SpringBoot+SpringSecurity和JWT实现认证和授权

已于 2022-05-28 18:43:19 修改
阅读量1.8k 收藏 10
点赞数
文章标签: spring security jwt springboot
于 2019-11-09 16:43:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanzhenjingfan/article/details/102986774
版权

学习一个新知识,咱们应该先分析这个东西是干吗的,它的优缺点是啥。

请看博客:基于jwt和session的区别和优点

知道jwt的作用后,再来看看jwt是如何生成的吧。

1:首先maven里面引入相关依赖

<!--SpringSecurity依赖配置-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<!--JWT(Json Web Token)登录支持-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

2:Jwt生成的工具类(供参考)

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * @author yangfan
 * @description
 *
 * Jwt生成的工具类
 * JWT的格式:header.payload.signature
 * header的格式(算法、token的类型):
 * {"alg": "HS512","typ": "JWT"}
 * payload的格式(用户名、创建时间、生成时间):
 * {"sub":"wang","created":1489079981393,"exp":1489684781}
 * signature的生成算法:
 * HMACSHA512(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
 *
 * @modified By
 */

@Component
@Slf4j
public class JwtTokenUtil {
    //用户名
    private static final String CLAIM_KEY_USERNAME = "sub";
    //生成时间
    private static final String CLAIM_KEY_CREATED = "created";
    //jwt密钥
    @Value("${jwt.secret}")
    private String secret;
    //jwt过期时间
    @Value("${jwt.expiration}")
    private Long expiration;

    /**
     * 根据负责生成JWT的token
     *  subject    主体,即用户信息的JSON
     *  issuer     签发人
     *  claims     自定义参数
     */
    private String generateToken(Map<String, Object> claims) {
        return Jwts.builder()
                // 自定义属性
                .setClaims(claims)
                // 过期时间
                .setExpiration(generateExpirationDate())
                // 签名算法以及密匙
                .signWith(SignatureAlgorithm.HS512, secret)
                // 主题:代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可以存放什么userid,roldid之类的,作为什么用户的唯一标志。
                //.setSubject(subject)
                // 签发人
                //.setIssuer(Optional.ofNullable(issuer).orElse(ISS))
                .compact();
    }

    /**
     * 从token中获取JWT中的负载
     */
    private Claims getClaimsFromToken(String token) {
        Claims claims = null;
        try {
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
           log.info("JWT格式验证失败:{}",token);
        }
        return claims;
    }

    /**
     * 生成token的过期时间
     */
    private Date generateExpirationDate() {
        return new Date(System.currentTimeMillis() + expiration * 1000);
    }

    /**
     * 从token中获取登录用户名
     */
    public String getUserNameFromToken(String token) {
        String username;
        try {
            Claims claims = getClaimsFromToken(token);
            username =  claims.getSubject();
        } catch (Exception e) {
            username = null;
        }
        return username;
    }

    /**
     * 验证token是否还有效
     *
     * @param token       客户端传入的token
     * @param userDetails 从数据库中查询出来的用户信息
     */
    public boolean validateToken(String token, UserDetails userDetails) {
        String username = getUserNameFromToken(token);
        return username.equals(userDetails.getUsername()) && !isTokenExpired(token);
    }

    /**
     * 判断token是否已经失效
     */
    private boolean isTokenExpired(String token) {
        Date expiredDate = getExpiredDateFromToken(token);
        return expiredDate.before(new Date());
    }

    /**
     * 从token中获取过期时间
     */
    private Date getExpiredDateFromToken(String token) {
        Claims claims = getClaimsFromToken(token);
        return claims.getExpiration();
    }

    /**
     * 根据用户信息生成token
     * @param userDetails  自定义参数
     *
     */
    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();
        claims.put(CLAIM_KEY_USERNAME, userDetails.getUsername());
        claims.put(CLAIM_KEY_CREATED, new Date());
        return generateToken(claims);
    }

    /**
     * 判断token是否可以被刷新
     */
    public boolean canRefresh(String token) {
        return !isTokenExpired(token);
    }

    /**
     * 刷新token
     */
    public String refreshToken(String token) {
        Claims claims = getClaimsFromToken(token);
        claims.put(CLAIM_KEY_CREATED, new Date());
        return generateToken(claims);
    }
}

