SpringSecurity整合JWT实现认证和授权

已于 2022-04-28 12:38:48 修改
阅读量5.4k 收藏 58
点赞数 10
分类专栏: 微商城 文章标签: java spring 安全架构
于 2022-04-28 04:53:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44909963/article/details/124464640
版权

SpringSecurity整合JWT实现认证和授权

Gitee地址:https://gitee.com/yuyuuyuy/micro-mall

文章目录

前言

本文主要讲解l通过整合SpringSecurity和JWT实现后台用户的登录和授权功能,使用到的技术有nacos,dubbo,SpringSecurity,redis.

一、SpringSecurity介绍和架构分析及使用流程

SpringSecurity是一个安全框架,支持自定义需求。同其他安全框架一样,SpringSecurity核心功能就是认证和授权。
SpringSecurity的核心架构就是三大过滤器
UsernamePasswordAuthenticationFilter:用于认证
ExceptionTranslationFilter:用于处理异常
FilterSecurityIntercepter:用于授权
在这里插入图片描述
概念速查:
Authentication:表示当前访问的用户,封装了用户相关信息
AuthenticationManager:定义认证Authentication的方法
UserDetailsSetvice接口:定义了一个根据用户名查找用户的方法,需要我们自己去实现
UserDetails接口:提供核心用户信息。通过UserDetailsSetvice接口的根据用户名获取用户方法得到一个UserDetails对象返回,然后将这些信息封装到Authentication。

使用流程

登录:

  1. 自定义登录接口
    调用ProviderManager的方法进行认证,如果认证通过生成jwt
    把用户信息存入redis中
  2. 自定义UserDetailsService
    实现根据用户名查找用户的方法
    校验:
  3. 自定义jwt认证过滤器
    获取token,解析token获取其中的userid,从redis中获取用户信息,存入SecurityContextHolder

二、效果展示

登录
在这里插入图片描述
带着token访问其他接口
在这里插入图片描述
如果某接口需要某种权限,如果这个用户没有这个权限,那么就就会被权限过滤器拒绝
在这里插入图片描述
登出:
在这里插入图片描述

三、代码实现

封装UserDetails对象

@Data
@NoArgsConstructor
public class LoginUser implements UserDetails {
    private User user;
    private List<String> permissions;
    public LoginUser(User user, List<String> permissions) {
        this.user = user;
        this.permissions = permissions;
    }
    @JSONField(serialize = false)
    private List<SimpleGrantedAuthority> authorities;
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if(authorities!=null){
            return authorities;
        }
        authorities = permissions.stream()
                .map(SimpleGrantedAuthority::new)
                .collect(Collectors.toList());
        return authorities;
    }
    @Override
    public String getPassword() {
        return user.getPassword();
    }
    @Override
    public String getUsername() {
        return user.getUsername();
    }
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    @Override
    public boolean isEnabled() {
        return true;
    }
}

实现UserDetailsService接口,这里使用Dubbo远程调用会员服务从数据库查用户信息并返回封装成LoginUser对象

public class UserDetailsServiceImpl implements UserDetailsService {

    @DubboReference
    private MemberService MemberService;

    @Override
    public UserDetails loadUserByUsername(String username)  {
        //远程调用查询用户信息
        User user = null;
        try {
            user = MemberService.findMemberByUsername(username);
        } catch (InterruptedException e) {
            System.out.println("服务器超时");
        }
        //TODO 查询用户权限信息
        //把数据封装成UserDetails返回
        Long id=user.getId();
        List<String> perms=MemberService.findPermsByUserId(id);
        return new LoginUser(user,perms);
    }
}

自定义jwt过滤器

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired
    private StringRedisTemplate redisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //获取token
        String token = request.getHeader("token");
        if (!StringUtils.hasText(token)) {
            //放行
            filterChain.doFilter(request, response);
            return;
        }
        //解析token
        String userid;
        try {
            Claims claims = JwtUtil.parseJWT(token);
            userid = claims.getSubject();
        } catch (Exception e) {
            System.out.println("token非法");
            throw new RuntimeException("token非法");
        }
        //从redis中获取用户信息
        String redisKey = "login:" + userid;
        String user = redisTemplate.opsForValue().get(redisKey);
        LoginUser loginUser = JSONObject.parseObject(user,LoginUser.class);
        if(Objects.isNull(loginUser)){
            throw new RuntimeException("用户未登录");
        }
        //存入SecurityContextHolder
        //TODO 获取权限信息封装到Authentication中
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        //放行
        filterChain.doFilter(request, response);
    }
}

