api regan springboot_springboot+jjwt+security完美解决restful接口无状态鉴权

最新推荐文章于 2023-01-04 15:55:19 发布
最新推荐文章于 2023-01-04 15:55:19 发布
阅读量219 收藏
点赞数
文章标签: api regan springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39973416/article/details/111849521
版权

微服务大行其道的现在,如果我们还在用wsdl之类的提供接口,给人的感觉就会很low,虽然说不能为了炫技而炫技,但是既然restful接口已经越来越流行,必然有它的道理。

本文我们不讨论restful接口的好处,旨在解决使用restful时候的权限控制问题。

springboot本身已经提供了很好的spring security的支持,我们只需要实现(或者重写)一部分接口来实现我们的个性化设置即可。本文浅显易懂,没有深入原理(后面文章会将,有需要的小伙伴稍等等~~~)。

思路:

1.通过spring security做授权拦截操作

2.通过jwt根据用户信息生成token以供后面调用

3.将生成的token放到HttpServletResponse头信息中

4.使用的时候从response头中获取token放在request头中提交到后台做认证即可

5.默认超时时间10天

一、pom

惯例还是先上pom,因为pom可以很直观的看到本项目用了哪些东西,我这个项目使用了很多的包,这里贴出了核心的几个,其他大部分的都会自动引用。

org.springframework.boot

spring-boot-starter-security

org.springframework.security

spring-security-web

provided

org.springframework.security

spring-security-config

provided

io.jsonwebtoken

jjwt

二、登录过滤器

我们采用倒推法,用到什么找什么,这也比较符合XP编程的思想,不写多(无)余(用)的代码,既然要做认证,很明显需要一个过滤器来处理所有需要拦截的请求。

UsernamePasswordAuthenticationFilter是security自己提供的过滤器,我们重写其中的成功方法(successfulAuthentication)来处理我们自己的逻辑,当然根据自己的情况,比如登录失败处理,重写(unsuccessfulAuthentication)即可。

1.成功回调中用到一个TokenAuthenticationHandler,即token认证处理类,该类的主要方法就是借用jwt的机制来生成token,以供后面登录授权使用。

2.往response头信息中放入参数为“Authorization”,值为“Bearer ”+token的值

package com.mos.eboot.tools.jwt;

import com.mos.eboot.tools.util.FastJsonUtils;

import org.springframework.security.authentication.AuthenticationManager;

import org.springframework.security.core.Authentication;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.servlet.FilterChain;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

public class JWTLoginFilter extends UsernamePasswordAuthenticationFilter{

static final String TOKEN_PREFIX = "Bearer";

static final String HEADER_STRING = "Authorization";

private AuthenticationSuccessHandler successHandler;

public JWTLoginFilter() {

}

public JWTLoginFilter(AuthenticationManager authManager) {

setAuthenticationManager(authManager);

}

@Override

protected void successfulAuthentication(HttpServletRequest req, HttpServletResponse res, FilterChain chain, Authentication auth) throws IOException, ServletException {

TokenAuthenticationHandler tokenAuthenticationHandler = new TokenAuthenticationHandler();

Object obj = auth.getPrincipal();

if(obj != null) {

UserDetails userDetails = (UserDetails)obj;

String token = tokenAuthenticationHandler.generateToken(FastJsonUtils.toJSONNoConfig(userDetails));

res.addHeader(HEADER_STRING, TOKEN_PREFIX + " " + token);

}

if(successHandler != null) {

successHandler.onAuthenticationSuccess(req, res, auth);

}

}

public void setSuccessHandler(AuthenticationSuccessHandler successHandler) {

this.successHandler = successHandler;

}

}

JWTAuthenticationToken

package com.mos.eboot.tools.jwt;

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;

import static java.util.Collections.emptyList;

public class JWTAuthenticationToken extends UsernamePasswordAuthenticationToken{

private static final long serialVersionUID = 1L;

public JWTAuthenticationToken(Object principal) {

super(principal,null,emptyList());

