java jwt框架_Spring安全框架——jwt的集成(服务器端)

最新推荐文章于 2023-11-18 13:54:50 发布
最新推荐文章于 2023-11-18 13:54:50 发布
阅读量317 收藏
点赞数
文章标签: java jwt框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39598308/article/details/115039304
版权

新建用户表——users,并完成数据库增删查改

一、新建表

5565f8e1da6a845761e473d3abfdb6a8.png

二、持久化映射,建立模型类,添加主键生成器

//指定生成器名称

@GeneratedValue(generator = "uuid2" )

@GenericGenerator(name = "uuid2", strategy = "org.hibernate.id.UUIDGenerator" )

三、建立Dao层

package edu.ynmd.cms.dao;

import edu.ynmd.cms.model.Users;

import org.springframework.data.jpa.repository.JpaRepository;

import org.springframework.data.jpa.repository.Query;

import org.springframework.data.repository.query.Param;

import javax.websocket.server.PathParam;

import java.util.List;

public interface UsersDao extends JpaRepository {

@Query("select u from Users u where u.username=:username and u.pass=:pass")

List getUsersByUsernameAndPass(@Param("username")String username, @Param("pass") String pass);

}

四、配置service层

在ManageService添加方法

//用户表

Users saveUser(Users users);

boolean deleteUser(String id);

Users getUser(String id);

Users getUserByUserNameAndPass(String username,String pass);

在ManageServiceImpl添加方法具体实现

//*****************************用户表增删查改开始*********************************

@Override

public Users saveUser(Users users) {

try {

return usersDao.save(users);

} catch (Exception e) {

e.printStackTrace();

return null;

}

}

@Override

public boolean deleteUser(String id) {

try {

usersDao.deleteById(id);

return true;

} catch (Exception e) {

e.printStackTrace();

}

return false;

}

@Override

public Users getUser(String id) {

Optional temp=usersDao.findById(id);

return temp.isPresent()?temp.get():null;

}

@Override

public Users getUserByUserNameAndPass(String username, String pass) {

List ul=usersDao.getUsersByUsernameAndPass(username,pass);

if(ul.size()>0){

return ul.get(0);

}

return null;

}

JWT框架的搭建

一、添加Maven依赖

org.springframework.boot

spring-boot-starter-security

io.jsonwebtoken

jjwt

0.7.0

二、编写JwtUtil工具类(生成token,解析token,校验token)

package edu.ynmd.cms.tools;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import javax.servlet.http.HttpServletRequest;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

public class JwtUtil {

private static final Logger logger= LoggerFactory.getLogger(JwtUtil.class);

public static final long EXPIRATION_TIME=60*60*1000;// 令牌环有效期

public static final String SECRET="abc123456def";//令牌环密钥

public static final String TOKEN_PREFIX="Bearer";//令牌环头标识

public static final String HEADER_STRING="Passport";//配置令牌环在http heads中的键值

public static final String ROLE="ROLE";//自定义字段-角色字段

//生成令牌环

public static String generateToken(String userRole,String userid){

HashMap map=new HashMap<>();

map.put(ROLE,userRole);

map.put("userid",userid);

String jwt= Jwts.builder()

.setClaims(map)

.setExpiration(new Date(System.currentTimeMillis()+EXPIRATION_TIME))

.signWith(SignatureAlgorithm.HS512,SECRET)

.compact();

return TOKEN_PREFIX+" "+jwt;

}

//生成令牌环

public static String generateToken(String userRole,String userid,long exprationtime){

HashMap map=new HashMap<>();

map.put(ROLE,userRole);

map.put("userid",userid);

String jwt= Jwts.builder()

.setClaims(map)

.setExpiration(new Date(System.currentTimeMillis()+exprationtime))

.signWith(SignatureAlgorithm.HS512,SECRET)

.compact();

return TOKEN_PREFIX+" "+jwt;

