项目实战(JWT登录,认证信息中的当事人信息,跨域请求和预检信息)

最新推荐文章于 2023-07-20 21:23:17 发布
最新推荐文章于 2023-07-20 21:23:17 发布
阅读量299 收藏 1
点赞数
文章标签: spring java Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43121885/article/details/127602664
版权

50. 关于JWT(续)

JWT是不安全的,因为在不知道secretKey的情况下,任何JWT都是可以解析出Header、Payload部分的,这2部分的数据并没有做任何加密处理,所以,如果JWT数据被暴露,则任何人都可以从中解析出Header、Payload中的数据!

至于JWT中的secretKey,及生成JWT时使用的算法,是用于对Header、Payload执行签名算法的,JWT中的Signature是用于验证JWT真伪的。

当然,如果你认为有必要的话,可以自行另外使用加密算法,将Payload中应该封装的数据先加密,再用于生成JWT!

另外,如果JWT数据被泄露,他人使用有效的JWT是可以正常使用的!所以,通常,在相对比较封闭的操作系统(例如智能手机的操作系统)中,JWT的有效时间可以设置得很长,但是,不太封闭的操作系统(例如PC端的操作系统)中,JWT的有效时间应该相对较短。

所以,在JWT时,需要注意:

  • 根据你所需的安全性,来设置JWT的有效时间
  • 不要在JWT中存放敏感数据,例如:手机号码、身份证号码、明文密码
  • 如果一定要在JWT中存放敏感数据,应该自行使用加密算法处理过后再用于生成JWT

51. 登录成功时生成并响应JWT

在使用JWT的项目,用户登录就相当于现实生活乘车之前购买火车票的过程,所以,当用户登录成功时,需要生成对应的JWT数据,并响应到客户端。

首先,需要修改IAdminService接口中处理登录的抽象方法的声明,将返回值类型改为String,表示将返回成功登录的JWT数据:

/**
 * 管理员登录
 *
 * @param adminLoginDTO 封装了管理员的登录信息的对象
 * @return 成功登录的JWT数据
 */
String login(AdminLoginDTO adminLoginDTO);

然后,在AdminServiceImpl实现类中,也修改重写的方法的声明,并且,在登录成功后,生成、返回JWT数据:

log.debug("准备生成JWT数据");
Map<String, Object> claims = new HashMap<>();
// claims.put("id", null); // 向JWT中封装id
claims.put("username", adminLoginDTO.getUsername()); // 向JWT中封装username

String secretKey = "kns439a}fdLK34jsmfd{MF5-8DJSsLKhJNFDSjn";
Date expirationDate = new Date(System.currentTimeMillis() + 10 * 24 * 60 * 60 * 1000);
String jwt = Jwts.builder()
        .setHeaderParam("alg", "HS256")
        .setHeaderParam("typ", "JWT")
        .setClaims(claims)
        .setExpiration(expirationDate)
        .signWith(SignatureAlgorithm.HS256, secretKey)
        .compact();
log.debug("返回JWT数据:{}", jwt);
return jwt;

提示:以上代码并不是最终版本。

最后,在AdminController中,还需要响应JWT数据:

// http://localhost:9081/admins/login
@PostMapping("/login")
public JsonResult<String> login(AdminLoginDTO adminLoginDTO) {
    log.debug("开始处理【管理员登录】的请求,参数:{}", adminLoginDTO);
    String jwt = adminService.login(adminLoginDTO);
    return JsonResult.ok(jwt);
}

完成后,重启项目,可以在API文档中测试访问,当登录成功后,响应的结果大致是:

{
  "state": 20000,
  "data": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2NjY0ODk1NjMsInVzZXJuYW1lIjoic3VwZXJfYWRtaW4ifQ.T5wnIVFk-AhvxPETloDsSgx46vdV45Y3BRk1_0oc3CM"
}

关于处理认证的细节

当调用了AuthenticationManager对象的authenticate()方法,且通过认证后,此方法将返回Authentication接口类型的对象,此对象的具体类型是UsernamePasswordAuthenticationToken,此对象中包含名为Principal(当事人)的属性,值为UserDetailsService对象中loadUserByUsername()返回的对象!

