SpringBoot使用Security认证框架

已于 2023-03-07 15:26:14 修改
阅读量260 收藏
点赞数
文章标签: java Powered by 金山文档
于 2023-03-07 10:58:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xq12009/article/details/129377715
版权

1、依赖

<dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2、新建config包,第一部分开始

FastJsonRedisSerializer

package com.zb.config;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;
import com.alibaba.fastjson.serializer.SerializerFeature;
import com.fasterxml.jackson.databind.JavaType;
import com.fasterxml.jackson.databind.type.TypeFactory;
import org.springframework.data.redis.serializer.RedisSerializer;
import org.springframework.data.redis.serializer.SerializationException;

import java.nio.charset.Charset;

/**
 * Redis使用FastJson序列化
 *
 * @author sg
 */
publicclassFastJsonRedisSerializer<T> implementsRedisSerializer<T>
{

publicstaticfinal Charset DEFAULT_CHARSET = Charset.forName("UTF-8");

private Class<T> clazz;

static
    {
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
    }

publicFastJsonRedisSerializer(Class<T> clazz)
    {
super();
this.clazz = clazz;
    }

@Override
publicbyte[] serialize(T t) throws SerializationException
    {
if (t == null)
        {
returnnewbyte[0];
        }
return JSON.toJSONString(t, SerializerFeature.WriteClassName).getBytes(DEFAULT_CHARSET);
    }

@Override
public T deserialize(byte[] bytes)throws SerializationException
    {
if (bytes == null || bytes.length <= 0)
        {
returnnull;
        }
        String str = new String(bytes, DEFAULT_CHARSET);

return JSON.parseObject(str, clazz);
    }


protected JavaType getJavaType(Class<?> clazz)
    {
return TypeFactory.defaultInstance().constructType(clazz);
    }
}

JwtUtil

package com.zb.config;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;
import java.util.Date;
import java.util.UUID;

/**
 * JWT工具类
 */
public class JwtUtil {

    //有效期为
    public static final Long JWT_TTL = 60 * 60 *1000L;// 60 * 60 *1000  一个小时
    //设置秘钥明文
    public static final String JWT_KEY = "abcd";

    public static String getUUID(){
        String token = UUID.randomUUID().toString().replaceAll("-", "");
        return token;
    }

    /**
     * 生成jtw
     * @param subject token中要存放的数据(json格式)
     * @return
     */
    public static String createJWT(String subject) {
        JwtBuilder builder = getJwtBuilder(subject, null, getUUID());// 设置过期时间
        return builder.compact();
    }

    /**
     * 生成jtw
     * @param subject token中要存放的数据(json格式)
     * @param ttlMillis token超时时间
     * @return
     */
    public static String createJWT(String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, getUUID());// 设置过期时间
        return builder.compact();
    }

    private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        SecretKey secretKey = generalKey();
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        if(ttlMillis==null){
            ttlMillis=JwtUtil.JWT_TTL;
        }
        long expMillis = nowMillis + ttlMillis;
        Date expDate = new Date(expMillis);
        return Jwts.builder()
                .setId(uuid)              //唯一的ID
                .setSubject(subject)   // 主题  可以是JSON数据
                .setIssuer("sg")     // 签发者
                .setIssuedAt(now)      // 签发时间
                .signWith(signatureAlgorithm, secretKey) //使用HS256对称加密算法签名, 第二个参数为秘钥
                .setExpiration(expDate);
    }

    /**
     * 创建token
     * @param id
     * @param subject
     * @param ttlMillis
     * @return
     */
    public static String createJWT(String id, String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, id);// 设置过期时间
        return builder.compact();
    }

    /**
     * 生成加密后的秘钥 secretKey
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

    /**
     * 解析
     *
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }


}

RedisConfig

package com.zb.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.serializer.StringRedisSerializer;

@Configuration
public class RedisConfig {

    @Bean
    @SuppressWarnings(value = { "unchecked", "rawtypes" })
    public RedisTemplate<Object, Object> redisTemplate(RedisConnectionFactory connectionFactory)
    {
        RedisTemplate<Object, Object> template = new RedisTemplate<>();
        template.setConnectionFactory(connectionFactory);

        FastJsonRedisSerializer serializer = new FastJsonRedisSerializer(Object.class);

