整合SpringSecurity+JWT实现登录认证

最新推荐文章于 2024-08-22 15:10:51 发布
最新推荐文章于 2024-08-22 15:10:51 发布
阅读量805 收藏 4
点赞数
文章标签: java
原文链接:http://www.macrozheng.com/#/technology/springsecurity_use
版权

整合步骤

这里我们以mall-portal改造为例来说说如何实现。

  • 第一步,给需要登录认证的模块添加mall-security依赖:

	<dependency>
	    <groupId>com.macro.mall</groupId>
	    <artifactId>mall-security</artifactId>
	</dependency>
  • 第二步,添加MallSecurityConfig配置类,继承mall-security中的SecurityConfig配置,并且配置一个UserDetailsService接口的实现类,用于获取登录用户详情:

	/**
	 * mall-security模块相关配置
	 * Created by macro on 2019/11/5.
	 */
	@Configuration
	@EnableWebSecurity
	@EnableGlobalMethodSecurity(prePostEnabled=true)
	public class MallSecurityConfig extends SecurityConfig {
	
	    @Autowired
	    private UmsMemberService memberService;
	
	    @Bean
	    public UserDetailsService userDetailsService() {
	        //获取登录用户信息
	        return username -> memberService.loadUserByUsername(username);
	    }
	}
  • 第三步,在application.yml中配置下不需要安全保护的资源路径:

	secure:
	  ignored:
	    urls: #安全路径白名单
	      - /swagger-ui.html
	      - /swagger-resources/**
	      - /swagger/**
	      - /**/v2/api-docs
	      - /**/*.js
	      - /**/*.css
	      - /**/*.png
	      - /**/*.ico
	      - /webjars/springfox-swagger-ui/**
	      - /druid/**
	      - /actuator/**
	      - /sso/**
	      - /home/**
  • 第四步,在UmsMemberController中实现登录和刷新token的接口:

	/**
	 * 会员登录注册管理Controller
	 * Created by macro on 2018/8/3.
	 */
	@Controller
	@Api(tags = "UmsMemberController", description = "会员登录注册管理")
	@RequestMapping("/sso")
	public class UmsMemberController {
	    @Value("${jwt.tokenHeader}")
	    private String tokenHeader;
	    @Value("${jwt.tokenHead}")
	    private String tokenHead;
	    @Autowired
	    private UmsMemberService memberService;
	
	    @ApiOperation("会员登录")
	    @RequestMapping(value = "/login", method = RequestMethod.POST)
	    @ResponseBody
	    public CommonResult login(@RequestParam String username,
	                              @RequestParam String password) {
	        String token = memberService.login(username, password);
	        if (token == null) {
	            return CommonResult.validateFailed("用户名或密码错误");
	        }
	        Map<String, String> tokenMap = new HashMap<>();
	        tokenMap.put("token", token);
	        tokenMap.put("tokenHead", tokenHead);
	        return CommonResult.success(tokenMap);
	    }
	
	    @ApiOperation(value = "刷新token")
	    @RequestMapping(value = "/refreshToken", method = RequestMethod.GET)
	    @ResponseBody
	    public CommonResult refreshToken(HttpServletRequest request) {
	        String token = request.getHeader(tokenHeader);
	        String refreshToken = memberService.refreshToken(token);
	        if (refreshToken == null) {
	            return CommonResult.failed("token已经过期!");
	        }
	        Map<String, String> tokenMap = new HashMap<>();
	        tokenMap.put("token", refreshToken);
	        tokenMap.put("tokenHead", tokenHead);
	        return CommonResult.success(tokenMap);
	    }
	}

实现原理

将SpringSecurity+JWT的代码封装成通用模块后,就可以方便其他需要登录认证的模块来使用,下面我们来看看它是如何实现的,首先我们看下mall-security的目录结构。

目录结构


	mall-security
	├── component
	|    ├── JwtAuthenticationTokenFilter -- JWT登录授权过滤器
	|    ├── RestAuthenticationEntryPoint -- 自定义返回结果:未登录或登录过期
	|    └── RestfulAccessDeniedHandler -- 自定义返回结果:没有权限访问时
	├── config
	|    ├── IgnoreUrlsConfig -- 用于配置不需要安全保护的资源路径
	|    └── SecurityConfig -- SpringSecurity通用配置
	└── util
	     └── JwtTokenUtil -- JWT的token处理工具类

做了哪些变化

其实我也就添加了两个类,一个IgnoreUrlsConfig,用于从application.yml中获取不需要安全保护的资源路径。一个SecurityConfig提取了一些SpringSecurity的通用配置。