另外,目前在UserDetailsServiceImpl中返回的UserDetails接口类型的对象是User类型的,此类型没有id属性,如果需要向JWT中封装id甚至其它属性,必须自定义类,继承自User或实现UserDetails接口,在自定义类中补充声明所需的属性,并在UserDetailsServiceImpl中返回自定义类的对象,则处理认证通过后,返回的Authentication中的Principal就是自定义类的对象!

security包中创建AdminDetails类,继承自User对其进行扩展:

@Setter
@Getter
@EqualsAndHashCode
@ToString(callSuper = true)
public class AdminDetails extends User {

    private Long id;

    public AdminDetails(String username, String password, boolean enabled,
                        Collection<? extends GrantedAuthority> authorities) {
        super(username, password, enabled,
                true, true, true,
                authorities);
    }

}

UserDetailsServiceImpl中,调整为返回AdminDetails类型的对象:

@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
    log.debug("Spring Security调用了loadUserByUsername()方法,参数:{}", s);
    AdminLoginInfoVO loginInfo = adminMapper.getLoginInfoByUsername(s);
    log.debug("从数据库查询与用户名【{}】匹配的管理员信息:{}", s, loginInfo);

    if (loginInfo == null) {
        log.debug("此用户名【{}】不存在,即将抛出异常");
        String message = "登录失败,用户名不存在!";
        throw new BadCredentialsException(message);
    }

    // ===== 以下是调整的内容 =====
    List<GrantedAuthority> authorities = new ArrayList<>();
    GrantedAuthority authority = new SimpleGrantedAuthority("这是一个山寨的权限标识");
    authorities.add(authority);

    AdminDetails adminDetails = new AdminDetails(
            loginInfo.getUsername(), loginInfo.getPassword(),
            loginInfo.getEnable() == 1, authorities);
    adminDetails.setId(loginInfo.getId());

    log.debug("即将向Spring Security返回UserDetails接口类型的对象:{}", adminDetails);
    return adminDetails;
}

经过以上调整,当AuthenticationManager执行authenticate()认证方法后,如果登录成功,返回的Authentication中的Principal就是以上返回的AdminDetails对象,则可以从中获取idusername等数据,用于生成JWT数据,则在AdminServiceImpl中的login()方法中:

@Override
public String login(AdminLoginDTO adminLoginDTO) {
    log.debug("开始处理【管理员登录】的业务,参数:{}", adminLoginDTO);
    // 调用AuthenticationManager对象的authenticate()方法处理认证
    Authentication authentication
            = new UsernamePasswordAuthenticationToken(
                    adminLoginDTO.getUsername(), adminLoginDTO.getPassword());
    Authentication authenticateResult
            = authenticationManager.authenticate(authentication);
    log.debug("执行认证成功,AuthenticationManager返回:{}", authenticateResult);
    Object principal = authenticateResult.getPrincipal();
    log.debug("认证结果中的Principal数据类型:{}", principal.getClass().getName());
    log.debug("认证结果中的Principal数据:{}", principal);
    AdminDetails adminDetails = (AdminDetails) principal;

    log.debug("准备生成JWT数据");
    Map<String, Object> claims = new HashMap<>();
    claims.put("id", adminDetails.getId()); // 向JWT中封装id
    claims.put("username", adminDetails.getUsername()); // 向JWT中封装username

    String secretKey = "kns439a}fdLK34jsmfd{MF5-8DJSsLKhJNFDSjn";
    Date expirationDate = new Date(System.currentTimeMillis() + 10 * 24 * 60 * 60 * 1000);
    String jwt = Jwts.builder()
            .setHeaderParam("alg", "HS256")
            .setHeaderParam("typ", "JWT")
            .setClaims(claims)
            .setExpiration(expirationDate)
            .signWith(SignatureAlgorithm.HS256, secretKey)
            .compact();
    log.debug("返回JWT数据:{}", jwt);
    return jwt;
}

至此,当客户端向服务器端提交登录请求,且登录成功后,将得到服务器端响应的JWT数据,此JWT中包含了idusername

解析JWT

当客户端已经登录成功并得到JWT,相当于现实生活中某人已经成功购买到了火车票,接下来,此人应该携带火车票去乘车,在程序中,就表现为:客户端应该携带JWT向服务器端提交请求。

关于客户端携带JWT数据,业内惯用的做法是客户端应该将JWT放在请求头(Request Headers)中名为Authorization的属性中。

在服务器端,通常使用过滤器组件来解析JWT数据。

在项目的根包下创建JwtAuthorizationFilter

package cn.tedu.csmall.passport.filter;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

