Spring Security 结合 Jwt 实现无状态登录

最新推荐文章于 2024-02-21 20:04:26 发布
最新推荐文章于 2024-02-21 20:04:26 发布
阅读量924 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43523875/article/details/105574822
版权

Spring Security 结合 Jwt 实现无状态登录

首先

什么是有状态

什么是无状态

江南一点雨

如何实现无状态

无状态登录的流程:

  • 首先客户端发送账户名/密码到服务端进行认证
  • 认证通过后,服务端将用户信息加密并且编码成一个 token,返回给客户端
  • 以后客户端每次发送请求,都需要携带认证的 token
  • 服务端对客户端发送来的 token 进行解密,判断是否有效,并且获取用户登录信息

JWT实例

一,Spring Security 配置

/**
 * @program: security01
 * @author: Mr-Jies
 * 
 **/
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/hello").hasRole("user")
                .antMatchers("/admin").hasRole("admin")
                .anyRequest().authenticated()
                .and()
                .addFilterBefore(new JwtLoginFilter("/login",authenticationManager()), UsernamePasswordAuthenticationFilter.class)
                .addFilterBefore(new JwtFilter(),UsernamePasswordAuthenticationFilter.class)
                .csrf().disable();
    }

    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("admin")
                .password(new BCryptPasswordEncoder().encode("123"))
                .roles("admin")
                .and()
                .withUser("jie")
                .password(new BCryptPasswordEncoder().encode("jie"))
                .roles("user");
    }
}

二,JWT 过滤器配置

1,用户登录的过滤器
/**
 * @program: security01
 * @author: Mr-Jies
  用户登录的过滤器,在用户的登录的过滤器中校验用户是否登录成功,
 *          如果登录成功,则生成一个token返回给客户端,登录失败则给前端一个登录失败的提示。
 * 
 **/

public class JwtLoginFilter extends AbstractAuthenticationProcessingFilter {


    public JwtLoginFilter(String defaultFilterProcessesUrl, AuthenticationManager authenticationManager) {
        super(defaultFilterProcessesUrl);
        setAuthenticationManager(authenticationManager);
    }

    //自动校验
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {
        User user = new ObjectMapper().readValue(request.getInputStream(), User.class);
//        从登录参数中提取出用户名密码,然后调用AuthenticationManager.authenticate()方法去进行自动校验。
        return getAuthenticationManager().authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword()));
    }

    //校验成功
    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response,
                                            FilterChain chain, Authentication authResult) throws IOException, ServletException {

        Collection<? extends GrantedAuthority> authorities = authResult.getAuthorities();
        StringBuffer as = new StringBuffer();
        //将用户角色遍历然后用一个 , 连接起来,
        for (GrantedAuthority authority : authorities) {
            as.append(authority.getAuthority()).append(",");
        }
        // 然后再利用Jwts去生成token,按照代码的顺序,生成过程一共配置了四个参数,
        //分别是用户角色、主题、过期时间以及加密算法和密钥,
        String jwt = Jwts.builder()
                .claim("authorities",as)
                .setSubject(authResult.getName())
                .setExpiration(new Date(System.currentTimeMillis()+10*60*1000))
                .signWith(SignatureAlgorithm.HS512,"wuweijie")
                .compact();
        // 然后将生成的token写出到客户端
        response.setContentType("application/json;charset=utf-8");
        PrintWriter writer = response.getWriter();
        writer.write(new ObjectMapper().writeValueAsString(jwt));
        writer.flush();
        writer.close();
    }

