商城项目(三)整合SpringSecurity和JWT实现认证和授权

最新推荐文章于 2023-09-21 14:33:16 发布
最新推荐文章于 2023-09-21 14:33:16 发布
阅读量380 收藏
点赞数
分类专栏: 商城项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44325527/article/details/110433088
版权

整合SpringSecurity和JWT实现认证和授权

环境搭建

  • SpringSecurity
  • JWT
  • Hutool

项目使用表说明

ums_admin:后台用户表
ums_role:后台用户角色表
ums_permission:后台用户权限表
ums_admin_role_relation:后台用户和角色关系表,用户与角色是多对多关系
ums_role_permission_relation:后台用户角色和权限关系表,角色与权限是多对多关系
ums_admin_permission_relation:后台用户和权限关系表(除角色中定义的权限以外的加减权限),加权限是指用户比角色多出的权限,减权限是指用户比角色少的权限

整合SpringSecurity及JWT

在pom.xml中添加项目依赖

<!--SpringSecurity依赖配置-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!--Hutool Java工具包-->
<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>4.5.7</version>
</dependency>
<!--JWT(Json Web Token)登录支持-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

添加JWT token的工具类

用于生成和解析JWT token 的工具类

相关方法说明:

  • generateToken(UserDetails userDetails) :用于根据登录用户信息生成token
  • getUserNameFromToken(String token):从token中获取登录用户的信息
  • validateToken(String token, UserDetails userDetails):判断token是否还有效
/**
 * JwtToken生成的工具类
 */
@Component
public class JwtTokenUtil {
   
    private static final Logger LOGGER = LoggerFactory.getLogger(JwtTokenUtil.class);
    private static final String CLAIM_KEY_USERNAME = "sub";
    private static final String CLAIM_KEY_CREATED = "created";
    @Value("${jwt.secret}")
    private String secret;
    @Value("${jwt.expiration}")
    private Long expiration;

    /**
     * 根据负责生成JWT的token
     */
    private String generateToken(Map<String, Object> claims) {
   
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate())
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    /**
     * 从token中获取JWT中的负载
     */
    private Claims getClaimsFromToken(String token) {
   
        Claims claims = null;
        try {
   
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
   
            LOGGER.info("JWT格式验证失败:{}",token);
        }
        return claims;
    }

    /**
     * 生成token的过期时间
     */
    private Date generateExpirationDate() {
   
        return new Date(System.currentTimeMillis() + expiration * 1000);
    }

    /**
     * 从token中获取登录用户名
     */
    public String getUserNameFromToken(String token) {
   
        String username;
        try {
   
            Claims claims = getClaimsFromToken(token);
            username =  claims.getSubject();
        } catch (Exception e) {
   
            username = null;
        }
        return username;
    }

    /**
     * 验证token是否还有效
     *
     * @param token       客户端传入的token
     * @param userDetails 从数据库中查询出来的用户信息
     */
    public boolean validateToken(String token, UserDetails userDetails) {
   
        String username = getUserNameFromToken(token);
        return username.equals(userDetails.getUsername()) && !isTokenExpired(token);
    }

    /**
     * 判断token是否已经失效
     */
    private boolean isTokenExpired(String token) {
   
        Date expiredDate = getExpiredDateFromToken(token);
        return expiredDate.before(new Date());
    }

    /**
     * 从token中获取过期时间
     */
    private Date getExpiredDateFromToken(String token) {
   
        Claims claims = getClaimsFromToken(token);
        return claims.getExpiration();
    }

    /**
     * 根据用户信息生成token
     */
    public String generateToken(UserDetails userDetails) {
   
        Map<String, Object> claims = new HashMap<>();
        claims.put(CLAIM_KEY_USERNAME, userDetails.getUsername());
        claims.put(CLAIM_KEY_CREATED, new Date());
        return generateToken(claims);
    }