        // 使用StringRedisSerializer来序列化和反序列化redis的key值
        template.setKeySerializer(new StringRedisSerializer());
        template.setValueSerializer(serializer);

        // Hash的key也采用StringRedisSerializer的序列化方式
        template.setHashKeySerializer(new StringRedisSerializer());
        template.setHashValueSerializer(serializer);


        template.afterPropertiesSet();
        return template;
    }
}

SecurityConfig,45行需要改成你的登录接口地址


import com.zb.filters.PowerFilter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public BCryptPasswordEncoder cryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Autowired
    private PowerFilter powerFilter;

    @Autowired
    private AuthenticationEntryPoint authenticationEntryPoint;

    @Autowired
    private AccessDeniedHandler accessDeniedHandler;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //关闭csrf
                .csrf().disable()
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 对于登录接口 允许匿名访问(需要改成你的登录接口地址)
                .antMatchers("/user/login/**").anonymous()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();
        //将用户开发的过滤器添加到用户登陆之前的过滤器上
        http.addFilterBefore(powerFilter, UsernamePasswordAuthenticationFilter.class);
        //添加自定义异常处理
        http.exceptionHandling().authenticationEntryPoint(authenticationEntryPoint).accessDeniedHandler(accessDeniedHandler);
    }

    @Bean
    public AuthenticationManager createAuthenticationManager() throws Exception {
        return super.authenticationManagerBean();
    }

}

WebUtils

package com.zb.config;

import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class WebUtils
{
    /**
     * 自定义返回没有认证和授权信息用的
     * 将字符串渲染到客户端
     * 
     * @param response 渲染对象
     * @param string 待渲染的字符串
     * @return null
     */
    public static String renderString(HttpServletResponse response, String string) {
        try
        {
            response.setStatus(200);
            response.setContentType("application/json");
            response.setCharacterEncoding("utf-8");
            response.getWriter().print(string);
        }
        catch (IOException e)
        {
            e.printStackTrace();
        }
        return null;
    }
}

config包结束,第一部分结束

3、entity包,第二部分开始

LoginUser,需要改动一些东西,注意看注释

package com.zb.entity;

import com.alibaba.fastjson.annotation.JSONField;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

@Data
@NoArgsConstructor
public class LoginUser implements UserDetails {

    //登录信息实体类,换成你的
    private User user;
    //存放查出来的用户有的权限
    private List<String> powers;
    //将用户信息和权限全放进去
    //User需要换成你的
    public LoginUser(User user, List<String> powers) {
        this.user = user;
        this.powers = powers;
    }

    @JSONField(serialize = false)
    private List<SimpleGrantedAuthority> authorities;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if (authorities != null && authorities.size() > 0) {
            return authorities;
        }
        authorities = new ArrayList<>();
        for (String power : powers) {
            SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(power);
            authorities.add(simpleGrantedAuthority);
        }
        return authorities;
    }

    //user.getPasswd()为获取密码,换成你的
    @Override
    public String getPassword() {
        return user.getPasswd();
    }

    //user.getNickName();为获取用户名,换成你的
    @Override
    public String getUsername() {
        return user.getNickName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

4、exception包

AccessDeniedHandlerImpl

package com.zb.exception;

import com.alibaba.fastjson.JSON;
import com.zb.config.WebUtils;
import org.springframework.http.HttpStatus;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

@Component
public class AccessDeniedHandlerImpl implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        Map<String, Object> result = new HashMap<>();
        result.put("msg", "授权失败!");
        String json = JSON.toJSONString(result);
        WebUtils.renderString(response, json);
    }
}

AuthenticationEntryPointImpl

package com.zb.exception;

import com.alibaba.fastjson.JSON;
import com.zb.config.WebUtils;
import org.springframework.http.HttpStatus;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException) throws IOException, ServletException {
        Map<String, Object> result = new HashMap<>();
        result.put("code", HttpStatus.UNAUTHORIZED);
        result.put("msg", "认证失败!");
        String json = JSON.toJSONString(result);
        WebUtils.renderString(response, json);

    }
}

filters包

PowerFilter,为自已的拦截器,在执行Security之前会执行自已编写的PowerFilter过滤器,可以按需改动,也可不动

package com.zb.filters;

import com.alibaba.fastjson.JSON;
import com.zb.config.JwtUtil;
import com.zb.entity.LoginUser;
import io.jsonwebtoken.Claims;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.util.ObjectUtils;
import org.springframework.util.StringUtils;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class PowerFilter extends OncePerRequestFilter {

