springboot2.7.6与springsecurity和JWT整合方案

已于 2023-08-08 14:34:42 修改
阅读量891 收藏 4
点赞数
文章标签: java spring boot
于 2023-07-25 12:51:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshihedayu/article/details/131913753
版权

新版本的springsecurity与旧版本的使用方法有点不一样,最近探索了一下springsecurity与JWT的整合方案,进行一下总结。

文章目录

1、核心配置

首先来看一下springsecurity的核心配置文件

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig {

    @Autowired
    private CustomLogoutHandler logoutHandler;

    @Autowired
    private UnauthorizedEntryPoint authorizedEntryPoint;

    @Autowired
    private TokenAuthenticationFilter tokenAuthenticationFilter;

    @Autowired
    private AuthenticationConfiguration configuration;

    @Autowired
    private UserRoleMapper userRoleMapper;

    @SneakyThrows
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http){
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/swagger-ui/**","/swagger-resources/**","/v3/api-docs").permitAll()	//免登的访问路径
                .antMatchers("/actuator/**").hasAuthority("actuator:view")
                .anyRequest().authenticated()
                .and()
                .logout().logoutUrl("/logout")	//退出的访问路径
                .addLogoutHandler(logoutHandler)  //退出的处理类对象
                .and()
                .exceptionHandling()
                .authenticationEntryPoint(authorizedEntryPoint)	//没有登录导致授权失败的处理类对象
                .and()
                .cors().configurationSource(corsConfigurationSource())	//设置跨越访问
                .and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) //不创建session对象
                .and()
                .addFilterAt(new TokenLoginFilter(userRoleMapper,configuration), UsernamePasswordAuthenticationFilter.class)	//自定义执行登录的过滤器
                .addFilterAt(tokenAuthenticationFilter, BasicAuthenticationFilter.class);	//自定义执行登录检查和授权的过滤器
        return http.build();
    }

    private CorsConfigurationSource corsConfigurationSource(){
        UrlBasedCorsConfigurationSource source=new UrlBasedCorsConfigurationSource();
        CorsConfiguration corsConfiguration=new CorsConfiguration();
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.addAllowedOrigin("*");
        source.registerCorsConfiguration("/**",corsConfiguration);
        return source;
    }

	//配置密码加密的bean
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

这里面配置了执行登录的过滤器、执行登录检查和授权的过滤器、退出的访问路径、执行退出的处理类对象、未登录导致授权失败的处理类对象、支持跨越访问、禁止自动创建session。
下面会对这些类一个一个进行创建。

2、创建JWT的工具类

public class JWTUtil {

    private static final String SECRET_KEY="jwtsecretkey256";

    public static String getToken(SecurityUser securityUser, List<Integer> roleList){
        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
        String token = JWT.create()
                .withClaim("userId",securityUser.getUserId())
                .withClaim("username",securityUser.getUsername())
                .withClaim("role", roleList)
                .withClaim("createTime", LocalDateTime.now().toEpochSecond(ZoneOffset.ofHours(8)))
                //设置1天后过期
                .withExpiresAt(Instant.now(Clock.offset(Clock.systemUTC(), Duration.of(8, ChronoUnit.HOURS))).plus(1, ChronoUnit.DAYS))
                .sign(algorithm);
        return token;
    }

    public static JWTResult verifyToken(String token){
        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
        JWTVerifier jwtVerifier = JWT.require(algorithm).build();
        try {
            DecodedJWT decodedJWT = jwtVerifier.verify(token);
            Integer userId = decodedJWT.getClaim("userId").asInt();
            String username = decodedJWT.getClaim("username").asString();
            List<String> roleIdList = decodedJWT.getClaim("role").asList(String.class);
            Long createTime = decodedJWT.getClaim("createTime").asLong();
            return new JWTResult(userId,username,roleIdList,createTime);
        }catch (JWTVerificationException e){
            throw new BadCredentialsException("token解析失败");
        }
    }

    @Getter
    @AllArgsConstructor
    public static class JWTResult{
        private Integer userId;
        private String userName;
        private List<String> roleIdList;
        private Long createTime;
    }
}

其中,getToken方法用于生成token,verifyToken方法用于做token校验,程序中将用户的角色id保存进了token里面,用于后面从缓存中获取权限,而不直接把权限保存进token里面,这样做可以防止因为权限数量太多导致token过长,过多占用网络带宽。
如果token解析失败,在过滤器中抛出BadCredentialsException异常,会自动调用AuthenticationEntryPoint中的commence方法,用于处理未登录导致授权失败的情况。

