Spring Security JWT 添加额外信息

已于 2022-11-07 09:13:11 修改
阅读量968 收藏 3
点赞数 2
分类专栏: JAVA security 文章标签: spring java spring boot
于 2022-11-01 15:04:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42555971/article/details/127583311
版权

文章目录


本文不详述如何创建 JWT,oauth 2.0 服务端可以参考文章: Spring Security oauth2.0 服务端

在这里插入图片描述

 

JWT 添加额外信息

oauth 2.0 JWT 默认返回 OAuth2AccessToken 接口的实现类,默认实现类是 DefaultOAuth2AccessToken,返回字段有 5 个

  • access_token:表示访问令牌,必选项
  • token_type:表示令牌类型,该值大小写不敏感,必选项,默认是 bearer 类型
  • expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
  • refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项。
  • scope:表示权限范围,如果与客户端申请的范围一致,此处可省略
     

TokenEhancer

实现 TokenEhancer(令牌增强器)接口

  • DefaultOAuth2AccessToken:默认的 token 实现类
  • setAdditionalInformation:添加其他信息,参数类型是 Map<String, Object>
  • 添加自定义的 fat 字段
@Bean
public TokenEnhancer customTokenEnhancer() {
    return (accessToken, authentication) -> {
        final Map<String, Object> additionalInfo = new HashMap<>();
        additionalInfo.put("fat", "test");
        ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);
        return accessToken;
    };
}

 

AuthorizationServerEndpointsConfigurer

把 TokenEnhancer 添加到 AuthorizationServerConfigurerAdapter 里

  • 创建 TokenEnhancerChain,传参类型为 list
  • 创建 DefaultTokenServices,传入 TokenEnhancerChain
  • endpoints 传入 DefaultTokenServices
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
...

   @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        TokenEnhancerChain enhancerChain = new TokenEnhancerChain();
        enhancerChain.setTokenEnhancers(Arrays.asList(jwtAccessTokenConverter(), customTokenEnhancer()));

        DefaultTokenServices tokenServices = new DefaultTokenServices();
        tokenServices.setTokenEnhancer(enhancerChain);
        tokenServices.setTokenStore(tokenStore());

        endpoints
                .authenticationManager(authenticationManager)
                .tokenServices(tokenServices)
        ;
    }

...
}

访问 /oauth/token 接口时,返回值返回插入的 fat 字段
在这里插入图片描述

JWT 解析发现没有 fat 字段
在这里插入图片描述

**踩坑:**这里有一个值得注意的地方了,若要 JWT 解析时有新增字段,在 setTokenEnhancers 时,参数 list 需要把自定义的 customTokenEnhancer() 放前面

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        TokenEnhancerChain enhancerChain = new TokenEnhancerChain();
        enhancerChain.setTokenEnhancers(Arrays.asList(customTokenEnhancer(), jwtAccessTokenConverter()));

        DefaultTokenServices tokenServices = new DefaultTokenServices();
        tokenServices.setTokenEnhancer(enhancerChain);
        tokenServices.setTokenStore(tokenStore());

        endpoints
                .authenticationManager(authenticationManager)
                .tokenServices(tokenServices)
        ;
    }

 

check/token 添加额外信息

自定义 AccessTokenConverter

  • 继承 DefaultAccessTokenConverter
  • 重新 convertAccessToken 方法,添加需要新增的字段
@Configuration
public class AuthAccessTokenConverter extends DefaultAccessTokenConverter {

    @Override
    public Map<String, ?> convertAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) {
        Map<String, Object> response = (Map<String, Object>) super.convertAccessToken(token, authentication);
        response.put("feng","myfat");
        return response;
    }
    
}

把新建的 AccessTokenConverter 放进配置里


@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
  
    @Autowired
    private AuthAccessTokenConverter converter;
    
