Spring Security+JWT认证和授权(学习记录)

最新推荐文章于 2024-07-02 17:19:30 发布
最新推荐文章于 2024-07-02 17:19:30 发布
阅读量479 收藏 1
点赞数
分类专栏: 学习记录 文章标签: jwt java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42408648/article/details/105613107
版权

1.开始

因为最近在做第二课堂项目遇到了一个问题,已经登陆的用户虽然没有对其开放管理员界面但是只要他用token请求接口还是会响应结果,没有达到权限管理的要求。于是我学习了Spring Security用它配合JWT达到认证和授权的目的。

主要依赖

 <!--security-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <!--jjwt-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>

2. 创建security可识别的角色类

public class RoleUser implements UserDetails {
    String password; //密码
    String username;  //用户名
    boolean accountNonExpired;   //是否没过期
    boolean accountNonLocked;   //是否没被锁定
    boolean credentialsNonExpired;  //是否没过期
    boolean enabled;  //账号是否可用
    Collection<? extends GrantedAuthority> authorities;  //用户的权限集合

    public RoleUser(){}

    public RoleUser(String password, String username, boolean accountNonExpired, boolean accountNonLocked, boolean credentialsNonExpired, boolean enabled, Collection<? extends GrantedAuthority> authorities) {
        this.password = password;
        this.username = username;
        this.accountNonExpired = accountNonExpired;
        this.accountNonLocked = accountNonLocked;
        this.credentialsNonExpired = credentialsNonExpired;
        this.enabled = enabled;
        this.authorities = authorities;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return enabled;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setAccountNonExpired(boolean accountNonExpired) {
        this.accountNonExpired = accountNonExpired;
    }

    public void setAccountNonLocked(boolean accountNonLocked) {
        this.accountNonLocked = accountNonLocked;
    }

    public void setCredentialsNonExpired(boolean credentialsNonExpired) {
        this.credentialsNonExpired = credentialsNonExpired;
    }

    public void setEnabled(boolean enabled) {
        this.enabled = enabled;
    }

    public void setAuthorities(Collection<? extends GrantedAuthority> authorities) {
        this.authorities = authorities;
    }
}

3.生成可识别对象

public class UserRoleServiceImpl implements UserRoleService {
    @Resource
    private UserMapper userMapper;

    private final String ROLE_ADMIN="admin";
    private final String ROLE_USER="user";


    @Override
    public UserDetails loadUserByUsername(String uid) throws UsernameNotFoundException {
        User u = userMapper.selectByPrimaryKey(Integer.parseInt(uid));
        System.out.println(u);
        RoleUser roleUser=null;
        if(ROLE_ADMIN.equals(u.getuLevel())){
            roleUser= new RoleUser(u.getuPass(),uid , true, true, true, true,
                    AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_ADMIN"));
        }
        if (ROLE_USER.equals(u.getuLevel())){
            roleUser= new RoleUser(u.getuPass(),uid , true, true, true, true,
                    AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_USER"));
        }
        return roleUser;
    }
}

4.配置 SecurityConfig

@Configuration
@EnableWebSecurity //启动security过滤器链
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Resource
    private UserRoleServiceImpl userRoleServiceImpl;

    @Resource
    private DataSource datasource;
    @Resource
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
    private static String[] WHITE_LIST={};

    /**
     *密码加密
     */
    @Bean
    public BCryptPasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }


    /**
     *从数据库加载
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      auth.userDetailsService(userRoleServiceImpl).passwordEncoder(new BCryptPasswordEncoder());
    }

    /**
     *静态资源
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/js/**", "/css/**", "/images/**","/fileUpload/**");
    }

    /**
     *继承权限
     */
    @Bean
    RoleHierarchy roleHierarchy() {
        RoleHierarchyImpl hierarchy = new RoleHierarchyImpl();
        hierarchy.setHierarchy("ROLE_ADMIN > ROLE_USER");
        return hierarchy;
    }


    @Bean
    public PersistentTokenRepository persistentTokenRepository(){
        JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
        tokenRepository.setDataSource(datasource);
        //tokenRepository.setCreateTableOnStartup(true); // 第一次使用此功能自动创建表,第二次要关闭,否则报错
        return tokenRepository;
    }

