spring boot jwt_SpringBoot+SpringSecurity基于JWT的身份认证和角色授权

最新推荐文章于 2023-01-05 16:11:23 发布
最新推荐文章于 2023-01-05 16:11:23 发布
阅读量336 收藏
点赞数
文章标签: spring boot jwt springsecurity springsecurity权限控制 springsecurity登录验证 springsecurity登陆失败
f852f104611311384897f5e657da0425.png

在前面的文章中,我们已经使用 token 实现前后端分离的系统登录及访问鉴权。

第二十四章:整合SpringSecurity之最简登录及方法鉴权

第二十五章:整合SpringSecurity之使用数据库实现登录鉴权

第二十六章:整合SpringSecurity之JSON格式前后端交互

第二十七章:整合SpringSecurity之前后端分离使用Token实现登录鉴权

登录成功后,服务端会生成一个 token 并存储起来,这样客户端携 token 再次访问时,服务端就可以根据 token 获取当前用户的登录状态及用户信息。在之前的示例中,我们将 token 存储在数据库中,客户端每次访问都需要从数据库中读取 token 相关联的用户信息。数据库通常是系统的性能瓶颈,每次请求都需要先访问数据库,对数据库来说压力山大。

当然,我们使用 Redis 之类的高性能中间件来存储 token,这样相对来说,压力来会减少,但是压力依然在。那么有没有一种技术,在服务端获取到 token 之后,可以直接根据 token 解析出用户信息,这样就可以避免从存储中间件获取信息给系统造成的压力。

JWT(Java Web Token)就是这样的一种技术。

相关知识

什么是 JWT

请参考阮一峰博客 http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html,里面有比较详尽的介绍。

目标

整合 SpringSecurity 实现使用 JWT 进行登录及访问鉴权。

准备工作

创建用户表 user、角色表 role、用户角色关系表 user_role,因为 JWT 本身就是用户信息,所以不用再另行存储,可以直接解析

d3c72ef3d15e7ad62b4faba41138fe02.png

操作步骤

添加依赖

引入 Spring Boot Starter 父工程

5a5b5fcd4a8717571b808453a85946f4.png

添加 springSecurity 及 mybatisPlus 的依赖,添加后的整体依赖如下

47aee52f8963c8161e86ef2e905fd002.png

配置

配置一下数据源

9bfc61bca449fd507c601fff89e388af.png

编码

实体类

角色实体类 Role,实现权限接口 GrantedAuthority

44f68f7d36c39cdb0ccc624d801b7f62.png

用户实体类 user,实现权限接口 UserDetails,主要方法是 getAuthorities,用于获取用户的角色列表

1505a0f12ef0878b04af89483e6d27b4.png

用户角色关系实体

109776746aaed92022086577f715fda0.png

Repository 层

分别为三个实体类添加 Mapper

884e0354de93808bed117260d69b8671.png

实现 UserDetailsService 接口

UserDetailsService 是 SpringSecurity 提供的登陆时用于根据用户名获取用户信息的接口

94fb38b541e5fdf1f8d176446c484925.png

自定义登录参数格式

7656751ce6452d8a3f4d76040f6f05f0.png

自定义登录过滤器

继承 SpringSecurity 提供的 AbstractAuthenticationProcessingFilter 类,实现 attemptAuthentication 方法,用于登录校验。

本例中,模拟前端使用 json 格式传递参数,所以通过 objectMapper.readValue 的方式从流中获取入参,之后借用了用户名密码登录的校验,

如果鉴权成功,使用 JWT 工具类生成 token 并将 token 返回给前端。

c2c83c0c01f1fe6ec614d2d1903d603e.png

自定义登陆成功后处理

实现 SpringSecurity 提供的 AuthenticationSuccessHandler 接口,使用 JSON 格式返回

87cfab35d62ad23edc20ba30ad708302.png

自定义登陆失败后处理

实现 SpringSecurity 提供的 AuthenticationFailureHandler 接口,使用 JSON 格式返回

5e843d24494a80bf78b5f91665e6127c.png

自定义权限校验失败后处理

登陆成功之后,访问接口之前 SpringSecurity 会进行鉴权,如果没有访问权限,需要对返回进行处理。实现 SpringSecurity 提供的 AccessDeniedHandler 接口,使用 JSON 格式返回

