SpringSecurity整合JWT和Redis

最新推荐文章于 2024-06-12 19:31:55 发布
最新推荐文章于 2024-06-12 19:31:55 发布
阅读量568 收藏 5
点赞数
文章标签: redis java bootstrap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57466771/article/details/133616427
版权

    Spring Security的整合JWT和Redis是一个强大的方式来实现用户身份验证和授权,以及提供令牌的生成和验证。下面是一个基本的示例,演示如何在Spring Security中整合JWT和Redis进行用户登录操作。

1. 添加依赖: 确保您的项目中包含Spring Security、Spring Boot、Spring Data Redis以及JWT相关的依赖。 

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

2. 配置JWT: 配置JWT生成和验证的相关信息,包括密钥、过期时间等。可以创建一个JwtUtil类来处理JWT操作。

@Configuration
public class JwtConfig {
    @Value("${jwt.secret}")
    private String jwtSecret;
    @Value("${jwt.expiration}")
    private long jwtExpiration;

    @Bean
    public JwtUtil jwtUtil() {
        return new JwtUtil(jwtSecret, jwtExpiration);
    }
}

3. 配置Spring Security: 配置Spring Security来启用JWT身份验证,并指定哪些端点需要进行身份验证。可以创建一个SecurityConfig类。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private JwtAuthenticationEntryPoint unauthorizedHandler;
    @Autowired
    private JwtTokenFilter jwtTokenFilter;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/api/auth/**").permitAll() // 公开访问的端点
            .anyRequest().authenticated();

        // 异常处理 (未授权处理)
        http.exceptionHandling().authenticationEntryPoint(unauthorizedHandler);

        // 添加JWT过滤器
        http.addFilterBefore(jwtTokenFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

4. 创建一个登录端点: 在你的应用中创建一个登录端点,接受用户的身份验证凭证(通常是用户名和密码)。在登录成功后,生成JWT令牌并将其存储到Redis中。

@RestController
@RequestMapping("/api/auth")
public class AuthController {
    @Autowired
    private JwtUtil jwtUtil;

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    private RedisTemplate<String, Object> redisTemplate;

    @PostMapping("/login")
    public ResponseEntity<?> authenticateUser(@RequestBody LoginRequest loginRequest) {
        // 使用Spring Security的AuthenticationManager来验证用户身份
        Authentication authentication = authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())
        );

        SecurityContextHolder.getContext().setAuthentication(authentication);

        // 生成JWT令牌
        UserDetails userDetails = userDetailsService.loadUserByUsername(loginRequest.getUsername());
        String jwt = jwtUtil.generateToken(userDetails);

        // 将JWT令牌存储到Redis,以便后续验证
        redisTemplate.opsForValue().set("jwt:" + userDetails.getUsername(), jwt);

        return ResponseEntity.ok(new JwtResponse(jwt));
    }
}

5. 创建一个JWT Token Filter: 创建一个JWT Token过滤器,该过滤器负责解析和验证JWT令牌,然后将用户信息添加到Spring Security上下文。

@Component
public class JwtTokenFilter extends OncePerRequestFilter {
    @Autowired
    private JwtUtil jwtUtil;

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    private RedisTemplate<String, Object> redisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
        String jwt = getJwtFromRequest(request);
        if (StringUtils.hasText(jwt) && jwtUtil.validateToken(jwt)) {
            String username = jwtUtil.getUsernameFromToken(jwt);
            // 检查Redis中是否存在该令牌,以确保令牌没有被注销
            if (redisTemplate.hasKey("jwt:" + username)) {
                UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(
                        userDetails, null, userDetails.getAuthorities()
                );
                SecurityContextHolder.getContext().setAuthentication(authenticationToken);
            }
        }
        chain.doFilter(request, response);
    }
    
    // Helper method to extract JWT from the request
    private String getJwtFromRequest(HttpServletRequest request) {
        // Implement this method based on your token placement (e.g., in the Authorization header)
    }
}

6. 用户认证服务: 实现用户认证服务(UserDetailsService)以便加载用户信息和检查密码。这是您应用程序的特定部分,可能需要与数据库或其他数据存储进行交互。

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found with username: " + username);
        }
        return new UserPrincipal(user);
    }
}

    在整合Spring Security、JWT和Redis的应用中,创建其他操作接口(如添加操作)通常需要以下步骤:

1. 创建相应的控制器(Controller): 首先,你需要创建一个控制器类,用于处理添加操作的HTTP请求。这个控制器类将包含一个或多个方法,用于处理不同的API端点。

@RestController
@RequestMapping("/api")
public class YourEntityController {

    @Autowired
    private YourEntityService entityService;

