spring security+jwt实现认证和授权

最新推荐文章于 2023-07-11 22:30:00 发布
置顶 最新推荐文章于 2023-07-11 22:30:00 发布
阅读量468 收藏
点赞数
文章标签: spring mybatis spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41377877/article/details/130129236
版权

最近正在研究前后端分离的开发模式,做做小项目练练手,正好用到了spring security的认证和授权,就总结一波。

首先,引入相关的依赖

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>
        <!--mybatis-plus的springboot支持-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.4.3.1</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>2.0.9</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-rsa</artifactId>
            <version>1.0.11.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <!--验证码-->
        <dependency>
            <groupId>com.github.whvcse</groupId>
            <artifactId>easy-captcha</artifactId>
            <version>1.6.2</version>
        </dependency>
        <!-- hutool工具类-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.3.3</version>
        </dependency>

上述是我用到的所有依赖,大家可以按需所取。

spring security实现认证和授权核心的逻辑在框架里面都已经封装和实现好了,只需要我们去做一些配置和赋值就行了。

对于授权而言,只需要我们在两处赋值即可,一处是在实现UserDetailsService类中的loadUserByUsername方法中,返回用户的权限,代码如下:

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private SysUserMapper sysUserMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //查询用户信息
        SysUser user = sysUserMapper.selectOne(new LambdaQueryWrapper<SysUser>().eq(SysUser::getUserName,username));
        //如果没有查询到用户就抛出异常
        if (Objects.isNull(user)) {
            throw new UsernameNotFoundException("用户名不存在!");
        }
        //查询对应的权限信息和角色信息
        // 这一般需要查询role表和jurisdiction表的权限,这里略过
        List<String> jurisdiction=new ArrayList<>(Arrays.asList("admin","normal","ROLE_manager"));
        //将数据封装到UserDetail返回
        return new LoginUser(user, jurisdiction);
    }
}

一般大家所用的就是RBAC规范,这里我暂时没有这种需要,我就写死了相关权限,只是实现授权,也就够用了。

在上述返回用户以及用户的权限之后,返回的资源我们会在redis或者其他手段保存下来,在下次请求进来时,完成认证之后,会获取相关用户的权限进行授权。

 

在过滤器中,会将用户对象以及用户权限列表,都放进UsernamePasswordAuthenticationToken对象中,再封装到authenticationToken中,spring security会进行授权逻辑处理。完成以上两处,就将授权的整个逻辑集成完毕了。代码后续说认证的时候会放出。

下来就是说认证了,认证的逻辑其实也很简单,这里我是结合JWT去做的认证校验。大致流程就是,登录的时候,验证完用户之后,会根据用户生成一个带有用户信息的token返回给客户端,客户端再下次请求时则带着token访问,过滤器会获取token来进行验证,如果验证通过,则对该用户进行资源授权,如果验证不通过,则返回认证失败,大致流程就是这样。

 

@Component
public class TokenAuthenticationFilter extends OncePerRequestFilter {
    public static final String HEADER = "Authorization";
    public static final String PARAM = "token";

    @Autowired
    private RedisUtil redisUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        //获得前端请求中的token
        String token = request.getHeader(HEADER);
        if (StringUtils.isBlank(token)) {
            token = request.getParameter(PARAM);
        }
        //如果token为空,放行,验证失败
        if (StringUtils.isBlank(token)) {
            chain.doFilter(request, response);
            return;
        }

        //解析token
        Map<String, Object> claims = JwtUtil.parseJwt(token);
        if (Objects.isNull(claims)) {//解析异常
            R<String> result = R.restResult(null, HttpStatus.FORBIDDEN.value(), "token非法");
            String json = JSON.toJSONString(result);
            //返回解析错误的json数据
            WebUtil.renderString(response, json);
            return;
        }

