spring security+Jwt实现认证授权

最新推荐文章于 2024-04-22 10:14:07 发布
最新推荐文章于 2024-04-22 10:14:07 发布
阅读量387 收藏 1
点赞数
分类专栏: springboot 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43111261/article/details/107594263
版权

Spring security+JWT实现认证授权

spring security官网链接:https://spring.io/projects/spring-security

JWT官网链接:https://jwt.io/

spring security介绍

Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。

Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。像所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求

特征

对身份验证和授权的全面且可扩展的支持

防止攻击,例如会话固定,点击劫持,跨站点请求伪造等

核心

spring security提供一组过滤链,项目启动后进行自动配置,主要过滤流程如下:
客户端请求——>OncePerRequestFilter——>SecurityContextPersistenceFilter——>HeaderWriterFilter——>CsrfFilter——>LogoutFilter——>UsernmaePasswordAuthenticationFilter——>RequestCacheAwareFilter——>SecurityContextHolderAwareRequestFilter——>AnonymousAuthenticationFilter——>ExceptionTranslationFilter——>FilterSecurityInterceptor

简单来说:
1、客户端发起请求,spring security过滤链拦截
2、LogoutFilter判断是否是登出路径,如果是进入logoutHandler,如果登出成功则到logoutSuccessHandler登出成功,如果失败则进入ExceptionTranslationFilter,否则进入用户登录认证
3、UsernamePasswordAuthenticationFilter进行登录过滤器操作,如果登录失败则到AuthenticationFailureHandler登录失败处理。如果登录成功则到AuthenticationSuccessHandler登录成功处理器处理(只有是登录请求才能进入当前过滤器)
4、最后FilterSecurityInterceptor拿到uri,根据uri去找对应的鉴权管理器,鉴权成功进入控制层Controller,否则进入AccessDeniedHandler鉴权失败处理器处理

配置代码实现

spring security配置类代码:

package cn.xgb.com.xgb_business.config;

import cn.xgb.com.xgb_business.component.JwtAuthenticationTokenFilter;
import cn.xgb.com.xgb_business.component.RestAuthenticationEntryPoint;
import cn.xgb.com.xgb_business.component.RestfulAccessDeniedHandler;
import cn.xgb.com.xgb_business.sys.bo.AdminUserDetails;
import cn.xgb.com.xgb_business.sys.entity.SysPermission;
import cn.xgb.com.xgb_business.sys.entity.SysUserVo;
import cn.xgb.com.xgb_business.sys.mapper.SysUserMapper;
import cn.xgb.com.xgb_business.sys.service.ISysUserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

import java.util.List;

/**
 * ClassName: SecurityConfig
 * Description:
 * date: 2020/7/1 10:15
 *
 * @author xu
 * @since JDK 1.8
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private ISysUserService sysUserService;
    @Autowired
    private SysUserMapper userMapper;
    @Autowired
    RestfulAccessDeniedHandler restfulAccessDeniedHandler;
    @Autowired
    RestAuthenticationEntryPoint restAuthenticationEntryPoint;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf()
                .disable()
                .sessionManagement()//基于token,所以不需要session
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .antMatchers(HttpMethod.GET,
                        "/",
                        "/*.html",
                        "/favicon.ico",
                        "/**/*.html",
                        "/**/*.css",
                        "/**/*.js",
                        "/swagger-resources/**",
                        "/v2/api-docs/**")
        .permitAll()
        .antMatchers("/admin/login","/admin/register")//对登录注册要允许匿名访问
        .permitAll()
        .antMatchers(HttpMethod.OPTIONS)//跨域请求会先进行一次options请求
        .permitAll()
        .antMatchers("/**")
        .permitAll()
        .anyRequest()
        .authenticated();

        //禁用缓存
        http.headers().cacheControl();
        //添加JWT 过滤
        http.addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);
        //添加自定义未授权和未登录结果返回
        http.exceptionHandling().accessDeniedHandler(restfulAccessDeniedHandler)
            .authenticationEntryPoint(restAuthenticationEntryPoint);