}

@Override

public Object getCredentials() {

return super.getCredentials();

}

@Override

public Object getPrincipal() {

return super.getPrincipal();

}

}

TokenAuthenticationHandler

package com.mos.eboot.tools.jwt;

import io.jsonwebtoken.Claims;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import java.io.Serializable;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

/**

* @author 小尘哥

*/

public class TokenAuthenticationHandler implements Serializable {

private static final long serialVersionUID = 1L;

private static final String CLAIM_KEY_CREATED = "created";

private static final String CLAIM_KEY_SUBJECT = "subject";

private static final String DEFAULT_SECRET = "eboot@secret";

private static final Long DEFAULT_EXPIRATION = 864000L;

private String secret = DEFAULT_SECRET;

private Long EXPIRATION = DEFAULT_EXPIRATION;

public TokenAuthenticationHandler() {

}

public String getSubjectFromToken(String token) {

String subject;

try {

final Claims claims = getClaimsFromToken(token);

subject = claims.get(CLAIM_KEY_SUBJECT).toString();

} catch (Exception e) {

subject = null;

}

return subject;

}

private Claims getClaimsFromToken(String token) {

Claims claims;

try {

claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();

} catch (Exception e) {

claims = null;

}

return claims;

}

private Date generateExpirationDate() {

return new Date(System.currentTimeMillis() + EXPIRATION * 1000);

}

public String generateToken(String subject) {

Map claims = new HashMap();

claims.put(CLAIM_KEY_CREATED, new Date());

claims.put(CLAIM_KEY_SUBJECT, subject);

return generateToken(claims);

}

String generateToken( Map claims) {

return Jwts.builder().setClaims(claims).setExpiration(generateExpirationDate())

.signWith(SignatureAlgorithm.HS512, secret).compact();

}

}

三、认证

从头信息中取出Authorization,然后解析出个人信息,如果个人信息不为空,则将个人信息加密后再放入授权域。

package com.mos.eboot.tools.jwt;

import org.apache.commons.lang3.StringUtils;

import org.springframework.security.core.context.SecurityContextHolder;

import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.FilterChain;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import java.io.IOException;

public class JWTAuthenticationFilter extends GenericFilterBean {

static final String HEADER_STRING = "Authorization";

static final String TOKEN_PREFIX = "Bearer";

@Override

public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {

HttpServletRequest req = (HttpServletRequest)request;

String token = req.getHeader(HEADER_STRING);

if(StringUtils.isNotBlank(token) && token.startsWith(TOKEN_PREFIX)) {

TokenAuthenticationHandler tokenAuthenticationHandler = new TokenAuthenticationHandler();

String subject = tokenAuthenticationHandler.getSubjectFromToken(token.replace(TOKEN_PREFIX, ""));

if(StringUtils.isNotBlank(subject)) {

SecurityContextHolder.getContext().setAuthentication(new JWTAuthenticationToken(subject));

}

}

filterChain.doFilter(request,response);

}

}

四、调用

@Override

protected void configure(HttpSecurity http) throws Exception {

http.csrf().disable().authorizeRequests().antMatchers("/**").authenticated()

.antMatchers(HttpMethod.POST, "/login").permitAll().anyRequest().permitAll().and()

.addFilterBefore(loginFilter(), UsernamePasswordAuthenticationFilter.class)

.addFilterBefore(new JWTAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);

}

//注入登录校验类

@Bean

public JWTLoginFilter loginFilter() throws Exception {

JWTLoginFilter loginFilter = new JWTLoginFilter(authenticationManager());

loginFilter.setSuccessHandler(loginAuthenticationSuccessHandler);

loginFilter.setAuthenticationFailureHandler((request, response, exception) -> {

response.setContentType("application/json");

response.getWriter().write(FastJsonUtils

.toJSONString(new ResultModel(ResultStatus.FAIL.getCode(), exception.getMessage())));

});

return loginFilter;

