓取网页json数据的代码
最新发布
weixin_42400619的博客
07-26 64
Java通过请求URLToken抓取网页JSON数据的实践指南 在当今的互联网时代,数据的获取和处理变得尤为重要。Java作为一种广泛使用的编程语言,提供了丰富的库来帮助开发者实现网络请求和数据处理。本文将介绍如何使用Java通过请求URL携带Token来抓取网页中的JSON数据。 流程图 首先,让我们通过一个流程图来...
jet token过期是定时的还是无操作_基于session和Token的会话管理模式,什么是JWT?说说它的实践方式...
weixin_39915171的博客
11-19 217
知乎:https://zhuanlan.zhihu.com/p/52300092HTTP 是一个无状态的协议,一次请求结束后,下次在发送服务器就不知道这个请求是谁发来的了(同一个 IP 不代表同一个用户),在 Web 应用中,用户的认证和鉴权是非常重要的一环,实践中有多种可用方案,并且各有千秋。基于 Session 的会话管理在 Web 应用发展的初期,大部分采用基于 Session 的会话管理方...
SpringBoot整合SpringSecurit(二)通过token进行访问
我是混IT圈的
06-08 479
3、修改登录方法,后端获取到账号、密码后,根据账号,查询到用户信息,在校验密码,如果密码成功,就生成token,并且把token放在内存或者redis中就完成了。里面,使用的session的方式进行保存用户信息的,这一篇文章就是使用token的方式。1、新建过滤器,将通过token查询到的用户信息存入到security中。2、修改security的配置。4.2、通过token查询信息。在其上进行的改造,可以先看。,再看这个就比较好了。4.1、获取token
【实现方案】Springboot整合token的权限管理实现(二)—— 配置服务器拦截器与跨域访问权限
weixin_43742184的博客
11-14 673
前置说明 前一篇文章介绍了如何使用 JWT 生成与解析 token。这篇文章给大家介绍,当我们使用 springboot 进行开发时,如何从后端解决跨域访问问题,以及如何配置 request 拦截器。 跨域访问 一、什么是跨域访问? 跨域的严格一点的定义是:只要协议,域名,端口有任何一个的不同,就被当作是跨域。 从现在的开发技术而言,大家越来越讲究前后端分离开发。如果前后端分离,那么势必会遇到跨域...
SpringSecurity之JWT实现token认证和授权.zip
08-09
在这个主题中,我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证和授权。 JWT 是一种轻量级的、安全的、无状态的身份验证机制,常用于API的鉴权。它通过在客户端和服务器之间传递令牌...
spring security ouath2获取token(认证)流程图.pdf
08-26
Spring Security OAuth2 是一个强大的授权框架,用于保护Java应用程序的安全。在这个流程中,我们主要关注的是使用`password`方式获取OAuth2的访问令牌(token)。下面将详细解释这个过程。 首先,客户端发起一个...
springboot+springSecurity+jwt实现的基于token的权限管理的一个demo
02-16
这个“springboot+springSecurity+jwt实现的基于token的权限管理的一个demo”旨在演示如何在Spring Boot应用中集成这些技术,以创建一个安全的、基于令牌的身份验证系统。 首先,Spring Boot是Java领域的一个快速...
Springboot集成spring-security实现基于验证码的登录认证项目源码+项目说明.7z
12-18
Springboot集成spring-security实现基于验证码的登录认证项目源码+项目说明.7z springboot集成spring-security实现基于验证码的登录认证。 在spring-boot-security的基础上实现角色管理。 spring-boot-security-jwt...
SpringSecurity整合springBoot、redis token动态url权限校验
mofsfely2的博客
02-18 3544
背景 简单先说一下需求吧,这样也好让看的人知道到底适不适合自己。 1、实现自定义的登录认证。 2、登录成功,生成token并将token 交由redis管理。 3、登录后对用户访问的接口进行接口级别权限认证springSecurity提供的注解权限校验适合的场景是系统中仅有固定的几个角色,且角色的凭证不可修改(如果修改需要改动代码)。 @PreAuthorize("hasAuthority('ROLE_TELLER')") public Account post(Account account, do
微信扫描二维码,h5二维码的url携带token,在微信内置浏览器token不能使用
weixin_42156401的博客
06-22 1489
@[TOC]微信扫描二维码,h5二维码的url携带token,在微信内置浏览器token不能使用 微信扫描二维码,h5二维码的url携带token,在微信内置浏览器token不能使用 最近在一个移动h5项目,记录一下在项目中遇到的问题,前端生成二维码时,将token放到一个请求参数中,传递给后台,后台接收token参数,在二维码url中添加上token参数,让扫描使用的人也可以正常使用。 因为token前缀的Bearer ,中有空格,微信直接打开会将空格转移,导致token不正确,通过分享链接打开的人
Java】利用Token进行登录控制以及限制接口访问
qq_42666609的博客
09-04 1068
使用Token进行登录认证功能;用户登录后获取Token,调用固定规则接口需要在请求头中传入Token才可调用接口否则提示相应异常;
url跳转,如何携带token?不能通过url拼接传递,还有别的方式吗?