    /**
     *数据库中需要添加前缀ROLE_,hasAnyRole可以识别前缀后的内容
     *
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and()
                .addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class)
                .authorizeRequests()
                .antMatchers(WHITE_LIST).permitAll()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                .anyRequest().authenticated()//authenticated()要求登录
                // 不需要session,开启session就直接使用JSESSIONID操作了
                .and()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        http.rememberMe()
                .rememberMeParameter("remember-me-new")
                .rememberMeCookieName("remember-me-cookie")
                .tokenValiditySeconds(2 * 24 * 60 * 60)//2.tokenRepository(persistentTokenRepository())
                .and().csrf().disable();

    }

    @Bean(name = BeanIds.AUTHENTICATION_MANAGER)
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }


}

5.jwt工具类

@Data
@Component
public class JwtTokenUtil {

    @Value("${jwt.secret}")
    private String secret;

    @Value("${jwt.expiration}")
    private Long expiration;

    @Value("${jwt.header}")
    private String header;
    //建议更换时间
    private final Integer ADVANCE_EXPIRE_TIME=60000;


    /**
     * 生成token令牌
     *
     * @param username 用户
     * @return 令token牌
     */
    public String generateToken(String username) {
        Map<String, Object> claims = new HashMap<>(2);
        claims.put("sub",username);
        claims.put("created", new Date());

        return generateToken(claims);
    }

    /**
     * 从令牌中获取用户名
     *
     * @param token 令牌
     * @return 用户名
     */
    public String getUsernameFromToken(String token) {
        String username;
        try {
            Claims claims = getClaimsFromToken(token);
            username = claims.getSubject();
        } catch (Exception e) {
            username = null;
        }
        return username;
    }

    /**
     * 判断令牌是否过期
     *
     * @param token 令牌
     * @return 是否过期
     */
    public Boolean isTokenExpired(String token) {
        try {
            Claims claims = getClaimsFromToken(token);
            Date expiration = claims.getExpiration();
            return expiration.before(new Date());
        } catch (Exception e) {
            return false;
        }
    }

    /**
     * 刷新令牌
     *
     * @param token 原令牌
     * @return 新令牌
     */
    public String refreshToken(String token) {
        String refreshedToken;
        try {
            Claims claims = getClaimsFromToken(token);
            claims.put("created", new Date());
            refreshedToken = generateToken(claims);
        } catch (Exception e) {
            refreshedToken = null;
        }
        return refreshedToken;
    }

    /**
     * 验证令牌
     *
     * @param token       令牌
     * @param userDetails 用户
     * @return 是否有效
     */
    public Boolean validateToken(String token, UserDetails userDetails) {

        String username = getUsernameFromToken(token);
        return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
    }


    /**
     * 从claims生成令牌,如果看不懂就看谁调用它
     *
     * @param claims 数据声明
     * @return 令牌
     */
    private String generateToken(Map<String, Object> claims) {
        Date expirationDate = new Date(System.currentTimeMillis() + expiration);
        return Jwts.builder().setClaims(claims)
                .setExpiration(expirationDate)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    /**
     * 从令牌中获取数据声明,如果看不懂就看谁调用它
     *
     * @param token 令牌
     * @return 数据声明
     */
    private Claims getClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
        } catch (Exception e) {
            claims = null;
        }
        return claims;
    }


    /**
     * 检查当前token是否还能继续使用
     * true:可以  false:不建议
     * @param token
     * @return
     */
    public boolean checkToken(String token){
        try {
            // jwt正常情况 则判断失效时间是否大于5分钟
            long expireTime = Jwts.parser()   //得到DefaultJwtParser
                    .setSigningKey(secret)  //设置签名的秘钥
                    .parseClaimsJws(token.replace("jwt_", ""))
                    .getBody().getExpiration().getTime();
            long diff = expireTime - System.currentTimeMillis();
            System.out.println(diff);
            //如果有效期小于5分钟,则不建议继续使用该token
            if (diff < ADVANCE_EXPIRE_TIME) {
                return false;
            }
        } catch (Exception e) {
            return false;
        }
        return true;
    }

}

6.登录认证换取JWT令牌

    public String login(String username,String password) throws CustomException {
        try {
            UsernamePasswordAuthenticationToken upToken =
                    new UsernamePasswordAuthenticationToken(username, password);
            Authentication authentication = authenticationManager.authenticate(upToken);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }catch (AuthenticationException e){
            throw new CustomException(CustomExceptionType.USER_INPUT_ERROR
                    ,"用户名或者密码不正确");
        }