  • IgnoreUrlsConfig中的代码:

	/**
	 * 用于配置不需要保护的资源路径
	 * Created by macro on 2018/11/5.
	 */
	@Getter
	@Setter
	@ConfigurationProperties(prefix = "secure.ignored")
	public class IgnoreUrlsConfig {
	
	    private List<String> urls = new ArrayList<>();
	
	}
  • SecurityConfig中的代码:

	/**
	 * 对SpringSecurity的配置的扩展,支持自定义白名单资源路径和查询用户逻辑
	 * Created by macro on 2019/11/5.
	 */
	public class SecurityConfig extends WebSecurityConfigurerAdapter {
	
	    @Override
	    protected void configure(HttpSecurity httpSecurity) throws Exception {
	        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity
	                .authorizeRequests();
	        //不需要保护的资源路径允许访问
	        for (String url : ignoreUrlsConfig().getUrls()) {
	            registry.antMatchers(url).permitAll();
	        }
	        //允许跨域请求的OPTIONS请求
	        registry.antMatchers(HttpMethod.OPTIONS)
	                .permitAll();
	        // 任何请求需要身份认证
	        registry.and()
	                .authorizeRequests()
	                .anyRequest()
	                .authenticated()
	                // 关闭跨站请求防护及不使用session
	                .and()
	                .csrf()
	                .disable()
	                .sessionManagement()
	                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
	                // 自定义权限拒绝处理类
	                .and()
	                .exceptionHandling()
	                .accessDeniedHandler(restfulAccessDeniedHandler())
	                .authenticationEntryPoint(restAuthenticationEntryPoint())
	                // 自定义权限拦截器JWT过滤器
	                .and()
	                .addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);
	    }
	
	    @Override
	    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
	        auth.userDetailsService(userDetailsService())
	                .passwordEncoder(passwordEncoder());
	    }
	
	    @Bean
	    public PasswordEncoder passwordEncoder() {
	        return new BCryptPasswordEncoder();
	    }
	
	    @Bean
	    public JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter() {
	        return new JwtAuthenticationTokenFilter();
	    }
	
	    @Bean
	    @Override
	    public AuthenticationManager authenticationManagerBean() throws Exception {
	        return super.authenticationManagerBean();
	    }
	
	    @Bean
	    public RestfulAccessDeniedHandler restfulAccessDeniedHandler() {
	        return new RestfulAccessDeniedHandler();
	    }
	
	    @Bean
	    public RestAuthenticationEntryPoint restAuthenticationEntryPoint() {
	        return new RestAuthenticationEntryPoint();
	    }
	
	    @Bean
	    public IgnoreUrlsConfig ignoreUrlsConfig() {
	        return new IgnoreUrlsConfig();
	    }
	
	    @Bean
	    public JwtTokenUtil jwtTokenUtil() {
	        return new JwtTokenUtil();
	    }
	
