SpringSecurity整合JWT

最新推荐文章于 2024-07-17 23:15:51 发布
最新推荐文章于 2024-07-17 23:15:51 发布
阅读量664 收藏
点赞数
分类专栏: java实战 文章标签: spring boot java spring
此文章为博主原创文章,未得博主允许不得随意转载,如需转载请联系博主
本文链接:https://blog.csdn.net/weixin_46067095/article/details/121334157
版权

SpringSecurity微服务学习(尚硅谷)

介绍

学习springsecurity的代码
地址:https://gitee.com/XuLiZhao/springsecurity.git

项目模块

  • common模块:用来存放项目中的公共资源
    • 子模块service_base:项目中的一些公共类,如异常处理类,工具类等等。
    • 子模块spring_security:项目的安全认证模块,配置项目的安全框架
  • infrastructure模块:项目的基础结构,包含网关等配置
    • 子模块api_gateway:配置项目的网关
  • service模块:用户服务的相关配置

使用说明

  • 项目中需要使用到nacos和redis
  • 这个项目主要是配合学习SpringSecurity来学习的,所以我主要分析SpringSecurity+JWT认证相关过程。
  • 用户登录的请求地址在认证过滤器中指定了,访问即可

SpringSecurity+JWT

依赖

<!-- Spring Security依赖 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
<!--JWT依赖-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
        </dependency>
<!--hutool工具类-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.3.3</version>
        </dependency>

工具类

密码处理:DefaultPasswordEncoder

@Component
public class DefaultPasswordEncoder implements PasswordEncoder {

    public DefaultPasswordEncoder() {
        this(-1);
    }

    public DefaultPasswordEncoder(int strength) {

    }

    //进行MD5加密
    @Override
    public String encode(CharSequence charSequence) {
        return SecureUtil.md5(charSequence.toString());
    }

    //进行密码的比对
    @Override
    public boolean matches(CharSequence charSequence, String encodePassword) {
        return encodePassword.equals(SecureUtil.md5(charSequence.toString()));
    }
}

JWT工具类类:TokenManager

@Component
public class TokenManager {

    /**
     *设置token有效时长
     */
    private final long tokenExpiration = 24*60*60*1000;

    /**
     *编码密钥
     */
    private String tokenSignKey = "123456";

    /**
     *使用JWT根据用户名生成token
     */
    public String createToken(String username){
        String token = Jwts.builder().setSubject(username)
                .setExpiration(new Date(System.currentTimeMillis() + tokenExpiration))
                .signWith(SignatureAlgorithm.HS512,tokenSignKey).compressWith(CompressionCodecs.GZIP).compact();
        return token;
    }

    /**
     *根据token字符串得到用户信息
     */
    public String getUserInfoFromToken(String token){
        String userInfo = Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token).getBody().getSubject();
        return userInfo;
    }

    /**
     *删除token
     */
    public void removeToken(String token){

    }

}

退出处理器:TokenLogoutHandler

public class TokenLogoutHandler implements LogoutHandler {

    private TokenManager tokenManager;
    private RedisTemplate redisTemplate;

    public TokenLogoutHandler(TokenManager tokenManager, RedisTemplate redisTemplate) {
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
    }

    @Override
    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        //从header中获取token
        String token = request.getHeader("token");
        //token不为空,移除token,从redis中删除
        if (ObjectUtil.isNotNull(token)){
            //移除
            tokenManager.removeToken(token);

            //从token中获取用户名
            String username = tokenManager.getUserInfoFromToken(token);
            redisTemplate.delete(username);
        }
        ResponseUtil.out(response, R.ok());
    }
}

未授权处理类:UnauthEntryPoint

public class UnauthEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        //返回未授权的相关信息
        ResponseUtil.out(httpServletResponse, R.error());
    }
}