热门推荐
time海伦的博客
07-01 1万+
当然有,把window.name利用起来就可以搞定了 开发过程中遇到了个问题,从当前页A(http://www.aaa.com)跳转到新页面B(http://www.bbb.com)时,想要传递A的token给B,以便B页面不登陆直接使用token获取数据 正常情况下是在A页面直接使用: window.open('http:www.bbb.com?token=token') 这时打开的新窗口的地址栏上就可以直接看到这个token了,测试认为这样是不安全的,不希望地址栏显示token 这时就可以使
java只允许第一个用户处理_实战:第一章:防止其他人通过用户的url访问用户私人数据...
weixin_36098128的博客
02-28 377
解决思路:防止其他人通过用户的url访问用户私人数据思路一:url中放入userId,根据url中的usrId和session中保存的userId 进行匹配判断是否是本人访问,这样会将userId暴漏在url中,不安全。解决方案:url成通用的,数据请求需要用户自己主动触发(百度的)(不建议使用)思路二:访问都需要登陆操作,session中放入userId, 记录中放入userId,每次访问的时...
获取第三方项目中的token ,并获取数据 将数据执行至另一个接口
wang_s_f的博客
10-11 1873
需求: 从本项目中访问另一个项目得token,首先得访问另一个项目的登录接口(sys/login),获得其token,若token在某一时间段内(40秒),则无需重新获取token,否则 重新获取token,然后在访问另一个项目的接口,并返回数据。@ConfigurationProperties(prefix = "sxjk-szgs-jiekou") 双引号中的要与yml文件中的相对应。鸡蛋,从外打破是食物,从内打破是生命,人生也是如此,从外打破是压力,从内打破是成长。一个小而全的Java工具类库。
跳转系统设置token
水蓝针织
04-27 715
如果从一个完整的有登陆的项目跳转到另一个项目的一个页面,或者是用iframe在页面中链另一个项目的页面,为了直接免登录进入页面,我们需要将token设置到项目约定的地方。
关于接口测试headerstokenurl测试流程
qq_43204231的博客
03-06 4799
之前一直想试试接口测试,可惜一直没有时间。正好这段时间工作空闲时间较多,索性买了本接口的书 准备大干一番; 。。。 书到手之后翻阅了一番,自信心爆满 打开pyc那一刻还没意识到现实多么残酷。。。哎哭凄凄 正文开始 第一步当然是收集请求地址啦 下面是代码块,第一部分为登录并取到token,第二部分为保持token并查询 比较粗糙 现在只能是目测 大家可以加入断言 进行响应结果比对 得出测试结论 im...
springboot整合springsecurity+oauth2.0实现token认证
07-08
好的,你想了解如何在Spring Boot中整合Spring Security和OAuth 2.0来实现token认证。下面是一个基本的步骤: 1. 添加依赖:在你的`pom.xml`文件中添加Spring Security和OAuth 2.0的依赖。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> ``` 2. 配置Spring Security:创建一个继承自`WebSecurityConfigurerAdapter`的配置类,并覆盖`configure`方法,配置Spring Security。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/oauth2/**", "/login/**", "/logout/**") .permitAll() .anyRequest() .authenticated() .and() .oauth2Login() .loginPage("/login") .and() .logout() .logoutUrl("/logout") .logoutSuccessUrl("/") .deleteCookies("JSESSIONID"); } } ``` 这个配置类指定了哪些URL需要进行认证,`antMatchers`方法指定了不需要认证URL。 3. 配置OAuth 2.0客户端:创建一个继承自`WebSecurityConfigurerAdapter`的配置类,并使用`@EnableOAuth2Client`注解开启OAuth 2.0客户端。 ```java @Configuration @EnableOAuth2Client public class OAuth2ClientConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // 配置HTTP Security } @Bean public OAuth2AuthorizedClientService authorizedClientService( OAuth2ClientRegistrationRepository clientRegistrationRepository) { return new InMemoryOAuth2AuthorizedClientService(clientRegistrationRepository); } } ``` 这个配置类可以用来配置OAuth 2.0的客户端,你可以在`configure`方法中添加一些额外的配置。 4. 配置OAuth 2.0客户端注册:在`application.properties`文件中配置OAuth 2.0的客户端注册信息。 ```properties spring.security.oauth2.client.registration.my-client-id.client-id=your-client-id spring.security.oauth2.client.registration.my-client-id.client-secret=your-client-secret spring.security.oauth2.client.registration.my-client-id.scope=your-scopes spring.security.oauth2.client.registration.my-client-id.authorization-grant-type=authorization_code spring.security.oauth2.client.registration.my-client-id.redirect-uri=your-redirect-uri ``` 这个配置文件中的`my-client-id`是你自己指定的客户端ID,你需要将其替换为你自己的信息。 这些步骤是实现Spring Boot中整合Spring Security和OAuth 2.0实现token认证的基本步骤。你可以根据自己的需求进行进一步的配置和扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值