	}
relax`
关注
Spring Security + Jwt 集成实现登录
程序员们必读的博客,涵盖IT技术、编程经验等领域。
05-10 1206
用户名+密码+验证码登录邮箱+验证码登录重写了安全框架全局配置方法指定了密码加密规则关闭了隐藏用户找不到异常功能放开了http防火墙,不对非法json请求拦截重写了http安全配置方法禁用csr攻击保护禁用form表单登录禁用页面缓存自定义异常拦截处理身份验证失败异常拦截器访问被拒绝异常拦截器会话创建策略无状态(不使用session)授权请求配置接口请求拦截器之前添加令牌验证过滤器登出成功拦截器添加自定义身份验证适配器/**
SpringSecurity整合JWT实现单点登录
naichalike123的博客
12-17 735
SpringSecurity整合JWT实现单点登录前言一、JWT是什么二、SpringSecurity整合JWT步骤1.引入库2.读入数据总结 前言 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 为什么要使用JWT? JWT的精髓在于:“去中心化”,数据是保存在客户端的。 一、JWT是什么 jwt属于无状态设计,用户登陆的信息关键存放在jwt加密数据里,这种设计下服务器不需要存储jwt密文,只需要解密就能拿到授权信息等用户信息。这种设计是一种利用计算力减少token设
spring Security + jwt使用
最新发布
wenlai123456的博客
08-22 1345
spring Security + jwt
spring Security 登录过程(整合jwt
myStyle的博客
04-23 228
3、在调用这个 authenticate 方法的时候,内部会调用 UserDetailsService 这个接口的 loadUserByUsername 这个方法,我们需要创建一个实现类去 是现在这个 UserDetailsService 接口,在实现类里面的loadUserByUsername这个方法 自定义查询数据库的用户名和密码等逻辑;然后返回 一个 LoginUser 对象;然后创建令牌,这里采用jwt(json web token)生成token。LoginUser对象 去接受 返回数据。
使用Spring Security实现登录认证
小柚的博客
08-23 252
/ 自定义认证逻辑 @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {// 1.认证 Admin admin = adminService . findByAdminName(username);throw new UsernameNotFoundException("用户不存在");} if(!
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring SecurityJWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring SecurityJWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
单点登录SSO解决方案之SpringSecurity+JWT实现.docx
10-26
### 单点登录SSO解决方案之SpringSecurity+JWT实现 #### 一、单点登录(SSO)概述 单点登录(Single Sign-On,简称SSO)是一种认证机制,允许用户仅通过一次登录就能访问同一域下的多个应用程序和服务。这种机制...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring Security与OAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
spring security + oauth 2.0 实现单点登录认证授权
06-26
spring security + oauth 2.0 实现单点登录认证授权,直接贴代码
SpringBoot+SpringSecurity整合实现登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,请自行导入mysql中。 运行SpringBootMainClass启动后,请在地址栏访问http://ip:port,在页面中登录,成功后会跳转至下一个页面,此时需要后退到刚才的页面,点击各个超链接来试验用户的授权情况。未登录时点击任何链接都会跳回首页。 一共提供了4个用户: 1.admin:可以访问所有请求 2.user1:只能访问user1Call请求 3.user2:只能访问user2Call请求 4.user3:只能访问user3Call请求 具体代码配置逻辑和说明,详见代码的注释
jwt + spring security 登陆验证和权限管理
04-19
一个Spring Security+JWT认证和授权的demo,此demo为Spring安全性与OAuth(1a)和OAuth2结合使用提供了支持。它提供了在Spring安全编程模型和配置下实现分布式无状态授权。
springSecurityJwt
05-17
Spring Security JWT样本-v1
Spring Security实现用户认证
TheSeasonSun的博客
03-03 1052
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。 Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。像所有Spring项目一样,Spring Security的真正强大之处在于它可以很容易地扩展以满足定制要求。 1.1、什么是认证 认证简单说就是登录,查询数据库看看登录的用户在数据库存不存在 1.2、Spring Security认证原理 ​ 1.2.1、Spring Security登录
SpringBoot整合Spring Security+JWT实现用户注册登录
qq_40126996的博客
08-02 5771
最近在做一个自己的项目,前后端分离的项目,于是整合了一下Spring SecurityJWT实现后端系统的用户登录,自己以前没有使用过Spring Security所以这次踩坑之后记录下来。 该文较长,请耐心阅读,需要整合这部分的可以给到你一些帮助。 一、整合JWT 1.1 pom包 <!-- jwt依赖 --> <dependency> <groupId>io.jsonwebtoken</gro.
(新)Spring Security如何实现登录认证(实战篇)
weixin_55772633的博客
06-15 3058
①编写实现类去实现UserDetailsService接口,然后重写里面的loadUserByUsername()方法,用来用来在数据库中查询用户信息并且封装到UserDetail对象中。其中UserDetail是个接口,我们需要编写相应的实体类去实现这个接口。详细内容如4.2.1、4.2.2②更改密码加密存储模式,这时我们就可以使用Spring Security默认提供的登录接口localhost:8080/login来尝试登陆。详细内容如:4.2.3③如何登陆接口?
Spring Security+JWT实现用户验证与授权
ljrgtdxh_777的博客
04-27 411
在我们项目中涉及不同“角色”,包括游客,普通用户和管理员。游客不需要经过任何验证,可以使用部分功能,如查看系统提供的地图钉。另外两种角色则必须使用正确的账号密码登录,且普通用户不能访问部分管理员才能访问的请求。针对这样的需求,后端需要对三种角色(以及未来可能新增的其他角色)进行分类处理。游客与其他角色的区别在于,因此可以借助网站通用手段“token”加以鉴别:用户若登录则获得一个唯一标识的token,并在之后请求中都携带该token用于验证。而针对普通用户和管理员用户,则需要,用于后续判断。
整合SpringSecurity+JWT
09-01
- *1* *2* *3* [厉害,我带的实习生仅用四步就整合SpringSecurity+JWT实现登录认证](https://blog.csdn.net/qing_gee/article/details/124016059)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值