    }
    /**
    * Description: 配置认证授权用户并进行加密
    * @author: xu
    * @date: 2020/7/22 8:57
    * @param:
    * @return:
    */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder());
    }
    @Bean
    public PasswordEncoder passwordEncoder(){return  new BCryptPasswordEncoder(); }

    @Bean
    public UserDetailsService userDetailsService(){
        //获取用户登录信息
        return username -> {
           SysUserVo admin =  userMapper.selectByUserName(username);
           if(admin!=null){
               if(admin.getSupplyId()!=null&&admin.getSupplyId()==1L){
                List<SysPermission> permissionList  =  sysUserService.listPerms();
                return new AdminUserDetails(admin,permissionList);
               }
               List<SysPermission> permissions = sysUserService.listUserPerms(admin.getId());
                return new AdminUserDetails(admin,permissions);
           }
           throw new UsernameNotFoundException("用户活密码错误");
        };
    }

    @Bean
    public JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter(){return new JwtAuthenticationTokenFilter();}
    /**
    * Description: 允许跨域调用过滤器
    * @author: xu
    * @date: 2020/7/24 10:57
    * @param:
    * @return:
    */
    @Bean
    public CorsFilter corsFilter(){
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.addAllowedOrigin("*");
        config.setAllowCredentials(true);
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(0);
        return new CorsFilter(source);
    }
}

其中configure(HttpSecurity http)是核心,内部封装整个认证和授权过程。

配置JWT(JSON web Token)

在UsernamePasswordAurhenticationFilter过滤器之前添加自行实现的JWT拦截

  http.addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);

jwt介绍

JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。

jwt结构

jWt token的格式:header.payload.signature

  • header的格式(算法、token的类型):
    {“alg”: “HS512”,“typ”: “JWT”}
  • payload的格式(用户名、创建时间、生成时间):
    {“sub”: “wang”,“created”:1482134234,“exp”:2323423234}
  • signature的生成算法:
    HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

结果调试

在这里插入图片描述

Spring security 权限控制

@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder());
    }

**

  • AuthenticationManagerBuilder实现认证和授权管理
  • UserDetails定义的用户接口有开发者自行实现
    **

至此,配置完成

总结

spring security配置关键在于configure(HttpSecurity http)方法
扩展用户鉴权异常处理方式accessDeniedHandler(未授权),authenticationEntryPoint(未登录)。
token认证校验方式,使用jwt扩展UsernamePasswordAuthenticationFilter用户认证并生成token,另外,spring security的处理器大部分是重定向,但是我们不一般接口都是返回json,那么就需要重写处理器