    /**
     * 判断token是否可以被刷新
     */
    public boolean canRefresh(String token) {
   
        return !isTokenExpired(token);
    }

    /**
     * 刷新token
     */
    public String refreshToken(String token) {
   
        Claims claims = getClaimsFromToken(token
最低0.47元/天 解锁文章
聪明的小牛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
毕业设计基于SSMSpringboot的商城项目.zip
10-06
9. **安全机制**:如Spring SecurityJWT(JSON Web Token)用于用户认证授权,防止未授权访问。 10. **测试**:单元测试和集成测试是项目开发过程中必不可少的环节,可能使用JUnit、Mockito等工具进行测试。 ...
JavaTC19班毕业项目-电子商城-mall.zip
11-07
10. **安全机制**:项目可能实现了用户认证授权功能,使用Spring Security或者JWT(JSON Web Tokens)进行身份验证和权限控制。 11. **Docker容器化**:为了便于部署和测试,项目可能使用Docker进行容器化,使得...
SpringSecurity动态实现拦截url请求(不需要理解太多SpringSecurity源码)
baidu_40492134的博客
02-04 6404
项目背景:最近自己再封装搭建一个简单的框架,里面用到了SpringSecurity,所以也就有了前面两篇文章,这期文章是要说在搭建的过程中,每次写Controller的时候,假如这个接口不需要登录就可以访问,是不是还要在配置文件中配置一下,这种方式如果在url比较多的时候是比较麻烦的。这里给大家一个实现的思路。也不需要懂源码,是比较好理解的一种方式。 这里主要是解决这种下图这种繁重的配置方式。如果太多需要放行的url,下面就会有一长串。 思路:刚开始也看了一阵源码。网上看到的一篇文章,他说Filt..
Spring Security使用 OncePerRequestFilter 过滤器校验登录过期、请求日志等操作
杜小舟的博客
08-31 3288
是一个过滤器,每个请求都会执行一次;一般开发中主要是做检查是否已登录、Token是否过期和授权等操作,而每个操作都是一个过滤器,下面演示一下。
整合springSecurityJWT实现认证授权
weixin_30357231的博客
08-02 286
SpringSecurity SpringSecurity是一个强大的可高度定制的认证授权框架,对于Spring应用来说它是一套Web安全标准; JWT JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。 JWT的应用场景: 身份认证在这种场景下,一旦用户完成了登...
Spring Security 实战干货:客户端OAuth2授权请求的入口在哪里
码农小胖哥
11-07 2031
1. 前言在Spring Security 实战干货:OAuth2 第授权初体验一文中我先对 OAuth2.0 涉及的一些常用概念进行介绍,然后直接通过一个 DEMO 来让大家切身感...
基于jwtspringSecurity实现方法拦截(单点登录)
你还有好多未完成的梦,你有什么理由停下?
04-17 1691
0、什么是jwt,什么是Security 转载两篇完成项目主要需要的基础知识 jwt是什么?转载:https://www.cnblogs.com/yan7/p/7857833.html security登录的过程:https://blog.csdn.net/abcwanglinyong/article/details/80981389 1、导包 <?xml version="1.0" enc...
基于SSM的鲜花商城管理系统 Javaee项目
04-13
7. **安全机制**:包括用户认证(登录验证)、授权(权限控制)等,可能使用Spring Security或者JWT(JSON Web Tokens)进行实现。 8. **缓存策略**:为了提高性能,可能采用Redis或Memcached作为缓存存储,缓存...
基于springboot+layui 的数码商城项目.zip
最新发布
05-25
1. **用户认证授权** - 可能使用Spring SecurityJWT实现用户登录、权限控制。 2. **数据库操作** - 使用JPA或MyBatis与MySQL等数据库交互,处理商品、订单、用户等数据。 3. **商品管理** - 包括商品分类、...
vue+springboot二手商城项目.zip
10-21
这是一个基于Vue.js前端框架和Spring Boot后端框架的二手商城项目。Vue.js是现代JavaScript库,用于构建用户界面,而Spring Boot是Java平台上的轻量级应用框架,用于简化Web应用的开发。在这个项目中,这两个技术被...
Spring security 整合JWT 接口权限控制
欢迎阅读程序猿小张的博客~
08-06 738
Spring security 整合 JWT 接口权限控制
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
热门推荐
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
基于springSecurity整合jwt拦截器部署
weixin_61919057的博客
10-25 946
springboot整合springsecurityjwt的拦截器部署
SpringSecurity+自定义登录界面+JwtToken+拦截器+前后端分离
qq_47737949的博客
01-23 3148
SpringSecurity+自定义登录界面+JwtToken+拦截器+前后端分离
springSecurity验证码拦截请求可配置
一点光辉的博客
12-08 578
在自定义的验证码过滤器上面,加上不同的url,即可实现 /** * */ package com.imooc.security.core.validate.code; import java.io.IOException; import javax.servlet.FilterChain; import javax.servlet.ServletException; import j...
SpringBoot+SpringSecurity改造为前后端分离+Jwt的权限认证系统,Token过期刷新问题
zzzgd_666的博客
07-18 1万+
前言 一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。 但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了 SpringSecurity默认的是采用Session来判断请求的用户是否登录的,但是不方便分布式...
Spring的OncePerRequestFilter过滤器
奔跑的菜鸡
08-26 1万+
Spring的OncePerRequestFilter OncePerRequestFilter顾名思义,他能够确保在一次请求只通过一次filter,而不需要重复执行 大家常识上都认为,一次请求本来就只过一次,还要OncePerRequestFilter限制一次过滤干啥。 其实实际上因为不同的web container对请求的过滤方式都不一样,比如在servlet-2.3中,Filter会过滤一切请求,包括服务器内部使用forward转发请求和<%@ include file="/index.jsp"
如何关闭SpringSecurity的权限认证
weixin_43756775的博客
11-19 1万+
关键字:security ,shiro ,权限 ,放行 ,绕过 ,认证 不论是哪个授权方式都是基于拦截器做的处理,基于这一个原理,我们就可以通过放开拦截器来关闭掉权限框架的token校验 1.权限中都会有一个 xxx.java 类 继承 WebMvcConfigurer 类 如下 // 此处省略注解 public class MyMvcConfig implements WebMvcConfigurer { // 重写 【登陆拦截/拦截放行】 @Override public void addInte
SpringBoot中的SpringSecurity进行鉴权屏蔽(解决token不存在/token is null等报错)
Olozee的博客
09-21 997
最近在做一个使用大疆平台的项目时,遇到了对当前用户进行鉴权的问题,如果是不通过用户登录想要直接在后端调用一些接口的功能,会碰到token is null的报错。因为以前自己写项目都没有在用户上做过鉴权,所以对鉴权不太了解。开始想到的解决方法是固定一个曾经的用户token,后面发现这个方法:1.有时候会牵扯到其他的一些报错;2.不太合理(直接破坏了整个项目的结构和规则)。
springSecurity整合Jwt实现登录认证
06-09
好的,这是一个很常见的问题。首先,你需要在Spring Boot项目中添加依赖: ```xml ...以上就是整合Spring SecurityJWT进行身份验证的基本步骤。当然,具体实现还需要根据你的业务需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值