    @Autowired
    private RedisTemplate redisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String token = request.getHeader("token");
        //登陆接口放行
        if (!StringUtils.hasText(token)) {
            System.out.println("登陆接口放行...");
            filterChain.doFilter(request, response);
            return;
        }
        String username = "";
        try {//验证令牌的有效性
            Claims claims = JwtUtil.parseJWT(token);
            username = claims.getSubject();
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("认证失败!");
        }
        //从redis中获取用户信息
        Object obj = redisTemplate.boundValueOps("token:" + username).get();
        if (ObjectUtils.isEmpty(obj)) {
            throw new RuntimeException("认证失败!");
        }

        LoginUser loginUser = JSON.parseObject(obj.toString(), LoginUser.class);
        //登陆的用户存储到上下文中
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
        //转发到下一过滤器或者是控制器
        filterChain.doFilter(request, response);
    }
}
北丨慕
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringSecutiry实现认证授权功能,整合SpringBoot
07-02
本资源通过SpringBoot整合SpringSecurity框架,实现对用户的认证授权功能,其中写了多个小demo,并且对SpringSecuirty进行了相应的配置,读者通过本资源可以得到关于SpringSecurity认证授权知识,以及相关的流程。
springboot-06-security.zip
11-30
springboot之SpringSecurity-这里可以取到SpringBoot之----如何整合SpringSecurity框架认证和授权源码,教程在我的文章里面。
Spring Boot集成Spring Security(4.0) 使用Demo
yzh_1346983557的博客
05-08 2514
之前没有做过权限方面的,组长让我做下一版本的权限管理,去看了几篇博客,感觉写的不够清晰,自己总结一下,仅当做自己学习的记录(如有误导、错误敬请谅解、指出)。 1.pom.xml中引入支持包: &lt;!-- springboot spring security支持包 --&gt; &lt;dependency&gt; &lt;groupId&gt;org....
SpringBoot整合SpringSecurity前后端分离版
weixin_44283656的博客
06-07 1998
SpringBoot整合SpringSecurity实现用户任何和权限认证
响应式学习(五)spring Security
markren的博客
02-27 916
Security Security基础知识 认证 void configure(AuthenticationManagerBuilder auth) 基于内存用户认证(inMemoryAuthentication) 基于数据库用户认证(jdbcAuthentication) 基于LDAP服务器方式用户认证(ldapAuthentication) 自定义用户认证(UserDetailsService)(适用于响应式) 自定义用户认证详细说明: 数据库映射实体类需要实现UserDetails接口,重写get
【Spring Security】安全框架学习(三)
Jerry‘s word
08-27 239
​ ②获取token中的userId,从redis中获取用户信息,存入SecurityContextHolder中。思考:Jwt认证过滤器中从获取到了userId后,怎么获取到完整的用户信息?登陆:①自定义登陆的接口,调用providerManager的方法进行认证。​ 如果认证通过,则生成JWT;把用户信息缓存到redis中。​ ②自定义UserDetailService,实现查询数据库。校验:①定义JWT认证过滤器,获取token并解析token。实际上分了两部分,一个是登陆一个是校验。.
SpringSecurity安全框架实践
m0_46103359的博客
04-13 119
我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。
Spring Boot安全管理
weixin_62907807的博客
06-15 4542