3、实现UserDetails接口

定义一个类,继承UserDetails,用于保存当前的用户信息

@Data
@NoArgsConstructor
@AllArgsConstructor
public class SecurityUser implements UserDetails {

    private Integer userId;

    private String userName;

    private String password;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return userName;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

    public SecurityUser(Integer userId, String userName) {
        this.userId = userId;
        this.userName = userName;
    }
}

4、实现UserDetailsService接口

定义一个类,继承UserDetailsService,实现loadUserByUsername方法

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private IUserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userService.getUserByUserName(username);
        if (user==null){
            throw new UsernameNotFoundException("用户名不存在!");
        }
        SecurityUser securityUser=new SecurityUser(user.getUserId(),user.getUserName(),user.getPassword());
        return securityUser;
    }
}

5、创建登录的过滤器

定义一个类,继承AbstractAuthenticationProcessingFilter类,创建一个执行登录的过滤器

public class TokenLoginFilter extends AbstractAuthenticationProcessingFilter {

    private UserRoleMapper userRoleMapper;

    public TokenLoginFilter(UserRoleMapper userRoleMapper, AuthenticationConfiguration configuration) throws Exception {
        super(new AntPathRequestMatcher("/login","POST"),configuration.getAuthenticationManager());
        this.userRoleMapper=userRoleMapper;
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        String username=request.getParameter("userName");
        String password = request.getParameter("password");
        return this.getAuthenticationManager().authenticate(new UsernamePasswordAuthenticationToken(username,password));
    }

    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        SecurityUser securityUser = (SecurityUser) authResult.getPrincipal();
        List<Integer> roleIdList=userRoleMapper.selectRoleIdByUserId(securityUser.getUserId());
        String token = JWTUtil.getToken(securityUser,roleIdList);
        ResponseUtil.out(response, Result.success(token));
    }

    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        if (exception instanceof BadCredentialsException){
            ResponseUtil.out(response, Result.fail("用户名或密码错误!"));
        }else {
            ResponseUtil.out(response,Result.error("系统内部异常"));
        }
    }
}

其中,attemptAuthentication方法用于执行登录,successfulAuthentication是登录成功后的处理方法,unsuccessfulAuthentication是登录失败后的处理方法。
这里用到了一个工具类ResponseUtil,用于发送响应数据

public class ResponseUtil {

    @SneakyThrows
    public static void out(HttpServletResponse response, Result result){
        ObjectMapper mapper=new ObjectMapper();
        response.setStatus(HttpStatus.OK.value());
        response.setContentType("text/json;charset=UTF-8");
        mapper.writeValue(response.getWriter(),result);
    }
}

6、创建登录检查和授权的过滤器

定义一个类,继承OncePerRequestFilter,创建一个用于检查登录状态和授权的过滤器

@Component
public class TokenAuthenticationFilter extends OncePerRequestFilter {
    
    @Autowired
    private RedisTemplate<String,Object> redisTemplate;
    
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String token = request.getHeader("Authentication");
        if (token!=null){
            if (redisTemplate.hasKey(RedisKey.USER_TOKEN+token)){
                throw new BadCredentialsException("token已失效");
            }
            JWTUtil.JWTResult jwtResult = JWTUtil.verifyToken(token);
            List<String> roleIdList = jwtResult.getRoleIdList();
            HashOperations<String, String, List<String>> operations = redisTemplate.opsForHash();
            List<List<String>> roleListList = operations.multiGet(RedisKey.ROLE_AUTHORITY_CODE, roleIdList);
            List<SimpleGrantedAuthority> authorities = roleListList.stream()
                    .flatMap(Collection::stream)
                    .map(authority -> new SimpleGrantedAuthority(authority))
                    .collect(Collectors.toList());
            SecurityUser securityUser=new SecurityUser(jwtResult.getUserId(), jwtResult.getUserName());
            SecurityContextHolder.getContext().setAuthentication(new UsernamePasswordAuthenticationToken(securityUser,token,authorities));
        }
        filterChain.doFilter(request,response);
    }
}

基本逻辑是,首先从请求头获取token,检查缓存中是否有token的黑名单,如果有,就抛出BadCredentialsException异常,会自动调用AuthenticationEntryPoint接口的commence方法,处理授权失败的逻辑,如果没有,就解析token,获取用户的角色,通过角色id从缓存中获取用户权限码,再对用户进行授权。
如果token为空,就直接放行,进入下一个过滤器,由于没有调用setAuthentication方法,用户就没有被授权,后面的过滤器会自动调用AuthenticationEntryPoint接口的commence方法,作为未登录处理。

