JWT和Spring Security的登录功能落地实现

最新推荐文章于 2024-04-22 10:14:07 发布
最新推荐文章于 2024-04-22 10:14:07 发布
阅读量337 收藏 2
点赞数 2
分类专栏: 学习小结 javaweb 文章标签: java jwt spring redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42683077/article/details/111874559
版权
服务端维护用户登录状态,一般有基于session和token两种方式

一、传统的web项目用session+cookies机制来维护用户登录状态,当然有一定的不足:

  1. session是保持在服务端内存中的,也就是意味着用户下次请求必须还得在这台服务器上,才能拿到授权的资源,对于分布式系统来说是一个难以处理的点。
  2. 随着认证用户的增加,服务端的开销也会增大。

二、基于token的鉴权机制

  1. 客户端拿账号密码请求服务端
  2. 服务端校验账号密码,如果校验Ok的话,给客户端颁发token
  3. 客户端拿到服务端颁发的token,后续的请求都会带上这个token
  4. 服务端根据客户端带的token,对客户端进行鉴权

看完了两种维护用户登录状态方式,接下来看看今天的主角之一:JWT。
JWT是一种开放标准,其声明一般被用来在身份提供者和服务提供者之间传递被认证的用户身份信息,以便于获取服务器的资源。

JWT的构成:

1. 头部header,头部承载两部分信息
    {
        'typ': 'JWT', //声明类型
        'alg': 'HS256'//声明加密算法
    }
用base64进行加密得到字符串A

2. 载荷payload,存放有效信息
    1)标准中注册的声明
    2)公共的声明,一般用来添加用户相关信息,不建议添加敏感信息
    3)私有的声明,提供者和消费者共同定义的声明
用base64进行加密得到字符串B

3. 签证,这一部分将base64加密后的header(A)和base64加密后的payload(B)组成的字符串,
通过header中声明的加密方式进行盐secret组合加密,就构成jwt的第三部分(C)

上述三部分用.连接成一个完整的字符串,就构成最终的jwt

至于Spring Secutiry这个框架,大家可以看这一篇文章了解一些相关知识。
Spring Security框架认证详解

接下来看看JWT和Spring Security的一个落地使用

登录流程:
   //LoginController
     @PostMapping("/login")
    public AjaxResult login(@RequestBody LoginBody loginBody)
    {
        AjaxResult ajax = AjaxResult.success();
        // 首先控制器拦截web请求,并调用loginService方法来获取token
        String token = loginService.login(loginBody.getUsername(), loginBody.getPassword(), loginBody.getCode(),
                loginBody.getUuid());
        ajax.put(Constants.TOKEN, token);//将获取到的token返回给前端,前端下次就可以拿着这个token来发起请求
        return ajax;
    }
=======================================    
    //LoginService
    public String login(String username, String password, String code, String uuid)
    {
        //.......省略部分验证代码
        // 用户验证
        Authentication authentication = null;
        try
        {
            // 该方法会去调用UserDetailsServiceImpl.loadUserByUsername
            //这里走的是spring security的逻辑
            //如果spring security认证成功的话,会返回一个Authentication对象
            authentication = authenticationManager
                    .authenticate(new UsernamePasswordAuthenticationToken(username, password));
        }
        catch (Exception e)
        {
            
        }
        //通过上面返回的认证对象可以获得用户信息对象
        LoginUser loginUser = (LoginUser)authentication.getPrincipal();
        //调用tokenService.createToken来生成token,这个token就是jwt生成的
        return tokenService.createToken(loginUser);
    }
=======================================
//UserDetailsServiceImpl    
    @Override
    //1、首先拿用户名去查询去数据库查询对象
    //2、调用createLoginUser来创建一个UserDetails对象并返回
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException
    {
        SysUser user = userService.selectUserByUserName(username);//自定义查询数据库的逻辑,得到SysUser对象
        //省略部分校验代码
        return createLoginUser(user);
    }
    //创建一个UserDetails对象,spring security会拿这个对象和封装的UsernamePasswordAuthenticationToken对象去比对
    public UserDetails createLoginUser(SysUser user)
    {
        return new LoginUser(user, permissionService.getMenuPermission(user));
    }
    
====================================
//生成令牌的操作
//TokenService
    public String createToken(LoginUser loginUser)
    {
        //通过id工具,生成一个随机不重复的字符串
        String token = IdUtils.fastUUID();
        //将随机字符串保存到loginUser中
        loginUser.setToken(token);
        refreshToken(loginUser);//将用户信息存放在redis中,并刷新令牌时间
        
        //下面这个map存放的数据,就是到时候存放到JWT载荷payload中
        Map<String, Object> claims = new HashMap<>();
        claims.put(Constants.LOGIN_USER_KEY, token);
        return createToken(claims);
    }
//将用户信息存放到redis中
    public void refreshToken(LoginUser loginUser)
    {
        //设置缓存的过期时间
        loginUser.setLoginTime(System.currentTimeMillis());
        loginUser.setExpireTime(loginUser.getLoginTime() + expireTime * MILLIS_MINUTE);
        // 使用之前ID工具生成的不重复字符串作为缓存的key
        String userKey = getTokenKey(loginUser.getToken());
        redisCache.setCacheObject(userKey, loginUser, expireTime, TimeUnit.MINUTES);
    }
//调用jwt生成token
    private String createToken(Map<String, Object> claims)
    {
        //使用JWT来生成一个最终的token
        String token = Jwts.builder()
                .setClaims(claims)
                .signWith(SignatureAlgorithm.HS512, secret).compact();
        return token;
    }

上述就是一个登录的过程的实现,当然想要登录的请求login能被我们自己的controller拦截到
这里还需要做一个配置(spring security自定义拦截配置,这里就不展开细说了)