formLogin()⽤户登录⽅法中涉及⽤户登录的主要⽅法及说明如下表所示。rememberMe()记住我功能相关涉及记住我的主要⽅法及说明如下表所示。例如,只有唯⼀的默认登录⽤户user。开始,⾃定义⽤户认证必须设置密码编码器⽤于保护密码,否则控制台会出现。⾃定义⽤户认证时,可以为某个⽤户⼀次指定多个⻆⾊或权限,例如,安全管理功能来说,则还需要额外引⼊⼀些其他安全依赖。⾃定义⽤户认证时,可以定义⽤户⻆⾊。⽤户请求控制相关的主要⽅法及说明。⽤户登录失败后的跳转地址,默认。登录⽤户的⽤户名参数, 默认为。
springBoot整合springSecurity(认证)
qingqingyyds的博客
10-14 2057
Spring Security是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富;Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准;Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9640
springboot整合springsecurity实现用户登录认证和鉴权
Springboot安全管理
weixin_67691477的博客
05-08 1505
Actuator Security用于对项目的一些运行环境提供安全监控,例如Health健康信息、Info运行信息等,它主要作为系统指标供运维人员查看管理系统的运行情况。WebFlux Security是Spring Boot整合Spring WebFlux框架搭建的Web应用的安全管理。MVC Security是Spring Boot整合Spring MVC框架搭建的Web应用的安全管理。Spring Security是基于Spring生态圈的,用于提供安全访问控制解决方案的框架
SpringBoot中的Security简单入门实现
jingjiaohuan的博客
11-01 1542
以上是10月31日对29日的Security学习进行日常总结。
基于SpringBoot+Security+Social+JWT等的第三方登录(微信QQ)和安全认证框架+源代码+文档说明
最新发布
11-28
-## 这个项目是基于SpringBoot+SpringSecurity+SpringSocial+JWT方式的第三方登录和安全认证框架 ### 包括APP+浏览器端的实现 #### 学习的笔记和引导都在我的csdn博客更新中,有任何问题都可以问博主.## 项目备注 1、...
SpringBoot+Security+Vue前后端分离开发权限管理系统
06-19
认证和授权框架MyBatisPlus3.3.1?基于?MyBatis?框架的快速研发框架MyBatisCode工具生成?MyBatis?相关代码Jackson提供了处理?JSON?数据的工具Lombok简化对象封装工具?Druid???数据库连接池?【前端技术】Vue???????...
TiHom-Security:基于SpringBoot + SpringSecurity + SpringSocial + JWT等的第三方登录(微信QQ)和安全认证框架
01-29
这个项目是基于SpringBoot + SpringSecurity + SpringSocial + JWT方式的第三方登录和安全认证框架 包括APP +浏览器端的实现 学习的笔记和引导都在我的csdn博客更新中,有任何问题都可以问博主。 CSDN地址: :
清晰搞懂Spring Security的登录认证
陈宝子的博客
07-18 7807
在简单学习完成Redis之后,又进行了SpringSecurity的学习,这里学习的资源为三更草堂的SpringSecurity框架教程,讲得感觉还不错,推荐😁。这里主要是对学习过程进行一个记录和总结,参考的仍然是三更草堂的笔记,但中间加上了自己的一些理解和看法以及一些遇到的问题总结,如果哪里有问题还请各位指点指点😻。
SpringBoot整合SpringSecurity认证与授权
admin_2022的博客
07-10 1696
SpringBoot整合SpringSecurity认证与授权
Spring boot整合Security
weixin_44603464的博客
02-23 962
Spring Security 是spring项目之中的一个安全模块WebSecurityConfigurerAdapter: 自定义Security策略AuthenticationManagerBuilder: 自定义认证策略@EnableWebSecurity: 开启WebSecurity模式Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)
SpringBoot集成 SpringSecurity安全框架
qq15035899256的博客
03-19 1847
本文是对SpringSecurity的学习,学习了它的两大功能:认证和授权,以及如何使用数据库进行认证,如何使用自定义的登录页面,最后也学习了使用SecurityContext获取认证用户的信息。之后的学习内容将持续更新!!!
springboot使用security和jwt
06-28
### 回答1: Spring Boot可以使用Spring Security和JWT来实现安全认证和授权。 Spring Security是一个基于Spring框架的安全框架,它提供了一系列的安全功能,包括认证、授权、攻击防护等。在Spring Boot中,可以通过添加spring-boot-starter-security依赖来集成Spring Security。 JWT(JSON Web Token)是一种基于JSON的开放标准,用于在网络上安全地传输信息。它由三部分组成:头部、载荷和签名。在Spring Boot中,可以使用jjwt库来生成和验证JWT。 使用Spring Security和JWT可以实现以下功能: 1. 用户认证:用户可以使用用户名和密码进行认证认证成功后可以获取JWT。 2. 授权:使用JWT可以实现无状态的授权,即在每个请求中都携带JWT,服务器可以根据JWT中的信息进行授权。 