java不同项目加token访问_SpringBoot入门建站全系列(十二)Spring Security使用token做认证...

最新推荐文章于 2024-06-08 19:02:04 发布
最新推荐文章于 2024-06-08 19:02:04 发布
阅读量236 收藏
点赞数 1
文章标签: java不同项目加token访问 spring security token 有效期 springboot testcontext @sql 访问网址 token的格式

b4f9e3750ede2531cc5e89906b9fd65f.png

SpringBoot入门建站全系列(十二)Spring Security使用token做认证

Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

Spring-security其实就是用filter,多请求的路径进行过滤。

如果是基于Session,那么Spring-security会对cookie里的sessionid进行解析,找到服务器存储的sesion信息,然后判断当前用户是否符合请求的要求。

如果是token,则是解析出token,然后将当前请求加入到Spring-security管理的权限信息中去。

上一篇《SpringBoot入门建站全系列(十一)Spring-security进行权限认证》已经介绍了如何使用Spring-security进行form表单的权限控制。

这一篇介绍如何使用token做访问控制,token的访问控制主要是对token的生成和解析,对token的来源并没有强制要求,我们完全可以自己来管理,也可以用jwt token,本篇就以jwt token来讲解如何使用token做访问控制。

项目地址: 品茗IT-同步发布

品茗IT 提供在线支持:

一键快速构建Spring项目工具

一键快速构建SpringBoot项目工具

一键快速构建SpringCloud项目工具

一站式Springboot项目生成

Mysql一键生成Mybatis注解Mapper

如果大家正在寻找一个java的学习环境,或者在开发中遇到困难,可以加入我们的java学习圈,点击即可加入,共同学习,节约学习时间,减少很多在学习中遇到的难题。

一、配置

本文假设你已经引入spring-boot-starter-web。已经是个SpringBoot项目了,如果不会搭建,可以打开这篇文章看一看《SpringBoot入门建站全系列(一)项目建立》。

1.1 Maven依赖

<dependency>

Spring-security一般需要从数据库中查询用户信息的,所以这里还是要把mybatis引入,以查询用户信息使用。

1.2 配置文件

application.properties 中需要添加下面的配置:

spring.datasource.type=org.apache.commons.dbcp2.BasicDataSource
spring.datasource.dbcp2.max-wait-millis=60000
spring.datasource.dbcp2.min-idle=20
spring.datasource.dbcp2.initial-size=2
spring.datasource.dbcp2.validation-query=SELECT 1
spring.datasource.dbcp2.connection-properties=characterEncoding=utf8
spring.datasource.dbcp2.validation-query=SELECT 1
spring.datasource.dbcp2.test-while-idle=true
spring.datasource.dbcp2.test-on-borrow=true
spring.datasource.dbcp2.test-on-return=false

spring.datasource.driverClassName = com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/boot?useUnicode=true&characterEncoding=utf8&serverTimezone=UTC
spring.datasource.username=cff
spring.datasource.password=123456

mybatis.configuration.log-impl=org.apache.ibatis.logging.stdout.StdOutImpl

token.expire=3600000
token.key=123456

这里的配置主要就是数据库连接和数据源、mybatis的配置。因为要连接数据库。

另外两个token开发的属性,是对token的配置,一般不怎么变化,写死也可以的。

二、安全控制核心

这个配置的作用和上篇的一致。

Spring Security的核心配置就是继承WebSecurityConfigurerAdapter并注解@EnableWebSecurity的配置。

这个配置指明了用户名密码的处理方式、请求路径的开合、登录登出控制等和安全相关的配置。

TokenWebSecurityConfig :

package

这里:

  • UserDetailsService :用户名密码查询的业务逻辑,实现loadUserByUsername方法。
  • UnauthorizedEntryPoint:未授权的统一处理方式。
  • TokenManager:token管理。
  • DefaultPasswordEncoder:密码的处理方法。
  • TokenLogoutHandler: 登出业务逻辑。
  • TokenLoginFilter:登录过滤器,继承UsernamePasswordAuthenticationFilter,对用户名密码进行登录校验。
  • TokenAuthenticationFilter:访问过滤器。

这里的配置之所以和上篇的略有差别,是因为,

  • 1.本篇未使用AuthenticationProvider,用户名密码的校验由Spring自己完成,我们提供用户名密码的查询和密码的验证规则。
  • 2.TokenLoginFilter过滤器其实和上篇介绍的类似,如果是form表单提交,这个地方其实和上篇的一样,可以用AuthenticationProvider对用户名密码进行校验,只不过校验成功了之后,需要生成token并返回;但是这里是json数据,我们不能像上篇那样通过配置获取到用户名密码,因此需要用filter来获取。
  • 3.TokenAuthenticationFilter访问过滤器对每个请求进行过滤,拿到请求中的token,解析出用户,然后生成UsernamePasswordAuthenticationToken交给Springsecurity进行控制。