过滤器

认证过滤器:TokenLoginFilter

public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {

    private TokenManager tokenManager;
    private RedisTemplate redisTemplate;
    private AuthenticationManager authenticationManager;

    public TokenLoginFilter(TokenManager tokenManager, RedisTemplate redisTemplate, AuthenticationManager authenticationManager) {
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
        this.authenticationManager = authenticationManager;
        this.setPostOnly(false);
        //设置登录路径
        this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/admin/acl/login","POST"));
    }

    /**
     *获取表单提交用户名和密码
     */
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException {

        //获取表单提交的对象
        try {
            User user = new ObjectMapper().readValue(request.getInputStream(), User.class);
            return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(),user.getPassword(),
                    new ArrayList<>()));
        } catch (IOException e) {
            e.printStackTrace();
            throw new RuntimeException();
        }

    }

    /**
     *认证成功调用的方法
     */
    @Override
    protected void successfulAuthentication(HttpServletRequest request,
                                            HttpServletResponse response,
                                            FilterChain chain, Authentication authResult) throws IOException, ServletException {
        //认证成功,得到认真成功之后用户信息
        SecurityUser user = (SecurityUser)authResult.getPrincipal();

        //根据用户名生成token
        String token = tokenManager.createToken(user.getCurrentUserInfo().getUsername());
        //把用户名和用户权限列表放到redis中去
         redisTemplate.opsForValue().set(user.getCurrentUserInfo().getUsername(),user.getPermissionValueList());

        ResponseUtil.out(response, R.ok().data("token",token));
    }

    /**
     *认证失败需要调用的方法
     */
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
        ResponseUtil.out(response, R.error());
    }
}

授权过滤器:TokenAuthFilter

public class TokenAuthFilter extends BasicAuthenticationFilter {

    private TokenManager tokenManager;
    private RedisTemplate redisTemplate;

    public TokenAuthFilter(AuthenticationManager authenticationManager, TokenManager tokenManager, RedisTemplate redisTemplate) {
        super(authenticationManager);
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
    }

    public TokenAuthFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        //获取当前认证成功的用户权限信息
        UsernamePasswordAuthenticationToken authRequest = getAuthention(request);
        //判断如果有权限授权信息,就放到权限上下文中
        if (ObjectUtil.isNotNull(authRequest)){
            SecurityContextHolder.getContext().setAuthentication(authRequest);
        }
        chain.doFilter(request,response);
    }

    public UsernamePasswordAuthenticationToken getAuthention(HttpServletRequest request){
        //从header中获取token
        String token = request.getHeader("token");
        if (ObjectUtil.isNotNull(token)){
            String username = tokenManager.getUserInfoFromToken(token);

            //从redis中获取权限列表信息
            List<String> permissionsValueList = (List<String>) redisTemplate.opsForValue().get(username);
            Collection<GrantedAuthority> authority =  new ArrayList<>();
            for (String permissionsValue : permissionsValueList) {
                SimpleGrantedAuthority auth = new SimpleGrantedAuthority(permissionsValue);
                authority.add(auth);
            }
            return new UsernamePasswordAuthenticationToken(username,token,authority);
        }
        return null;
    }
}

核心配置类

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter {

    private TokenManager tokenManager;
    private RedisTemplate redisTemplate;
    private DefaultPasswordEncoder defaultPasswordEncoder;
    private UserDetailsService userDetailsService;

    @Autowired
    public TokenWebSecurityConfig(TokenManager tokenManager, RedisTemplate redisTemplate, DefaultPasswordEncoder defaultPasswordEncoder, UserDetailsService userDetailsService) {
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
        this.defaultPasswordEncoder = defaultPasswordEncoder;
        this.userDetailsService = userDetailsService;
    }