       // UserDetails userDetails = userDetailsService.loadUserByUsername(username);
        return jwtTokenUtil.generateToken(username);
    }

7.JwtAuthenticationTokenFilter过滤

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Resource
    JwtTokenUtil jwtTokenUtil;

    @Resource
    private UserRoleServiceImpl userRoleServiceImpl;

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain filterChain)
            throws ServletException, IOException {

        String jwtToken = request.getHeader(jwtTokenUtil.getHeader());

        if(!StringUtils.isEmpty(jwtToken)){
            //校验合法性并提取用户名
            String username = jwtTokenUtil.getUsernameFromToken(jwtToken);

            //合法,且未验证过
            if(username != null &&
                    SecurityContextHolder.getContext().getAuthentication() == null){

                UserDetails userDetails = userRoleServiceImpl.loadUserByUsername(username);
                //是否过期
                if(jwtTokenUtil.validateToken(jwtToken,userDetails)){
                    if (!jwtTokenUtil.checkToken(jwtToken)){
                        //更换令牌
                        response.setHeader("Access-Control-Expose-Headers",jwtTokenUtil.getHeader());
                        response.setHeader(jwtTokenUtil.getHeader(),jwtTokenUtil.refreshToken(jwtToken) );
                    }
                    //给使用该JWT令牌的用户进行授权
                    UsernamePasswordAuthenticationToken authenticationToken
                            = new UsernamePasswordAuthenticationToken(userDetails,null,userDetails.getAuthorities());
                    //交给Security管理
                    SecurityContextHolder.getContext().setAuthentication(authenticationToken);
                }
            }