    @PostMapping("/add")
    public ResponseEntity<?> addEntity(@RequestBody YourEntityRequest entityRequest) {
        // 在这里实现添加操作
        YourEntity entity = entityService.addEntity(entityRequest);
        return ResponseEntity.ok(entity);
    }
    
    // 其他接口和操作
}

2. 创建相应的请求和响应类: 创建用于接收请求和发送响应的数据传输对象(DTO)。这些类可以包含与操作相关的数据字段。

public class YourEntityRequest {
    private String name;
    // 其他字段
    // getter 和 setter 方法
}

public class YourEntityResponse {
    private Long id;
    private String name;
    // 其他字段
    // getter 和 setter 方法
}

3. 创建相应的服务(Service)类: 创建一个服务类,用于实现添加操作以及其他相关的业务逻辑。

@Service
public class YourEntityService {

    @Autowired
    private YourEntityRepository entityRepository;

    public YourEntity addEntity(YourEntityRequest entityRequest) {
        YourEntity entity = new YourEntity();
        entity.setName(entityRequest.getName());
        // 设置其他字段

        YourEntity savedEntity = entityRepository.save(entity);
        return savedEntity;
    }
    
    // 其他服务方法
}

4. 配置访问控制: 如果你希望某些接口需要授权访问,你可以使用Spring Security的配置来定义访问控制规则。例如,你可以使用@PreAuthorize注解来定义访问要求。

@PreAuthorize("hasRole('ROLE_ADMIN')") // 示例:只有具有ROLE_ADMIN角色的用户可以访问
@PostMapping("/add")
public ResponseEntity<?> addEntity(@RequestBody YourEntityRequest entityRequest) {
    // 添加操作
}

