若依封装SpringSecurity+JWT

最新推荐文章于 2024-06-25 16:49:40 发布
最新推荐文章于 2024-06-25 16:49:40 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: SSM框架 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45943597/article/details/119782688
版权

公司用的是若依管理系统封装了SpringBoot,权限使用了SpringSecurity+JWT令牌机制,今天花时间研究了一下若依是如何对Security进行封装的。

登录

1.用户存在性验证

首先将后台清了一下,访问系统登录的页面,发现控制台打印了如下SQL:

16:10:13.119 [http-nio-8082-exec-15] DEBUG c.r.s.m.S.selectUserByUserName - [debug,159] - ==>  Preparing: select u.user_id, u.dept_id, u.user_name, u.nick_name, u.user_type, u.email, u.avatar, u.phonenumber, u.password, u.sex, u.status, u.del_flag, u.login_ip, u.login_date, u.create_by, u.create_time, u.remark, u.entry_time, u.staff_type, u.salary_base, u.is_calc, d.dept_id, d.parent_id, d.dept_name, d.order_num, d.leader, d.status as dept_status,r.role_id, r.role_name, r.role_key, r.role_sort, r.data_scope, r.status as role_status from sys_user u left join sys_dept d on u.dept_id = d.dept_id left join sys_user_role ur on u.user_id = ur.user_id left join sys_role r on r.role_id = ur.role_id where u.user_name = ? 
16:10:13.120 [http-nio-8082-exec-15] DEBUG c.r.s.m.S.selectUserByUserName - [debug,159] - ==> Parameters: admin(String)
16:10:13.123 [http-nio-8082-exec-15] DEBUG c.r.s.m.S.selectUserByUserName - [debug,159] - <==      Total: 1
16:10:13.246 [schedule-pool-3] INFO  sys-user - [run,54] - [192.168.*.***]内网IP[admin][Success][登录成功]
16:10:13.246 [schedule-pool-3] DEBUG c.r.s.m.S.insertLogininfor - [debug,159] - ==>  Preparing: insert into sys_logininfor (user_name, status, ipaddr, login_location, browser, os, msg, login_time) values (?, ?, ?, ?, ?, ?, ?, sysdate()) 
16:10:13.247 [schedule-pool-3] DEBUG c.r.s.m.S.insertLogininfor - [debug,159] - ==> Parameters: admin(String), 0(String), 192.168.*.***(String), 内网IP(String), Chrome 8(String), Windows 10(String), 登录成功(String)
16:10:13.250 [schedule-pool-3] DEBUG c.r.s.m.S.insertLogininfor - [debug,159] - <==    Updates: 1
16:10:13.297 [http-nio-8082-exec-19] DEBUG c.r.s.m.S.selectMenuTreeAll - [debug,159] - ==>  Preparing: select distinct m.menu_id, m.parent_id, m.menu_name, m.path, m.component, m.visible, m.status, ifnull(m.perms,'') as perms, m.is_frame, m.menu_type, m.icon, m.order_num, m.create_time from sys_menu m where m.menu_type in ('M', 'C') and m.status = 0 and m.visible = 0 order by m.parent_id, m.order_num 
16:10:13.298 [http-nio-8082-exec-19] DEBUG c.r.s.m.S.selectMenuTreeAll - [debug,159] - ==> Parameters: 
16:10:13.304 [http-nio-8082-exec-19] DEBUG c.r.s.m.S.selectMenuTreeAll - [debug,159] - <==      Total: 128
16:10:13.486 [http-nio-8082-exec-22] DEBUG c.r.s.m.S.selectMenuTreeAll - [debug,159] - ==>  Preparing: select distinct m.menu_id, m.parent_id, m.menu_name, m.path, m.component, m.visible, m.status, ifnull(m.perms,'') as perms, m.is_frame, m.menu_type, m.icon, m.order_num, m.create_time from sys_menu m where m.menu_type in ('M', 'C') and m.status = 0 and m.visible = 0 order by m.parent_id, m.order_num 
16:10:13.487 [http-nio-8082-exec-22] DEBUG c.r.s.m.S.selectMenuTreeAll - [debug,159] - ==> Parameters: 
16:10:13.491 [http-nio-8082-exec-23] DEBUG c.r.s.m.S.selectRolesByUserName - [debug,159] - ==>  Preparing: select distinct r.role_id, r.role_name, r.role_key, r.role_sort, r.data_scope, r.status, r.del_flag, r.create_time, r.remark from sys_role r left join sys_user_role ur on ur.role_id = r.role_id left join sys_user u on u.user_id = ur.user_id left join sys_dept d on u.dept_id = d.dept_id WHERE r.del_flag = '0' and u.user_name = ? 
16:10:13.492 [http-nio-8082-exec-23] DEBUG c.r.s.m.S.selectRolesByUserName - [debug,159] - ==> Parameters: admin(String)
16:10:13.495 [http-nio-8082-exec-22] DEBUG c.r.s.m.S.selectMenuTreeAll - [debug,159] - <==      Total: 128
16:10:13.499 [http-nio-8082-exec-23] DEBUG c.r.s.m.S.selectRolesByUserName - [debug,159] - <==      Total: 1
16:10:13.500 [http-nio-8082-exec-23] DEBUG c.r.s.m.S.selectPostsByUserName - [debug,159] - ==>  Preparing: select p.post_id, p.post_name, p.post_code from sys_post p left join sys_user_post up on up.post_id = p.post_id left join sys_user u on u.user_id = up.user_id where u.user_name = ? 
16:10:13.501 [http-nio-8082-exec-23] DEBUG c.r.s.m.S.selectPostsByUserName - [debug,159] - ==> Parameters: admin(String)
16:10:13.503 [http-nio-8082-exec-23] DEBUG c.r.s.m.S.selectPostsByUserName - [debug,159] - <==      Total: 1