    //校验失败
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
        response.setContentType("application/json;charset=utf-8");
        PrintWriter writer = response.getWriter();
        writer.write("登录失败!");
        writer.flush();
        writer.close();
    }
}
2,校验token的过滤器
/**
 * @program: security01
 * @author: Mr-Jies
 * 
 * 当其他请求发送来,校验token的过滤器,如果校验成功,就让请求继续执行
 **/

public class JwtFilter extends GenericFilterBean {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        //首先从请求头中提取出 authorization 字段,这个字段对应的value就是用户的token。
        String jwtToken = request.getHeader("authorization");
        System.out.println("authorities:"+jwtToken);
        //将提取出来的token字符串转换为一个Claims对象,
        Claims claims = Jwts.parser()
                .setSigningKey("wuweijie")
                .parseClaimsJws(jwtToken.replace("Bearer",""))
                .getBody();
        //再从Claims对象中提取出当前用户名和用户角色,
        String username = claims.getSubject();
        List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList((String) claims.get("authorities"));
        //创建一个UsernamePasswordAuthenticationToken放到当前的Context中,
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, null, authorities);
        SecurityContextHolder.getContext().setAuthentication(token);
        //然后执行过滤链使请求继续执行下去
        filterChain.doFilter(request,servletResponse);

    }
}

测试

控制层

@RestController
public class HelloController {
    @GetMapping("/hello")
    public String hello() {
        return "hello jwt !";
    }
    @GetMapping("/admin")
    public String admin() {
        return "hello admin !";
    }
}