3:现在我们就通过前端账号密码登陆,这个登陆实现接口通过上面的jwtTokenUtil生成token。

/**
     * 第一次账号密码登陆验证,验证通过则生成token
     * @param username 用户名
     * @param password 密码
     * @return String jwt
     */
    @Override
    public String login(String username, String password) {
        String token = null;
        try {
            //通过用户名到数据库中查找用户信息
            UserDetails userDetails = userDetailsService.loadUserByUsername(username);
            //对密码进行编码及比对,目前使用的是BCryptPasswordEncoder类实现PasswordEncoder接口
            if (!passwordEncoder.matches(password, userDetails.getPassword())) {
                throw new BadCredentialsException("密码不正确");
            }
            /**
             * UsernamePasswordAuthenticationToken继承AbstractAuthenticationToken实现Authentication
             * 所以当在页面中输入用户名和密码之后首先会进入到UsernamePasswordAuthenticationToken验证(Authentication),
             * 然后生成的Authentication会被交由AuthenticationManager来进行管理
             * 而AuthenticationManager管理一系列的AuthenticationProvider,
             * 而每一个Provider都会通UserDetailsService和UserDetail来返回一个
             * 以UsernamePasswordAuthenticationToken实现的带用户名和密码以及权限的Authentication
             */
            UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
            SecurityContextHolder.getContext().setAuthentication(authentication);
            token = jwtTokenUtil.generateToken(userDetails);
        } catch (AuthenticationException e) {
            log.warn("登录异常:{}", e.getMessage());
        }
        return token;
    }

4:上面login接口生成的token发送至前端,在前端每次访问后端接口,携带这个token,一般放在header头里

而这里的过滤器就是过滤请求,验证token是否有效合法,之后会获取相应的用户权限,在SecurityContextHolder中保存的是当前访问者的信息

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @author yangfan
 * @description JWT登录授权过滤器
 * @modified By
 */
@Slf4j
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private JwtTokenUtil jwtTokenUtil;
    @Value("${jwt.tokenHeader}")
    private String tokenHeader;
    @Value("${jwt.tokenHead}")
    private String tokenHead;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String authHeader = request.getHeader(this.tokenHeader);
        if (authHeader != null && authHeader.startsWith(this.tokenHead)) {
            String authToken = authHeader.substring(this.tokenHead.length());// The part after "Bearer "
            String username = jwtTokenUtil.getUserNameFromToken(authToken);
            log.info("checking username:{}", username);
            //SecurityContextHolder保留系统当前的安全上下文细节,其中就包括当前使用系统的用户的信息
            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                //在SpringSecurityConfig类中,自己实现UserDetailsService接口的loadUserByUsername方法,
                //此方法获取用户信息,并保存在AdminUserDetails对象中
                //而AdminUserDetails这个类实现了UserDetails接口,所以可使用UserDetails接口接收
                UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
                //验证前端传来的token是否过期、是否被篡改
                if (jwtTokenUtil.validateToken(authToken, userDetails)) {
                    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());

                    /**
                     *  springsecurity默认只验证用户的username和password信息,
                     *  所以我们如果想实现验证码登录,需要重写WebAuthenticationDetails类,
                     *  使其能通过HttpServletRequest获取到用户输入的验证码的信息
                     *  我们这里登陆暂时还没做验证码的功能
                     */
                    authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    log.info("authenticated user:{}", username);
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            }
        }
        filterChain.doFilter(request, response);
    }
}

5:重点来了,现在开始编写spring security配置类,需要将上面的jwt过滤器集成到spring security

/**
 * @author yangfan
 * @description SpringSecurity的配置,解决csrf校验开启问题,druid登陆界面无效的解决
 * @modified By
 *
 * |@EnableGlobalMethodSecurity(prePostEnabled=true) 开启注解,使用户对某个controller层的方法具有访问权限
 * |Controller层上加上@PreAuthorize("hasAuthority('pms:brand:read')")注解,用来判断当前用户是否有读的权限
 * |用户账号密码登录之后,从数据库查找当前用户的权限放入Authentication对象中
 * |SecurityExpressionRoot类中的getAuthoritySet()方法可以获取当前用户的权限集合
 *
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UmsAdminService adminService;
    
    //当访问接口没有权限时,自定义的返回结果
    @Autowired
    private RestfulAccessDeniedHandler restfulAccessDeniedHandler;
    
    //当未登录或者token失效访问接口时,自定义的返回结果
    @Autowired
    private RestAuthenticationEntryPoint restAuthenticationEntryPoint;