xuguibang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+SpringSecurity+Jwt权限认证---认证
python6_quanzhan的博客
12-10 508
1. 整体逻辑 1. SpringSecurity认证的逻辑规则 启动项目时,SpringBoot自动检索所有带@Configuration的注解,所以就将我们的WebSecurityConfig给加载了,这个config中,我们需要在configure(AuthenticationManagerBuilder auth)方法中注册一个继承自UserDetailsService的接口,这个接口中只有一个方法,那就是使用username获取到数据库中用户信息并返回成UserDetail实体。这个方法需要.
springSecurityjwt机制及应用详解
最新发布
2401_84092666的博客
05-04 686
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!这种格式是OAuth2附带token的一种规范格式至于什么是OAuth2,那是另一个话题了这样一来,服务器就能够收到这个令牌了,通过对令牌的验证,即可知道该令牌是否有效。它们的完整交互流程是非常简单清晰的:令牌的组成为了保证令牌的安全性,jwt令牌由三个部分组成,分别是:header:令牌头部,记录了整个令牌的类型和签名算法payload:令牌负荷,记录了保存的主体信息,比如你要保存的用户信息就可以放到这里s
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
热门推荐
小威的博客
04-22 1万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
SpringSecurity学习笔记
qq_50487386的博客
05-22 527
一、SpringSecurity官网 https://spring.io/projects/spring-security/https://spring.io/projects/spring-security/ Spring Security :: Spring Securityhttps://docs.spring.io/spring-security/reference/index.htmlJava Configuration :: Spring Securityhttps://docs.sprin
Spring Boot 引入 Spring Security
qq_43011496的博客
04-20 1941
关于 spring security 官网链接, 本次示例使用的版本为5.6.3:https://docs.spring.io/spring-security/reference/index.html spring boot 项目中引入 spring security, maven坐标如下: <dependency> <groupId>org.springframework.boot</groupId> <a.
【译】Spring 官方教程:Spring Security 架构
程序猿DD
01-03 1万+
原文:Spring Security Architecture译者:徐靖峰校对:马超君专题指南本文是 Spring Security 的入门指南,并对 Spring Security 的框架设计和基础组件进行深度解析。我们仅涉及应用程序安全性的基础知识,但这已足够消除开发人员在使用 Spring Security 时遇到的一些困惑。要做到这一点,我们需要了解如何使用过滤器和方法注解来保障Web应用
SpringSecurity官网修改例子 tutorial
09-05
SpringSecurity官网例子,直接可运行,不需要连接数据库
SpringBoot+Spring security
FlyAway的博客
06-06 1247
SpringBoot+Spring security 前言 搭建步骤 总结 1.前言 学习使用SpringBoot 结合spring security 搭建一个登录拦截和跳转的demo。 2.搭建步骤 (1)springboot 搭建项目,先新建TestController 测试springboot项目是否成功 (2)引入mybatis ...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现认证流程中的一种重要方式,它可以帮助我们实现安全的认证授权。通过使用SpringSecurity+JWT,我们可以实现基于token的认证方式,以便更好地保护我们的系统。 七、参考资料 * ...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Spring security-包含官方文档
10-24
这里是Spring security 的jar包以及说明文档,Spring security可以提供系统安全方面的支持
Security+认证考试复习资料
07-06
Security+认证考试复习资料,考点讲解详细,已通过考试。
Spring Security基于JWT实现SSO单点登录详解
08-25
主要介绍了Spring Security基于JWT实现SSO单点登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
跟着狂神整理springSecurity
xiaokuangkuang
08-02 338
前言 此资料是跟着狂神学习整理而来,可以去b站关注他获取相关资料 为什么要使用springSecurity 在web开发中,安全占据第一位置 我们可以通过一些简单的安全策略,例如过滤器,拦截器保证安全 安全是一个非功能性需求,做网站,后台应该在设计之初进行考虑,在我们设计之前 就应该把这些东西考虑进去,虽然我们可以通过拦截器,过滤器来完成需求,但是会有大量的原生代码,冗余而通过SpringSecurity,我们只需要进行简单的调用,便可实现无数复杂的功能 项目中所涉及的安全性问题 功能权限 访问权限 菜单权
初探Spring Security
Y-CAT的专栏
04-17 1026
一、简介 Spring SecuritySpring社区的一个顶级项目,也是 Spring Boot官方推荐使用的Security框架。除了常规的 Authentication和Authorization之外,Spring Security还 提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求 二、理解 1、从AAA说起 【中文名称】:鉴权、授权和计费
springsecurity&jwt整合的SSO登录总结和坑
weixin_42870842的博客
12-22 480
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Spring Security+JWT实现
08-20
Spring Security JWT实现是指使用JWT(JSON Web Token)作为身份验证和授权机制的Spring Security解决方案。Spring SecurityJWT提供了自动化配置,使得使用JWT进行身份验证和授权变得更加简单和高效。通过配置JwtAuthenticationTokenFilter,可以实现JWT的验证和解析。同时,可以通过RestfulAccessDeniedHandler和RestAuthenticationEntryPoint来处理登录校验和权限校验的逻辑。使用JWT实现Spring Security解决方案可以提供更加强大和灵活的身份验证和授权功能。 [2 [3<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证](https://blog.csdn.net/qing_gee/article/details/124016059)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [单点登录SSO解决方案之SpringSecurity+JWT实现.docx](https://download.csdn.net/download/njbaige/34581331)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值