一共6条sql语句,首先第一条查的是用户表的用户信息,于是就去看了一下数据库,将第一条sql又执行了一遍,结果如下:
在这里插入图片描述
可见密码是经过加密了,于是又去看login接口是怎么实现的,如下:


@Component
public class SysLoginController{
	@PostMapping("/login")
    public AjaxResult login(@RequestBody LoginBody loginBody)
    {
        AjaxResult ajax = AjaxResult.success();
        // 生成令牌
        String token = loginService.login(loginBody.getUsername(), loginBody.getPassword());
        ajax.put(Constants.TOKEN, token);
        return ajax;
    }
}

可见核心方法在于 String token = loginService.login(loginBody.getUsername(), loginBody.getPassword());
于是开启断点追踪下去:loginService的login方法是这么实现的:

public class SysLoginService{
	@Resource
    private AuthenticationManager authenticationManager;
/**
     * 登录验证
     * 
     * @param username 用户名
     * @param password 密码
     * @return 结果
     */
    public String login(String username, String password){
        String verifyKey = Constants.CAPTCHA_CODE_KEY;
        String captcha = redisCache.getCacheObject(verifyKey);
        redisCache.deleteObject(verifyKey);
//        if (captcha == null){
//            AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.jcaptcha.expire")));
//            throw new CaptchaExpireException();
//        }
//        if (!code.equalsIgnoreCase(captcha)){
//            AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.jcaptcha.error")));
//            throw new CaptchaException();
//        }
        // 用户验证
        Authentication authentication = null;
        try{
            // 该方法会去调用UserDetailsServiceImpl.loadUserByUsername
            authentication = authenticationManager
                    .authenticate(new UsernamePasswordAuthenticationToken(username, password));
        }
        catch (Exception e){
            if (e instanceof BadCredentialsException){
                AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.password.not.match")));
                throw new UserPasswordNotMatchException();
            }
            else{
                AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, e.getMessage()));
                throw new CustomException(e.getMessage());
            }
        }
        AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_SUCCESS, MessageUtils.message("user.login.success")));
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        // 生成token
        return tokenService.createToken(loginUser);
    }
}

注释的那部分是用于验证验证码的部分,断点继续往下走,登录的核心部分是,这也是SpringSecurity用于登录的核心方法.

// 该方法会去调用UserDetailsServiceImpl.loadUserByUsername
authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password));