}

@Bean

public DaoAuthenticationProvider authenticationProvider() {

DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();

authenticationProvider.setUserDetailsService(userDetailsService());

authenticationProvider.setPasswordEncoder(passwordEncoder());

authenticationProvider.setHideUserNotFoundExceptions(false);

return authenticationProvider;

}

@Bean

@Override

public UserDetailsService userDetailsService() {

return new UserService();

}

//重写密码加密方法

@Bean

public Md5PasswordEncoder passwordEncoder() {

Md5PasswordEncoder passwordEncoder = new Md5PasswordEncoder();

passwordEncoder.setIterations(1);

return passwordEncoder;

}

实现UserDetailsService 接口,定义自己的获取用户登录方法实现类

package com.mos.eboot.api.config.support;

import com.mos.eboot.api.platform.api.ISysUserService;

import com.mos.eboot.platform.entity.SysUser;

import com.mos.eboot.tools.result.ResultModel;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UsernameNotFoundException;

import org.springframework.stereotype.Service;

import javax.annotation.Resource;

/**

* @author 小尘哥

*/

@Service("userService")

public class UserService implements IUserService {

@Resource

private ISysUserService sysUserService;

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

return sysUserService.getByUsername(username);

}

}

基本以上就可以搞定基础的无状态鉴权了,如果需要更深入的了解,比如权限自定义等,请关注我后面的文章.......

