SpringBoot-Spring-security之JWT授权认证

最新推荐文章于 2024-02-19 17:52:53 发布
最新推荐文章于 2024-02-19 17:52:53 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: J2EE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wu6660563/article/details/82814851
版权

JWT是现在前后端分离用的比较多的验证授权方式

Maven引入

<!--安全框架-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<!--JSON封装-->
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.36</version>
</dependency>

<!--JWT-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

核心思路

需要配置WebSecurityConfigurerAdapter
在configuration中的configure方法加入自定义认证

@Override
 protected void configure(AuthenticationManagerBuilder auth) throws Exception {

     // 加入自定义的安全认证
     auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());
 }

http的configure

// 去掉 CSRF
        http.csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 使用 JWT,关闭token
                .and()

                .httpBasic().authenticationEntryPoint(authenticationEntryPoint)

                .and()
                .authorizeRequests()

                .anyRequest()
                .access("@rbacauthorityservice.hasPermission(request,authentication)") // RBAC 动态 url 认证

                .and()
                .formLogin()  //开启登录
                .successHandler(authenticationSuccessHandler) // 登录成功
                .failureHandler(authenticationFailureHandler) // 登录失败
                .permitAll()

                .and()
                .logout()
                .logoutSuccessHandler(logoutSuccessHandler)
                .permitAll();

        // 记住我
        http.rememberMe().rememberMeParameter("remember-me")
                .userDetailsService(userDetailsService).tokenValiditySeconds(300);

        http.exceptionHandling().accessDeniedHandler(accessDeniedHandler); // 无权访问 JSON 格式的数据
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class); // JWT Filter

需要编写一个JWT的Token生成Util

/**
 * JWT工具类,使用RSA加密方式
 */
public class JwtTokenUtil {

    private static InputStream inputStream = Thread.currentThread().getContextClassLoader().getResourceAsStream("jwt.jks"); // 寻找证书文件
    private static PrivateKey privateKey = null;
    private static PublicKey publicKey = null;

    static { // 将证书文件里边的私钥公钥拿出来
        try {
            KeyStore keyStore = KeyStore.getInstance("JKS"); // java key store 固定常量
            keyStore.load(inputStream, "123456".toCharArray());
            privateKey = (PrivateKey) keyStore.getKey("jwt", "123456".toCharArray()); // jwt 为 命令生成整数文件时的别名
            publicKey = keyStore.getCertificate("jwt").getPublicKey();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public static String generateToken(String subject, int expirationSeconds, String salt) {
        return Jwts.builder()
                .setClaims(null)
                .setSubject(subject)
                .setExpiration(new Date(System.currentTimeMillis() + expirationSeconds * 1000))
//                .signWith(SignatureAlgorithm.HS512, salt) // 不使用公钥私钥
                .signWith(SignatureAlgorithm.RS256, privateKey)
                .compact();
    }

    public static String parseToken(String token, String salt) {
        String subject = null;
        try {
            Claims claims = Jwts.parser()
//                    .setSigningKey(salt) // 不使用公钥私钥
                    .setSigningKey(publicKey)
                    .parseClaimsJws(token).getBody();
            subject = claims.getSubject();
        } catch (Exception e) {
        }
        return subject;
    }

}

核心接口

** 自定义AccessDeniedHandler实现类 **
作用和说明:
用来解决认证过(认证过可能是认证成功,可能是认证失败,统一称为认证过)的用户访问无权限资源时的异常
Spring 默认的AccessDeniedHandler只有对页面的处理,而此处我们是Ajax请求
如果需要同时处理,可根据HTTPUtils.isAjaxRequest(request)来判断即可

@Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        AjaxResponseBody responseBody = new AjaxResponseBody();

        responseBody.setStatus("300");
        responseBody.setMsg("Need Authorities!");

        httpServletResponse.getWriter().write(JSON.toJSONString(responseBody));
    }

** 自定义AuthenticationEntryPoint实现类**
作用和说明:用来解决匿名用户 访问无权限资源时的异常处理

@Override
 public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
     AjaxResponseBody responseBody = new AjaxResponseBody();

     responseBody.setStatus("000");
     responseBody.setMsg("Need Authorities!");

     httpServletResponse.getWriter().write(JSON.toJSONString(responseBody));
 }

** 自定义AuthenticationFailureHandler实现类
作用和说明:自定义 认证失败 处理器

@Override
 public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
      AjaxResponseBody responseBody = new AjaxResponseBody();

      responseBody.setStatus("400");
      responseBody.setMsg("Login Failure!");

      httpServletResponse.getWriter().write(JSON.toJSONString(responseBody));
  }

** 自定义AuthenticationSuccessHandler实现类 **
作用和说明:自定义认证成功处理器,并分配JWT的Token

@Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        AjaxResponseBody responseBody = new AjaxResponseBody();

        responseBody.setStatus("200");
        responseBody.setMsg("Login Success!");