/**
 * JWT认证过滤器
 *
 * <p>Spring Security框架会自动从SecurityContext读取认证信息,如果存在有效信息,则视为已登录,否则,视为未登录</p>
 * <p>当前过滤器应该尝试解析客户端可能携带的JWT,如果解析成功,则创建对应的认证信息,并存储到SecurityContext中</p>
 *
 * @author java@tedu.cn
 * @version 0.0.1
 */
@Slf4j
@Component
public class JwtAuthorizationFilter extends OncePerRequestFilter {

    public static final int JWT_MIN_LENGTH = 100;

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain filterChain) throws ServletException, IOException {
        // 尝试获取客户端提交请求时可能携带的JWT
        String jwt = request.getHeader("Authorization");
        log.debug("接收到JWT数据:{}", jwt);

        // 判断是否获取到有效的JWT
        if (!StringUtils.hasText(jwt) || jwt.length() < JWT_MIN_LENGTH) {
            // 直接放行
            log.debug("未获取到有效的JWT数据,将直接放行");
            filterChain.doFilter(request, response);
            return;
        }

        // 尝试解析JWT,从中获取用户的相关数据,例如id、username等
        log.debug("将尝试解析JWT……");
        String secretKey = "kns439a}fdLK34jsmfd{MF5-8DJSsLKhJNFDSjn";
        Claims claims = Jwts.parser().setSigningKey(secretKey).parseClaimsJws(jwt).getBody();
        Long id = claims.get("id", Long.class);
        String username = claims.get("username", String.class);
        log.debug("从JWT中解析得到数据:id={}", id);
        log.debug("从JWT中解析得到数据:username={}", username);

        // 将根据从JWT中解析得到的数据来创建认证信息
        List<GrantedAuthority> authorities = new ArrayList<>();
        GrantedAuthority authority = new SimpleGrantedAuthority("这是一个山寨的权限标识");
        authorities.add(authority);
        Authentication authentication = new UsernamePasswordAuthenticationToken(
                username, null, authorities);

        // 将认证信息存储到SecurityContext中
        SecurityContext securityContext = SecurityContextHolder.getContext();
        securityContext.setAuthentication(authentication);

        // 放行
        filterChain.doFilter(request, response);
    }

}

完成后,还需要在SecurityConfiguration中自动装配自定义的JWT过滤器:

@Autowired
JwtAuthorizationFilter jwtAuthorizationFilter;

并在configurer()方法中补充:

// 将自定义的JWT过滤器添加在Spring Security框架内置的过滤器之前
http.addFilterBefore(jwtAuthorizationFilter, UsernamePasswordAuthenticationFilter.class);

52. 关于认证信息中的Principal

关于SecurityContext中的认证信息,应该包含当事人(Principal)和权限(Authorities),其中,当事人(Principal)被声明为Object类型的,则可以使用任意数据类型作为当事人!

在使用了Spring Security框架的项目中,当事人的数据是可以被注入到处理请求的方法中的!所以,使用哪种数据作为当事人,主要取决于“你在编写控制器中处理请求的方法时,需要通过哪些数据来区分当前登录的用户”。

通常,使用自定义的数据类型作为当事人,并在此类型中封装关键数据,例如idusername等。

则在security包下创建LoginPrincipal类:

@Data
public class LoginPrincipal implements Serializable {
    private Long id;
    private String username;
}

在JWT过滤器创建认证信息时,使用以上类型的对象作为认证信息中的当事人:

LoginPrincipal loginPrincipal = new LoginPrincipal(); // 新增
loginPrincipal.setId(id); // 新增
loginPrincipal.setUsername(username); // 新增

// 注意:以下调用构造方法时,第1个参数是以上创建的对象
Authentication authentication = new UsernamePasswordAuthenticationToken(
        loginPrincipal, null, authorities);

完成后,在当前项目任何控制器中任何处理请求的方法上,都可以添加@AuthenticationPrincipal LoginPrincipal loginPrincipal参数(与原有的其它参数不区分先后顺序),此参数的值就是以上过滤器中存入到认证信息中的当事人,所以,可以通过这种做法,在处理请求时识别当前登录的用户:

@ApiOperation("删除管理员")
@ApiOperationSupport(order = 200)
@ApiImplicitParam(name = "id", value = "管理员id", required = true, dataType = "long")
@PostMapping("/{id:[0-9]+}/delete")
public JsonResult<Void> delete(@PathVariable Long id,
        // ===== 以下是新增的方法参数 =====
        @ApiIgnore @AuthenticationPrincipal LoginPrincipal loginPrincipal) {
    log.debug("开始处理【删除管理员】的请求,参数:{}", id);
    log.debug("当前登录的当事人:{}", loginPrincipal); // 新增,可以控制台观察数据
    adminService.delete(id);
    return JsonResult.ok();
}

53. 关于CORS与PreFlight

如果客户端向服务器端提交请求,在跨域的前提下,如果提交的请求配置了请求头中的非典型参数,例如配置了Authorization,此请求会被视为“复杂请求”,则会要求执行“预检”(PreFlight),如果预检不通过,则会导致跨域请求错误!