3. 攻击防护:Spring Security提供了一系列的攻击防护功能,包括CSRF、XSS、SQL注入等。 总之,Spring Boot使用Spring Security和JWT可以实现安全可靠的Web应用程序。 ### 回答2: Spring Boot是一种非常受欢迎的Java企业应用程序框架,可以帮助开发人员在构建应用程序时更快地完成编程工作。Spring Boot结合Spring Framework和Spring MVC等其他众多技术,并且提供很多特性的支持,比如整合security和jwt,使应用程序的开发和使用变得更加简单和高效。 Security是一种用于身份验证和授权的开放式框架,使得开发人员可以轻松地保护自己的应用程序免受未经授权的访问和攻击。Spring Security提供了很多安全特性,可以在您的应用程序中用来进行身份验证和授权。 通过使用安全组件,可以实现基于角色的访问控制,并且可以配置基于HTTPS的安全通信。Spring Security还可以集成Spring Boot中应用程序授权的功能,并且提供多种身份验证方式。 JWT是一种基于JSON的标准,主要用于在不同的应用程序之间传递安全令牌。它可以使得应用程序在授权用户访问时变得简单和高效,并且可以向其他无需经验证的应用程序发送授权证书,以允许他们访问您的应用程序资源。使用JWT,您可以轻松地传递身份验证数据,并确保这些数据不会被篡改。同时,JWT是通用的、标准化的,并且可以在大多数现代编程语言中使用。 在Spring Boot开发中使用Spring Security和JWT,可以充分发挥它们的优势,实现更好的开发效率和安全性。Spring Security可以用来保护您的应用程序免受未经授权的访问和攻击,同时可以为授权用户提供访问控制。JWT提供了一种轻量级的安全机制,用于传递身份验证令牌,使得应用程序之间的交互变得更加灵活和安全。 总的来说,Spring Boot和其整合了的Spring Security和JWT,为开发人员提供了完整的快速开发框架、安全性、实用性和扩展性,是一种非常理想的解决方案,可以支持各种高性能的企业级Java web应用程序。 ### 回答3: SpringBoot使用Java语言开发的一款方便快捷的应用开发框架Security和JWT是其重要的安全保障工具,下面详细介绍它们如何在SpringBoot使用。 一、Spring Security Spring Security是Spring官方推出的安全框架,提供了一整套安全性认证和授权工具。包括用户身份认证(Authentication)、访问权限控制(Authorization)、密码加密、用户管理、认证方式等多方面,有效地提高了应用的安全性。 在SpringBoot中,添加Spring Security的依赖后,我们可以通过在配置文件配置好的认证信息和权限信息来管理访问控制。下面是一个简单的配置认证信息的例子: @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("user").password("password").roles("USER") .and() .withUser("admin").password("password").roles("USER", "ADMIN); } } 上面的代码中,我们首先添加了Spring Security的依赖,然后通过@EnableWebSecurity注解来启用Web安全,继承了WebSecurityConfigurerAdapter类后并重写configureGlobal(AuthenticationManagerBuilder auth)方法来配置好需要认证的用户信息。其中,username为user,password为password的用户具有USER角色,username为admin,password为password的用户具有USER和ADMIN的角色。 二、JWT(JSON Web Token) JSON Web Token(JWT)是一种为Web应用程序提供认证及授权的开放标准,专门针对跨域应用场景下的单点登录、API 签名等场景。JWT本身是一个开放标准( RFC 7519),定义了用于在网络应用间传递声明的一种基于JSON的标准。 在SpringBoot中,我们可以通过引入JWT依赖后,结合Spring Security来实现JWT的安全认证功能。下面是一个简单示例: @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenProvider jwtTokenProvider; @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable().authorizeRequests() .antMatchers("/api/authenticate").permitAll() .anyRequest().authenticated() .and() .apply(new JwtConfigurer(jwtTokenProvider)); } } 上述代码可以实现一个基于Spring Security的JWT认证功能。我们使用了jwtTokenProvider来生成和验证JWT Token,然后通过configure(HttpSecurity http)方法来设定这个认证服务的安全策略。其中,访问/api/authenticate接口的请求不需要认证,而其他所有请求都需要已认证的访问者才能访问。 总结: Spring Security和JWT是SpringBoot中两种主要的安全保障工具,其中Spring Security提供了传统的用户认证授权等服务,而JWT则更适合跨应用的API认证和授权场景。这两种工具可以结合使用,提高应用在安全性方面的保障。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值