三、安全处理逻辑

3.1 用户名密码校验并生成token

TokenLoginFilter过滤器是对登录信息的验证。

如果是form表单提交,这个地方其实和上篇的一样,可以用AuthenticationProvider对用户名密码进行校验,校验成功了之后,需要生成token并返回。

如果是json数据,我们不能通过配置获取到用户名密码,因此需要用TokenLoginFilter来获取。

TokenLoginFilter:

package

这里面的AuthenticationManager 是Spring管理的。

TokenManager是我们自己的,对token进行管理。

3.2 访问控制过滤器

这里假设token字段存在http头中。

从http头中取出token字段,并通过TokenManager解析出用户信息,生成UsernamePasswordAuthenticationToken交给SpringSecurity进行管理。

TokenAuthenticationFilter :

package

3.3 token管理

将TokenManager定义为接口,我们使用jwt token来实现它。当然也可以用其他方式实现,比如将token和用户信息作为对应存储在redis中。

TokenManager:

package

JwtTokenManager:

package

四、安全处理的一些handler

UnauthorizedEntryPoint:

package

TokenLogoutHandler, jwt token没有删除选项,主要客户端遗弃即可,如果token是自己管理的,这个地方要将token移除。

TokenLogoutHandler :

package

DefaultPasswordEncoder, 密码的处理规则, 因为用户名密码的校验过程交给Spring Security来管理了,因为要给它说明密码是经过怎样的处理了,如果传输过来的密码跟数据库里的密码一致,就可以啥也不做,下面的这个就是啥也不做。

DefaultPasswordEncoder:

package

五、用户信息查询

TokenUserDetailsService调用了UserInfoService进行查询,并将查询后的结果转换为Spring的UserDetails,以供Spring使用。

TokenUserDetailsService:

package

UserInfoService:

package

UserInfoDao:

package

六、过程中用到的实体

详细完整的实体,可以访问品茗IT-博客《SpringBoot入门建站全系列(十二)Spring Security使用token做认证》进行查看

快速构建项目

Spring组件化构建

SpringBoot组件化构建

SpringCloud服务化构建

喜欢这篇文章么,喜欢就加入我们的Java学习圈(点击加入或下方扫码)一起讨论SpringBoot技术吧!