关于预检,浏览器会自动向服务器端提交OPTIONS类型的请求执行预检,为了确保预检通过,不影响处理正常的请求,需要在SecurityConfigurationconfigurer()方法中对预检请求放行,可以采取的解决方案有:

http.authorizeRequests()
                .antMatchers(urls)
                .permitAll()

                // 以下2行代码是用于对预检的OPTIONS请求直接放行的
                .antMatchers(HttpMethod.OPTIONS, "/**")
                .permitAll()

                .anyRequest()
                .authenticated();

或者,也可以:

http.cors(); // 启用Spring Security框架的处理跨域的过滤器,此过滤器将放行跨域请求,包括预检的OPTIONS请求

则客户端可以携带复杂请求头进行访问:

loadAdminList() {
  console.log('loadAdminList ...');
  let url = 'http://localhost:9081/admins';
  console.log('url = ' + url);
  this.axios
      .create({
        'headers': {
          'Authorization': localStorage.getItem('jwt')
        }
      })
      .get(url).then((response) => {
    let responseBody = response.data;
    console.log(responseBody);
    this.tableData = responseBody.data;
  });
}
专注摸鱼的汪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
jwt 登录实战
weixin_45462385的博客
11-24 192
jwt是在网络应用环境间传递声明而执行的一种基于JSON的开放标准的token, 被用于 认证, 加密。 第一部分我们称它为 头部(header), 第二部分我们称其为 载荷(payload), 第三部分是 签证(signature). 莫欺少年穷,必有出头日。 @Data/、。。。vo层 public class SysUser { private String id; private String username; private String pas
后台实战——用户登录JWT
热门推荐
itKingOne的博客
03-26 1万+
现在的app往往会有登录功能,一般移动端app登录后都会得到一个token,今天就将token的一种实现方式Json Web Token(JWT),对于不了解JWT的同学可以参考这里,这里还有一个在线的的JWT生成器。在java要使用jwt,需要pom.xml添加如下依赖[html] view plain copy&lt;dependency&gt;      &lt;groupId&gt;c...
JWT实战
wh柒八九的博客
06-27 385
本文来说下JWT的实战部分 文章目录概述 概述 前面说了很多JWT的理论知识,本文先来说下在java环境如何使用JWT
预检请求
weixin_34372728的博客
01-22 763
不久前在公司写了一个基于 Hapijs 的后端项目,感觉这个框架很有自己的特点,跟 Express 和 Koa 的区别比较大,体现了配置大于编码的思想。用起来很方便,据说 Walmart 团队用这个框架扛住了黑五的流量,看起来在实际项目也有可用性,推荐大家尝试一下~ 有点跑题了,这篇文章主要写我在开发过程所遇到的一个问题,以及我从这个问题所学习到的东西,然后我是怎么解决这个问题的。 一、问题...
某宝购买springClode一整套实战项目源代码+视频、auth2.0+jwt认证权限
02-25
某宝购买springClode一整套实战项目源代码+视频,包含技术:Eureka、Feign、Zuul、Config、Ribbon、Hystrix;权限认证:auth2.0+jwt;消息间件:rebbitMQ, 注:当的视频是整个项目的难点和技术点的介绍,通俗易懂值得收藏
django使用JWT保存用户登录信息
09-17
主要介绍了Django使用jwt获取用户信息的实现方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Django如何使用jwt获取用户信息
09-17
主要介绍了Django如何使用jwt获取用户信息,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot使用Jwt处理跨域认证问题的教程详解
08-19
主要介绍了SpringBoot使用Jwt处理跨域认证问题,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
详解使用JWT实现单点登录(完全跨域方案)
10-16
主要介绍了详解使用JWT实现单点登录(完全跨域方案),文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT简单介绍与使用