weixin_39973416
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot+SpringSecurity+JWTRESTfulAPI权限控制
林老师带你学编程
10-26 4万+
关于什么是jwt(json web token),还有jwt的工作流程我这边就不多介绍,主要给大家介绍一下SpringBoot中如何整合Security然后在添加jwt的支持。 想学习分布式、微服务、JVM、多线程、架构、java、python的童鞋,千万不要扫码,否则后果自负~ 通过SpringBoot+Security+JWT现token校验的过程。在生产环境中,对发布API增加授...
Spring Boot+Spring Security + JWT + Redis现登录验证
qq_41158525的博客
07-15 2373
springboot版本:2.4.3 创建项目啥的我就不说了,大家都看这个了,相信创建项目都轻而易举了,直接进入正题; 1:添加JWTSpring Security依赖,多添加一个validation校验和lombok <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> &
springboot 按钮权限验证_SpringBoot+Spring Security+JWTRESTful Api权限控制的方法
weixin_42140710的博客
12-24 384
摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的。现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能够访问API。一:开发一个简单的API在IDEA开发工具中新建一个maven工程,添加对应的依赖如下:org.springframework.bootspring-boot-starterorg.sp...
springboot 拦截器与过滤器
qq_41265377的博客
07-02 1199
过滤器(Filter)与拦截器()主要区别包括以下几个方面: Filter是依赖于Servlet容器,属于Servlet规范的一部分,而拦截器则是独立存在的,可以在任何情况下使用。 Filter的执行由Servlet容器回调完成,而拦截器通常通过动态代理的方式来执行。 Filter的生命周期由Servlet容器管理,而拦截器则可以通过IoC容器来管理,因此可以通过注入等方式来获取其他Bean的例,使用更方便。 拦截器 自定义拦截器 /** 通过...
盘点认证框架 : SpringSecurity Filter 篇
black-ant
08-03 609
首先分享之前的所有文章 , 欢迎点赞收藏转发三连下次一定 >>>> ???????????? 文章合集 : ???? https://juejin.cn/post/6941642435189538824 Github : ???? https://github.com/black-ant CASE 备份 : ???? https://gitee.com/antblack/case 一 . 前言 上一篇聊了聊 Secutity 的基础 , 这一篇我们聊一聊 S
Regan-Koopmans
04-12
里根·库普曼斯(Regan Koopmans) 问候! 我是北荷兰阿姆斯特丹的一名软件工程师。 我在专职工作。 我在做自由职业 我和父亲一起经营物联网业务: 我的兴趣包括: 低级架构和计算原语 物流与优化 分布式计算 ...
regan-ryan-nz:我自己的个人网站
02-17
在这个案例中,"regan-ryan-nz" 是一个由用户Regan Ryan建立的新西兰个人网站。这个网站可能包含了关于他的个人信息、项目经验、作品集等内容,展示了他在IT行业的专业素养和独特视角。 【描述】提到的"有点沙箱",...
模拟决策评估:对 Ysseldyke、Algozzine、Regan 和 Potter 的回应
06-29
Ysseldyke、Algozzine、Regan 和 Potter 的回应拉尔斯顿公立学校 最近的一项研究挑战了评估团队选择技术上足够的数据源的能力。 方法论和调查重点限制了对结果的解释。 建议采用更高效的查询方式。 Ysseldyke、...
SpringBoot 集成 SpringSecurity+JWT
asksl的博客
11-29 4280
SpringBoot 集成 SpringSecurity+JWT
springboot+security+jwt的demo
10-22
springboot+security+jwt的demo代碼
springboot+security.zip
06-05
springboot整合security+jwt现单点登录,包含短信登录,用redis进行保存和校验
SpringBoot集成Spring SecurityJWT令牌现登录和鉴权的方法
08-19
主要介绍了SpringBoot集成Spring SecurityJWT令牌现登录和鉴权的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot+SpringSecurity+JWT整合
最新发布
seeyouagain_的博客
01-04 1万+
SpringSecurity入门简单案例适合新手学习
spring security 学习记录
levelmini的专栏
02-08 3532
spring security4+Spring MVC +Thymeleaf 3.0.3 问题记录
SpringBoot+SpringSecurity+JWT现认证和授权
热门推荐
oyc的博客
01-17 5万+
一、背景: 在 B/S 系统中,登录功基本都是依靠 Cookie 来现的,用户登录成功之后主要需要客户端和服务端完成以下两项工作: (1)服务端将登录状态记录到 Session 中,或者签发Token; (2)客户端利用Cookie保存于服务端对应的 Session ID 或 Token。之后每次请求都会带上Cookie信息(包含Session ID或者Token),当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单点登录:单点登录(Single Sign On, S.
SpringBoot整合Spring Security+JWT现前后端分离登录权限处理
z132411的博客
05-05 2904
前言 本篇文章是基于上一篇文章进行的整理扩展,没有看过的可以看一下上一篇文章 SpringBoot整合Spring Security现前后端分离登录权限处理_zmgst的博客-CSDN博客 本篇文章的思路是基于这位博主的博客进行的开发,一些对于jwt的描述,session和token的不同描述的很不错,原文地址: 【全网最细致】SpringBoot整合Spring Security + JWT现用户认证_小灵宝的博客-CSDN博客_springboot整合security+jwt 依赖引入:
springboot+jjwt+security完美解决restful接口状态鉴权
梦想修补师
08-19 1万+
微服务大行其道的现在,如果我们还在用wsdl之类的提供接口,给人的感觉就会很low,虽然说不能为了炫技而炫技,但是既然restful接口已经越来越流行,必然有它的道理。 本文我们不讨论restful接口的好处,旨在解决使用restful时候的权限控制问题。 springboot本身已经提供了很好的spring security的支持,我们只需要现(或者重写)一部分接口现我们的...
SpringBoot整合SpringSecurityJWT认证
我的博客
03-30 3万+
前言 微服务架构,前后端分离目前已成为互联网项目开发的业界标准,其核心思想就是前端(APP、小程序、H5页面等)通过调用后端的API接口,提交及返回JSON数据进行交互。 在前后端分离项目中,首先要解决的就是登录及授权的问题。微服务架构下,传统的session认证限制了应用的扩展能力,无状态JWT认证方法应运而生,该认证机制特别适用于分布式站点的单点登录(SSO)场景 目录 该文会通过创建...
Flex4与Spring+iBATIS整合战教程
"flex4+Spring+ibatis战教程文档" 本教程主要关注使用Flex4作为前端,结合Spring和iBATIS在后端的富网络应用(Rich ...教程旨在帮助初学者理解这些技术的结合使用,以及如何通过它们来构建高效的RIA解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值