91a16054ca0ebe087a6dbd7ce708b1a2.png

自定义未登录后处理

实现 SpringSecurity 提供的 AuthenticationEntryPoint 接口,使用 JSON 格式返回

20305672182b1fc88bd442e59b07fb2c.png

自定义 Token 验证过滤器

客户端登录成功时,后台会把生成的 token 返回给前端,之后客户端每次请求后台接口将会把这个 token 附在 header 头中传递给后台,后台会使用 JWT 工具类进行验证这个 token 是否有效,并把 JWT 中包含的信息解析成用户对象,加载至 SpringSecurity 中。

b22c9ff65876b4ca06652440fa4ea6bb.png

JWT 工具类

2cbf1ba52674e365230648d5cf90ce4f.png

注册

在 configure 方法中将自定义的 jsonAuthenticationFilter 及 tokenAuthenticationFilter 注册进 SpringSecurity 的过滤器链中,并禁用 session。

4cdfc7a7c47a3109a2ba3737f88a361b.png

启动类

ea0c24f105b96d34ee5441978d45a2c0.png

验证结果

初始化数据

7de95d7eb86450254ad0d4326e81e8f7.png

源码地址

本章源码 : https://gitee.com/gongm_24/spring-boot-tutorial.git

结束语

与普通的 token 不同的是,JWT 作为 token 本身就已经包含了信息,而普通的 token 就只是一个字符串,需要用户信息就必须再去数据库或者其它中间件中进行加载,JWT 则可以省去这一步,这可以大幅度降低系统的 IO。