        SelfUserDetails userDetails = (SelfUserDetails) authentication.getPrincipal();

        String jwtToken = JwtTokenUtil.generateToken(userDetails.getUsername(), 300, "_secret");
        responseBody.setJwtToken(jwtToken);

        httpServletResponse.getWriter().write(JSON.toJSONString(responseBody));
    }

** 自定义LogoutSuccessHandler实现类 **
作用和说明:成功退出的处理器

@Override
	public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
		AjaxResponseBody responseBody = new AjaxResponseBody();

		responseBody.setStatus("100");
		responseBody.setMsg("Logout Success!");

		httpServletResponse.getWriter().write(JSON.toJSONString(responseBody));
	}

需要些一个Filter来拦截header里面的Token
关键代码

 String username = JwtTokenUtil.parseToken(authToken, "_secret");

            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                UserDetails userDetails = userDetailsService.loadUserByUsername(username);

                if (userDetails != null) {
                    UsernamePasswordAuthenticationToken authentication =
                            new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                    authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            }

** RBAC服务**

/**
 * RBAC权限访问控制
 */
@Component("rbacauthorityservice")
public class RbacAuthorityService {
    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {

        Object userInfo = authentication.getPrincipal();

        boolean hasPermission  = false;

        if (userInfo instanceof UserDetails) {

            String username = ((UserDetails) userInfo).getUsername();

            //获取资源
            Set<String> urls = new HashSet();
            urls.add("/common/**"); // 这些 url 都是要登录后才能访问,且其他的 url 都不能访问!
            Set set2 = new HashSet();
            Set set3 = new HashSet();

            AntPathMatcher antPathMatcher = new AntPathMatcher();

            for (String url : urls) {
                if (antPathMatcher.match(url, request.getRequestURI())) {
                    hasPermission = true;
                    break;
                }
            }