}

//令牌环校验

public static Map validateTokenAndGetClaims(HttpServletRequest request){

String token=request.getHeader(HEADER_STRING);

if(token==null){

throw new TokenValidationException("Missing Token");

}

else{

Map body=Jwts.parser()

.setSigningKey(SECRET)

.parseClaimsJws(token.replace(TOKEN_PREFIX,""))

.getBody();

return body;

}

}

static class TokenValidationException extends RuntimeException{

public TokenValidationException(String msg){

super(msg);

}

}

}

三、集成JWT filter(拦截器/过滤器)——建立filter包

package edu.ynmd.cms.filter;

import edu.ynmd.cms.tools.JwtUtil;

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;

import org.springframework.security.core.context.SecurityContextHolder;

import org.springframework.util.AntPathMatcher;

import org.springframework.util.PathMatcher;

import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.util.Arrays;

import java.util.Map;

import static edu.ynmd.cms.tools.JwtUtil.ROLE;

public class JwtAuthenticationFilter extends OncePerRequestFilter {

private static final PathMatcher pathmatcher = new AntPathMatcher();

private String[] protectUrlPattern = {"/manage/**", "/member/**", "/auth/**"}; //那些请求需要进行安全校验

public JwtAuthenticationFilter() {

}

@Override

protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {

//是不是可以在这里做多种方式登录呢

try {

if (isProtectedUrl(httpServletRequest)) {

Map claims = JwtUtil.validateTokenAndGetClaims(httpServletRequest);

String role = String.valueOf(claims.get(ROLE));

String userid = String.valueOf(claims.get("userid"));

//最关键的部分就是这里, 我们直接注入了

SecurityContextHolder.getContext().setAuthentication(new UsernamePasswordAuthenticationToken(

userid, null, Arrays.asList(() -> role)

));

}

} catch (Exception e) {

e.printStackTrace();

httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED, e.getMessage());

return;

}

filterChain.doFilter(httpServletRequest, httpServletResponse);

}

//是否是保护连接

private boolean isProtectedUrl(HttpServletRequest request) {

boolean flag = false;

for (int i = 0; i < protectUrlPattern.length; i++) {

if (pathmatcher.match(protectUrlPattern[i], request.getServletPath())) {

return true;

}

}

return false;

}

}

四、配置JWT config类

package edu.ynmd.cms.config;

import edu.ynmd.cms.filter.JwtAuthenticationFilter;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.http.HttpMethod;

import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.config.http.SessionCreationPolicy;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import org.springframework.security.crypto.password.PasswordEncoder;

import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled = true)

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

@Bean

public PasswordEncoder passwordEncoder(){

return new BCryptPasswordEncoder();

}

@Override

protected void configure(HttpSecurity http) throws Exception {

http.csrf().disable()

.cors() //允许跨域访问

.and()

.authorizeRequests()

.antMatchers("/").authenticated() //配置那些url需要进行校验--所有请求都需要校验"/"

.antMatchers("/public/**").permitAll() //那些请求不需要校验

.anyRequest().authenticated() //自定义校验类

.and()

.addFilterBefore(new JwtAuthenticationFilter(),

UsernamePasswordAuthenticationFilter.class)

.sessionManagement()

.sessionCreationPolicy(SessionCreationPolicy.STATELESS)//关闭session

;

}

}

五、添加Action注解——在AdminAction添加

@CrossOrigin

@RestController

@PreAuthorize("hasAuthority('admin')") //配置角色,拥有该角色的用户方可访问

@RequestMapping("/manage")

六、登录Action——在PublicAction添加

//用户登录方法

@PostMapping("/login")

@ResponseBody

public HashMap login(

@RequestBody Account account) throws IOException {

Users u=manageService.getUserByUserNameAndPass(account.username,account.password);

//if(account.username.equals("admin")&&account.password.equals("123456")){

if(u!=null){

//String jwt= JwtUtil.generateToken("admin","123456789abc");

