*IT jwt:足迹第八十五步:SpringBoot下的security搭配JWT进行登陆验证

最新推荐文章于 2023-07-28 23:53:50 发布
最新推荐文章于 2023-07-28 23:53:50 发布
阅读量182 收藏
点赞数
分类专栏: JAVA日记:JAVA程序员的真实就业经历
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanyuhuib/article/details/107012980
版权

JWT进行登陆验证

1.JWT是什么:Json web token

1.1如何使用token:

  1. 生成token:生成字符串
package com.sany.springjwt;

import com.fasterxml.jackson.databind.ObjectMapper;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.security.Keys;
import lombok.extern.log4j.Log4j2;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Date;
import java.util.stream.Collectors;
//生成token

@Log4j2
public class JwtAuthenticateFilter extends UsernamePasswordAuthenticationFilter{
    private static final String strKey = "YWCtaDEWw2bnImvE99lyxj+AtH/QD8UsZdK7vQW7ExY=";

    private final AuthenticationManager authenticationManager;

    public JwtAuthenticateFilter(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
        setFilterProcessesUrl("/api/token");
    }

    //    认证用户名密码
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
//        String username =request.getParameter("username");
//        String password =request.getParameter("password");
//        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken= new UsernamePasswordAuthenticationToken(username,password);
        LoginData loginData = null;
        try {
            loginData = pareData(request);
        } catch (IOException e) {
            e.printStackTrace();
        }
        UsernamePasswordAuthenticationToken uToken= new UsernamePasswordAuthenticationToken(loginData.getUsername(),loginData.getPassword());
//true或false
        return this.authenticationManager.authenticate(uToken);

    }
//把token返回给客户
    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        User user = (User)authResult.getPrincipal();
        Object roles = user.getAuthorities().stream()
                .map(GrantedAuthority::getAuthority)
                .collect(Collectors.toList());
        String token = Jwts.builder()
                .setHeaderParam("TYP","JWT")
                .setIssuer("testIssuer")
                .setAudience("testAudience")
                .setExpiration(new Date(System.currentTimeMillis() + 10000000))
                .setSubject(user.getUsername())
                .setIssuedAt(new Date())
                .claim("rol",roles)
                .signWith(Keys.hmacShaKeyFor(strKey.getBytes())).compact();
        response.setHeader("Authorization","Bearer "+ token);

    }
    private LoginData pareData(HttpServletRequest request) throws IOException {
        ObjectMapper objectMapper = new ObjectMapper();
        return objectMapper.readValue(request.getInputStream(),LoginData.class);
    }
}
  1. 鉴定token:识别字符串
package com.sany.springjwt;


import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.Jwts;
import lombok.extern.log4j.Log4j2;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;
import org.springframework.util.StringUtils;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.List;
//鉴定token

@Log4j2
public class JwtAuthorizationFilter extends BasicAuthenticationFilter {
    public JwtAuthorizationFilter(AuthenticationManager authenticationManager){
        super(authenticationManager);
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException, ServletException {
        Authentication authentication = getAuthentication(request);
        if(authentication == null){
            filterChain.doFilter(request,response);
            return;
        }
        SecurityContextHolder.getContext().setAuthentication(authentication);
        filterChain.doFilter(request,response);

    }
    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request){

        String token = request.getHeader(SecurityConstants.TOKEN_HEADER);
        if(!StringUtils.isEmpty(token) && token.startsWith(SecurityConstants.TOKEN_PREFIX)){
        try {

            //            验证token
            Object parsedToken = Jwts.parserBuilder()
                    .setSigningKey(SecurityConstants.JWT_SECRET.getBytes())
                    .build()
                    .parseClaimsJws(token.replace(SecurityConstants.TOKEN_PREFIX, ""));
            String username = Jwts.parserBuilder()
                    .setSigningKey(SecurityConstants.JWT_SECRET.getBytes())
                    .build()
                    .parseClaimsJws(token.replace(SecurityConstants.TOKEN_PREFIX, ""))
                    .getBody()
                    .getSubject();
            Object authorities = ((List<?>) Jwts.parserBuilder()
                    .setSigningKey(SecurityConstants.JWT_SECRET.getBytes())
                    .build()
                    .parseClaimsJws(token.replace(SecurityConstants.TOKEN_PREFIX, "")).getBody()
                    .get("rol")).stream()
                    .map(authority -> new SimpleGrantedAuthority((String) authority));

            if (!StringUtils.isEmpty(username)) {
//                return new UsernamePasswordAuthenticationToken(username, null, authorities);

                return new UsernamePasswordAuthenticationToken(username, null, null);
            }
        }catch(ExpiredJwtException exception){
//            log.warn("requewt:{}",token,exception.getMessage());
        }
        }
        return null;
    }