关于AuthenticationManager,它是SpringSecurity的身份验证管理器,AuthenticationManager的authenticate()方法用于登录验证,其参数UsernamePasswordAuthenticationToken无疑是封装了用户登录信息的一个对象,于是现在开始进入到了SpringSecurity的环节,AuthenticationManager是一个接口,所以authenticate()方法必定交给它的实现类来完成,通过debug可以看见Spring为其注入的是WebSecurityConfigurerAdapter
在这里插入图片描述
那么问题来了,通过继承树发现WebSecurityConfigurerAdapter并非AuthenticationManager的实现类,那这就出事了,先不管,继续往下走
于是再进入authenticationManager.authenticate()方法中,调用者是WebSecurityConfigurerAdapter但是他有一个静态内部类AuthenticationManagerDelegator,而AuthenticationManagerDelegator实现了AuthenticationManager其实现的方法为

		public Authentication authenticate(Authentication authentication)
				throws AuthenticationException {
			if (delegate != null) {
				return delegate.authenticate(authentication);
			}

			synchronized (delegateMonitor) {
				if (delegate == null) {
					delegate = this.delegateBuilder.getObject();
					this.delegateBuilder = null;
				}
			}

			return delegate.authenticate(authentication);
		}

这还是看不懂,继续走,于是再进入到delegate.authenticate(authentication);方法中,其实现如下:

	public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		Authentication result = null;
		Authentication parentResult = null;
		boolean debug = logger.isDebugEnabled();

		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}

			if (debug) {
				logger.debug("Authentication attempt using "
						+ provider.getClass().getName());
			}

			try {
				result = provider.authenticate(authentication);

				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException e) {
				prepareException(e, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw e;
			}
			catch (InternalAuthenticationServiceException e) {
				prepareException(e, authentication);
				throw e;
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

		if (result == null && parent != null) {
			// Allow the parent to try.
			try {
				result = parentResult = parent.authenticate(authentication);
			}
			catch (ProviderNotFoundException e) {
				// ignore as we will throw below if no other exception occurred prior to
				// calling parent and the parent
				// may throw ProviderNotFound even though a provider in the child already
				// handled the request
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

		if (result != null) {
			if (eraseCredentialsAfterAuthentication
					&& (result instanceof CredentialsContainer)) {
				// Authentication is complete. Remove credentials and other secret data
				// from authentication
				((CredentialsContainer) result).eraseCredentials();
			}

			// If the parent AuthenticationManager was attempted and successful than it will publish an AuthenticationSuccessEvent
			// This check prevents a duplicate AuthenticationSuccessEvent if the parent AuthenticationManager already published it
			if (parentResult == null) {
				eventPublisher.publishAuthenticationSuccess(result);
			}
			return result;
		}

		// Parent was null, or didn't authenticate (or throw an exception).

		if (lastException == null) {
			lastException = new ProviderNotFoundException(messages.getMessage(
					"ProviderManager.providerNotFound",
					new Object[] { toTest.getName() },
					"No AuthenticationProvider found for {0}"));
		}

		prepareException(lastException, authentication);

		throw lastException;
	}

还是不懂,继续往里走,进入result = provider.authenticate(authentication);方法中(中间过程还有一步父子类的共同实现,但是是同一个方法的不同属性值,逻辑一样),如下:

	public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
				() -> messages.getMessage(
						"AbstractUserDetailsAuthenticationProvider.onlySupports",
						"Only UsernamePasswordAuthenticationToken is supported"));

		// Determine username
		String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
				: authentication.getName();

		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);

		if (user == null) {
			cacheWasUsed = false;

			try {
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException notFound) {
				logger.debug("User '" + username + "' not found");

				if (hideUserNotFoundExceptions) {
					throw new BadCredentialsException(messages.getMessage(
							"AbstractUserDetailsAuthenticationProvider.badCredentials",
							"Bad credentials"));
				}
				else {
					throw notFound;
				}
			}

			Assert.notNull(user,
					"retrieveUser returned null - a violation of the interface contract");
		}

		try {
			preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user,
					(UsernamePasswordAuthenticationToken) authentication);
		}
		catch (AuthenticationException exception) {
			if (cacheWasUsed) {
				// There was a problem, so try again after checking
				// we're using latest data (i.e. not from the cache)
				cacheWasUsed = false;
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
				preAuthenticationChecks.check(user);
				additionalAuthenticationChecks(user,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			else {
				throw exception;
			}
		}

		postAuthenticationChecks.check(user);

		if (!cacheWasUsed) {
			this.userCache.putUserInCache(user);
		}

		Object principalToReturn = user;

		if (forcePrincipalAsString) {
			principalToReturn = user.getUsername();
		}

		return createSuccessAuthentication(principalToReturn, authentication, user);
	}

这仿佛一下子就开朗了,登录信息一直封装再参数authentication中,再次比对往下走,进入到了
retrieveUser(username,(UsernamePasswordAuthenticationToken) authentication);方法中,该方法的逻辑为

	protected final UserDetails retrieveUser(String username,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		prepareTimingAttackProtection();
		try {
			UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
		catch (UsernameNotFoundException ex) {
			mitigateAgainstTimingAttack(authentication);
			throw ex;
		}
		catch (InternalAuthenticationServiceException ex) {
			throw ex;
		}
		catch (Exception ex) {
			throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
		}
	}

