整合SpringSecurity和JWT实现认证和授权(1)

最新推荐文章于 2024-04-22 10:14:07 发布
最新推荐文章于 2024-04-22 10:14:07 发布
阅读量349 收藏 2
点赞数
文章标签: jwt spring 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44985713/article/details/108001742
版权

SpringSecurity

官网: https://spring.io/projects/spring-security
SpringSecurity是一个强大的可高度定制的认证和授权框架,对于Spring应用来说它是一套Web安全标准。SpringSecurity注重于为Java应用提供认证和授权功能,像所有的Spring项目一样,它对自定义需求具有强大的扩展性。

JWT

官网:https://jwt.io/introduction/
JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。

JWT的组成

  • JWT token的格式:header.payload.signature
  • header中用于存放签名的生成算法
{
   "alg": "HS512"}
  • payload中用于存放用户名、token的生成时间和过期时间
{
   "sub":"admin","created":1489079981393,"exp":1489684781}
  • signature为以header和payload生成的签名,一旦header和payload被篡改,验证将失败
//secret为加密算法的密钥
String signature = HMACSHA512(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

JWT实例
这是一个JWT的字符串

eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiIxMDA4NjEwMDA4OCIsImNyZWF0ZWQiOjE1OTczOTE4OTk0MDcsImV4cCI6MTU5Nzk5NjY5OX0.XZOSovqqawtqAfsRS67RB5UgGfM3vFisryJuBwo66AAmylOe84gx8SC2ZWMj2Wkj9StrHtkYLDpPzbY9MTymng

可以在该网站上获得解析结果:https://jwt.io/
在这里插入图片描述
JWT实现认证和授权的原理

  • 用户调用登录接口,登录成功后获取到JWT的token;
  • 之后用户每次调用接口都在 http 的 header 中添加一个叫 Authorization 的头,值为 JWT 的 token;
  • 后台程序通过对 Authorization 头中信息的解码及数字签名校验来获取其中的用户信息,从而实现认证和授权。

整合SpringSecurity及JWT

添加依赖

<!--SpringSecurity依赖配置-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!--JWT(Json Web Token)登录支持-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

添加JWT token的工具类

用于生成和解析JWT token的工具类

相关方法说明:

  • generateToken(UserDetails userDetails):用于根据登录用户信息生成token
  • getUserNameFromToken(String token):从token中获取登录用户的信息
  • validateToken(String token, UserDetails userDetails):判断token是否还有效
public class JwtTokenUtil {
   
    private static final Logger LOGGER = LoggerFactory.getLogger(JwtTokenUtil.class);
    private static final String CLAIM_KEY_USERNAME = "sub";
    private static final String CLAIM_KEY_CREATED = "created";
    @Value("${jwt.secret}")
    private String secret;
    @Value("${jwt.expiration}")
    private Long expiration;
    @Value("${jwt.tokenHead}")
    private String tokenHead;

    /**
     * 根据负责生成JWT的token
     */
    private String generateToken(Map<String, Object> claims) {
   
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate())
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    /**
     * 从token中获取JWT中的负载
     */
    private Claims getClaimsFromToken(String token) {
   