String jwt= JwtUtil.generateToken(u.getRoleid(),u.getUsersid());

return new HashMap(){{

put("msg","ok");

put("token",jwt);

put("role",u.getRoleid());

// put("role","admin");

}};

}

else {

//return new ResponseEntity(HttpStatus.UNAUTHORIZED);

return new HashMap(){{

put("msg","error");

put("token","error");

}};

}

}

public static class Account{

public String username;

public String password;

}

七、token令牌环,访问需要验证的资源,新建service工具类

在tools中添加isNullOrSpace方法进行判断

public static boolean isNullOrSpace(String value){

if(value==null){

return true;

}

else {

if(value.equals("")){

return true;

}

else {

return false;

}

}

}

在ManageService添加方法

String getCurrentUserId();

String getCurrentRole();

在ManageServiceImpl添加方法具体实现

//获取当前登录用的的Id

@Override

public String getCurrentUserId() {

String userid= (String) SecurityContextHolder.getContext().getAuthentication() .getPrincipal();

if(Tools.isNullOrSpace(userid)){

return null;

}

else {

return userid;

}

}

//获取当前登录用户的角色

@Override

public String getCurrentRole() {

String role=null;

Collection authorities = (Collection) SecurityContextHolder.getContext().getAuthentication().getAuthorities();

for (GrantedAuthority authority : authorities) {

role = authority.getAuthority();

}

if(Tools.isNullOrSpace(role)){

return null;

}

else{

return role;

}

}

八、识别token令牌环信息——在AdminAction添加

@GetMapping("testSecurityResource")

@ResponseBody

public String testSecurityResource() throws Exception{

String userid=manageService.getCurrentUserId();

String role=manageService.getCurrentRole();

return "受保护的资源,当前用户的id是"+userid+"当前用户的角色是"+role;

}

九、自动更新令牌环,新建AuthAction类

package edu.ynmd.cms.action;

import edu.ynmd.cms.tools.JwtUtil;

import edu.ynmd.cms.tools.Tools;

import org.springframework.security.access.prepost.PreAuthorize;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.authority.SimpleGrantedAuthority;

import org.springframework.security.core.context.SecurityContextHolder;

import org.springframework.web.bind.annotation.*;

import javax.servlet.http.HttpServletRequest;

import java.util.Collection;

import java.util.HashMap;

//令牌环更新

@CrossOrigin

@RestController

@PreAuthorize("hasAuthority('admin')")

@RequestMapping("/auth")

public class AuthAction {

//更新令牌环信息

@GetMapping("refreshToken")

@ResponseBody

public HashMap refreshToken( HttpServletRequest request){

String role=null;

Collection authorities = (Collection) SecurityContextHolder.getContext().getAuthentication().getAuthorities();

for (GrantedAuthority authority : authorities) {

role = authority.getAuthority();

}

// UserDetails userDetails = (UserDetails) SecurityContextHolder.getContext().getAuthentication() .getPrincipal();

String userid= (String)SecurityContextHolder.getContext().getAuthentication() .getPrincipal();

if(Tools.isNullOrSpace(role)){

return new HashMap(){{

put("token","error");

}};

}

else{

String jwt="";

jwt= JwtUtil.generateToken(role,userid,60*60*1000);//一小时

HashMap m=new HashMap<>();

m.put("token",jwt);

return m;

}

}

//获取当前登录用户的角色

@GetMapping("getRole")

@ResponseBody

public HashMap getRoleByToken(){

String role="";

String userid="";

Collection authorities = (Collection) SecurityContextHolder.getContext().getAuthentication().getAuthorities();

for (GrantedAuthority authority : authorities) {

role = authority.getAuthority();

}

if(Tools.isNullOrSpace(role)){

return new HashMap(){{

put("role","error");

}};

}

else{

HashMap m=new HashMap<>();

m.put("role",role);

return m;

