jwt认证机制优势和原理_微服务架构系列之–前后端分离 JWT认证机制

最新推荐文章于 2022-06-20 21:44:18 发布
最新推荐文章于 2022-06-20 21:44:18 发布
阅读量158 收藏
点赞数
文章标签: jwt认证机制优势和原理 spring boot jwt springboot jwt token前后端分离
efaf4e869e1115aac2d6ec323ba07d73.png

写在前面关于 Spring Security

Web系统的认证和权限模块也算是一个系统的基础设施了,几乎任何的互联网服务都会涉及到这方面的要求。在Java EE领域,成熟的安全框架解决方案一般有 Apache Shiro、Spring Security等两种技术选型。Apache Shiro简单易用也算是一大优势,但其功能还是远不如 Spring Security强大。Spring Security可以为 Spring 应用提供声明式的安全访问控制,起通过提供一系列可以在 Spring应用上下文中可配置的Bean,并利用 Spring IoC和 AOP等功能特性来为应用系统提供声明式的安全访问控制功能,减少了诸多重复工作。

  • 关于JWT

JSON Web Token (JWT),是在网络应用间传递信息的一种基于 JSON的开放标准((RFC 7519),用于作为JSON对象在不同系统之间进行安全地信息传输。主要使用场景一般是用来在 身份提供者和服务提供者间传递被认证的用户身份信息。关于JWT的科普,可以看看阮一峰老师的《JSON Web Token 入门教程》。本文实验环境如下:

  • Spring Boot版本:2.0.6.RELEASE
  • IDE:IntelliJ IDEA 2018.2.4

设计用户和角色本文实验为了简化考虑,准备做如下设计:

  • 设计一个最简角色表 role,包括 角色ID和 角色名称
  • 设计一个最简用户表 user,包括 用户ID, 用户名, 密码
f9b6e2eb0f82fc9d7c14b64ed8f557ce.png
  • 再设计一个用户和角色一对多的关联表 user_roles 一个用户可以拥有多个角色
20478fedb05f0a676de91d22160dbdd1.png
  • 创建Spring Security和JWT加持的Web工程pom.xml 中引入 Spring Security和 JWT所必需的依赖

<dependency>

<groupId>org.springframework.bootgroupId>

<artifactId>spring-boot-starter-securityartifactId>

dependency>

<dependency>

<groupId>io.jsonwebtokengroupId>

<artifactId>jjwtartifactId>

<version>0.9.0version>

dependency>

  • 项目配置文件中加入数据库和 JPA等需要的配置

server.port=9991

spring.datasource.driver-class-name=com.mysql.jdbc.Driver

spring.datasource.url=jdbc:mysql://121.196.XXX.XXX:3306/spring_security_jwt?useUnicode=true&characterEncoding=utf-8

spring.datasource.username=root

spring.datasource.password=XXXXXX

logging.level.org.springframework.security=info

spring.jpa.hibernate.ddl-auto=update

spring.jpa.show-sql=true

spring.jackson.serialization.indent_output=true

  • 创建用户、角色实体

用户实体 User

/**

* @ www.codesheep.cn

* 20190312

*/

@Entity

public class User implements UserDetails {

@Id

@GeneratedValue

private Long id;

private String username;

private String password;

@ManyToMany(cascade = {CascadeType.REFRESH},fetch = FetchType.EAGER)

private List roles;

...

// 下面为实现UserDetails而需要的重写方法!

@Override

public Collection extends GrantedAuthority> getAuthorities() {

List authorities = new ArrayList<>();

for (Role role : roles) {

authorities.add( new SimpleGrantedAuthority( role.getName() ) );

}

return authorities;

}

...