    /**
     * 用于配置需要拦截的url路径、jwt过滤器及出异常后的处理器.
     * @param httpSecurity
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                .csrf().disable() //关闭CSRF
                .sessionManagement()// 基于token,所以不需要session
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .antMatchers(HttpMethod.GET, // 允许对于网站静态资源的无授权访问
                        "/",
                        "/*.html",
                        "/favicon.ico",
                        "/**/*.html",
                        "/**/*.css",
                        "/**/*.js",
                        "/swagger-resources/**",
                        "/v2/api-docs/**"
                )
                .permitAll()
                .antMatchers("/admin/login", "/admin/register")// 对登录注册要允许匿名访问
                .permitAll()
                .antMatchers(HttpMethod.OPTIONS)//跨域请求会先进行一次options请求
                .permitAll()
                .antMatchers("/druid/*")//允许访问druid监控页面,由于CSRF跨站点请求伪造(Cross—Site Request Forgery)的原因,会进不去druid监控页面
                .permitAll()
                .anyRequest()// 除上面外的所有请求全部需要鉴权认证
                .authenticated();
        // 禁用缓存
        httpSecurity.headers().cacheControl();
        // 添加JWT filter
        httpSecurity.addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);
        // 添加自定义未授权和未登录结果返回
        httpSecurity.exceptionHandling()
                .accessDeniedHandler(restfulAccessDeniedHandler)
                .authenticationEntryPoint(restAuthenticationEntryPoint);
    }

    /**
     * 用于配置UserDetailsService及PasswordEncoder
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().withUser("user").password("password").roles("USER");
    }

    /**
     * SpringSecurity定义的用于对密码进行编码及比对的接口,目前使用的是BCryptPasswordEncoder
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    /**
     * 定义的核心接口,用于根据用户名获取用户信息,需要自行实现
     * @return
     */
    @Bean
    public UserDetailsService userDetailsService() {
        //获取登录用户信息
        return username -> {
            UmsAdmin admin = adminService.getAdminByUsername(username);
            if (admin != null) {
                List<UmsPermission> permissionList = adminService.getPermissionList(admin.getId());
                return new AdminUserDetails(admin,permissionList);
            }
            throw new UsernameNotFoundException("用户名或密码错误");
        };
    }

    /**
     * 在用户名和密码校验前添加的过滤器,如果有jwt的token,会自行根据token信息进行登录.
     * @return
     */
    @Bean
    public JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter(){
        return new JwtAuthenticationTokenFilter();
    }


