详解Ruoyi-Vue的登录Springsecurity+JWT

最新推荐文章于 2024-09-27 23:07:03 发布
最新推荐文章于 2024-09-27 23:07:03 发布
阅读量1.1k 收藏 2
点赞数
文章标签: vue.js 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59015876/article/details/130071794
版权

Ruoyi-Vue使用Spring Security和JWT(JSON Web Token)实现了一套基于角色的权限管理和认证授权系统。下面将详细讲解这一实现过程。

  1. 依赖引入:

在后端的pom.xml文件中,引入spring-securityjjwt相关的依赖。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

 2.配置Spring Security:

在后端项目中创建一个名为WebSecurityConfig的配置类,继承WebSecurityConfigurerAdapter,并添加以下配置:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    // 省略其他配置

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/login", "/register", "/public/**").permitAll()
            .anyRequest().authenticated()
            .and()
            .exceptionHandling().authenticationEntryPoint(unauthorizedHandler)
            .and()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        http.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
        http.headers().cacheControl();
    }
}

这段代码配置了允许无需登录即可访问的URL(如:登录、注册等),以及需要登录才能访问的其他URL。它还禁用了CSRF(跨站请求伪造)保护,添加了自定义的JWT认证过滤器,并设置了无状态的会话策略。

JWT工具类:

创建一个名为JwtTokenUtil的工具类,用于生成和解析JWT。这个类包含了如下方法:

  • generateToken(UserDetails userDetails):根据用户信息生成JWT
  • getUsernameFromToken(String token):从JWT中获取用户名
  • validateToken(String token, UserDetails userDetails)
  • 验证JWT是否有效用户认证和授权:

创建一个名为JwtUserDetailsService的服务类,实现UserDetailsService接口,实现loadUserByUsername方法。这个方法通过用户名查询数据库获取用户信息,并将用户信息封装成JwtUser对象。

@Service
public class JwtUserDetailsService implements UserDetailsService {
    @Autowired
    private SysUserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        SysUser user = userService.selectUserByLoginName(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found with username: " + username);
        }
        return createJwtUser(user);
    }
}

JWT过滤器:

创建一个名为JwtAuthenticationTokenFilter的过滤器,继承OncePerRequestFilter。在doFilterInternal方法中,从请求头中获取JWT,然后使用JwtTokenUtil工具类解析JWT,获取用户名。接着,调用`JwtUserDetailsService加载用户信息,并将其设置到SecurityContextHolder中,以便后续的认证授权操作。请注意,仅当请求头中包含有效的JWT时,此过滤器才会执行这些操作。

public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired
    private JwtUserDetailsService userDetailsService;

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
        String authToken = request.getHeader("Authorization");
        if (authToken != null && authToken.startsWith("Bearer ")) {
            authToken = authToken.substring(7);
        }

        String username = jwtTokenUtil.getUsernameFromToken(authToken);

        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            UserDetails userDetails = userDetailsService.loadUserByUsername(username);

            if (jwtTokenUtil.validateToken(authToken, userDetails)) {
                UsernamePasswordAuthenticationToken authentication =
                        new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        }

        chain.doFilter(request, response);
    }
}

 

登录控制器:

创建一个名为AuthController的控制器,实现登录功能。在登录方法中,首先调用AuthenticationManager进行身份认证,然后使用JwtTokenUtil生成JWT,并将其作为响应数据返回给前端。

@RestController
public class AuthController {
    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    @Autowired
    private JwtUserDetailsService userDetailsService;

    @PostMapping("/login")
    public ResponseEntity<?> createAuthenticationToken(@RequestBody JwtAuthenticationRequest authenticationRequest) {
        authenticate(authenticationRequest.getUsername(), authenticationRequest.getPassword());

        UserDetails userDetails = userDetailsService.loadUserByUsername(authenticationRequest.getUsername());
        String token = jwtTokenUtil.generateToken(userDetails);

        return ResponseEntity.ok(new JwtAuthenticationResponse(token));
    }

    private void authenticate(String username, String password) {
        try {
            authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password));
        } catch (Exception e) {
            throw new AuthenticationServiceException("Invalid username or password.", e);
        }
    }
}
  1. 前端实现

在前端项目中,使用axios库实现与后端的通信。首先,在登录页面上收集用户名和密码,然后通过axios向后端发送POST请求,将用户名和密码作为请求数据。如果登录成功,将返回的JWT存储在浏览器的localStorage中,并将其添加到后续请求的Authorization头中。

// 发送登录请求
axios.post('/login', {
    username: this.username,
    password: this.password
}).then(response => {
    localStorage.setItem('token', response.data.token);
    // 添加到请求头
    axios.defaults.headers.common['Authorization'] = 'Bearer ' + response.data.token;
    // 跳转到其他页面
});
  1. 基于角色的权限管理:在JwtUserDetailsService中,从数据库中获取用户的角色信息,并将其封装到JwtUser对象中。这些角色信息会存储在生成的JWT中,用于后续的权限检查。在配置类WebSecurityConfig中,通过添加@EnableGlobalMethodSecurity(prePostEnabled = true)注解来启用基于角色的权限管理。这样,在控制器类中,你可以使用@PreAuthorize注解来限制某个方法只能被具有特定角色的用户访问。例如:
@RestController
@RequestMapping("/api/users")
public class UserController {
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    @GetMapping("/all")
    public ResponseEntity<List<User>> getAllUsers() {
        // ...
    }
}
  1. JWT刷新:

JWT的有效期是有限的,为了避免用户在登录后不久就需要重新登录,你可以实现JWT的刷新机制。在AuthController中,添加一个用于刷新JWT的接口:

@GetMapping("/refresh")
public ResponseEntity<?> refreshAndGetAuthenticationToken(HttpServletRequest request) {
    String authToken = request.getHeader("Authorization");
    if (authToken != null && authToken.startsWith("Bearer ")) {
        authToken = authToken.substring(7);
    }
    String refreshedToken = jwtTokenUtil.refreshToken(authToken);
    if (refreshedToken == null) {
        return ResponseEntity.badRequest().body(null);
    } else {
        return ResponseEntity.ok(new JwtAuthenticationResponse(refreshedToken));
    }
}

前端在发现JWT即将过期时,可以调用这个接口来获取一个新的JWT。当然,你需要在JwtTokenUtil中实现refreshToken方法,用于生成新的JWT。

kangkang-
关注
Ruoyi框架学习--JWT(JSON Web Token)
qq_39367410的博客
09-06 2352
通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。
SpringSecurity整合JWT
胡峻峥的博客
01-19 1138
一、前言   最近负责支付宝小程序后端项目设计,这里主要分享一下用户会话、接口鉴权的设计。参考过微信小程序后端的设计,会话需要依靠redis。相关的开发人员和我说依靠Redis并不是很靠谱,redis在业务高峰期不稳定,容易出现问题,总会出现用户会话丢失、超时的问题。之前听过JWT相关的设计,决定尝试一下。 二、什么是JWT   JSON Web Token(JWT)是一个开放标准(RFC ...
Spring Security 超详细整合 JWT,能否拿下看你自己!
08-31 9547
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT 的认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
登录模块集成若依 Spring Security 并使用策略模式实现账号、短信验证码等不同登录方式
最新发布
qq_61901330的博客
09-27 1282
在之前成功使用了阿里云的短信服务发送验证码后,想将这一功能集成在自己的项目中。项目中已经有了账号密码登录,而后端使用的是Spring Security(后面简称 SS),想添加这一功能还需要稍微深入一下 SS 的源码。同时想了解一下策略模式,所以使用策略模式实现不同登录策略的实现。本文章采用若依框架集成的 Spring Security 实现多种登录方式。只展示核心代码。
若依SpringSecurity + JWT
weixin_45876411的博客
11-01 2837
内网项目使用RBAC权限管理模式,一个角色上挂载了多个菜单信息,用户登录时根据用户账号查询用户所拥有的菜单,将菜单信息响应给前端进行渲染。此种方式对权限控制的粒度是最粗的,用户有这个菜单即认为用户可以访问这个菜单上的所有资源,并且用户访问菜单上的接口时没有对接口进行权限验证(即此接口用户是否有权限访问)。
SpringSecurity整合JWT实现登录的认证授权
m0_49808352的博客
03-28 518
【代码】SpringSecurity整合JWT实现登录的认证授权。
基于RuoYi-Vue扩展的多租户框架(SpringBoot,Spring SecurityJWT,Vue &am.zip
02-04
RuoYi-Vue是一个流行的企业级后台管理系统,它结合了SpringBoot、Spring SecurityJWT(JSON Web Token)以及Vue.js等技术,用于构建高效、简洁且易维护的Web应用。 **1. SpringBoot** SpringBoot是Spring框架的一...
RuoYi-Vue-Plus 是重写 RuoYi-Vue 针对 分布式集群与多租户 场景全方位升级(不兼容原框架)
03-09
1. 安全性提升:集成Spring SecurityJWT进行身份验证和授权,保护系统免受未经授权的访问。 2. 日志管理:提供统一的日志记录和查询接口,便于问题排查和审计。 3. 异步任务处理:支持Quartz等任务调度框架,实现...
RuoYi-Vue-Oracle(RuoYi):基于SpringBoot的官方仓库,Spring SecurityJWT,Vue&Element的前替代分离权限管理系统
02-21
初步采用Spring Boot,Spring Security,Redis&Jwt。 权限认证使用Jwt,支持多终端认证系统。 支持加载动态权限菜单,多方式轻松权限控制。 高效率开发,使用代码生成器可以一键生成前的代码。 不分离版本,请移步 ...
RuoYi-Vue-Multi-Tenant:基于RuoYi-Vue扩展的多租户框架(SpringBoot,Spring SecurityJWT,Vue&Element的前所有权分离权限管理系统)
03-31
基于RuoYi-Vue扩展的多租户框架(SpringBoot,Spring SecurityJWT,Vue&Element的前所有权分离权限管理系统) 环境准备 1.clone项目到本地 2.找到项目目录下脚本文件/ruo-yi-vue-multi-tenant/ruoyi/multi_tenant...
基于RuoYi-Vue二开,集成了MybatisPlus、Avue、WxJava SDK MIT开源的微信二开利器