这一下子就出来了,UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);不正是去取数据库中的用户信息吗,且该处若出现异常,立即抛出UsernameNotFoundException,正对应上了之前的判断,在该断点处对该方法放行,果然控制台打印出了sql语句,真是登陆时的第一条sql,再次进入到该方法中,发现

@Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException{
        SysUser user = userService.selectUserByUserName(username);
        if (StringUtils.isNull(user)){
            log.info("登录用户:{} 不存在.", username);
            throw new UsernameNotFoundException("登录用户:" + username + " 不存在");
        }
        else if (UserStatus.DELETED.getCode().equals(user.getDelFlag())){
            log.info("登录用户:{} 已被删除.", username);
            throw new BaseException("对不起,您的账号:" + username + " 已被删除");
        }
        else if (UserStatus.DISABLE.getCode().equals(user.getStatus())){
            log.info("登录用户:{} 已被停用.", username);
            throw new BaseException("对不起,您的账号:" + username + " 已停用");
        }
        return createLoginUser(user);
    }

这就一一对应上了

咸鱼zz
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析Spring Security登录验证流程
08-25
主要介绍了Spring Security登录验证流程源码解析,本文结合源码讲解登录验证流程,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
若依前后端分离版:增加新的登录接口,用于小程序或者APP获取token,并使用若依的验证方法
yyongsheng的博客
10-29 1万+
LoginController类具体代码登录校验 ——AppLoginService类具体代码AppAuthenticationProvider 类具体代码AppUserDetailsServiceImpl类具体代码此时运行时,会有冲突!!!需要在 xxx-framework/src/main/java/....../SecurityConfig中条件如图:此时启动项目不会报冲突的错千万千万要添加!!!下图中的LongUser类要添加东西。
若依框架】代码生成详细教程,15分钟搭建Springboot+Vue3前后端分离项目,基于Mysql8数据库和Redis5,管理后台前端基于Vue3和Element Plus,开发小程序数据后台
最新发布
编程小石头
06-25 6908
今天我们来借助若依来快速的搭建一个基于springboot的Java管理后台,后台网页使用vue3和 Element Plus来快速搭建。
若依SpringSecurity + JWT
weixin_45876411的博客
11-01 2698
内网项目使用RBAC权限管理模式,一个角色上挂载了多个菜单信息,用户登录时根据用户账号查询用户所拥有的菜单,将菜单信息响应给前端进行渲染。此种方式对权限控制的粒度是最粗的,用户有这个菜单即认为用户可以访问这个菜单上的所有资源,并且用户访问菜单上的接口时没有对接口进行权限验证(即此接口用户是否有权限访问)。
若依框架(SpringSecurity)登录接口改造
Meteors.的博客
07-12 3040
这篇文章是对若依框架的SpringSecurity做的登录接口进行改造
SpringSecurity+JWT登录认证
张氏小毛驴的博客
08-11 1985
其实,到了这里我们就差将我们自定义的Filter和Provider添加到SpringSecurity的主配置中,就实现了认证了,但我们这次用的是JWT方式,服务器端并没有记录登录用户的信息,因此我们需要多一个过滤器,用来拦截请求,验证Token的,如果请求携带了Token,并且token里的信息是正确的,我们才将Authentication设置已认证,让SpringSecurity过滤器链去做后续的鉴权啥的。​ 俺今天是要使用SpringSecurity实现JWT的认证,前后端分离,使用JSON交互。...
基于SpringBoot + Mybatis-Plus + SpringSecurity + JWT 实现的社区系统
03-26
这是一个基于Java技术栈开发的社区系统,主要利用了SpringBoot框架、Mybatis-Plus作为数据访问层工具、SpringSecurity作为安全认证组件以及JSON Web Token (JWT) 来处理用户认证和授权。以下将详细阐述这些关键技术...
仅用四步就整合好SpringSecurity+JWT实现登录认证!.doc
07-08
SpringSecurity简介】 SpringSecurity 是一款强大的安全框架,它...通过以上四个步骤,我们可以构建一个基础的SpringSecurity+JWT认证系统,但实际应用中可能还需要考虑更多的安全细节,如Token刷新、黑名单管理等。
SpringBoot+Security+Cas
09-07
这个Demo是为那些希望了解如何在Spring Boot应用中整合Spring Security和CAS(Central Authentication Service)服务的开发者准备的。下面将详细介绍这三个核心组件以及它们如何协同工作。 **Spring Boot** Spring ...
citrus:基于SpringBoot 2.3.2 + Mybatis-Plus + SpringSecurity + JWT 的前后分离后台管理系统 ,统一的认证入口、易于扩展的认证与权限校验、细粒度的权限与数据范围设计、动态数据源+多数据源事务