Joker_zjy
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)
黄团团的个人博客
07-28 5382
最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
之后,每次API请求都会携带JWTRedisSpring Security共同完成身份验证,MyBatis则负责与MySQL数据库的交互,实现数据的读写操作。这样的设计提高了系统的安全性、性能和可扩展性,是现代Web应用开发中的典型架构...
SpringBoot整合JWT+Spring Security+Redis实现登录拦截(二)权限认证
郝南过的博客
12-25 1443
可直接使用已有的权限检测@PreAuthorize(“hasAuthority('自定义字符串')”),hasAuthority是系统提供的,可直接使用,也可以自定义。以下为自定义,为方便直接判断admin用户,并给admin用户授予所有权限。/*** 自定义权限检测*/// 获取当前用户的所有权限// 判断当前用户的所有权限是否包含接口上定义的权限。
【实战运用】SpringSecurity+Redis+Jwt实现用户认证授权
k123456kah的博客
01-19 1539
Spring Security是一个强大且灵活的身份验证和访问控制框架,用于Java应用程序。它是基于Spring框架的一个子项目,旨在为应用程序提供安全性。Spring Security致力于为Java应用程序提供认证和授权功能。开发者可以轻松地为应用程序添加强大的安全性,以满足各种复杂的安全需求。
Spring Security实现用户认证四:使用JWTRedis实现无状态认证
最新发布
不做菜虚困的博客
06-12 896
在基本的通信流程中,我们一般采用Session去存储用户的认证状态。在Spring Security实现用户认证三中讲过,在拿到前端传输过来的用户名和密码之后,会有专门的过滤器处理这部分的需求,并且对认证成功的用户生成Token且存储在Session中。在下次发起请求时,直接从Session中取出同用户名的token进行密码哈希的比较要认证用户。对于无状态认证,则我们的认证不依赖与服务器端存储的Session的状态。所以无状态认证需要我们每次从前端传输一个包含完整认证信息的Token到服务器端进行自定义的认
spring security+jwt+redis
阳仔的博客
05-21 4325
spring security+jwt+redis实现无状态服务安全框架(1)1.依赖导入2.过滤器3.思路在认证过滤器之前,我们自定义两个过滤器JwtLoginFilterJwtAuthenticationFilte登录成功与失败处理MyAuthenticationFailureHandler授权工具类SecurityUtilsJwtTokenUtils对于认证登录信息,使用的安全框架默认的认证方法,你可以实现UserDetailsService重写loadUserByUsername方法来完成登录信息与
SpringSecurity+jwt+Redis实现权限控制
loveandstory的博客
05-27 2577
认证流程 ![2022-05-01_20_32.png](https://img-blog.csdnimg.cn/img_convert/e26754ff622934f41b1c0388a8121997.png#clientId=u053830b8-c837-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=546&id=u38baedfc&margin=[object Object]&na
Spring Security系列】Spring Security+JWT+Redis实现用户认证登录及登出
c18213590220的博客
11-28 1503
Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一 套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。常见的身份认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
SpringSecurity+JWT+Redis实现前后端分离认证与授权
weixin_52536274的博客
11-03 467
我们还要定义一个过滤器去进行JWT的验证,把自定义过滤器的优先级放到SpringSecurity的认证过滤前。正常用户执行登录操作后系统会把用户的id封装为jwt传递给前端,前端每次发起请求都会在请求头中携带jwt。我们对携带的jwt进行解析:第一种情况,如果解析失败,说明本次请求可能是注册、登录请求或用户未经过登录认证。直接放行到SpringSecurity的认证过滤器。解析成功就从Redis中取出该用户的认证信息并存入SecurityContextHolder上下文中以便后续过滤器的使用。
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
springboot整合securityjwt
08-05
springboot2.0整合securityjwt, 还整合redis,与swagger-ui
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统
04-30
基于当前流行技术组合的前后端分离商城系统:SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含商城、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券...
Springboot+SpringSecurity+JWT+redis 框架搭建demo
02-03
本项目"Springboot+SpringSecurity+JWT+redis框架搭建demo"提供了一个基于这些技术的登录验证解决方案,旨在实现高效、安全的用户身份验证。下面我们将深入探讨这些技术及其在项目中的应用。 **Spring Boot** ...
springSecurity+JWT+Redis权限认证(完整项目代码)
gorylee的博客
12-10 3357
springboot+springsecurity+JWT+redis
SpringSecurity+JWT+redis认证流程
weixin_50255400的博客
07-29 2629
文章目录1. 整合SpringSecurity1.1 工作流程1.2 SpringSecurity的重要概念1. SecurityContext2. SecurityContextHolder3. Authentication4. AuthenticationManager1.3 引入Securityjwt2. 准备工作2.1 重写UserDetailsService2.2 Redis工具类2.3 ResponseUtil2.4 解决跨域问题2.5 TokenService3. 具体实现流程3.1 Sec
spring security + jwt + redis 实现认证 授权 动态权限
weixin_43879445的博客
04-11 2119
spring security + jwt + redis 实现认证 授权 动态权限 spring security的认证原理请看:https://blog.csdn.net/weixin_43879445/article/details/124093893 我们先看看授权的流程图: 根据特定的业务需求,security使用的功能有所不同。 我这里的主体架构是spring cloud alibaba:2.1.0 、spring cloud:hoxton.SR1 因为是微服务所以写了一个common的工具
Spring Security+jwt+redis+自定义认证逻辑 权限控制
Tian208的博客
02-23 1154
Spring Security+jwt+redis+自定义认证逻辑 权限控制
【基于Spring Security +Jwt+验证码+Redis实现认证+授权操作(内附详细项目地址)】
qq_42529846的博客
04-25 3240
文章目录前言一、SpringSecurity是什么?二、系统流程三、具体实现1.项目准备工作2.生成验证码3.更改SpringSecurity的用户数据源4.登录接口实现5.Token过滤器6.权限校验7.系统的完善8 项目地址总结 前言 考虑到导师的项目后续需要进行权限+授权管理,所以抽空去b站上学习了一下Spring Security。在学习的基础上根据自己的理解写了这个小项目,希望能给需要的人一些启示和后期自己复习使用。 一、SpringSecurity是什么? SpringSecurity作为Sp
spring securityjwtredis实现前后端分离
05-31
好的,这是一个关于Spring SecurityJWTRedis实现前后端分离的问题。 首先,Spring Security是一个基于Spring框架的安全框架,可以用来实现用户认证、授权等功能。 JWT(JSON Web Token)是一种用于在网络上传递声明的令牌,可以通过在令牌中添加一些声明,比如用户ID、角色等信息,来实现用户认证和授权。 Redis是一个内存数据库,常用于缓存和数据存储。在实现前后端分离的过程中,可以使用Redis来存储JWT令牌,以提高系统的性能和安全性。 具体实现过程可以分为以下几个步骤: 1. 前端用户输入用户名和密码,发送请求到后端。 2. 后端使用Spring Security进行用户认证,如果验证通过,则生成JWT令牌,并将令牌存储到Redis中。 3. 后端将生成的JWT令牌返回给前端,前端存储该令牌。 4. 前端每次请求时,在请求头中添加JWT令牌,后端通过解析JWT令牌来验证用户的身份和权限。 5. 后端若发现JWT令牌过期或者不合法,则拒绝该请求。 这样,就可以实现基于Spring SecurityJWTRedis的前后端分离认证和授权了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值