        Claims claims = null;
        try {
   
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
   
            LOGGER.info("JWT格式验证失败:{}", token);
        }
        return claims;
    }

    /**
     * 生成token的过期时间
     */
    private Date generateExpirationDate() {
   
        return new Date(System.
最低0.47元/天 解锁文章
上班写bug
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security+JWT实现用户验证与授权
ljrgtdxh_777的博客
04-27 364
在我们项目中涉及不同“角色”,包括游客,普通用户和管理员。游客不需要经过任何验证,可以使用部分功能,如查看系统提供的地图钉。另外两种角色则必须使用正确的账号密码登录,且普通用户不能访问部分管理员才能访问的请求。针对这样的需求,后端需要对三种角色(以及未来可能新增的其他角色)进行分类处理。游客与其他角色的区别在于,因此可以借助网站通用手段“token”加以鉴别:用户若登录则获得一个唯一标识的token,并在之后请求中都携带该token用于验证。而针对普通用户和管理员用户,则需要,用于后续判断。
Spring Security+JWT实现认证授权
weixin_44196561的博客
03-29 5091
目录 一、登录校验流程 3、 整合JWT大致流程 前端响应类 JWT工具类 重写UserDetailsService的方法 重写登录接口 认证过滤器 授权基本流程 封装权限信息 RBAC权限模型 自定义失败处理 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 授权:经过认证后判断当前用户是否有权限进行某个操作 一、登录校验流程 1、Spring Security 完整流程 SpringSecurity的原理其实就是一个过滤器链,内部包含了提供
【Spring Security系列】Spring Security整合JWT:构建安全的Web应用
最新发布
小威的博客
04-22 1万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
Spring Security整合JWT实现权限认证授权
weixin_45818966的博客
11-05 4161
关于spring security整合jwt实现前后端权限认证授权管理
Spring Security实现接口基于路径的动态权限控制
荔枝当大佬的博客
10-24 1575
在荔枝之前的一篇博客中,已经对Spring Security的鉴证授权的相关知识进行了梳理,弄清楚了为什么使用JWT以及用户登录后台执行的相关的鉴证授权的逻辑。在下面的文章中荔枝主要是补充梳理一下在真实的项目中如何使用Spring Security来实现接口动态权限控制的功能。
SpringBoot+SpringSecurity+JWT实现认证授权
热门推荐
oyc的博客
01-17 5万+
一、背景: 在 B/S 系统中,登录功基本都是依靠 Cookie 来实现的,用户登录成功之后主要需要客户端和服务端完成以下两项工作: (1)服务端将登录状态记录到 Session 中,或者签发Token; (2)客户端利用Cookie保存于服务端对应的 Session ID 或 Token。之后每次请求都会带上Cookie信息(包含Session ID或者Token),当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单点登录:单点登录(Single Sign On, S.
商城项目(三)整合SpringSecurityJWT实现认证授权
weixin_44325527的博客
12-06 380
整合SpringSecurityJWT实现认证授权 环境搭建 SpringSecurity JWT Hutool 项目使用表说明 ums_admin:后台用户表 ums_role:后台用户角色表 ums_permission:后台用户权限表 ums_admin_role_relation:后台用户和角色关系表,用户与角色是多对多关系 ums_role_permission_relation:后台用户角色和权限关系表,角色与权限是多对多关系 ums_admin_permission_relation:
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring Security和JWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
SpringBoot2.6整合SpringSecurity+JWT
01-11
以上就是SpringBoot 2.6整合Spring Security和JWT的基本流程和关键知识点。实际开发中,可能还需要根据具体需求进行调整,例如加入OAuth2的支持、实现多租户管理等。在`springsecutiry-jwt-demo`这个项目中,你可以...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权
04-22
本教程将探讨如何使用Spring Boot结合Spring Security、OAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证授权机制。 首先,Spring Security是Spring框架的一个模块,专门...
spring-security-jwt, 演示如何在 Spring Security 中使用 JWT.zip
09-18
spring-security-jwt, 演示如何在 Spring Security 中使用 JWT Spring Security 和JWT教程这里代码主要用于使用 Spring Security 和 JWT 教程补充无状态身份验证。如果你选择了代码,还可以使用这个库发现添加XSRF保护的策略,以及在Java项目中注册/登录功能的策
jwt + spring security 登陆验证和权限管理
04-19
一个Spring Security+JWT认证授权的demo,此demo为Spring安全性与OAuth(1a)和OAuth2结合使用提供了支持。它提供了在Spring安全编程模型和配置下实现分布式无状态授权
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
之后,每次API请求都会携带JWT,Redis和Spring Security共同完成身份验证,MyBatis则负责与MySQL数据库的交互,实现数据的读写操作。这样的设计提高了系统的安全性、性能和可扩展性,是现代Web应用开发中的典型架构...
spring-webflux-security-jwt:使用Spring Reactive Webflux,Spring Boot 2和Spring Security 5的JWT授权认证实现
01-30
使用JWT与Spring WebFlux和Spring Security Reactive进行身份验证和授权首先阅读的好文档在开始之前,我建议您先阅读下一份参考启用S​​pring WebFlux安全性在你的应用程序首先使Webflux安全@EnableWebFluxSecurity...
SpringSecurity整合JWT实现认证授权
weixin_44909963的博客
04-28 5484
SpringSecurity整合JWT实现认证授权 文章目录SpringSecurity整合JWT实现认证授权前言一、SpringSecurity介绍和架构分析及使用流程二、使用步骤1.引入库2.读入数据总结 前言 本文主要讲解l通过整合SpringSecurityJWT实现后台用户的登录和授权功能,使用到的技术有nacos,dubbo,SpringSecurity,redis. 一、SpringSecurity介绍和架构分析及使用流程 SpringSecurity是一个安全框架,支持自定义需求。
spring security+Jwt实现认证授权
weixin_43111261的博客
07-27 397
Spring security+JWT实现认证授权 spring security官网链接:https://spring.io/projects/spring-security JWT官网链接:https://jwt.io/ spring security介绍 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。像所有Spring项目一样,S
Spring Security 官网文档学习
young-youth的博客
02-18 1万+
spring 官网的入门指南的学习笔记;
SpringSecurity 整合 JWT.docx
06-27
SpringSecurity整合JWT的关键在于配置JWT的解析器和认证提供者,以及设置适当的过滤器,如JWTAuthenticationFilter和JWTAuthorizationFilter,以处理Token的验证和授权过程。此外,还需要设置Token的签发和刷新策略...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值