weixin_51980047的博客
07-27 2178
JWT简单介绍与使用
SpringBoot 集成jwt 实现token验证
qq_41670021的博客
03-27 3995
来点直接的: github上已经发布了相关的源码:https://github.com/78654Majesty/user谢谢你的关注和点赞 谢谢! 什么是jwtJWT官网:https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt Json web token (JWT), 是为了在网络应用环...
JWT的基本使用
最新发布
weixin_58286934的博客
07-20 168
JSON Web Token,简称JWT。通过数字签名的方式,以JSON对象为载体,在不同的服务终端之间安全的传输信息。//创建对象setHeaderParam() //设置Header部参数claim() //设置Payload 部参数setExpiration() //设置失效时间signWith() //设置signature部参数compact() //构建方法。
采用shiro实现方法授权(三)
可能没带脑子,所以要记下来
12-14 229
6.一般操作都有对数据的增删改查,这次就介绍利用shiro控制管理员是否有操作权限   上一篇写到 MyRealm 通过继承AuthorizingRealm的方式实现,数据的验证,这篇重写方法 doGetAuthorizationInfo,实现对管理员权限的设置 在shiro的xml文件里配置需要拦截的路径,并定义标识符deleted,即在java文件里需要设置权限的标识符(添加删除权限del...
最简单易懂的Spring Security 身份认证流程讲解
Firstlucky77的博客
06-06 876
最简单易懂的Spring Security 身份认证流程讲解导言 相信大伙对Spring Security这个框架又爱又恨,爱它的强大,恨它的繁琐,其实这是一个误区,Spring Security确实非常繁琐,繁琐到让人生厌。讨厌也木有办法呀,作为JavaEE的工程师们还是要面对的,在开始之前,先打一下比方(比方好可怜):Spring Security 就像一个行政服务心,如果我们去里面办事,可以办啥事呢?可以小到咨询简单问题、查询社保信息,也可以户籍登记、补办身份证,同样也可以大到企业事项、各种复杂的资
Spring Security:身份验证令牌Authentication介绍与Debug分析
kaven
01-21 1万+
Spring Security,通过Authentication来封装用户的验证信息以及用户验证实现,Authentication可以是需要验证和已验证的用户信息封装。接下来,博主介绍Authentication接口及其实现类。 Authentication Authentication接口源码(Authentication接口继承Principal接口,Principal接口表示主体的抽象概念,可用于表示任何实体): package org.springframework.security.core;
前后端分离
纸鸢栀年°的博客
08-31 1360
1,前后端分离 1.1 什么是前后端分离 ​ 前端: 即客户端,负责渲染用户显示界面【如web的js动态渲染页面, 安卓, IOS,pc客户端等】 ​ 后端:即服务器端,负责接收http请求,处理数据 ​ API:Application Programming Interface 是一些预先定义的函数,或指软件系统不同组成部分衔接的约定 ​ 前后端分离 完整请求过程 ​ 1,前端通过h...
关于如何处理SpringBoot使用token鉴权出现的跨域以及预检请求问题
qq_37743065的博客
07-12 3112
一、如何解决springboot跨域问题 最近公司新接手的关于众包项目,springboot2.0版本开发,接口使用了jwt鉴权功能,在前后端分离的写法,前端在调用需要鉴权功能的接口时都会出现跨域请求的问题,找了各种解决方法,记录一下。 话不多说直接说解决方法,同事给我的解决办法 1、在方法添加注解==@CrossOrigin== 当然也可以直接在Controller头部添加此注解,这样就可...
jwt java 项目实例_springboot JWT项目实战demo
weixin_27923353的博客
02-16 576
本文是一篇实战demo,使用框架为io.jsonwebtoken的jjwt。你会了解到token的生成,解析过程,最后将在项目体验jwt的使用过程。如果不是很了解jwt,可以参考以下文章补充一下。目录1、引入所用到的库io.jsonwebtokenjjwt-api0.11.2io.jsonwebtokenjjwt-impl0.11.2runtimeio.jsonwebtokenjjwt-jack...
spring cloud gateway JWT 登录用户信息如何存放用户微服务获取记录操作人
07-08
1. 在需要获取操作人信息的微服务,配置JWT验证过滤器。这个过滤器会在请求到达微服务之前进行JWT的验证和解析。 2. 在JWT验证过滤器,解析JWT,并从获取用户信息。你可以使用一些库或工具来帮助你解析JWT,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

专注摸鱼的汪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值