Spring Security + JWT token 做权限认证

最新推荐文章于 2024-07-31 19:37:41 发布
最新推荐文章于 2024-07-31 19:37:41 发布
阅读量1.3w 收藏 31
点赞数 1
分类专栏: SpringCloud笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xqt8888/article/details/82114440
版权
本文探讨了在Spring Boot应用中使用Spring Security和JWT进行权限认证的方法。介绍了RESTful API认证方式,如Basic Authentication、TOKEN认证(JWT)和OAuth2.0。详细讲解了Spring Security的认证流程,特别是UserDetails的实现,以及如何通过自定义filter进行JWT token的验证。最终实现了登录接口返回JWT token,其他接口需要携带token访问的功能。
摘要由CSDN通过智能技术生成

前言

我的项目是用SpringBoot 搭建的一个App-Server,用来响应移动端的访问请求,设计的方式是前后端分离的 。本来对权限的做法是在请求里面加上token 字段,然后服务器端再对token做解析,得到userid,再根据userid 查找数据库,来判断当前用户是否有权限访问这个接口。token 是用的JWT;这样做除了每个接口都要写解析token 和 权限的判断代码外,感觉也没有其他问题。

哪位有经验的兄弟能解答一下这样做有什么不妥的地方吗?不甚感激。测试接口和服务端代码如下:

	@PostMapping("/test")
	@ResponseBody
	public BaseResponse test(@RequestBody BaseQueryDataReq req) {
		
		BaseResponse rsp = new BaseResponse();
		
		if(req.getToken() == null || req.getToken().isEmpty())
			return  ResponseFactory.getErrorResponse(ErrorEnum.ERROR_TOKEN_ERROR);
		else if(JwtHelper.isTokenExpiration(req.getToken()))
			return  ResponseFactory.getErrorResponse(ErrorEnum.ERROR_TOKEN_EXPIRE);
		
		String userid = JwtHelper.getUserIdFromToken(req.getToken());
		if(userid == null || userid.isEmpty() || !req.getUserid().equals(userid))
			return ResponseFactory.getErrorResponse(ErrorEnum.ERROR_TOKEN_ERROR);
		...
        ...
    }

这个方法是参考各大开发者平台的接口定义来的;他们的接口中,大部分都需要在json里面加上一个token字段。但看了Spring Security的一些文章后,觉得不用这个就感觉不正宗一样,所以我也尝试着研究Spring Security。

 

 

基础概念

RESTful API认证方式

一般来讲,对于RESTful API都会有认证(Authentication)和授权(Authorization)过程,保证API的安全性。

Authentication vs. Authorization

Authentication指的是确定这个用户的身份(用户账号),Authorization是确定该用户拥有什么操作权限,(用户角色role)。

认证方式一般有三种

  • Basic Authentication

这种方式是直接将用户名和密码放到Header中,使用Authorization: Basic Zm9vOmJhcg==,使用最简单但是最不安全。

  • TOKEN认证

这种方式也是再HTTP头中,使用Authorization: Bearer <token>,使用最广泛的TOKEN是JWT,通过签名过的TOKEN。

  • OAuth2.0

这种方式安全等级最高,但是也是最复杂的。如果不是大型API平台或者需要给第三方APP使用的,没必要整这么复杂。

一般项目中的RESTful API使用JWT来做认证就足够了。

 

spring security认证的实现方式:

实现方式大致可以分为这几种:

    1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。

    2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回UserDetails的实现类,需要自定义User类实现UserDetails,比较重要的方法是getAuthorities(),用来返回该用户所拥有的权限。