}

此处所创建的 User类继承了 Spring Security的 UserDetails接口,从而成为了一个符合 Security安全的用户,即通过继承 UserDetails,即可实现 Security中相关的安全功能。

角色实体 Role:

/**

* @ www.codesheep.cn

* 20190312

*/

@Entity

public class Role {

@Id

@GeneratedValue

private Long id;

private String name;

... // 省略 getter和 setter

}

  • 创建JWT工具类

主要用于对 JWT Token进行各项操作,比如生成Token、验证Token、刷新Token等

/**

* @ www.codesheep.cn

* 20190312

*/

@Component

public class JwtTokenUtil implements Serializable {

private static final long serialVersionUID = -5625635588908941275L;

private static final String CLAIM_KEY_USERNAME = "sub";

private static final String CLAIM_KEY_CREATED = "created";

public String generateToken(UserDetails userDetails) {

...

}

String generateToken(Map claims) {

...

}

public String refreshToken(String token) {

...

}

public Boolean validateToken(String token, UserDetails userDetails) {

...

}

... // 省略部分工具函数

}

  • 创建Token过滤器,用于每次外部对接口请求时的Token处理

/**

* @ www.codesheep.cn

* 20190312

*/

@Component

public class JwtTokenFilter extends OncePerRequestFilter {

@Autowired

private UserDetailsService userDetailsService;

@Autowired

private JwtTokenUtil jwtTokenUtil;

@Override

protected void doFilterInternal ( HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {

String authHeader = request.getHeader( Const.HEADER_STRING );

if (authHeader != null && authHeader.startsWith( Const.TOKEN_PREFIX )) {

final String authToken = authHeader.substring( Const.TOKEN_PREFIX.length() );

String username = jwtTokenUtil.getUsernameFromToken(authToken);

if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

if (jwtTokenUtil.validateToken(authToken, userDetails)) {

UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(

userDetails, null, userDetails.getAuthorities());

authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(

request));

SecurityContextHolder.getContext().setAuthentication(authentication);

}

}

}

chain.doFilter(request, response);

}

}

  • Service业务编写

主要包括用户登录和注册两个主要的业务

public interface AuthService {

User register( User userToAdd );

String login( String username, String password );

}

/**

* @ www.codesheep.cn

* 20190312

*/

@Service

public class AuthServiceImpl implements AuthService {

@Autowired

private AuthenticationManager authenticationManager;

@Autowired

private UserDetailsService userDetailsService;

@Autowired

private JwtTokenUtil jwtTokenUtil;

@Autowired

private UserRepository userRepository;

// 登录

@Override

public String login( String username, String password ) {

UsernamePasswordAuthenticationToken upToken = new UsernamePasswordAuthenticationToken( username, password );

final Authentication authentication = authenticationManager.authenticate(upToken);

SecurityContextHolder.getContext().setAuthentication(authentication);

final UserDetails userDetails = userDetailsService.loadUserByUsername( username );

final String token = jwtTokenUtil.generateToken(userDetails);

return token;

}

// 注册

@Override

public User register( User userToAdd ) {

final String username = userToAdd.getUsername();

if( userRepository.findByUsername(username)!=null ) {

return null;

}

BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();

final String rawPassword = userToAdd.getPassword();

userToAdd.setPassword( encoder.encode(rawPassword) );

return userRepository.save(userToAdd);

}

}

  • Spring Security配置类编写(非常重要)

这是一个高度综合的配置类,主要是通过重写WebSecurityConfigurerAdapter 的部分 configure配置,来实现用户自定义的部分。

/**

* @ www.codesheep.cn

* 20190312

*/

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled=true)

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

@Autowired

private UserService userService;

@Bean

public JwtTokenFilter authenticationTokenFilterBean() throws Exception {

return new JwtTokenFilter();

}

@Bean

public AuthenticationManager authenticationManagerBean() throws Exception {

return super.authenticationManagerBean();

}

@Override

protected void configure( AuthenticationManagerBuilder auth ) throws Exception {

auth.userDetailsService( userService ).passwordEncoder( new BCryptPasswordEncoder() );

}

@Override

protected void configure( HttpSecurity httpSecurity ) throws Exception {

httpSecurity.csrf().disable()