            return hasPermission;
        } else {
            return false;
        }
    }
}
wu6660563
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
SpringBoot-JWT-Token:JWT令牌,Spring-Security
Spring Security 5.x+OAuth2.0+OIDC1.0
z2008g的专栏
05-29 1195
5分钟完成Spring Security+OAuth2.0+OIDC1.0集成
Spring Security 集成 OIDC 项目编码 | 认证(三)
Authing的博客
09-01 1662
在上一篇文章中,我们讲述了如何在 Authing 平台配置项目集成中需要的 OIDC 的配置,以及在后期开发过程中如何获取配置。同时,也提前让大家预习和熟悉了一些项目搭建和编码过程中需要的知识点。接下来这一小节,就让我们一起来完成项目搭建和编码过程吧。...
Spring Security对接OIDC(OAuth2)外部认证
最新发布
浪子天涯行世录
02-19 539
前后端分离项目对接OIDC(OAuth2)外部认证认证服务器可以使用Keycloak。后端已有用户管理和权限管理,需要外部认证服务器的用户名和业务系统的用户名一致才可以登录。后台基于Spring Boot 2.7 + Spring Security。
Spring Boot 如何使用 JWT 进行认证授权
程序员徐师兄的博客
06-23 1658
JWT 是一种基于 JSON 的开放标准,用于在客户端和服务器之间安全地传输信息。JWT 由三部分组成:Header、Payload 和 Signature。
Spring Security + OIDC 实现统一身份认证中心(自带UI)
nick_huangzheng的博客
01-24 422
Java技术下,统一身份认证实现方式也不少,成熟的也很多,但像IDS4这样方便友好的中间件,我还没有见到过(可私信告之),同时,也亲见过很多公司在实现一个单点登录中各种野路子和骚操作,故一直想借鉴IDS4的思想,实现一个轻量、好用的身份认证中间件。搞过.NetCore的同学都知道,在.NET技术下实现一个统一身份认证中心有一个很牛的中间件:IDS4,有兴趣的伙伴可以部署本地试一下,回头也想整理一下.NetCore+IDS4+VUE+OIDC统一身份认证的使用。预告:实现中,陆续更新,,,
springboot-springsecurity-jwt-demo
01-28
这两行,将我们定义的JWT方法加入SpringSecurity的处理流程中。 四:简单测试 下面对我们的程序进行简单的验证: 1.请求获取用户列表接口:http://localhost:8080/users/userList接口,会收到403错误 { ...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
SpringBoot + MyBatis-plus + SpringSecurity + JWT
11-09
SpringBoot + MyBatis-plus + SpringSecurity + JWT实现用户无状态请求验证(前后端分离)
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
angular-spring4-stack:使用 AngularJS、Spring 4、Spring Security、Spring Data JPA、Hibernate 4.3 逐步构建新堆栈
07-12
角弹簧4堆栈 从头开始逐步构建新堆栈(请参阅提交),具有以下功能: 服务器端 : 完整的 Java 配置(没有 XML 配置也没有 web.xml) SpringMVC 4 Spring Security 4.0.0.M2(带有新的 spring-security-test 模块) Spring数据 JPA 1.7 JPA 2.1 Hibernate 4.3 支持嵌入式数据库:HSQLDB (TEST, DEV) 支持服务器数据库:HSQLDB(服务器模式)、MYSQL 5.6(PROD) 带有 MySQL 的 Hikari 连接池 Bean 验证 1.1 Hibernate验证器 5.1.3 谷歌番石榴 18.0 管理 Spring 配置文件:测试、开发、生产 根据活动配置文件配置数据源 REST 控制器(MockMvc 和 RestTemplate)、安全性、服务
Spring Security OAuth2 Provider 之 第三方登录简单演示
05-01
NULL 博文链接:https://rensanning.iteye.com/blog/2386309
springboot项目集成jwt做权限验证,详细步骤
wustrive_2008的博客
04-02 351
在本文中,我们介绍了如何在Spring Boot应用程序中使用JWT进行认证授权。 首先,我们需要将依赖添加到项目中,然后创建依赖注入的各个组件和相关的配置。
SpringSecurity实现角色权限控制(SpringBoot+SpringSecurity+JWT
lans_g的博客
05-14 5465
通过springboot整合jwt和security,以用户名/密码的方式进行认证授权认证通过jwt+数据库的,授权这里使用了两种方式,分别是SpringSecurity自带的hasRole方法+SecurityConfig和 我们自定义的permission+@PreAuthorize注解。用来存储和获取当前线程关联的 SecurityContext 对象的类。
傻瓜式使用SpringSecurity完成前后端分离+JWT+登录认证+权限控制
weixin_46684099的博客
06-01 1917
流程分析 流程说明: 客户端发起一个请求,进入 Security 过滤器链。当到 LogoutFilter 的时候判断是否是登出路径,如果是登出路径则到 logoutHandler ,如果登出成功则到 logoutSuccessHandler 登出成功处理。 如果不是登出路径则直接进入下一个过滤器。当到 UsernamePasswordAuthenticationFilter 的时候判断是否为登录路径,如果是,则进入该过滤器进行登录操作,如果登录失败则到 AuthenticationFailureHan
SpringCloud(15) JWT生成密钥证书jwt.jks
郑清
06-13 4239
SpringCloud JWT Keytool生成密钥证书jwt.jks & 获取jks文件的公钥
SpringSecurity JwtAuthenticationTokenFilter过滤器
weixin_46256404的博客
11-15 3507
SpringSecurity JwtAuthenticationTokenFilter过滤器
SpringBoot+SpringSecurity前后端分离+Jwt的权限认证
终码一生
09-13 1646
点击“终码一生”,关注,置顶公众号每日技术干货,第一时间送达!前言一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,S...
SpringBoot+SpringSecurity+JWT
09-19
SpringBoot和SpringSecurity的结合中,可以使用JWT来实现认证授权的功能。 为了在SpringBoot中使用SpringSecurity和JWT,你需要进行以下几个步骤: 1. 引入相关依赖:在项目的pom.xml文件中添加SpringSecurity...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值