    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

好了,思路就是这么个思路

木一番
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 8
    评论
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
springboot+springSecurity+jwt+mybatisplus实现登录认证后令牌授权
SpringBoot+SpringSecurity+Jwt实现认证授权
一个肥鲇鱼博客
01-18 950
*** 自定义退出处理类* @Author: 一个肥鲇鱼*/@Component/*** 退出处理* @return*/@Override// R.success是统一返回类,可自行定义ServletUtils.renderString(response, JSON.toJSONString(R.success("退出成功")));将退出类添加到过滤链中/*** token认证过滤器*//*** 退出处理*/@Overridehttp// 关闭csrf。
UsernamePasswordAuthenticationToken使用
最新发布
m0_67318913的博客
03-09 448
二、参数使用 其中,principal 是认证的主体信息,通常为用户名或者用户对象;credentials 是认证的凭证信息,通常为密码或者其他类似信息。在构造时,还可以使用其他构造方法为认证请求设置授权信息、权限列表等。 在 Spring Security 中,通过 AuthenticationManager 对象对认证请求进行认证认证成功后会生成一个 Authentication 对象,并将其存储在 SecurityContextHolder 中,用于表示当前的认证信息。在应用程序中,可以通过 Se
SpringBoot+SpringSecurity+JWT实现认证授权
热门推荐
oyc的博客
01-17 5万+
一、背景: 在 B/S 系统中,登录功基本都是依靠 Cookie 来实现的,用户登录成功之后主要需要客户端和服务端完成以下两项工作: (1)服务端将登录状态记录到 Session 中,或者签发Token; (2)客户端利用Cookie保存于服务端对应的 Session ID 或 Token。之后每次请求都会带上Cookie信息(包含Session ID或者Token),当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单点登录:单点登录(Single Sign On, S.
Spring Boot+Spring Security+JWT实现系统认证授权
Cloud-Future的博客
08-03 2815
Spring Boot+Spring Security+JWT实现系统认证授权 Spring Boot整合Spring Security实现JWT认证 Spring Boot项目使用JWT认证 JWT认证 OAuth2 JWT认证
Spring Boot2 + Spring Security + JWT 实现项目级前后端分离认证授权
lovelichao12的专栏
03-14 6131
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架 Shiro,它提供了更丰富的功能,扩展性更好,社区资源也比 Shiro 丰富。
SpringBoot】集成SpringSecurity+JWT实现多服务单点登录,原来这么easy
墩墩分墩
09-25 1758
- **单点登录(SingleSignOn,SSO)**,当用户在身份`认证服务器`上登录一次以后,即可**获得访问单点登录系统中其他关联系统和应用软件的权限**,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,`用户只需一次登录就可以访问所有相互信任的应用系统`。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的一种**分布式登录方式**。
Spring boot+Spring security+JWT实现前后端分离登录认证及权限控制
m0_54849806的博客
08-02 5767
基本上没讲什么底层实现,这篇是使用篇,后续会出SpringSecurity的底层源码讲解,并且如果本帖有问题的有疑问的读者可以在评论区留言,本人会积极处理。您的支持是我最大的动力,本人一直在努力的更新各种框架的使用和框架的源码解读~!先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。httpshttpshttps。...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
SpringBoot+Security+Jwt登录认证与权限控制(一)
weixin_48568302的博客
06-21 1294
SpringBoot+Security+Jwt登录认证与权限控制
SpringBoot整合SpringSecurityJWT
hello,word!
03-03 3928
SpringBoot整合SpringSecurityJWTSpringSecurity提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限。
springboot集成springsecurity + jwt的使用
hjh15827475896的博客
06-07 1481
当项目中要用到用户的认证及权限的时候我们一般会使用 springSecurity来解决。
springBoot整合spring security+JWT实现单点登录与权限管理前后端分离--筑基中期
qq_43788185的博客
09-05 1317
写在前面 在前一篇文章当中,我们介绍了springBoot整合spring security单体应用版,在这篇文章当中,我将介绍springBoot整合spring secury+JWT实现单点登录与权限管理。 本文涉及的权限管理模型是基于资源的动态权限管理。数据库设计的表有 user 、role、user_role、permission、role_permission。 单点登录当中,关于访问者信息的存储有多种解决方案。如将其以key-value的形式存储于redis数据库中,访问者令牌中存放key。校验
前后端分离认证实践指南:Spring SecurityJWT详解
七一
04-09 2805
简介 Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可 以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理! Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。 认证: 验证当前访问系统的是不是本系统用户,并且要确认具体是哪个用户。 授权:也就是用户是否有权限进行某个操作 快速入门
Springboot集成SecurityJWT
qq1016499728博客
11-28 742
Springboot版本2.3.3 pom依赖 <!--security+JWT--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <gro
Springboot+SpringSecurity+JWT实现登录认证及鉴权
tony_stark的博客
08-18 3433
因为现在项目重构,在网上找了很多这方面的案例,常用的登录认证和前端鉴权就是SpringSecurity+JWT实现。所以在网上搜了一些案例,集成到自己的项目中,做了适应项目的修改及调整,分享demo出来给有需要的码友。 备注:其实在项目中一般都只会用到登录认证,至于鉴权,Security实际上就是将所有权限的角色遍历,和当前登录用户的角色匹配是否具有权限,每次请求都会遍历,过于繁琐,在实际项目中一般很少使用。 1.首先引入pom.xml依赖: <dependency> <grou
Springboot+Spring-Security+JWT实现登录和权限校验
liangshitian的博客
10-12 3270
JWT 请查阅这篇文章介绍:https://blog.csdn.net/qq_33612228/article/details/108853525 Spring Security Spring SecuritySpring 全家桶中一个功能强大且高度可定制的身份验证和访问控制框架。与所有 Spring 项目一样,我们可以轻松扩展 Spring Security 以满足自定义要求。由于 Spring Security 功能十分强大,相比于其他技术来说很难上手,很多刚接触 Spring Securi
SpringBoot+SpringSecurity+JWT
09-19
SpringBootSpringSecurity的结合中,可以使用JWT实现认证授权的功能。 为了在SpringBoot中使用SpringSecurityJWT,你需要进行以下几个步骤: 1. 引入相关依赖:在项目的pom.xml文件中添加SpringSecurity...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

木一番

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值