 @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception
    {
        httpSecurity
                // 过滤请求
                .authorizeRequests()
                // 对于登录login 允许匿名访问
                .antMatchers("/login").anonymous()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                ......
    }

登录完成后,我们需要明确现在客户端和服务端各自有的状态,客户端拥有服务端颁发的token,服务端的redis存放着一个以token为key的用户对象,并且给这个用户对象设置了过期时间。明确了这个状态,接下来看看客户端是怎么带token来发起请求的

    //1、这里的想法是采用一个过滤器,在Spring Security认证流程开始前进行拦截,
    //可以通过以下方式配置拦截器 authenticationTokenFilter这个是我们自定义的拦截器
    //这里也是spring security的自定义配置
    httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
     //2、从请求中获取token,然后根据token去redis中获取,如果能够获取到对象,即刷新redis缓存的过期时间,并把获取到的对象设置到SecurityContextHolder中
    //如果没有获取到用户对象,就相当于SecurityContextHolder为空,后续走认证流程的时候就会报错,走Spring Security的异常处理流程
     UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
     authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
     SecurityContextHolder.getContext().setAuthentication(authenticationToken);
湟同学你好
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurityJWT
QQ418579986的博客
06-13 3325
记录总结
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
jwt + spring security 登陆验证和权限管理
04-19
一个Spring Security+JWT认证和授权的demo,此demo为Spring安全性与OAuth(1a)和OAuth2结合使用提供了支持。它提供了在Spring安全编程模型和配置下实现分布式无状态授权。
使用securityjwt进行安全登录
Proxbj的博客
09-24 671
** 使用securityjwt进行安全登录 ** 一、首先security进行用户验证和授权 jwt负责颁发令牌与校验,判断用户登录状态,如果有令牌则代表已经登录 二、 1.首先从数据库获取用户名和密码,判断用户名和密码是否正确。再将前端传回的用户名的角色和权限提取出来赋值给数据库查出来的用户对象,将密码置为空串(密码不能存在jwt的头部和载荷),接着生成令牌,这个令牌交给客户端会保存在localstoryge或者sessionstoryge或者cookie中。 此时访问登录页面会401,原因是登录页面
Spring SecurityJWT
m0_68921558的博客
02-27 2406
Spring Security 的认证与授权
SPRING-JWT-WEB-安全
02-18
- 学习这个项目可以帮助开发者理解如何在实际项目中落地这些概念,包括如何配置Spring Security,编写JWT过滤器,以及处理JWT的生成和验证。 总之,Spring Security结合JWTJava Web应用提供了高效、灵活的安全...
Spring Cloud 实战项目
05-21
无状态统一权限认证的解决方案,实现了异常和日志的统一管理,实现了MQ落地保证100%到达的解决方案。 核心框架:springcloud Edgware全家桶 安全框架:Spring Security Spring Cloud Oauth2 分布式任务调度:...
Spring Cloud微服务安全实战 中小企业可落地的完整安全方案视频教程
10-21
Spring Security可以集成到Spring Cloud中,提供认证(Authentication)和授权(Authorization)功能。它支持多种认证方式,如基于用户名和密码的传统认证、OAuth2认证,以及JWT(JSON Web Tokens)等现代认证机制。...
基于springcloud+vue+oAuth2.0全家桶实战并实现前后端分离模拟商城.zip
02-20
无状态统一权限认证的解决方案,实现了异常和日志的统一管理,实现了MQ落地保证100%到达的解决方案。 核心框架:springcloud Edgware全家桶 安全框架:Spring Security Spring Cloud Oauth2 分布式任务调度:...
spring boot 登陆注册的全部代码。
10-14
这个压缩包“demo222”包含了Spring Boot 实现登录注册功能的全部源码,非常适合初学者或者开发者参考学习。下面我们将深入探讨Spring Boot在实现登录注册功能时涉及的关键知识点。 1. **Spring Security**: 为了...
SpringSecurityJWT(笔记)
weixin_46949627的博客
09-07 825
SpringSecurityOauth2与JWT
Spring SecurityJWT 整合
Gardel的博客
12-07 820
Spring Security 是一个用于 Spring 程序身份认证的框架,里面东西很多,用起来也很方便,但是上手并不是那么容易,最近粗略看了一些教程,总算是把它用到自己的项目里去了,并且跟 JWT 整合了一下,下面详细记录一下我的步骤防止我下次用的时候忘了。 -_- 1. 导入依赖 首先将相关的 jar 导入项目中。 构建配置如下(部分): Maven <!-- Spring Security --> <dependency> <groupId>org.spring
Jwt整合Secirity实现用户登陆(拿捏篇)
qq_45690761的博客
04-08 248
轻松拿捏SpringSecurity整合Jwt
使用jwtsecurity登录功能实现
lmxx9939的博客
06-05 1007
登录功能实现
通过JWT+SpringSecurity实现用户登录
qq_45266399的博客
08-19 506
通过JWT+SpringSecurity实现用户登录
SpringSecurity+JWT 登录授权
小蘑菇&浪天涯的博客
11-04 769
SpringSecurity+JWT 登录授权过滤器
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
最新发布
小威的博客
04-22 1万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 4556
SpringSecurity+JWT快速入门
Spring Security详细讲解(JWT+SpringSecurity登入案例)
孤夜的博客
08-15 8649
通过本篇博文,你可以详细了解Spring Security的相关概念与原理,并且掌握Spring Security的认证与授权,通过博文中的登入案例可以让自己定制去Spring Security认证授权方案。
jwt+springsecurity登录
08-24
在使用JWTSpring Security实现登录功能时,需要进行以下几个步骤: 首先,客户端会向服务器发送登录请求,提供用户名和密码。 服务器端接收到登录请求后,会验证用户名和密码的正确性。 如果用户名和密码验证通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值