}

}

}

最后用postman进行测试

6ed18f49ca569c8daa6bf3b024910e93.png

结果

e1aa7f062ecdf14c4a472fe41d88374b.png

weixin_39598308
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity_JWT_Test.zip
04-05
springboot项目中使用SpringSecurity和JWT的小测试
java 字段映射注解_【lombok】lombok---帮你简化生成必要但臃肿的java代码工具 【映射注解和lombok注解同时使用 以及 映射注解放在属性和get方法上的区别】...
weixin_42514432的博客
02-27 850
===============================================================================================================本来来说,lombok作为一个目前为止【2017-11-27】java并未将其作为标准来推广。还有很多人问使用它是否合适。这里不做这种讨论!!!=================...
springboot 获取登录浏览器_手把手教你,使用JWT实现单点登录
weixin_39717598的博客
10-26 940
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案之一,今天我们一起来揭开它神秘的面纱!一、故事起源说起 JWT,我们先来谈一谈基于传统session认证的方案以及瓶颈。传统session交互流程,如下图:当浏览器向服务器发送登录请求时,验证通过之后,会将用户信息存入seesion中,然后服务器会生成一个sessionId放入cookie中,随后返回给浏览器。当浏览器再次发送...
LoggerFactory.getLogger用法
lghello的博客
06-16 1万+
1. 作用 LoggerFactory.getLogger可以在IDE控制台打印日志,便于开发,一般加在代码最上面 2. 用法: import org.slf4j.Logger; import org.slf4j.LoggerFactory; private static final Logger LOGGER = LoggerFactory.getLogger(xxx.class); 3. 日志级别 logger.debug、logger.info、logger.warn、logger.error、log
架构token授权认证机制:spring security JSON Web Token(JWT)简例(2)
Zhang Phil
02-15 1339
这里有一个简单例子实现token认证授权访问: 后架构token授权认证机制:spring security JSON Web Token(JWT)简例_Zhang Phil-CSDN博客 再写一个例子,该例中,假设 /api需要登录且具有有效token才能访问的接口。 /home是公开的接口,无须登录授权均可访问。 /login是登录接口,用户通过/login提交用户名和密码进行鉴权验证。 import org.springframework.beans.factory.annotat
java uuid 生成 策略_java 类设置id生成策略
weixin_28717431的博客
02-24 416
public class Data_Brand implements Serializable {//5.2.60@Id@GeneratedValue(strategy = GenerationType.AUTO)private Integer id;//自序ID,默认生成策略private String Brand_Name;//品牌名称brandName brand_name}@Enti...
【SpringSecurity】十一、SpringSecurity集成JWT实现token的方法与校验
llg___的博客
09-01 1027
下面是安全用户类,用于在数据库的用户对象类SysUser和返给框架的官方对象类UserDetails之间做过渡转换。这里的命名改为JWTService好点,Utils命名似乎偏静态方法一点。修改下安全配置类,把上面的处理器和过滤器加进来。,当用户登录认证成功后,会执行这个处理器,即。
Spring集成JWT
最新发布
qq_36973384的博客
11-18 67
过滤器:过滤请求路径,除了指定不拦截的路径,其他路径均要拦截,拦截之后,对token进行验签,通过之后,才可访问后相应路径。token:token是一个将用户信息合成然后进行签名的一串字符,验签就是类似一个解密的过程,能获取到用户具体的信息。
Spring 集成jwtjava web token)
ppwwp的专栏
02-28 2196
jwtjava web token)简介 它是基于 RFC 7519 标准定义的一种可以安全传输的 小巧 和 自包含 的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对来进行签名。 组成部分: Header 头部:一般为token类型和加密算法 Payload 负载:一些用户信息和额外的声明数据 ...
SpringBoot 快速集成 JWT 实现用户登录认证
热门推荐
何哥的博客