开始~

在这里插入图片描述
将服务器返回的token数据加入到 hello的请求中 就可以顺利访问 hello 了
在这里插入图片描述

SimpleAndComplex
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot__JWT状态服务和Spring Security登入认证
qq_37432174的博客
08-14 1073
JWT(Java Web Token):是一种没有和任何语言绑定的可以实现状态、分布式的web应用授权和身份认证的JSON风格轻量级规范。 JWT的数据格式 三部分: Header头部:头部进行Base64Url编码(可解码),得到第一部分数据。 Payload载荷:也会用Base64Url编码,得到第二部分数据。 Signature签名:签名,是整个数据的认证信息。 再来聊聊什么是有状态服务和...
jwt需要存redis吗_想让 OAuth2 和 JWT 在一起愉快玩耍?请看松哥的表演
weixin_39875842的博客
12-03 1631
今日干货刚刚发表查看:66666回复:666公众号后台回复 ssm,免费获取松哥纯手敲的 SSM 框架学习干货。本文是我们 OAuth2 系列的第五篇,通过前面四篇文章相信大家对于 OAuth2 中的各种授权登录流程已经轻车熟路了。前面的文章松哥侧重于和大家理清楚 OAuth2 的登录流程,对于一些登录细节则没有去深究,接下来松哥会和大家把这些案例一一进行晚上。本文依然是在前面案例的基础...
SpringSecurity 一文彻底掌握
无奈朝来寒雨晚来风 的博客
05-13 622
大致的认证流程是从 `UsernamePasswordAuthenticationFilter` 开始, UsernamePasswordAuthenticationFilter 继承了 `AbstractAuthenticationProcessingFilter` 当登录请求过来时会调用 父类 AbstractAuthenticationProcessingFilter 的 doFilter 方法,然后判断 `if (!this.requiresAuthentication(request, respo
使用JWT实现状态登录验证
最新发布
sean的博客
02-21 882
使用JSON Web Token(JWT实现登录认证是一种常见的无状态身份验证机制,它允许服务器在一次登录后向客户端发送一个签名的令牌,客户端随后可以在每次请求中携带这个令牌以证明其身份。以下是JWT实现登录认证的一种方式(使用手机+验证码登录例子)。
JavaWeb七---Filter、json、ajax、Maven
xiongmaogaizi的博客
12-27 177
未使用filter前 方法一:在jsp页面中,检查用户是否有登录信息 有局限性---只能在jsp页面中过滤 Filter: 1. 创建filter实现Filter ---------- 导包 Filter javax.servlet包下的2. 重写doFilter方法-----获取session判断用户是否满足登录信息3. 配置filter程序要拦截的路径 用户登录请求到admin下面的所有页面,都将经过filter过滤器---->进入到d...
No bean named 'springSecurityFilterChain' available 问题
Krismile_的博客
06-20 4728
我是在刚搭建好框架,运行Tomcat的时候Tomcat运行失败,查询Tomcat Localhost Log之后,看到这个错误信息。 我的解决方法是在web.xml中一个含有springSecurityFilterChain的<filter>的配置删掉了,问题就解决了。 ...
Spring Security源码剖析从入门到精通.跟学尚硅谷(一)
心向阳光的天域的博客
04-08 877
Spring Security框架入门,CSRF保护、Spring Security的注解Spring Security的Web权限方案
10-SpringSecurityJWT及无状态服务
Heartsuit的博客
01-13 702
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验 SpringSecurity 的各项Feature。 会话管理,是一个比较大的话题,大家熟知的Cookie-Session模式就忽略掉,今天重点介绍无状态会话:基于令牌的JWT(JSON Web Token),适用于微服务架构的会话管理方式;后续会涉及计到Session共享、OAuth2.0等关于分布式集群的会话管理。 JWT简介 关于JWT的介绍,网上资源有很多,可参考:https://jwt.io/introduction,简单来
SpringSecurity状态JWT验证
Doub1's Blog
06-22 775
SpringSecurity 改为无状态 JWT验证引言pom.xmlSecurity Config编写JWTUtils 用来创建和解析JWT控制器 写login方法,返回JWTJWTAuthenticationFilter 自定义过滤器 引言 朋友问到JWT的东西,其实这个东西很简单,只是将信息加密,以后前端访问带着这端信息过来,我们只需要解密后匹配一次看看信息是否正确即可。 必须使用JWT吗? JWT只是一种规范,事实上你可以使用任何格式进行加密,没有必须让你写成json后加密。你可以将信息按照自己的格
使用Spring Security的多租户应用程序的无状态会话
最佳 Java 编程
05-24 1256
从前, 我发表了一篇文章,解释了构建无状态会话的原理 。 巧合的是,我们再次针对多租户应用程序执行同一任务。 这次,我们将解决方案集成到Spring Security框架中,而不是自己构建身份验证机制。 本文将解释我们的方法和实现。 业务需求 我们需要为Saas应用程序建立身份验证机制。 每个客户都通过专用子域访问该应用程序。 因为该应用程序将部署在云上,所以很明显,无状态会话是首...
JWT状态登陆与无状态登陆
程序员小明1024
11-23 1943
单点登录JWT JWT全称:Json Web Token 。作用:JWT 的作用是用户授权(Authorization),而不是用户的身份认证(Authentication)。用户认证指的是使用用户名、密码来验证当前用户的身份,即用户登录。用户授权指用户登录成功后,当前用户有足够的权限访问特定的资源。 传统的Session登录: 用户登录后,服务器会保存登录的Sess...
Spring Security基于JWT实现SSO单点登录详解
08-25
主要介绍了Spring Security基于JWT实现SSO单点登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Boot Security 结合 JWT 实现状态的分布式API接口
10-17
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。这篇文章主要介绍了Spring Boot Security 结合 JWT 实现状态的分布式API接口 ,需要的朋友可以参考下
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JWT基础介绍
Alan0517
03-13 1318
状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
Spring Boot 整合 Spring Security + JWT实现状态登录
程序员35
04-02 2836
学习在 Spring Boot 中整合 Spring SecurityJWT实现状态登录,可做为前后端分离时的解决方案,技术上没问题,但实际上还是推荐使用 OAuth2 中的 password 模式。 1 登录概述 1.1 有状态登录状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,如 Tomcat 中的 Session 。例如:用户...
SpringSecurityJWT实现单点登录
04-22
好的,您的问题是如何用Spring SecurityJWT实现单点登录。 首先,可以通过Spring Security实现身份验证和授权,在这个过程中,验证用户的身份信息,比如用户名和密码。接下来,可以在认证完成后生成JWT令牌,并将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值