实现注册登录登出业务逻辑

public CommonResult<Map> login(String name, String password) {

        //AuthenticationManager authenticate进行认证
        // 把用户名和密码交给manager,此Manager会调用UserDetailsService从数据库获取数据来对比认证。
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(name, password);
        Authentication authenticate = authenticationManager.authenticate(authenticationToken);
        //如果认证没通过,给出对应的提示
        if (Objects.isNull(authenticate)) {
            throw new RuntimeException("登录失败");
        }
        //如果认证通过,使用UserId生成jwt,jwt作为result返回
        LoginUser loginUser = (LoginUser) authenticate.getPrincipal();
        String uid = loginUser.getUser().getId().toString();
        String jwt = JwtUtil.createJWT(uid);
        //把完整的用户信息存入redis,UserId做为key
        String s = JSONObject.toJSONString(loginUser);
        redisTemplate.opsForValue().set("login:" + uid, s, 12, TimeUnit.HOURS);
        Map<String, String> map = new HashMap<>();
        map.put("token", jwt);
        return CommonResult.success(map);
    }

    @Override
    public CommonResult<String> logout() {
        //获取SecurityContextHolder中的用户id
        UsernamePasswordAuthenticationToken authentication = (UsernamePasswordAuthenticationToken) SecurityContextHolder.getContext().getAuthentication();
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        Long userid = loginUser.getUser().getId();
        //删除redis中的值
        String redisKey = "login:" + userid;
        redisTemplate.delete(redisKey);
        return CommonResult.success("注销成功");
    }

    @Override
    public CommonResult<String> register(String name, String password) {

        String username = MemberService.registerMember(name, password);
        if ("null".equals(username)) {
            return CommonResult.failed("用户名:" + name + "已存在,请重新注册");
        }
        return CommonResult.success("注册成功," + name);
    }

配置过滤器链
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
//    @Autowired
//    private AuthenticationEntryPoint authenticationEntryPoint;

    @Autowired
    private AccessDeniedHandler accessDeniedHandler;

    //创建BCryptPasswordEncoder注入容器
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //关闭csrf
                .csrf().disable()
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
//                // 对于登录注册接口 允许匿名访问
                .antMatchers("/auth/login").anonymous()
                .antMatchers("/auth/register").anonymous()
                //设置需要权限的接口
                .antMatchers("/auth/hello2").hasAuthority("haha")
//                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();
        //添加过滤器,放在UsernamePasswordAuthenticationFilter之前,否则jwt过滤器就没意义了
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
//
//        //配置异常处理器
        http.exceptionHandling()
                //配置认证失败处理器
//                .authenticationEntryPoint(authenticationEntryPoint)
                .accessDeniedHandler(accessDeniedHandler);

        //允许跨域
        http.cors();
    }
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