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
 
		...		
        endpoints.accessTokenConverter(converter);
    }
    
}

在这里插入图片描述

我有一只肥螳螂
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
jwtToken
weixin_45143899的博客
09-27 624
jwt
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security-oauth2`和`spring-security-jwt`依赖。 2. **用户实体类与数据访问层**:...
Spring Security OAuth2 自定义(增强)token信息
qq_36551991的博客
12-05 1389
Spring Security OAuth2提供了默认的token生成方式,但是有时候我们需要token携带一些我们自定义的信息,例如用户名、id等,这就需要我们自定义token信息
Spring Security Oauth2 中实现TokenEnhancer向jwt添加额外信息
热门推荐
cauchy6317的博客
12-20 3万+
在实现了Oauth2后,我们拿到的jwt中的json是下图的形式。 这里面的json字段是默认的,如果我们想加入一些额外的有用信息该怎么做? 首先,你要实现TokenEhancer(令牌增强器)中的 ehance方法。 public class CustomTokenEnhancer implements TokenEnhancer { @Override public OA...
Spring Security OAuth2 中的 JwtAccessTokenConverter
mywaya2333的博客
05-17 1071
Spring Security OAuth2 中的一个类,用于处理 JWT(JSON Web Token)的生成和验证。它在授权服务器和资源服务器之间起着关键作用,确保令牌的完整性和真实性。配置了授权服务器的端点,指定了如何存储和转换令牌。配置了授权服务器的安全性,定义了公钥访问和令牌检查的访问规则。这些配置确保了授权服务器能够安全地生成和管理 JWT,并提供必要的端点供客户端和资源服务器访问。
使用JWT替换默认令牌token
whaleluo的博客
05-23 6591
文章目录JSON Web Token (JWT)自包含token的创建总结密签可扩展替换默认tokenTokenStoreConfigWhaleAuthenticationServiceConfigOAuth2Properties测试 jwtjwt token加额外信息实现TokenEnhancerTokenStoreConfig 配置 TokenEnhancer beanWhaleAuthent...
OAuth2.0 - 使用JWT替换Token 及 JWT内容增强
小毕超博客
01-16 8042
一、OAuth2.0 上篇文章我们讲解了OAuth2.0的几种认证模式,前面的讲解Token采用OAuth2.0自带的方式生成的Token,但是这种方式也存在这弊端,通过前面的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能 。 因此我们可以采用JWT生成令牌,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行
SpringSecurityJWT实现token认证和授权.zip
08-09
要将Spring SecurityJWT集成,首先需要在项目中添加相关的依赖。这通常包括Spring Security的核心库以及JWT的实现库,如jjwt或nimbus-jose-jwt。 接下来,我们需要配置Spring Security的AuthenticationProvider。...
SpringBoot集成SpringSecurityJWT做登陆鉴权的实现
08-19
Spring Security中,我们可以通过自定义TokenEnhancer和TokenStore来扩展JWT的功能,例如添加额外的用户信息到负载中,或者使用特定的密钥来签名和验证令牌。 在登录后,客户端将JWT令牌存储在本地(例如,浏览器...
SpringBoot + MyBatis-plus + SpringSecurity + JWT
11-09
【标题】"SpringBoot + MyBatis-plus + SpringSecurity + JWT"是一个常见的技术栈组合,用于构建现代化的、安全的Web应用。这个组合利用了SpringBoot的快速开发能力,MyBatis-plus的数据操作便捷性,SpringSecurity...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
03-05
3. 实现自定义的TokenEnhancer和TokenStore,以添加额外信息或处理JWT的存储。 4. 配置授权规则,比如哪些URL需要权限,哪些角色可以访问特定资源。 这个demo对于初学者来说,是一个实践和理解Web应用安全机制的...
新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制的项目
最新发布
05-21
本项目“新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制”正是针对这一需求而设计的。以下是关于这个项目及其相关技术的详细说明。 **Spring Boot** Spring Boot简化了Spring应用的...
spring-security-jwt
03-17
- 配置 Spring Security 以使用 JWT,需要添加相应的依赖,并设置认证和授权处理器,包括 JWT 令牌的解析器和生成器。 - `JwtAuthenticationFilter` 用于处理 JWT 认证,而 `JwtTokenProvider` 负责生成和验证 JWT...
spring security 认证授权实现
10-14
- 在本项目中,Spring SecurityJWT的结合可能是通过在用户成功登录后生成一个JWT令牌,该令牌包含用户的认证信息。 - 接下来,客户端在后续的每个请求中都将此JWT令牌作为授权头发送,服务器验证令牌的有效性以...
Spring Security 示例项目
11-29
Spring Boot项目中,通过在`pom.xml`中添加Spring Security依赖,可以轻松地引入Spring Security。之后,可以通过配置类自定义安全设置,如登录URL、未授权页面、以及用户认证和授权的逻辑。 ```xml <groupId>...
springboot 整合security jwt 身份鉴权
01-03
Spring Security是一个强大且高度可定制的身份验证和访问控制框架,而JSON Web Token(JWT)则是一种轻量级的身份验证机制,常用于API认证。下面将详细介绍这两者如何结合使用以及其相关知识点。 首先,JWT是一种...
6.JWT令牌
weixin_45974277的博客
03-01 6010
当资源服务(order)和授权服务(uaa)不在一起时,资源服务使用RemoteTokenServices 远程请求授权 服务验证token,如果访问量较大将会影响系统的性能 。 //资源服务令牌解析服务 @Bean public ResourceServerTokenServices tokenService() { //使用远程服务请求授权服务器校验token,必须指定校验token 的url、client_id,client_secret
Springsceurity使用TokenEnhancer和JwtAccessConverter增强jwt令牌原理
qq_42654484的博客
07-09 1万+
什么是JWT JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。(更多信息建议去官网了解) 使用JWT替换传统Token有很多好处,比如: 简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快 自包含(Self-contained):...
springsecurity整合jwt
03-17
Spring Security 是一个用于为 Spring 应用程序提供安全性的框架。JWT (JSON Web Token) 是一种用于在双方之间传递身份验证数据的标准。使用 Spring SecurityJWT 的结合可以提供一种方便的方式来验证用户身份并保护应用程序的 API。 要在 Spring Security 中使用 JWT,首先需要导入 Spring Security 的相关依赖,然后配置一些额外的过滤器来拦截请求并验证 JWT。在验证 JWT 成功后,可以使用 Spring Security 的方式来授权用户并管理角色。 需要注意的是,在使用 JWT 时需要自行实现加密和解密的逻辑,以及对过期时间,刷新token等的管理
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值