    3.通过自定义filter重写spring security拦截器,实现动态过滤用户权

最低0.47元/天 解锁文章
xqt8888
关注
专栏目录
spring security token认证_认证与授权,SpringSecurityToken实现登录认证
weixin_39876592的博客
12-02 2093
简介Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。认证用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。认证成功后将生成一个Token返回前端,供后续操作的验证。授权用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统...
Spring Security - Spring Security Architecture(Spring安全框架的体系结构)
swadian2008的博客
08-06 454
目录1. Introduction(简介)2. Authentication(认证) & Access Control(访问控制)2.1 Authentication(认证)2.2 Customizing Authentication Managers(自定义认证管理器)2.3 Authorization or Access Control(授权或访问控制)3. Web Security(Web安全)3.1 Web Security基本组件3.2 Creating and Customizing Filte
Spring Security 详解
最新发布
As_Yua的博客
07-31 3486
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
SpringSecurity+Jwt实现token权限验证
weixin_43671737的博客
07-02 2354
1,首先先贴一下项目结构更容易梳理思路,文章较长请细心阅读。 2.创建User用户和UserPermissons用户权限实体类,在生成token时会需要用户的账号密码和权限。还需要几个工具类,现在一步步为大家展示。 yml配置文件 # 端口 server: port: 8080 # 数据库连接配置 spring: datasource: driver-class-name: com.mysql.cj.jdbc.Driver url: jdbc:mysql://localhost:3
SpringSecurity - 整合JWT使用 Token 认证授权
小毕超博客
01-09 6740
一、SpringSecurity 前面讲解了SpringSecurity的动态认证和动态权限角色,我们都知道在现在大多都是微服务前后端分离的模式开发,前面讲的还是基于Session的,本篇我们整合JWT实现使用Token认证授权。 上篇文章地址:https://blog.csdn.net/qq_43692950/article/details/122394611 在开始前需要了解JWT,如果不了解,可以先看下下面这篇我的博客: https://blog.csdn.net/qq_43692950/art
Spring Security中使用token
热门推荐
超频化石鱼的博客
09-12 1万+
单点登录与多点登录 单点登录:同一个账号在同一时间只有一个token有效。一旦生成新的token,所有旧token失效。 多点登录:同一个账号在同一时间可多次登录,每次登陆都会获得一个token。这些token的有效期是隔离的,不受新生成token的影响。 对于token,若要实现单点登录,则必须将所有token保存在服务端。这实际上与token服务端不负责保存的本质相悖。若要实现单点登录,建议使用session。 下面将实现多点登录。 原理与思路 Spring Security认证与授权是分开的:
SpringSecurity + JWT,从入门到精通!
java思维导图
07-06 797
权限系统躲不开的概念,在Shiro和Spring Security之间,你一般选啥?在前后端分离的项目中,你知道怎么Spring security整合Jwt么,来看看这篇文章哈!作者:小...
解析SpringSecurity+JWT认证流程实现
08-18
首先,我们需要配置SpringSecurity来使用JWT认证方式,然后在认证流程中,我们使用JWT token来验证用户的身份。在认证完成后,我们将生成一个JWT token,并将其传递给客户端,以便客户端在每次请求时都可以带上这个...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring SecurityJWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录和权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
SpringBoot_SpringSecurity_JWT_RBAC:前后端分离,基于 JWT、RBAC 的登录拦截设计
05-01
SpringBoot_SpringSecurity_JWT_RBAC
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring Security、OAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
SpringSecurity系列学习(一):基于JWT认证
在数字化道路无限探索
02-21 904
版权声明:本文由神州数码云基地团队整理撰写,若转载请注明出处代码参考憋嗦话,上号!咳咳,在上号之前,再聊两句。。。分布式认证分布式认证,即我们常说的单点登录,简称SSO,指的是在多应用系统的项目中,用户只需要登录一次,就可以访问所有互相信任的应用系统。但是首先,我们要明确,在分布式项目中,每台服务器都有各自独立的session,而这些session之间是无法直接共享资源的,所以,session通常不能被作为单点登录的技术方案。 最合理的单点登录方案流程如下图所示:总结一下,单点登录的实现分两大环节:用户认证
spring security 实现自定义认证和登录(4):使用token进行验证
qq_45691577的博客
03-06 3796
前面我们实现了给客户端下发token,虽然客户端拿到了token,但我们还没处理客户端下一次携带token请求时如何验证,我们想要实现拿得到token之后,只需要验证token,不需要用户再携带用户名和密码了。
SpringSecurity 实现token 认证
qq_45535340的博客
06-07 4620
实现token 认证
Spring Security添加token授权登陆
student100000的博客
08-03 8071
需求:其他项目要跳转我们的springboot+springsecurity项目,需要授权特定token登陆。 实现思路:添加过滤器,拦截请求中的token,传递给Authentication鉴权,如果这个请求不带有授权信息,被拦截后,会跳转登录页面。一.先来了解下springsecurity,熟悉的跳过该部分 1)Spring Security介绍: Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的
一个基于springSecurity的Json Web Token的实现
黑马程序员广州中心的专栏
04-02 256
SecurityJwt一个基于springSecurity的Json Web Token的实现 GitHub地址 提要一、SpringSecurity Spring Security,一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。。 来自Spring全家桶系列,与SpringBo...
SpringSecurity6.0+Redis+JWT+MP基于token认证功能开发(源码级剖析可用于实际生产项目)
laizhenghua的博客
06-25 5917
引子:最近项目时遇到了一个特殊的需求,需要写共享接口把本系统的一些业务数据共享给各地市的自建系统,为了体现公司的专业性以及考虑到程序的扩展性(通过各地市的行政区划代码限制),决定要把接口的高级一些,而不是简单的传个用户名和密码对比数据库里面的,那样真的很low。于是写了基于token认证功能,在这里分享出来供大家学习与探讨。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值