04-09
Citrus: 低代码开发脚手架项目简介基于SpringBoot 2.3.2 + Mybatis-Plus + SpringSecurity + JWT 的前后分离后台管理系统前端仓库地址:项目特性开箱即用,引入starter依赖后即可启动高效开发,只需要定义实体与库表...
springboot+security+cas集成demo
11-23
在IT领域,Spring Boot、Security和CAS都是非常重要的框架和工具,它们分别在不同的层面上为应用程序提供服务。本文将详细解析"springboot+security+cas集成demo"的相关知识点。 首先,Spring Boot是由Pivotal团队...
整合SpringSecurity+JWT实现登录认证
豪华的博客
05-21 779
整合步骤 这里我们以mall-portal改造为例来说说如何实现。 第一步,给需要登录认证的模块添加mall-security依赖: <dependency> <groupId>com.macro.mall</groupId> <artifactId>mall-security</artifactId> </dependency> 第二步,添加MallSecurityConfig配置类,继承mall
普通token登录验证和OAuth2.0应用场景(简述,之后有空再详写)
suixinsuoyu12519的专栏
02-03 1259
之前2月底特地看了很多关于token机制和Oauth2.0的文章。由于3月初到现在每天都很忙,所以一直没时间整理。今天其实也还是没时间。不过现大概写一些东西。后面有空在补上吧。之前忙着发现杯的作品提交材料,最近则是忙着Netty开发。 在正式介绍Token之前,先大致回顾一下Cookie和Session。(下面介绍跨度比较大,涉及内容不止Cookie和Session) 1. Cookie ​ Cookie一般是指客户端浏览器的Cookie,别的地方有没有Cookie我就不清楚了。Cookie可以用.
从零搭建SpringSecurity +JWT
weixin_48628145的博客
08-06 267
1、原版给的是 重内存中查找用户信息,我们是要重数据库中查找,所以主要就是要替换这个类(创建一个UserDetailService的实现类,重写loadUserByUsername()方法)(通过用户角色表获取用户角色,获得角色的信息,再通过角色与角色和权限关联表,获得角色关联的权限id,最后从权限表中获得权限信息,得去重)(2到时候替换成动态的就行)(用户表,权限表,角色表(一个角色有一组权限,用角色权限表关联,多对多关系),角色和权限关联的表,用户和角色关联表(也是多对多))
详解Ruoyi-Vue的登录Springsecurity+JWT
weixin_59015876的博客
04-10 1025
这段代码配置了允许无需登录即可访问的URL(如:登录、注册等),以及需要登录才能访问的其他URL。它还禁用了CSRF(跨站请求伪造)保护,添加了自定义的JWT认证过滤器,并设置了无状态的会话策略。请注意,仅当请求头中包含有效的JWT时,此过滤器才会执行这些操作。如果登录成功,将返回的JWT存储在浏览器的。JWT的有效期是有限的,为了避免用户在登录后不久就需要重新登录,你可以实现JWT的刷新机制。前端在发现JWT即将过期时,可以调用这个接口来获取一个新的JWT。方法中,从请求头中获取JWT,然后使用。
SpringSecurity+JWT 身份验证及动态权限解决方案(很实用)
Java知音
08-04 1158
点击关注公众号,实用技术文章及时了解花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo,并按照自己的想法完成了动态权限问题。在写这个Demo之初,使用的是SpringSecurity自带的注解权限,但是这样权限就显得不太灵活,在实现之后,感觉也挺复杂的,欢迎大家给出建议。认证流程及授权流程我画了个建议的认证授权流程图,后面会结合代码进行解释整个...
(十三)JWTSpringSecurity实现基于Token的登录--基于SpringBoot+MySQL+Vue+ElementUI+Mybatis前后端分离面向小白管理系统搭建
wdyan297的博客
01-26 5621
本次任务,我们完成大家期待已久的登录页面,让系统的逻辑更加规范。(1)熟练自主设计一个登录或者其他类型页面; (2)了解Spring Security的工作原理;(3)理解登录、认证、拦截、放行等基本概念;(4)实现基于Token的登录。
Spring Security+JWT简述
热门推荐
姜守威的博客
06-03 2万+
目录一. 什么是Spring Security1. 登陆校验的流程2. SpringSecurity基础案例二. Spring Security原理流程 一. 什么是Spring Security Spring SecuritySpring家族的一个安全管理框架, 相比于另一个安全框架Shiro, 它具有更丰富的功能。一般中大型项目都是使用SpringSecurity做安全框架, 而Shiro上手比较简单 spring security 的核心功能: 认证(你是谁): 只有你的用户名或密码正确才能
jwt无状态登陆常见面试问题总结
weixin_51291483的博客
10-21 1722
1.JwtSpring Security的对比: JWT的: 优点: 无需再服务端存储用户数据,减轻服务端压力 轻量级,json风格,比较简单 跨语言 有利于水平扩展 缺点: token一旦签发,无法修改 无法更新token有效期,用户登录状态刷新难以实现 无法销毁一个token,服务端不能对用户状态进行绝对控制 不包含权限控制 SpringSecurity: 优点: 用户信息保存再服务端,服务端可以对用户状态绝对控制 基于Spring,无缝整合,修改登录逻辑,其实就是添加过
Springboot 3 + Spring Security 6 +jwt 项目配置
05-26