.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()

.authorizeRequests()

.antMatchers(HttpMethod.OPTIONS, "/**").permitAll() // OPTIONS请求全部放行

.antMatchers(HttpMethod.POST, "/authentication/**").permitAll() //登录和注册的接口放行,其他接口全部接受验证

.antMatchers(HttpMethod.POST).authenticated()

.antMatchers(HttpMethod.PUT).authenticated()

.antMatchers(HttpMethod.DELETE).authenticated()

.antMatchers(HttpMethod.GET).authenticated();

// 使用前文自定义的 Token过滤器

httpSecurity

.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);

httpSecurity.headers().cacheControl();

}

}

  • 编写测试 Controller

登录和注册的 Controller:

/**

* @ www.codesheep.cn

* 20190312

*/

@RestController

public class JwtAuthController {

@Autowired

private AuthService authService;

// 登录

@RequestMapping(value = "/authentication/login

weixin_39913141
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Spring Security进行自动登录验证
DataLearnerAI
09-25 4970
在之前的博客使用SpringMVC创建Web工程并使用SpringSecurity进行权限控制的详细配置方法 中,我们描述了如何配置一个基于SpringMVC、SpringSecurity框架的网站系统。在这篇博客中,我们将继续描述如何使用Spring Security进行登录验证。
Spring Security系列Spring Security 简介
qq_28248897的博客
06-23 1284
Spring Security简介 官网:https://spring.io/projects/spring-security 中文文档:https://www.springcloud.cc/spring-security.html Spring Security 的前身是 Acegi Security,在被收纳为Spring子项目后正式更名为Spring Security。 在笔者成书时,Spring Security已经升级到5.1.3.RELEASE版...
Spring Security基础详细介绍
qq_36595761的博客
11-04 1754
1. SpringSecurity 框架简介 1.1 概要 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来...
SpringSecurity + JWT,从入门到精通!
java思维导图
07-06 788
权限系统躲不开的概念,在Shiro和Spring Security之间,你一般选啥?在前后端分离的项目中,你知道怎么Spring security整合Jwt么,来看看这篇文章哈!作者:小...
史上最简单的Spring Security教程(一):一分钟搭建SpringSecurity
银河架构师的博客
06-20 6256
说起来Web应用安全,通用的方案无非 Spring Security 和 Apache Shiro。这两者我们在此不做比较,用Spring Security多,无非是因为 Spring 框架的“裙带关系”,当然了,也有一些其它原因,如CAS集成、OAuth2集成等等,都有比较成熟的集成框架方案。 Spring Security框架,说实话,比较复杂,好多人一开始不太理解,只会照搬网上的答案,遇到问题解决不了。这是非常不好的习惯,技术方案一定是自己能解决的,或者说比较容易找到解决方案的,不然生产环境出...
SpringSecurity------Persisting Authentication(十一)
豢龙先生
06-20 877
当用户第一次请求受保护的资源时,客户端HTTP请求的汇总:1、未经认证的用户请求受保护资源 2、用户提交他们的用户名和密码 4、后续请求包括会话cookie,该cookie用于在会话剩余时间对用户进行身份验证 二、SecurityContextRepository Spring Security使用SecurityContextRepository关联登录用户和登录之后发往服务器的请求HttpSecurityContextRepository是SecurityContextRepository的默认实现,它
SpringSecurity框架
ZYZ20200228的博客
04-09 811
1.SpringSecurity框架简介 1.1概述: Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是**“认证”,和,“授权”** (或者访问控制),一般来说,Web 应用的安全性包括 **用户认证(Authentication)和用户授权 ** **(Authorization.