965d8ed0171cb6fdac054e28719b98f4.png
weixin_39762075
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ruoyi-vue版本(十一)Token生成与解析
一天不写代码难受的博客
01-20 2373
若依
url跳转,如何携带token?不能通过url拼接传递,还有别的方式吗?
热门推荐
time海伦的博客
07-01 1万+
当然有,把window.name利用起来就可以搞定了 开发过程中遇到了个问题,从当前页A(http://www.aaa.com)跳转到新页面B(http://www.bbb.com)时,想要传递A的token给B,以便B页面不登陆直接使用token获取数据 正常情况下是在A页面直接使用: window.open('http:www.bbb.com?token=token') 这时打开的新窗口的地址栏上就可以直接看到这个token了,测试认为这样是不安全的,不希望地址栏显示token 这时就可以使
jet token过期是定时的还是无操作_基于session和Token的会话管理模式,什么是JWT?说说它的实践方式...
weixin_39915171的博客
11-19 189
知乎:https://zhuanlan.zhihu.com/p/52300092HTTP 是一个无状态的协议,一次请求结束后,下次在发送服务器就不知道这个请求是谁发来的了(同一个 IP 不代表同一个用户),在 Web 应用中,用户的认证和鉴权是非常重要的一环,实践中有多种可用方案,并且各有千秋。基于 Session 的会话管理在 Web 应用发展的初期,大部分采用基于 Session 的会话管理方...
SpringBoot整合SpringSecurit(二)通过token进行访问
最新发布
我是混IT圈的
06-08 448
3、修改登录方法,后端获取到账号、密码后,根据账号,查询到用户信息,在校验密码,如果密码成功,就生成token,并且把token放在内存或者redis中就完成了。面,使用的session的方式进行保存用户信息的,这一篇文章就是使用token的方式。1、新建过滤器,将通过token查询到的用户信息存入到security中。2、修改security的配置。4.2、通过token查询信息。在其上进行的改造,可以先看。,再看这个就比较好了。4.1、获取token
JAVA开发(第三方接口授权访问
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
04-23 2469
接上一篇异业合作,如果一个第三方系统(我们定义为B系统)需要直接调用本系统(我们定义为A系统),那么系统间必须授权才能访问已保证系统的数据安全
Java】利用Token进行登录控制以及限制接口访问
qq_42666609的博客
09-04 778
使用Token进行登录认证功能;用户登录后获取Token,调用固定规则接口需要在请求头中传入Token才可调用接口否则提示相应异常;
获取第三方项目中的token ,并获取数据 将数据执行至另一个接口
wang_s_f的博客
10-11 1595
需求: 从本项目访问另一个项目token,首先得访问另一个项目的登录接口(sys/login),获得其token,若token在某一时间段内(40秒),则无需重新获取token,否则 重新获取token,然后在访问另一个项目的接口,并返回数据。@ConfigurationProperties(prefix = "sxjk-szgs-jiekou") 双引号中的要与yml文件中的相对应。鸡蛋,从外打破是食物,从内打破是生命,人生也是如此,从外打破是压力,从内打破是成长。一个小而全的Java工具类库。
Springboot集成spring-security实现基于验证码的登录认证项目源码+项目说明.7z
12-18
Springboot集成spring-security实现基于验证码的登录认证项目源码+项目说明.7z springboot集成spring-security实现基于验证码的登录认证。 在spring-boot-security的基础上实现角色管理。 spring-boot-security-jwt...
SpringSecurity之JWT实现token认证和授权.zip
08-09
在这个主题中,我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证和授权。 JWT 是一种轻量级的、安全的、无状态的身份验证机制,常用于API的鉴权。它通过在客户端和服务器之间传递令牌...
REST-spring-security.rar_java rest_java security_rest_rest secu
09-24
总结来说,"REST-spring-security"项目展示了如何使用Spring Security来保护RESTful Web服务,包括身份验证、授权、访问控制和安全配置。这个项目可以帮助开发者理解如何在实际应用中实现安全的REST API,确保服务的...
springboot+springSecurity+jwt实现的基于token的权限管理的一个demo
02-16
这个“springboot+springSecurity+jwt实现的基于token的权限管理的一个demo”旨在演示如何在Spring Boot应用中集成这些技术,以创建一个安全的、基于令牌的身份验证系统。 首先,Spring Boot是Java领域的一个快速...
spring security ouath2获取token(认证)流程图.pdf
08-26
Spring Security OAuth2 是一个强大的授权框架,用于保护Java应用程序的安全。在这个流程中,我们主要关注的是使用`password`方式获取OAuth2的访问令牌(token)。下面将详细解释这个过程。 首先,客户端发起一个...
若依框架(/login、生成token、/getInfo)等流程
先知三日
11-15 442
【精选】若依框架后端登录流程_若依框架登录流程_@红@旗下的小兵的博客-CSDN博客
ruoyi获取touken和鉴权的流程
difficulties的博客
01-18 2174
然后经过一个过滤的方法,方法使用mono,就是单体的,就是应用于观察者模式的一种编程设计。点tokenservice.createtoken方法,可以看见它分为三部分,分别是将token所携带的信息进行解析然后赋值给loginuser这个实体类中进行存取,token使用uuid来生成,userid是得到系统的用户id,username是系统的用户名字,用方法refreshtoken来进行存储,第二部分就是token使用jwt来封装token的信息,分别就是第一段的三个信息。一個面向切面的方法增强。
若依框架----token权限控制逻辑
02-09 2907
若依框架就是一个后台管理框架---token权限控制逻辑
SpringBoot框架集成token实现登录校验功能(APP)
Snow、杨
04-18 1万+
简介 公司新项目,需要移动端(Android和IOS),登录模块,两个移动端人员提出用token校验登录状态,一脸懵懵的,没过,对于token的基本定义都模棱两可,然后查资料查查查,最终OK完成,写篇博客记录一下 思路: 1、基于session登录 基于session的登录(有回话状态),用户携带账号密码发送请求向服务器,服务器进行判断,成功后将用户信息放入session,用户发送请...
若依管理系统——前后端分离版(二)登陆接口分析及SpringSecurity的登陆认证流程
DreamsArchitects的博客
05-12 6904
目录一、登陆流程分析1. 图片验证码接口/captchaImage2.登陆验证接口/login2.1 校验图片验证码2.1 查询用户信息2.3查询用户的权限信息2.4 生成令牌token3.登录二、在请求头中携带token信息请求后台接口1. 获得请求头2.获取请求头中的认证信息3.解析jwt令牌,获取缓存中的用户信息 一、登陆流程分析 1. 图片验证码接口/captchaImage 在登陆之前会有一个请求图片验证码的接口/captchaImage,页面获得图片验证码,后台接口生成一个图片和UUID,并将
若依框架 - 接口汇总1
JavaSE_991226的博客
08-29 743
(getUserProfile接口的返回结果,(同addUser接口)(默认传false)(默认传false)(默认传false)
【若依】验证码实现、登录、token鉴权 开源框架学习笔记02
weixin_45577687的博客
06-10 7921
若依验证码后端实现、登录、token鉴权
springboot整合springsecurity+oauth2.0实现token认证
07-08
好的,你想了解如何在Spring Boot中整合Spring Security和OAuth 2.0来实现token认证。下面是一个基本的步骤: 1. 添依赖:在你的`pom.xml`文件中添Spring Security和OAuth 2.0的依赖。 ```xml <groupId>org....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值