但是 JWT 也有自己的问题,那就是一旦生成,服务端将无法控制它,只要在有效期内就可以一直使用,所以 JWT 更适用于短期授权。

weixin_39664746
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring boot实现postman中form-data传参方式
涛哥是个大帅比
10-27 4969
请求普通的接口没问题,但是第三方的接口会报错:415 Unsupported Media Type ,很明显是请求方式的问题,然后我在请求头加上了multipart/form-data,接口请求通了,但是报错参数错误,也就是接口没获取到参数。最后利用spring来作为后端框架,form-data利用LinkedMultiValueMap对象来包装多个参数,参数以key-value形式,中间以&连接。但是在程序中调用就报错了,之前用的是HttpClient的方式请求的。
SpringBoot--通过form-data上传文件和传递请求参数--方法/实例
IT利刃出鞘的博客
11-21 5060
本文用示例介绍SpringMVC如何通过form-data请求上传文件和请求数据。 form-data只能传递键值对形式,支持文件和普通的键值对。
Spring boot后台接收前端传过来的form-date类型的参数
热门推荐
qq_2300688967的博客
01-10 2万+
1, 传递方式需要为post 2, 后台接收方式如下: @RequestMapping(value = "/publish/{eventId}", method = { RequestMethod.POST}) public ResponseResult toPublish(HttpServletRequest request, @PathVariable final
Springboot传参详解
编程界明世隐的博客
12-11 1万+
Spring Boot框架的Controller层接收前端传递过来的各种类型的数据,常用的几种接收方式进行总结和讲解。 使用postman配合测试,对RequestParam、RequestBody、PathVariable、HttpServletRequest等方式一个个的演示,非常适合新手!
Springboot @InitBinder处理from-data表单传参,指定参数默认新增前缀
默默不代表沉默
01-05 2355
@InitBinder处理from-data表单传参
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
最新发布
10-30
在这个项目中,Spring Security负责身份验证和授权,为API提供安全访问控制。用户登录后,Spring Security会生成一个JWT令牌,用于后续请求的身份验证。 3. **JWT**: JWT是一种轻量级的身份认证授权机制,通常...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
7. **Spring Security配置**:配置Spring Security以启用JWT认证,设置访问控制规则,例如哪些URL需要认证,哪些URL对所有用户开放。 8. **认证Controller**:创建一个专门处理用户登录请求的Controller,接收登录...
yii2项目实战之restful api授权验证详解
10-19
主要给大家介绍了关于yii2项目实战之restful api授权验证的相关资料,文中介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面来一起看看吧。
Yii 使用JWT
huaweichenai的博客
06-24 2924
了解JWT可以参考:了解JWT 一:下载JWT拓展 在JWT官网中我们可以看到很多php版本的JWT,选择一个JWT进行下载 这里我选择的是lcobucci/jwt,使用composer进行下载 lcobucci/jwt的composer地址:https://packagist.org/packages/lcobucci/jwt composer require lcobucci/...
基于yii2的jwt协议接口校验
weixin_30920513的博客
07-25 558
come soon 转载于:https://www.cnblogs.com/gy1010/p/7235288.html
Yii2 JWT
牛奔的博客
01-10 1078
Yii2 JWT 这个扩展为Yii framework 2.0提供了JWT集成(需要PHP 5.6+)。它包括基本的HTTP身份验证支持。 目录 安装 依赖关系 基本用法 创建 从字符串分析 验证 令牌签名 Hmac RSA和ECDSA Yii2基本模板示例 安装 Package is available on Packagist, you can install it usin...
springboot post formdata 传参
wangwenzhe的博客
04-14 2783
直接上代码: String remoteURL ="xxx"; HttpHeaders headers = new HttpHeaders(); headers.setContentType(MediaType.MULTIPART_FORM_DATA); MultiValueMap map = new LinkedMultiValueMap(); map.add("cbp",p); HttpEntity requestBody = new HttpEntity(map, headers); Re
Spring 方法级别参数校验 之MethodValidationPostProcessor
追逐消失的记忆
10-22 4223
你在书写业务逻辑的时候,是否会经常书写大量的判空校验。比如Service层或者Dao层的方法入参、入参对象、出参中你是否都有自己的一套校验规则?比如有些字段必传,有的非必传;返回值中有些字段必须有值,有的非必须等等~ 若你追求干净的代码,甚至有代码洁癖,如上众多if else的重复无意义劳动无疑是你的痛点,那么本文应该能够帮到你。 Bean Validation校验其实是基于DDD思想设计的,我们虽然可以不完全的遵从这种思考方式编程,但是其优雅的优点还是可取的,本文将介绍Spring为此提供的解决方案~
springboot form-data传参数_性能工具之Jmeter通过springboot工程启动
weixin_39839726的博客
12-18 227
背景 Jmeter平时性能测试工作一般都是通过命令行在linux下执行,为了锻炼自己代码与逻辑能力,想jmeter是否可以通过springboot工程启动,周末在家尝试写一写,一写原来需要处理很多事情,才可以启动起来,起来还是有很问题需要处理,下面是相应的代码,其实网上也有,但关键的是自己有意识收集知识,到用的时候能拿来改一改就用。启动页面:前置条件需要在linux中配置J...
使用Spring-security+jwt+springboot+mysql+jpa或mybatisplus完成RBAC权限管理
04-25
很好的问题!使用Spring-security jwtSpring Boot、MySQL以及JPA或MyBatis Plus来完成RBAC权限管理是可行的。RBAC(Role-Based Access Control)权限管理是一种广泛使用的准则,用于控制基于角色的权限访问。它允许为用户的角色分配精细的权限,而不是管理每个用户的权限。在Spring Boot应用程序中,可以使用Spring Security和JWT(JSON Web Tokens)来实现RBAC。其中,Spring Security提供了许多基本组件,如用户认证授权JWT则提供了一种安全地传递用户信息的方式。数据库可以通过JPA或MyBatis Plus来访问和管理。这些技术的使用可以使你更好地实现RBAC权限管理系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值