B2C的电商网站,基于SpringBoot微服务架构,采用前后端分离的方式开发.docx
07-02
综上所述,这个B2C电商网站的开发综合运用了多种技术和工具,构建了一个高效、可扩展的微服务架构,实现了前后端分离,以及各个组件之间的良好协同。通过这样的设计,系统能够更好地应对高并发场景,提供稳定、安全...
本科毕业设计+校园博客,基于微服务架构前后端分离的博客社区系统 SpringBoot +MySQL+MQ+Node.js
06-20
校园博客,基于微服务架构前后端分离的博客社区系统。项目后端技术栈:SpringBoot + SpringCloud + Mybatis-Plus + Nacos + MySQL + Redis + MQ + ElasticSearch + Docker。 项目特点 微服务架构开发,友好的代码...
一个基于微服务架构前后端分离博客系统。
03-08
蘑菇博客(MoguBlog),一个基于微服务架构前后端分离博客系统。Web端使用Vue + Element , 移动端使用uniapp和ColorUI。后端使用Spring cloud + Spring boot + mybatis-plus进行开发,使用 Jwt + S….zip 适合学习/...
蘑菇博客(MoguBlog),一个基于微服务架构前后端分离博客系统
01-15
蘑菇博客(MoguBlog),一个基于微服务架构前后端分离博客系统。Web端使用Vue + Element , 移动端使用uniapp和ColorUI。后端使用Spring cloud + Spring boot + mybatis-plus进行开发,使用 Jwt + Spring Security做...
基于 Cloud AlibabaVue3 ViteElement Plus的分布式前后端分离微服务架构权限管理系统
最新发布
04-03
本文将详细解析“基于Cloud AlibabaVue3 ViteElement Plus的分布式前后端分离微服务架构权限管理系统”的核心技术和架构设计。该系统充分利用了现代Web开发工具和技术,构建了一个高效、可扩展且安全的权限管理解决...
laravel jwt同一个token在不同系统中验证
weixin_39651391的博客
02-25 1141
laravel jwt token跨平台验证,用户中心
史上最简单的Spring Security教程(五):成功登录SuccessHandler高级用法
银河架构师的博客
06-25 7970
在了解了如何简单的配置成功登录后调转的页面、如何始终指定系统跳转到某一地址后,我们可能会庆幸,原来如此简单。是的,确实如此简单,Spring Security框架协助我们完成了大部分的工作,而我们只需稍微配置,即可使用。 但是,业务场景,又何尝会如此简单。举个例子,我们在登录某个网站之后,微信、短信、邮箱可能会接受到一条这样的信息/邮件。 还有,比如这样的。 甚至于,我要记录每一次的登录信息到数据库、到日志文件等等,方便后续做审计、分析。 其实,Spring Security框架也...
SpringSecurity概述
一名蒟蒻的博客
07-23 1345
一、SpringSecurity概述 1、SpringSecurity简介: ​ Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 2、基本功能: 主要功能是“认证”和“授权”,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是 Spring
Java JWT: JSON Web Token
weixin_33730836的博客
06-17 811
  Java JWT: JSON Web Token for Java and Android JJWT aims to be the easiest to use and understand library for creating and verifying JSON Web Tokens (JWTs) on the JVM. JJWT is a Java implementation...
spring-security项目模块
姑苏的博客
08-10 487
核心 spring-security-core.jar 包含身份验证和访问控制类和接口,远程支持和基本配置API. 使用Spring-security的任何应用程序都需要此模块. 支持独立的应用程序,远程客户端,方法(服务层)安全性和JDBC用户配置. 包含包: org.springframework.security.core org.springframework.security.access org.springframework.security.authentication org.sprin
Springsecurity之模块描述
weixin_34415923的博客
09-01 324
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security主要模块
console的博客
05-06 342
Spring Security 3.0中,代码库被细分为独立的jar,更清晰地区分了不同的功能区域和第三方依赖。
微服务架构用户认证实战:SpringSecurity Oauth2 & JWT 源码解析
该资源是一份关于在前后端分离式分布式微服务架构中实现用户认证的教程,重点讲解了Spring Security Oauth2的使用。它包括讲义、源码和视频,旨在帮助开发者深入理解用户认证的需求分析和技术实现,特别强调了Spring...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值