好的,下面是Spring Boot 3 + Spring Security 6 + JWT的项目配置步骤: 1. 添加Spring SecurityJWT的依赖 在pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 配置JWT 在application.yml或者application.properties文件中添加JWT的配置信息: ``` jwt: secret: yourSecretKey expiration: 604800000 # 7 days ``` 3. 配置Spring Security 创建一个继承自WebSecurityConfigurerAdapter的配置类,并添加以下代码: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailsService customUserDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(customUserDetailsService).passwordEncoder(passwordEncoder()); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**") .permitAll() .anyRequest() .authenticated(); http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(); } } ``` 其中,CustomUserDetailsService是自定义的用户认证服务,JwtAuthenticationFilter是自定义的JWT认证过滤器。 4. 编写JWT认证过滤器 创建一个继承自OncePerRequestFilter的JwtAuthenticationFilter,并添加以下代码: ```java public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider jwtTokenProvider; @Autowired private CustomUserDetailsService customUserDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { try { String token = jwtTokenProvider.resolveToken(request); if (token != null && jwtTokenProvider.validateToken(token)) { Authentication authentication = jwtTokenProvider.getAuthentication(token); SecurityContextHolder.getContext().setAuthentication(authentication); } } catch (JwtAuthenticationException ex) { SecurityContextHolder.clearContext(); response.sendError(ex.getHttpStatus().value(), ex.getMessage()); return; } filterChain.doFilter(request, response); } } ``` 其中,JwtTokenProvider是自定义的JWT Token提供器。在这个过滤器中,我们通过JWT Token提供器解析请求中的Token,并将用户认证信息存储在SecurityContextHolder中。 5. 编写JWT Token提供器 创建一个JwtTokenProvider类,并添加以下代码: ```java @Service public class JwtTokenProvider { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private Long expiration; public String createToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); return Jwts.builder() .setClaims(claims) .setSubject(userDetails.getUsername()) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + expiration)) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } public boolean validateToken(String token) { try { Jwts.parser().setSigningKey(secret).parseClaimsJws(token); return true; } catch (JwtException | IllegalArgumentException ex) { throw new JwtAuthenticationException("Expired or invalid JWT token", HttpStatus.INTERNAL_SERVER_ERROR); } } public Authentication getAuthentication(String token) { UserDetails userDetails = customUserDetailsService.loadUserByUsername(getUsername(token)); return new UsernamePasswordAuthenticationToken(userDetails, "", userDetails.getAuthorities()); } public String getUsername(String token) { return Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody() .getSubject(); } public String resolveToken(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` 其中,UserDetails是Spring Security提供的用户认证信息对象,CustomUserDetailsService是自定义的用户认证服务。 在这个类中,我们使用JJWT库来创建和解析JWT Token,并在getAuthentication方法中从Token中获取用户认证信息,并将其封装Spring Security的Authentication对象。 以上就是Spring Boot 3 + Spring Security 6 + JWT的项目配置步骤。希望能够帮到您!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值