04-11 1万+
前言:当今前后分离时代,基于Token的会话保持机制比传统的Session/Cookie机制更加方便,下面我会介绍SpringBoot快速集成JWTjava-jwt以完成用户登录认证。 一、JWT 简介 1.1、 JWT的概念 JWT 是 JSON Web Token 的缩写,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT...
Spring安全框架——jwt集成(服务器)
12-21
新建用户表——users,并完成数据库增删查改 一、新建表 二、持久化映射,建立模型类,添加主键生成器 //指定生成器名称 @GeneratedValue(generator = "uuid2" ) @GenericGenerator(name = "uuid2", strategy = ...
springboot_jwt_azure_dio_avanade:集成o Azure Spring Cloud com o Azure安全中心
03-08
Spring Boot com JWT和Azure 与JWT和Azure进行项目,以创建将Azure Spring Cloud与Azure Security Center集成在一起的安全云环境。 :pushpin: 指数 :gear: :laptop: :rocket: :gear: 设定值拥有一个Microsoft Azure...
jwt-handbook.zip_JSON_JWT Handbook_jwt handbook_jwt hankbook_jw
09-23
JSON Web Token的一个优秀实现标准的参考手册
springboot_springsecurity_oauth_jwt.zip
01-14
springboot整合springsecurity以及OAuth2实现Jwt令牌demo,springboot整合springsecurity以及OAuth2实现Jwt令牌demo,springboot整合springsecurity以及OAuth2实现Jwt令牌demo,springboot整合springsecurity以及OAuth2...
JWT使用教程
FishLearning的博客
10-16 2699
JWT使用教程 1、什么是jwt # 1、官网地址 https://jwt.io/introduction/ jsonwebtoken(JWT)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对其进行签名 # 2、通俗解释 JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方
JWT实现登陆认证及Token自动续期
Zyw907155124的博客
01-05 1397
更新用户密码时需要重新生成新的token,并将新的token返回给前,由前更新保存在local storage中的token,同时更新存储在redis中的token,这样实现可以避免用户重新登陆,用户体验感不至于太差。一样的道理,要改变JWT的有效时间,就要签发新的JWT。在实际项目中,用户分为普通用户和管理员用户,只有管理员用户拥有删除用户的权限,这一块功能也是涉及token操作的,但是我太懒了,demo工程就不写了。JWT的payload使用的是base64编码的,因此在JWT中不能存储敏感数据。
JWT的Spring Security
专业的开发者“讨论”
04-23 827
Spring Security的默认行为易于用于标准Web应用程序。 它使用基于cook...
Spring Security + Jwt 学习笔记
weixin_37986763的博客
11-21 280
Spring Security + Jwt 学习笔记 自己动手做Security+jwt权限控制 首先创建项目 在pom.xml加入依赖包 <!--Mysql数据库驱动--> <dependency> <groupId>mysql</groupId> ...
Spring 之 jwt,过滤器,拦截器,aop,监听器,参数校验
初心魏的博客
05-25 1581
OverrideSystem.out.println("过滤器2初始化");System.out.println("过滤器2前执行");System.out.println("过滤器2后执行");System.out.println("过滤器2毁灭");} }/*** 重写addCorsMappings() 解决跨域问题* 配置:允许http请求进行跨域访问* @Author 有梦想的肥宅*/
springsecurity jwt安全框架
03-16
Spring Security JWT安全框架是一种基于JSON Web Token(JWT)的认证和授权框架。它可以帮助开发人员在应用程序中实现安全性,包括用户身份验证、访问控制和数据保护等方面。JWT是一种轻量级的安全令牌,可以在客户服务器之间传递信息,以验证用户身份和授权访问。Spring Security JWT框架提供了一些内置的类和方法,可以轻松地实现JWT的生成、解析和验证。此外,它还支持多种身份验证方式,如基于用户名和密码的身份验证、基于OAuth2的身份验证等。总之,Spring Security JWT安全框架是一种强大的安全解决方案,可以帮助开发人员构建安全可靠的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值