    /**
     * 配置设置
     */
    //设置退出的地址和 token,redis 操作地址
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.exceptionHandling()
                .authenticationEntryPoint(new UnauthEntryPoint()) //无权向访问
                .and().csrf().disable()
                .authorizeRequests()
                .anyRequest().authenticated()
                .and().logout().logoutUrl("/admin/acl/index/logout") //设置退出路径
                .addLogoutHandler(new
                        TokenLogoutHandler(tokenManager, redisTemplate)).and() //执行退出的处理器逻辑
                .addFilter(new TokenLoginFilter(tokenManager, redisTemplate, authenticationManager())) //添加认证过滤器
                .addFilter(new
                        TokenAuthFilter(authenticationManager(), tokenManager,
                        redisTemplate)).httpBasic(); //添加授权过滤器
    }

    /**
     *调用userDetailService和密码处理
     */
    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception
    {

        auth.userDetailsService(userDetailsService).passwordEncoder(defaultPasswordEncoder);
    }

    /**
     *不进行认证的路径,可以直接访问
     */
    @Override
    public void configure(WebSecurity web) throws Exception{
        web.ignoring().antMatchers("/api/**");
    }

}

UserDetailsService实现类

实现用户认证逻辑

@Service("userDetailsService")
public class UserDetailServiceImpl implements UserDetailsService {

    @Autowired
    private UserService userService;