7、创建授权失败的处理类

定义一个类,继承AuthenticationEntryPoint接口,实现commence方法,用于创建未登录导致授权失败的处理类

@Component
public class UnauthorizedEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        ResponseUtil.out(response, new Result(ResultCode.UNAUTHORIZED));
    }
}

8、创建执行退出的处理类

定义一个类,继承LogoutHandler接口,实现logout方法,用于创建退出的处理类

@Component
public class CustomLogoutHandler implements LogoutHandler {

    @Autowired
    private RedisTemplate<String,Integer> redisTemplate;

    @Override
    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        String token = request.getHeader("Authentication");
        JWTUtil.JWTResult jwtResult = JWTUtil.verifyToken(token);
        //计算token有效期的剩余时间
        long tokenDuration=LocalDateTime.now().toEpochSecond(ZoneOffset.ofHours(8))- jwtResult.getCreateTime();
        long tokenRemian=60*60*24-tokenDuration;
        redisTemplate.opsForValue().set(RedisKey.USER_TOKEN+token,jwtResult.getUserId(),tokenRemian, TimeUnit.SECONDS);
        ResponseUtil.out(response, Result.success());
    }
}

这里的基本逻辑是,从请求头获取token,对token进行解析,获取token的创建时间,然后计算token剩余的过期时间,然后将token加入缓存里面,作为黑名单,并设置过期时间。由于退出的用户只是占少数,因此把token加黑名单一般不会占用太多服务器内存。