05-10
后端采用Spring Boot、Spring Security、Redis & Jwt、Mybatis Plus、WxJava。小程序端采用原生框架+Color UI。权限认证使用Jwt,支持多终端认证系统。支持加载动态权限菜单,多方式轻松权限控制。高效率开发,使用...
RuoYi-VueRuoYi):基于SpringBoot的官方仓库,Spring SecurityJWT,Vue&Element的前替代分离权限管理系统
02-06
平台简介 若依是一套全部开源的快速开发平台,毫无保留给个人及企业免费使用。 前端采用Vue,Element UI。 初步采用Spring Boot,Spring Security,Redis&Jwt。 权限认证使用Jwt,支持多终端认证系统。 支持加载动态权限菜单,多方式轻松权限控制。 高效率开发,使用代码生成器可以一键生成前的代码。 提供了单应用版本 ,Oracle版本 ,保持同步更新。 不分离版本,请移步 ,微服务版本,请移步 特别鸣谢: , , 。 阿里云折扣场:,腾讯云秒杀场: 阿里云优惠券: ,腾讯云优惠券: 内置功能 用户管理:用户是系统操作者,该功能主要完成系统用户配置。
Ruoyi框架学习笔记--Spring Security
qq_39367410的博客
09-06 1146
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架
ruoyi基于spring security鉴权
qq_45770147的博客
01-30 351
spring security 基于方法的鉴权。
若依框架(SpringSecurity登录接口改造_authentication usernamepasswordauthenticationtoken
2401_84140023的博客
04-09 2566
最近刚刚上手若依框架,并且要对若依的登录模块进行改造。用过若依框架的不难发现,若依框架在下载时就已经集成了SpringSecurity进行登录效验并连接了自带的sys_user表完成SpringSecurity的自定义登录效验。
vue.js请求 springSecurity +jwt
weixin_43740982的博客
11-04 215
目录 vue,js跨域 修改后台springSecurity拦截器 需要修改传入的json 数据 vue,js跨域 很多时候前后端分离都需要跨越 vue怎么跨域勒 在vue.config.js加上如下代码 devServer: { proxy:{ '/api':{ target:"http://localhost:8080", changOrigin:true, pathRewrite:{
安全框架springSecurity+Jwt+Vue-1(vue环境搭建、动态路由、动态标签页)
cygqtt的博客
11-18 937
稍等片刻之后,项目就初始化完成了。上面的步骤中,我们创建了一个vue项目,并且安装了Router、Vuex。这样我们后面就可以直接使用。Router: WebApp的链接路径管理系统,简单就是建立起url和页面之间的映射关系 Vuex: 一个专为 Vue.js 应用程序开发的状态管理模式,简单来说就是为了方便数据的操作而建立的一个临时” 前端数据库“,用于各个组件间共享和检测数据变化。ok,我们使用IDEA导入项目,看看创建好的项目长啥样子: 接下来我们引入element-ui组件(https://elem
ruoyi若依框架SpringSecurity实现分析
m0_63837020的博客
02-06 3038
分析一下ruoyi-vue若依中是如何实现认证授权的。在ruoyi-vue若依框架中使用到了SpringSecurity作为认证授权的技术栈。
超实用,Spring Security+JWT+Vue实现一个前后端分离无状态认证Demo
文章中资料均可获取,有需要请添加yunduoa2019即可
06-28 407
推荐阅读:6月成功定级阿里P7,多亏啃完了这上百页的Java高频核心面试宝典 前阿里P7架构师,分享工作心得及面试经验,助力圆梦大厂 阿里P8架构师谈:工作1-5年的Java工程师,怎样提高核心竞争力 简介 完整代码: https://github.com/PuZhiweizuishuai/SpringSecurity-JWT-Vue-Deom 运行展示 后端 主要展示 Spring Securit...
ruoyi-vue版本 spring security
08-23
RuoYi-Vue的版本采用了Spring Security来进行权限认证。 Spring Security是一个强大且广泛使用的安全框架,它提供了一套全面的认证和授权机制,可以确保系统只有经过身份验证的用户才能访问受保护的资源。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [RuoYi-Vue-Oracle(RuoYi):基于SpringBoot的官方仓库,Spring SecurityJWT,Vue&Element的前替代分离...](https://download.csdn.net/download/weixin_42133918/15399484)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [RuoYi-Vue-Multi-Tenant:基于RuoYi-Vue扩展的多租户框架(SpringBoot,Spring SecurityJWT,Vue&Element...](https://download.csdn.net/download/weixin_42118160/16271786)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [ruoyi-vue-pro:基于SpringBoot,Spring SecurityJWT,Vue&Element的前一次分离权限管理系统](https://download.csdn.net/download/weixin_42166626/15607582)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值