    @Autowired
    private PermissionService permissionService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据用户名查询数据库
        User user = userService.selectByUsername(username);
        //判断
        if (ObjectUtil.isNull(user)){
            throw new UsernameNotFoundException("用户不存在");
        }
        com.atguigu.security.entity.User curUser = new com.atguigu.security.entity.User();
        BeanUtils.copyProperties(user,curUser);
        //根据用户查询出用户列表信息
        List<String> permissionValueList = permissionService.selectPermissionValueByUserId(user.getId());
        SecurityUser securityUser = new SecurityUser();
        securityUser.setPermissionValueList(permissionValueList);
        return securityUser;
    }
}
汐海笙歌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity整合Jwt过程图解
08-25
"SpringSecurity整合Jwt过程图解" 在本文中,我们将详细介绍SpringSecurity整合Jwt的过程图解。Jwt(Json Web Token)是一种基于Token的身份验证机制,广泛应用于Web应用程序的身份验证和授权中。SpringSecurity是...
SpringSecurity——整合JWT
qq_41297145的博客
12-30 2307
在第4步中,通过增加JwtFilter过滤器来验证身份,允许前端通过携带正确且未过期的JwtToken进行身份验证,验证时需要同样需要通过LoadUserByUsername方法获取UserDetails对象(Principal对象),然后创建一个UsernamePasswordAuthenticationToken对象给SecurityContextHolder验证,如果和步骤2中写入的authentication一致,即验证成功,正确获取到用户权限。自定义JwtFilter拦截器,
springsecurity 的学习授权与认证
健康平安的活着的专栏
07-25 432
springSecurity 1.1 SpringSecurity的概念作用 Springsecurity 基于 Spring 框架,提供了一整套 完整的安全性Web 应用解决方案框架。主要有用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security重要核心功能。 1.用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程.
SpringSecurity + JWT 实现登录认证
最新发布
xaiobit_hl的博客
07-17 1398
Component@Override// 1.获取 JWT 令牌if (!// 2.判断 JWT 令牌正确性// 3.获取用户信息,存储 Security 中= null= null) {// 4.创建用户对象null,// 绑定 request 对象。
Spring Security 超详细整合 JWT,能否拿下看你自己!
08-31 7853
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT 的认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
Spring Security 整合 JWT
Lyndon的专栏
08-04 1214
单点登录相关
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
SpringBoot+SpringSecurity+jwt整合详解 SpringBoot是当前最流行的Java框架之一,它提供了便捷的方式来构建基于Web的应用程序。然而,在构建Web应用程序时,安全性是不可忽视的重要方面。因此,本文将详细介绍如何...
SpringSecurity 整合 JWT.docx
06-27
为了在Spring Security整合JWT,首先需要引入JWT的相关库,如jjwt。然后,可以创建JWT的生成和解析方法。以下是一个简单的示例: ```java import io.jsonwebtoken.Jwts; import java.util.Date; public class ...
SpringSecurity整合JWT.docx
06-27
Spring Security 整合 JWT】 在现代Web应用中,安全认证和授权是至关重要的环节。传统的有状态登录机制,依赖于服务器端的Session和客户端的Cookie来维持用户状态,但这种方式存在一些问题,如服务器存储压力大,...
SpringBoot2.6整合SpringSecurity+JWT
01-11
**三、SpringBoot 2.6与Spring Security整合** 1. **添加依赖**:首先,在`pom.xml`文件中引入Spring SecurityJWT的相关依赖,如`spring-security-oauth2-jose`和`jjwt`库。 2. **配置Spring Security**:创建一...
SpringSecurity整合jwt
qq_51705526的博客
05-02 7206
前言: 准备把权限管理写到自己的jee项目中, 索性想到了SpringSecurity框架, 就来学一下! 认证 登录校验流程 token可以存在localstoryge springsecurity完整流程 就是一个过滤链 UsernamePasswordAuthenticationFilter:(认证)处理登录页面填写了用户名和密码之后的登录请求ExcpetionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationEx
SpringSecurity 整合 JWT
niceyoo的博客
06-02 1万+
项目集成Spring Security(一) 在上一篇基础上继续集成 JWT ,实现用户身份验证。 前言 前后端分离项目中,如果直接把 API 接口对外开放,我们知道这样风险是很大的,所以在上一篇中我们引入了 Spring Security ,但是我们在登陆后缺少了请求凭证部分。 什么是JWT? JWT是 Json Web Token 的缩写。它是基于 RFC 7519 标准定义的一种可以安全...
SpringBoot2.3集成Spring Security(二) JWT认证
我是你妹她哥的博客
06-21 1843
思路:登录认证获取token提供一个controller,将controller的地址加到spring Security 的config中不做权限控制,访问该controller,将用户名和密码的判断交给spring Security 的userDetailService处理,根据处理的返回结果决定是否生成对应的token值。。具体是怎么找到这个入口的,详情可以看步骤三。接口认证token值加入JWT生成的工具类Spring Security 提供多种认证方式,但我们需要熟悉的是。
springsecurity-jwt整合
weixin_44846436的博客
03-27 1011
方法,设置到其中。3、认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。2)创建我们自己的决策管理器AccessDecisionManager,实现decide方法,判断步骤1)中获取到的角色和我们目前登录的角色是否相同,相同则允许访问,不相同则不允许访问,123456 //这里是密钥,只要够复杂,一般不会被破解。
springboot 整合jwt
林海静的博客
07-05 1098
1、引入jwtjar包 <!--JWT(Json Web Token)登录支持--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> 2、jwt工具类 package com.lin
31.整合JWT
gunsmoke的专栏
04-19 348
pom.xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> 工具类 package com.gunsmoke.comm...
SpringBoot整合JWT
南风的博客
01-20 801
SpringBoot整合JWT 概述 有关jwt的的详细概述请参考阮一峰博客入门教程:https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html 整合 导包–采用 java-jwt jar包 <!-- jwt --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</a
厉害,我带的实习生仅用四步就整合SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecuritySpring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
spring security整合jwt
03-16
Spring Security是一个强大的安全框架,可以帮助我们保护我们的应用程序免受各种攻击。JWT(JSON Web Token)是一种用于身份验证和授权的开放标准,它可以在不需要服务器存储会话信息的情况下实现无状态身份验证。 将Spring SecurityJWT结合起来使用可以提供更加安全和灵活的身份验证和授权机制。在整合过程中,我们需要实现自定义的AuthenticationProvider和Filter来处理JWT的验证和授权,同时还需要配置一些Spring Security的相关参数,如登录页面、认证成功和失败的处理等。最终,我们可以通过JWT生成和验证来实现无状态的身份验证和授权。 总之,Spring Security整合JWT可以提供更加安全和灵活的身份验证和授权机制,适用于各种Web应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值