总结

以上就是使用SpringSecurity结合jwt实现认证和校验的具体实现,核心就是理解SpringSecurity的过滤器链

weixin_44909963
关注
  • 10
    点赞
  • 58
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring SecurityJWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
整合SpringSecurity+JWT实现登录认证
qq_64948664的博客
03-28 1599
这个类的主要作用就是告诉 SpringSecurity 那些路径不需要拦截,除此之外的,都要进行 RestfulAccessDeniedHandler(登录校验)、RestAuthenticationEntryPoint(权限校验)和 JwtAuthenticationTokenFilter(JWT 过滤)。第二步,在需要登录认证的模块里添加 CodingmoreSecurityConfig 类,继承自 codingmore-security 模块中的 SecurityConfig 类。
Authentication详解
小汤圆
08-10 5105
Authentication
Spring Security 6学习实践
最新发布
likeekillikeekil的博客
06-06 671
springsecurity6的使用和实践
authentication.getPrincipal()为什么总是返回username而不是UserDetails的实现
qq_41992429的博客
12-21 2962
authentication.getPrincipal()为什么总是返回username而不是UserDetails的实现类 关注SecurityAuthenticationProvider的authenticate方法的返回值,你返回什么,authentication.getPrincipal()就得到什么,很合理!
spring security6+springboot3+jwt实现权限控制
hepeike001的博客
05-12 3361
最近在学习spring security,看到网上的都是比较老的版本,所以从github上找了一个开源的最新的spring security6 的demo借鉴,然后结合官网文档自己鼓捣了一个demo出来,做个笔记方便以后忘记怎么搞了来看看,哈哈哈OVO。(本项目用的是jdk17,有些表达式jdk8是无法编译的,所以要跑起来的话记得安装17哦,反正现在也免费了)
【Random】十、SpringBoot整合Spring Security&JWT(一)
学而不思则罔,思而不学则殆
03-15 452
aaaa
mall整合SpringSecurityJWT实现认证授权(一)
macrozheng的专栏
05-13 2404
本文主要讲解mall通过整合SpringSecurityJWT实现后台用户登录授权功能,同时改造Swagger-UI的配置使其可以自动记住登录令牌进行发送。项目使用...
SpringBoot2.6整合SpringSecurity+JWT
01-11
**三、SpringBoot 2.6与Spring Security整合** 1. **添加依赖**:首先,在`pom.xml`文件中引入Spring SecurityJWT的相关依赖,如`spring-security-oauth2-jose`和`jjwt`库。 2. **配置Spring Security**:创建一...
spring-webflux-security-jwt:使用Spring Reactive Webflux,Spring Boot 2和Spring Security 5的JWT授权认证实现
01-30
使用JWTSpring WebFlux和Spring Security Reactive进行身份验证和授权首先阅读的好文档在开始之前,我建议您先阅读下一份参考启用S​​pring WebFlux安全性在你的应用程序首先使Webflux安全@EnableWebFluxSecurity...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权
04-22
本教程将探讨如何使用Spring Boot结合Spring Security、OAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
SpringBoot+SpringSecurity整合实现登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
SpringBoot整合SpringSecurityJWT
hello,word!
03-03 4390
SpringBoot整合SpringSecurityJWTSpringSecurity提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限。
SpringBoot - 安全管理框架Spring Security使用详解(11)-获取当前用户用户名、id
Andy's Blog
06-07 5281
有时我们需要获取当前登录用户信息(比如用户名),通常有如下几种方式来实现。 方法1:通过 Authentication.getPrincipal() 获取用户信息 (1)通过Authentication.getPrincipal()可以获取到代表当前用户的信息,这个对象通常是UserDetails的实例。通过UserDetails的实例我们可以获取到当前用户用户名、密码、角色等信息。 Spring Security使用一个Authentication对象来描述当...
springSecurity+jwt实现分布式鉴权和认证
qq_37824570的博客
03-09 3437
springSecurity+jwt实现分布式鉴权和认证
ruoyi源码学习-3 登录后端接口
tiandi0123的博客
07-19 2864
前言 经过之前两期,我们理解了ruoyi前端登录页面的流程。这期,我们开始分析后端对应的流程。主要分析获取验证码接口captchaImage和登录接口login。 若依后端结构 首先我们看一下ruoyi后端的模块组成。 admin——web服务入口 common——通用工具 framework——核心模块 generator——代码生成 quartz——定时任务 system——系统模块 ruoyi后端中是将controller文件统一放入admin模块中。 验证码接口 对应文件位置为ruoyi-ad.
SpringBoot Spring Security 核心组件 认证流程 用户权限信息获取详细讲解
daTou
08-24 918
前言 Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring Security 进行 Authenticate 和 Authoration 验证 核心组件 SecurityContextHolder SecurityContextHolder它持有的是安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权等等
SpringSecurity+JWT实现认证授权详细步骤
sunao1106的博客
08-03 1140
1. 实现**UserDetailsService**对象中的`loadUserByUsername`方法,根据用户名查询用户信息以及权限信息; 2. 自定义controller登录接口; 3. 自定义service层登录逻辑,调用`loadUserByUsername`获取用户信息并且校验密码,如果认证成功则生成一个jwt返回,将用户信息存入**SecurityContextHolder**上下文; 4. 自定义**JwtAuthenticationTokenFilter**过滤器,获取请........
SpringBoot 整合 Spring SecurityJWT 实现认证、权限控制
z1259678404的博客
02-16 1426
引入依赖包(gradle) maven 请自行转换 dependencies { compile group: 'io.jsonwebtoken', name: 'jjwt', version: '0.9.1' implementation 'org.springframework.boot:spring-boot-starter-security' implementation 'org.springframework.boot:spring-boot-starte...
springsecurity整合jwt实现登录认证代码示例
06-09
好的,以下是一个简单的 Spring Security 整合 JWT 实现登录认证的代码示例: 首先,需要添加以下依赖: ```xml <groupId>io.jsonwebtoken <artifactId>jjwt-api <version>0.11.2 <groupId>io.jsonwebtoken...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值