        //获取用户主键,以便到redis中查询
        String primaryKey = (String) claims.get(JwtUtil.JWT_PRIMARY_KEY);
        //从redis中获取token对应的数据
        String redisKey = Constants.ONLINE_PRE + primaryKey;
        //获取用户信息
        OnlineUser onlineUser = (OnlineUser) redisUtil.getObject(redisKey);
        if (Objects.isNull(onlineUser)) {
            R<String> result = R.restResult(null, HttpStatus.UNAUTHORIZED.value(), "认证失败");
            String json = JSON.toJSONString(result);
            //返回请求失败的json数据
            WebUtil.renderString(response, json);
            return;
        }

        //存入SecurityContextHolder中
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(onlineUser, null,
                        AuthorityUtils.commaSeparatedStringToAuthorityList(onlineUser.getAuthorities()));
        //获取权限信息封装到authenticationToken里
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);

        //放行
        chain.doFilter(request, response);

    }
}

JWT如何生成token和验证token这里就不详细介绍了,不了解的可以去百度一下先学习一下J

WT的机制。

以上就是spring security的授权和认证的主要实现,下面我会放出代码地址,以供大家参考。

gitee地址

我是空谷有来人,谢谢支持!

空谷有来人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现认证流程中的一种重要方式,它可以帮助我们实现安全的认证授权。通过使用SpringSecurity+JWT,我们可以实现基于token的认证方式,以便更好地保护我们的系统。 七、参考资料 * ...
spring security6+springboot3+jwt实现权限控制
hepeike001的博客
05-12 3361
最近在学习spring security,看到网上的都是比较老的版本,所以从github上找了一个开源的最新的spring security6 的demo借鉴,然后结合官网文档自己鼓捣了一个demo出来,做个笔记方便以后忘记怎么搞了来看看,哈哈哈OVO。(本项目用的是jdk17,有些表达式jdk8是无法编译的,所以要跑起来的话记得安装17哦,反正现在也免费了)
springSecurity+jwt实现分布式鉴权和认证
qq_37824570的博客
03-09 3437
springSecurity+jwt实现分布式鉴权和认证
SpringBoot3.0 + SpringSecurity6.0+JWT
热门推荐
胖胖爱吃肉~的博客
03-03 2万+
SpringBoot3.0 + SpringSecurity6.0+JWTSpring SecuritySpring 家族中的一个安全管理框架。一般Web应用的需要进行认证授权认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作搭建一个SpringBoot工程① 设置父工程 添加依赖 配置文件application.yml ② 创建启动类 ③ 创建Controller 启动项目,查看接口文档地址:http://localhost:4
SpringSecurity6.0+Redis+JWT+MP基于token认证功能开发(源码级剖析可用于实际生产项目)
laizhenghua的博客
06-25 5482
引子:最近做项目时遇到了一个特殊的需求,需要写共享接口把本系统的一些业务数据共享给各地市的自建系统,为了体现公司的专业性以及考虑到程序的扩展性(通过各地市的行政区划代码做限制),决定要把接口做的高级一些,而不是简单的传个用户名和密码对比数据库里面的,那样真的很low。于是写了基于token的认证功能,在这里分享出来供大家学习与探讨。
SpringSecurity+JWT实现认证授权详细步骤
sunao1106的博客
08-03 1140
1. 实现**UserDetailsService**对象中的`loadUserByUsername`方法,根据用户名查询用户信息以及权限信息; 2. 自定义controller登录接口; 3. 自定义service层登录逻辑,调用`loadUserByUsername`获取用户信息并且校验密码,如果认证成功则生成一个jwt返回,将用户信息存入**SecurityContextHolder**上下文; 4. 自定义**JwtAuthenticationTokenFilter**过滤器,获取请........
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
springboot+springSecurity+jwt实现登录认证后令牌授权
最新发布
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring SecurityJWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录和权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