        }
        //过滤器链继续走下去
        filterChain.doFilter(request,response);
    }
}
单筱风
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现是认证流程中的一种重要方式,它可以帮助我们实现安全的认证授权。通过使用SpringSecurity+JWT,我们可以实现基于token的认证方式,以便更好地保护我们的系统。 七、参考资料 * ...
SpringSecurityjwt学习笔记
mandy1526的博客
05-21 380
视频:https://www.bilibili.com/video/BV1KE411i7bC?from=search&seid=11446328236637257199 视频文档地址:https://mp.weixin.qq.com/s/FLdC-24_pP8l5D-i7kEwcg
Spring Security 超详细整合 JWT,能否拿下看你自己!
最新发布
m0_62113349的博客
07-02 332
Spring Security是一个功能强大并且高度可定制的Java安全框架,用于保护基于Spring的应用程序。JWT(JSON Web Tokens)是一种用于在网络应用环境间传递声明的一种紧凑的、URL安全的方式。将Spring SecurityJWT整合可以为应用程序提供一个安全且高效的认证机制。整合Spring SecurityJWT涉及到许多细节,上述步骤提供了一个大致的框架。确保你的开发环境中已经包含了Spring Boot和Spring Security的依赖。
SpringBoot 2 + Spring Security 5 + JWT 的单页应用 Restful 解决方案
LoveSummer
11-10 1715
此前我已经写过一篇类似的教程,但那时候使用了投机的方法,没有尊重 Spring Security 的官方设计,自己并不感到满意。这段时间比较空,故重新研究了一遍。 特性 使用 JWT 进行鉴权,支持 token 过期 使用 Ehcache 进行缓存,减少每次鉴权对数据库的压力 尽可能贴合 Spring Security 的设计 实现注解权限控制 准备 开始本教程的时候希望对下面知识点进行粗略的了解。 知道 JWT 的基本概念 了解过 Spring Security 本项目中 JWT 密钥是使用用户自
Spring Security5.X 实现表单jwt认证
bearboy80的专栏
02-08 977
Spring Security
SpringSecurity整合jwt
weixin_41359273的博客
03-20 406
SpringSecurity整合jwt1.pom.xml2.用户实体类3. 自定义认证拦截器,登录成功,则返回token4. 自定义校验拦截器,校验用户每次发请求时携带的token是否正确5. security的配置6. controller7. 测试 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://ww
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring SecurityJWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Spring Boot Security OAuth2 实现支持JWT令牌的授权服务器源码.zip
03-25
Spring Boot Security OAuth2 实现支持JWT令牌的服务器源码
SpringBoot+Mybatis+SpringSecurity+JWT
09-12
SpringBoot2.0.4 +Mybatis+SpringSecurity+JWT实现权限管理及登陆管理
SpringSecurityJWT鉴权
qq_43244309的博客
05-05 277
最近在博客开发中使用SpringSecurity框架,记录一下。
基于Spring Security5 和 JWT做前后端分离安全验证实践
tq26556570的博客
07-19 565
基于Spring Security + JWT权限管理的简单实践 项目介绍 这是一个基于Spring Security + JWT的前后端分离权限管理小例子,方便入门Spring Security的朋友学习,用到的框架和数据库如下: Spring Boot 2.2.2 Spring Security Spring Data JPA jjwt Ehcache MySQL 8.0.16 主要功能是 用户登录验证后返回token,根据token可以访问其他资源 token有效期为30分钟,每次请求成功都会
springboot+security+jwt
yuzheh521的博客
02-04 437
1.创建项目 2.项目创建成功以后,如何查看security已经在项目中生效呢? 启动项目,并在打开浏览器,输入:http://localhost:8080/login 就会出现security默认的登陆页面 用户名是user,密码在我们的控制台已经输出 ...
Spring Security 5.7.5 CURRENT GA-JWT无状态登录
ZMiao的博客
11-25 473
【代码】Spring Security 5.7.5 CURRENT GA-JWT无状态登录。
spring boot2 + springsecurity5 + jwt 例子
神盾局码农
07-15 244
准备 开始本教程的时候希望对下面知识点进行粗略的了解。 知道 JWT 的基本概念 了解过 Spring Security 本项目中JWT密钥是使用用户自己的登入密码,这样每一个token的密钥都不同,相对比较安全。 大体思路: 登入: POST 用户名密码到 \login 请求到达JwtAuthenticationFilter中的attemptAuthentication()方法,获取 request 中的 POST 参数,包装成一个Usernam...
Spring Boot 2 + Spring Security 5 + JWT 的单页应用Restful解决方案
weixin_34010566的博客
04-01 411
准备 项目GitHub:github.com/Smith-Cruis… 我之前写过两篇关于安全框架的问题,大家可以大致看一看,打下基础。 Shiro+JWT+Spring Boot Restful简易教程 Spring Boot+Spring Security+Thymeleaf 简单教程 在开始前你至少需要了解 Spring Security 的基本配置和 JWT 机制。 一些关于 Maven ...
Spring Security + jwt
08-19
Spring SecurityJWT(JSON Web Token)是一种常见的组合,用于实现身份验证和授权机制。 JWT是一种轻量级的身份验证和授权的解决方案,它使用JSON格式来定义安全声明。JWT通常由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部包含算法和令牌类型等信息,载荷包含用户身份和其他相关信息,签名用于验证令牌的完整性和真实性。 Spring Security提供了对JWT的支持,并可以与Spring Boot框架无缝集成。您可以通过以下步骤来实现Spring Security + JWT的集成: 1. 添加依赖:在项目的构建文件中,添加Spring SecurityJWT相关的依赖,如spring-boot-starter-security和jjwt。 2. 配置Spring Security:创建一个继承自WebSecurityConfigurerAdapter的配置类,并重写configure方法来配置Spring Security。在该方法中,您可以定义身份验证和授权规则。 3. 创建JWT工具类:创建一个JWT工具类,用于生成、解析和验证JWT。您可以使用jjwt库来处理JWT操作。 4. 实现用户认证:在Spring Security配置类中,您可以实现UserDetailsService接口,并重写loadUserByUsername方法来根据用户名加载用户信息。在该方法中,您可以从数据库或其他数据源中获取用户信息,并构建一个UserDetails对象返回。 5. 实现JWT过滤器:创建一个自定义的过滤器,用于解析和验证传入请求中的JWT。在该过滤器中,您可以使用JWT工具类来解析JWT,并将用户信息添加到Spring Security的上下文中。 6. 配置Spring Security过滤器链:在Spring Security配置类中,将JWT过滤器添加到过滤器链中,以确保每个请求都经过JWT验证。 通过以上步骤,您可以实现Spring SecurityJWT的集成,实现基于JWT的身份验证和授权机制。这样,您可以使用JWT生成和验证令牌,并通过Spring Security保护您的应用程序资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值