9、加上权限注解

在接口上加上权限注解@PreAuthorize,进行权限访问控制

@PostMapping
@PreAuthorize("hasAuthority('user:save')")
public Result save(@RequestBody User user)
woshihedayu
关注
springboot+spring security+redis实现登录权限管理
午后苦咖啡
11-11 2950
笔者负责的电商项目的技术体系是基于SpringBoot,为了实现一套后端能够承载ToB和ToC的业务,需要完善现有的权限管理体系。 在查看Shiro和Spring Security对比后,笔者认为Spring Security更加适合本项目使用,可以总结为以下2点: 1、基于拦截器的权限校验逻辑,可以针对ToB的业务接口来做相关的权限校验,以笔者的项目为例,ToB的接口请求路径以/openshop...
Spring Boot 2.7.6 正式版发布, SpringBoot 2.7.6来了
bufegar0的博客
11-27 1943
版本,此版本包括 44 个错误修复、文档改进和依赖项升级。,此项目已经升级至Spring Boot 2.7.6版本。11 月 25 日官方发布了。
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
SpringBoot2.7.X整合SpringSecurity+JWT(入门级简单易懂)
zyyxiaoxiao的博客
04-12 5027
SpringBoot2.7.9整合SpringSecurity+JWT、入门级简单易懂
springBoot整合springsecurityjwt-token实现权限验证
小葫芦的博客
04-26 3586
一、jar包依赖: <!--jwt--> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-jwt</artifactId...
springboot 2.7整合spring security 5.7整合jwt实现用户登录注册与鉴权全记录
热门推荐
Ricardo.M.Yu的博客
10-08 1万+
springboot 2.7整合spring security 5.7整合jwt
springboot2.7.6整合springsecurity相关配置
woshihedayu的博客
01-30 1990
这里面的逻辑是,获取当前已认证的用户信息,保存在securityUser对象里面。其中,filterChain方法里面定义了最核心的配置信息,包括登录接口的请求路径,用户名、密码的参数名,登录成功的处理类的对象,登录失败的处理类对象,退出的接口路径,退出时删除cookie,退出的处理类对象,还包括处理跨域的配置等。这里面的逻辑就是,根据用户名查询用户信息,如果结果为空,就抛异常,如果不为空,就把用户信息保存到securityUser里面,并返回这个对象。登录的时候,会调用这个方法。2、这是核心配置方法。
springboot2.7+security+jwt 不使用 UserDetailsService
weixin_43828003的博客
04-08 544
网上代码大部分都使用实体类实现 UserDetails,同时实现 UserDetailsService,对于不熟悉 security 的开发人员在开发登录接口时不清楚需要实现这两个接口,对于在配置权限时,需要重构登录接口。由于在 springboot2.7 版本及之后版本使用的 security5.7.1,该版本中之前需要继承的 WebSecurityConfigurerAdapter 类已经过时,所以使用最新配置方式如下。不对的地方欢迎指出!
springboot2.7整合springSecurity
gzmyh的博客
02-28 6277
本着前人栽树,后人乘凉的这种思想,自己花了一些时间,用心的整理了一套springboot整合springsecurity的教程。该教程是基于前后端分离,会实现以下两种登录功能:用户名+密码+图片验证码手机号登录这两种方式可以同时存在,并且互不干预。本教程会通过阅读其内置的用户名密码登录的源码,以及结合官网文档来实现一些自定义的登录方式。注:教程主要是开发思路的讲解,其中涉及到的代码仅供参考,为了方便,很多地方忽略了一些细节打开源码可以看到是继承,因此我们就从它开始阅读。
Spring Security2.7+jwt
m0_52255127的博客
02-03 1577
Spring Security2.7+jwt
SpringBoot+Security+Jwt登录认证与权限控制(一)
weixin_48568302的博客
06-21 1488
SpringBoot+Security+Jwt登录认证与权限控制
SpringBoot-2.7.6的启动流程图
02-26
SpringBoot-2.7.6的启动流程图
SpringBoot-2.7.6内置Tomcat启动以及DispatcherServlet装配过程
01-19
SpringBoot-2.7.6内置Tomcat启动以及DispatcherServlet装配过程,源码跟踪调试流程图
Spring boot整合Security
weixin_44603464的博客
02-23 1115
Spring Securityspring项目之中的一个安全模块WebSecurityConfigurerAdapter: 自定义Security策略AuthenticationManagerBuilder: 自定义认证策略@EnableWebSecurity: 开启WebSecurity模式Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)
spring整合jwt
haidian_fengyu的专栏
02-19 187
以下内容只是大概,具体业务要结合具体代码。 1.pom.xml &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;io.jsonwebtoken&amp;amp;lt;/groupId&amp;amp;gt; &amp;amp;lt;artifactId&amp;amp;gt;jjwt&amp;amp;lt;/artifactId&
SpringSecurity权限管理系统实战—六、SpringSecurity整合JWT
CoderMy的博客
08-01 5593
最近是真的懒。。。
springboot2.7+security+jwt 不使用UserDetailsService
weixin_43828003的博客
04-07 185
描述 : 网上代码大部分都使用实体类实现 U...
Spring集成JWT
qq_36973384的博客
11-18 141
过滤器:过滤请求路径,除了指定不拦截的路径,其他路径均要拦截,拦截之后,对token进行验签,通过之后,才可访问后端相应路径。token:token是一个将用户信息合成然后进行签名的一串字符,验签就是类似一个解密的过程,能获取到用户具体的信息。
【学习笔记】手写 Tomcat 三
最新发布
LearnTech_123的博客
09-12 1110
响应动态资源不需要写文件名了,只需要写功能的名称即可。比如登录功能,可以定义名称为 doLogin
springboot2.7.6使用pagehelper
04-04
Spring Boot是一个用于快速构建Java应用程序的开源框架,而PageHelper是一个用于分页查询的插件。在Spring Boot中使用PageHelper可以方便地实现分页功能。 要在Spring Boot中使用PageHelper,首先需要在项目的pom.xml文件中添加PageHelper的依赖: ```xml <dependency> <groupId>com.github.pagehelper</groupId> <artifactId>pagehelper-spring-boot-starter</artifactId> <version>2.1.2</version> </dependency> ``` 添加完依赖后,需要在Spring Boot的配置文件(application.properties或application.yml)中配置PageHelper的属性,例如: ```yaml pagehelper: helperDialect: mysql reasonable: true supportMethodsArguments: true params: count=countSql ``` 配置完成后,就可以在代码中使用PageHelper进行分页查询了。首先,在需要分页的方法上添加`@Pageable`注解,并指定分页参数,例如: ```java @GetMapping("/users") public PageInfo<User> getUsers(@PageableDefault(size = 10) Pageable pageable) { PageHelper.startPage(pageable.getPageNumber(), pageable.getPageSize()); List<User> userList = userService.getUsers(); return new PageInfo<>(userList); } ``` 上述代码中,`@PageableDefault(size = 10)`表示默认每页显示10条记录。然后使用`PageHelper.startPage()`方法设置分页参数,再调用业务逻辑方法获取数据,并将结果封装到`PageInfo`对象中返回。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值