整合SpringSecurityJWT实现登录认证授权
Java升级之路的博客
09-07 4296
文章目录前言一、SpringSecurity是什么?二、JWT是什么?1. JWT的组成2. JWT实现认证授权的原理三、整合步骤1. 引入相关依赖2. yml配置中加入jwt配置信息3. 添加JWT token的工具类4. 添加SpringSecurity的配置类5. 添加自定义结果处理类5.1 添加CustomAccessDeniedHandler5.2 添加CustomAuthenticationEntryPoint6. 添加JwtUser类7. 添加过滤器JwtAuthenticationTok
019-SpringSecurity+JWT 认证授权
学习笔记
03-07 333
🧑‍🎓 个人主页:Silence Lamb 📖 本章内容:【SpringSecurity+JWT 认证授权
SpringCloud gateway+Spring Security + JWT实现登录和用户权限校验
yuan__once的博客
09-24 1万+
使用SpringCloud gateway与Spring Security以及JWT,在前后端分离情况下的用户统一认证授权
SpringBoot框架篇】16.security整合jwt实现对前后端分离的项目进行权限认证
皓亮君的博客
08-01 4609
使用Spring Security+JWT实现对前后端分离的项目进行权限认证
Spring boot +security+jwt整合新手教程 完整版 纯后端
w981912536的博客
03-31 683
UserDetailsServiceImpl.java,这个是security处理登陆逻辑的地方,哪里调用会访问这里看LoginController.java里面写的登陆请求。最后就是关于security自带的验证了,比如说登陆失败啊这些错误提示,都是直接抛出异常的,所以这里就需要一个统一处理异常的地方。纯干货,其他没必要的都没上。比如啥数据库啊,缓存啊啥的,都没有,毕竟写上这些代码太多了,文章长了反正我没兴趣看下去了。使用的自定义登陆路径和退出路径,登陆验证这些都是自己写的,没有用自带了,自带了不好用。
springsecurity-jwt整合
weixin_44846436的博客
03-27 996
方法,设置到其中。3、认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。2)创建我们自己的决策管理器AccessDecisionManager,实现decide方法,判断步骤1)中获取到的角色和我们目前登录的角色是否相同,相同则允许访问,不相同则不允许访问,123456 //这里是密钥,只要够复杂,一般不会被破解。
Security+jwt+验证码实现验证和授权
爱哭的毛毛虫的博客
11-26 4566
微服务Security+jwt+验证码实现认证授权简要介绍基本流程核心代码测试 简要介绍 本次博客采用Spring Securityjwt、验证码的形式实现登录验证,项目本上是一个前后端分离项目。如果你的项目在登陆时不需要验证码,你只需要在后续的代码中,将有关验证码的过滤器删除。 基本流程 1、前端请求后端"/captcha"验证码接口,后端生成验证码文本及编码并将其存入redis缓存,然后返回验证码文本(五个字符)和验证码base64编码给前端。 2、前端显示验证码图片,用户输入用户名、密码、验证码
盘点spring-boot-3-jwt-security中如何使用jwt+security
运气不好努力来凑
07-11 793
盘点spring-boot-3-jwt-security中如何使用jwt+security,熟知流程一目了然
Java集成spring-security + JWT
meiziziLOLOLO的博客
01-25 434
前言 权限管理几乎是每一个后台都要有的功能,spring家族贴心的给我们提供了spring-security,这是一个权限管理框架,本质上是一系列过滤器组成的。 当初学这个学了好久,网上也没有很正规的教程,博客也很多,看的很乱,但最终还是配置好了了。但过一段时间就又全部忘记了,最近几天重新看了一遍,这里做一个笔记,也是做一个分享。 spring-security有很多种模式,我下面实现的是用户-角色模式(其实我也不知道是不是叫这个名字),就是说用户和角色是多对多的关系,一个用户能有多个角色,一个角色同时有多
Spring Security+JWT实现
08-20
Spring Security JWT实现是指使用JWT(JSON Web Token)作为身份验证和授权机制的Spring Security解决方案。Spring SecurityJWT提供了自动化配置,使得使用JWT进行身份验证和授权变得更加简单和高效。通过配置JwtAuthenticationTokenFilter,可以实现JWT的验证和解析。同时,可以通过RestfulAccessDeniedHandler和RestAuthenticationEntryPoint来处理登录校验和权限校验的逻辑。使用JWT实现Spring Security解决方案可以提供更加强大和灵活的身份验证和授权功能。 [2 [3<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证](https://blog.csdn.net/qing_gee/article/details/124016059)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [单点登录SSO解决方案之SpringSecurity+JWT实现.docx](https://download.csdn.net/download/njbaige/34581331)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值