springboot+springsecurity+jwt

最新推荐文章于 2024-04-20 11:00:00 发布
最新推荐文章于 2024-04-20 11:00:00 发布
阅读量352 收藏
点赞数
分类专栏: Java 文章标签: jwt java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43213137/article/details/104642733
版权

什么是JWT——What is JSON Web Token?

首先JWT全称是JSON Web Token,它是根据开放标准RFC7519所定义的一个紧凑和独立的在各方安全的传输信息的JSON格式对象。它所传递的信息能够被验证和信任,因为它是数字签证。
以上是官方解释,大白话就是它是来做安全认证的,客户端和服务端的身份认证,可以通过JSON Web Token来做,当然使用springsecurity是足够的,但是springsecurity在进行跨域认证上就有些麻烦了。一般如果是跨域认证的话,spring security需要做session共享,配置一台专门的session共享服务器,该服务器保存连接的用户session信息,通过该服务器认证后即可访问相应的应用服务器。
典型的应用代表:单点登录,我怎么样在一个服务里访问另外一个服务,而不用再去重新登陆呢?session共享就可以做到了。

什么是跨域身份验证

互联网服务无法与用户身份验证分开。一般过程如下。
1.用户向服务器发送用户名和密码。
2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。
3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。
4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。
5.服务器收到session_id并对比之前保存的数据,确认用户的身份
这种模式最大的问题是,没有分布式架构,无法支持横向扩展。如果使用一个服务器,该模式完全没有问题。但是,如果它是服务器群集或面向服务的跨域体系结构的话,则需要一个统一的session数据库库来保存会话数据实现共享,这样负载均衡下的每个服务器才可以正确的验证用户身份。
一种解决方案是听过持久化session数据,写入数据库或文件持久层等。收到请求后,验证服务从持久层请求数据。该解决方案的优点在于架构清晰,而缺点是架构修改比较费劲,整个服务的验证逻辑层都需要重写,工作量相对较大。而且由于依赖于持久层的数据库或者问题系统,会有单点风险,如果持久层失败,整个认证体系都会挂掉。

如何使用JWT来实现跨域身份认证呢?

  • JWT的特征和结构
    Header——头部

    例如:
{
  "alg": "HS256",//这个表示加密的算法,算法可以自由选择一共有九种,可查询官网
  "typ": "JWT"//标识,可选
}
这部分定义好后需要Base64Url进行编码

    Payload——有效载荷

The second part of the token is the payload, which contains the
claims. Claims are statements about an entity (typically, the user)
and additional data. There are three types of claims: registered,
public, and private claims.

这部分是啥呢?其实这部分包含了claims,这个东西其实就像相当于响应体/请求体一样,里面包含了用户实体和附加信息数据。例如:用户的角色名,签证时间,过期时间,密钥id等等。

{
  "sub": "1234567890",//一个标识,可选内容自定
  "name": "John Doe",//用户名
  "admin": true//是否是管理员角色
}
这部分内容可自定义根据实际情况来
这部分内容定义好后也需要Base64Url进行编码

Signature——签名

To create the signature part you have to take the encoded header, the
encoded payload, a secret, the algorithm specified in the header, and
sign that. For example if you want to use the HMAC SHA256 algorithm,
the signature will be created in the following way:

该部分创建包含了头部编码和payload编码和一个密钥,密钥的算法定义在头部。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

将三部分放在一起,经过Base64Url编码后的一串字符串格式如下:
在这里插入图片描述
三部分分别由“.”隔开,代表了头部,有效载荷,密钥。
以上就是jwt大概的一个结构。

JWT在项目中的使用

在项目中使用之前还需要明白两个概念:

  • 有状态登陆
    有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理&#
最低0.47元/天 解锁文章
Zdde_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security学习笔记
Shawn的个人博客
05-09 1892
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
SpringBoot+SpringSecurity+JWT整合
seeyouagain_的博客
01-04 9918
SpringSecurity入门简单案例适合新手学习
Spring Boot 3 + JWT + Security 联手打造安全帝国:一篇文章让你掌握未来!
最新发布
wangluoanquan111的博客
04-20 845
已经成为java后台权限校验的第一选择.今天就通过读代码的方式带大家深入了解一下Security,本文主要是基于开源项目[spring-security)来讲解Spring Security + JWT(Json Web Token).实现用户鉴权,以及权限校验.所有代码基于jdk17+构建.现在让我们开始吧!BCryptMaven从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
springboot+springsecurity的基础上+JWT(私钥加密,公钥解密)
furenqiang的博客
12-23 3353
一、已经完成了springboot+springsecurity的工作若没完成,请移步 security的使用:三个工具类 ,放在项目专门存放工具类的包下面 (1)、jwtUtils.java: JWT生成TOKEN package com.aliyun.vuelogin.util; import com.aliyun.vuelogin.common.Payload; import io.js...
Spring Boot+Spring Security+JWT实现系统认证与授权
Cloud-Future的博客
08-03 2926
Spring Boot+Spring Security+JWT实现系统认证与授权 Spring Boot整合Spring Security实现JWT认证 Spring Boot项目使用JWT认证 JWT认证 OAuth2 JWT认证
Spring Boot + security + jwt 测试安全策略
坚持就是胜利的博客
01-29 687
一、测试概述 主要目的是测试security的用法。 因测试搭建mysql和redis比较麻烦,所以我这里将自定义的jwt和用户信息缓存到程序的内存中。 本人测试的项目比较混乱,Spring Boot父类只标出有用的依赖。其子类用的版本为jdk11。 整体代码结构: 二、maven 相关依赖 1、父类maven相关依赖 <properties> <project.build.sourceEncoding>UTF-8</project.build.s
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
SpringBoot+SpringSecurity+jwt整合详解 SpringBoot是当前最流行的Java框架之一,它提供了便捷的方式来构建基于Web的应用程序。然而,在构建Web应用程序时,安全性是不可忽视的重要方面。因此,本文将详细介绍如何...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
1.传统spring boot框架 2.security框架 3.jwt取代session 4.mybatis-plus+mysql【sql文件项目中有】 5.不想下载,可以看博客,博客中有写
SpringSecurity学习(Springboot+SpringSecurity+Jwt
liaguaya的博客
04-20 505
一、简介 1、什么是SpringSecurity SpringSecuritySpring家族的一个安全性框架。相比与Shiro,它提供了更多的功能。 一般来说中大型项目都使用SpringSecurity作为安全框架。小项目用Shiro比较多,因为Shiro相对于SpringSecurity更加容易上手。 一般Web应用需要认证和授权。 认证:验证访问系统的是不是本系统的用户,而且要确认具体是哪个用户。 授权:经过认证后,如果该用户想访问该系统资源,要判断是否有权限访问。 2、如何引入Spring
SpringBoot + SpringSecurity + JWT
飘然生的博客
01-24 1107
一、pom依赖 1.POM依赖 <!--security--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.2.4.RELEASE&l
SpringBoot整合SpringSecurity+JWT
qq_43975645的博客
07-18 665
注意:SIGNATURE是生成token的公钥,当外部token进来时需要公钥解密。
Springboot集成SecurityJWT
qq1016499728博客
11-28 1026
Springboot版本2.3.3 pom依赖 <!--security+JWT--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <gro
Springboot+SpringSecurity+JWT整合
weixin_43985693的博客
02-19 404
Springboot+SpringSecurity+JWT整合 一、什么是SpringSecurityJWT SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。 为Java应用程序提供身份验证和授权 JWT(JSON Web Token)目前最流行的跨域认证解决方案。 参考资料: SpringSecurity原理剖析与权限系统设计 JSON Web Token 入门教程 二、为什么用SpringSecurit+JWT实现授权验证 基于session的认证 ht
spring-boot + spring-security + jwt 实现前后端分离的权限管理
weixin_53100045的博客
09-16 791
基于 spring-boot + spring-security + jwt 的前后端分离的权限管理
SpringBoot + SpringSecurity + JWT认证
Eden 的博客
08-13 131
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。至此,spring-security 整合 jwt 认证 就已经完成了。负载中包含了所有用户所需要的信息,避免了多次查询数据库。application.properties 配置。简洁(Compact)
SpringBoot中使用SpringSecurity+JWT
qq_42757083的博客
04-05 637
一、JWT 前提知识 1.1. 对称加密,非对称加密,加盐。 1.2. 报文鉴别,数字签名,身份认证等数据安全。 1.3. jwt介绍 JWT的作用 2.1. 就是把签证解密之后与头部和载荷对应,从而确认身份。 二、SpringSecurity 前提知识 1.1. 了解是什么,知道自定义登陆等 三、实践 添加依赖 <!-- springSecurity依赖:安全框架--> <dependency>
SpringBoot+SpringSecurity+JWT
09-19
SpringBootSpringSecurity的结合中,可以使用JWT来实现认证和授权的功能。 为了在SpringBoot中使用SpringSecurityJWT,你需要进行以下几个步骤: 1. 引入相关依赖:在项目的pom.xml文件中添加SpringSecurity...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值