}

2.如何写pom.xml

		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-test</artifactId>
			<scope>test</scope>
		</dependency>
		<dependency>
			<groupId>io.jsonwebtoken</groupId>
			<artifactId>jjwt-api</artifactId>
			<version>0.11.1</version>
		</dependency>
		<dependency>
			<groupId>io.jsonwebtoken</groupId>
			<artifactId>jjwt-impl</artifactId>
			<version>0.11.1</version>
			<scope>runtime</scope>
		</dependency>
		<dependency>
			<groupId>io.jsonwebtoken</groupId>
			<artifactId>jjwt-jackson</artifactId>
			<version>0.11.1</version>
			<scope>runtime</scope>
		</dependency>

3.如何写SecurityConfig.java

package com.sany.springjwt;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/api/guest").permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .httpBasic()
                .and()
                .addFilter(new JwtAuthenticateFilter(authenticationManager()))
                .addFilter(new JwtAuthorizationFilter(authenticationManager()))
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
}

4.如何写JwtController

package com.sany.springjwt;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class JwtController {
    @GetMapping("/api/guest")
    public String guest() {
        return "This is a guest api msg";
    }

    @GetMapping("/api/admin")
    public String admin() {
        return "This is a admin api msg";
    }
}
原玉辉
关注
专栏目录
一文全面介绍JWT框架知识
m0_73311735的博客
11-27 2573
复制代码每次调用claim时,它只是将键-值对附加到内部的Claims实例,可能会覆盖任何现有的同名键/值对。显然,您不需要为任何标准的claim名称调用claim,建议相反调用标准的setter方法,这样可以增强可读性。
Spring Security(7) jwt整合
愤怒的菜鸟博客
03-28 2156
jwt 基本介绍 jwt 全称是jsonWebToken, 简单的说就是一种能够携带信息的token。 在传统的web环境中,浏览器和后端通过记录在浏览器的cookie 和存储在服务端的session 来实现登录状态,而cookie session的方式在多分布式环境下可能带来session复制,跨域访问,单点登录等问题; 直接使用后端生成token的方式,服务端也需要存储生成的token信息,因为token是无意义的。而使用jwt ,能够携带一些必要得信息比如用户id 和用户名称等; 后端就不需要对生成的
SpringBoot整合SpringSecurity示例实现前后分离权限注解和JWT登录认证
dongbeiou的专栏
07-10 450
一.说明 SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种. JWT是在Web应用中安全传递信息的规范,从本质上来说是Token的演变,是一种生成加密用户身份信息的Token,特别适用于分布式单点登陆的场景,无需在服务端保存用户的认证信息,而是直
spring boot整合JWT
weixin_52601258的博客
03-22 1056
spring boot整合jwt入门
JWT令牌的使用以及一些算法
可小辉的博客
05-01 5448
Base64 编码:字节数组(文本或其他格式)64个字符的表示形式 -解码: 散列算法 散列函数生成信息的摘要(数据的指纹。唯一标识),摘要信息长度固定 MD5,SHA-128,SHA-256 数据完整性的校验, 秒传,先发散列值,判断服务器是否存在 散列值无法变成原始数据(不可逆) 密码在数据库的存储,散列函数+盐 不能找回密码,只能重置 加密算法 ...
java项目源码商城-mall:SpringBoot后端+Vue管理员前端+微信小程序用户前端+Vue用户移动端
06-05
地址、收藏、足迹、意见反馈 客服 管理平台功能 会员管理 商城管理 商品管理 推广管理 系统管理 配置管理 统计报表 技术选型 后端技术 技术 说明 官网 Spring Cloud 微服务框架 Spring Cloud Alibaba 微服务框架 ...
基于springboot+vue前后端分离的小型电商系统源码+项目说明.zip
最新发布
01-08
1、基于springboot+vue前后端分离的小型电商系统源码+项目说明.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考...
前后端分离小型电商系统源码及项目说明
- **Spring Security**: 用于提供身份认证与授权功能,确保了系统的安全性。 - **MyBatis-Plus**: 是一个MyBatis的增强工具,在MyBatis的基础上只做增强不做改变,为简化开发、提高效率而生。 - **MyBatis-Plus ...
SSM框架学习笔记
qq_42752990的博客
10-02 1296
SSM框架学习笔记 目录 一、环境变量 3 二、maven项目 18 三、SSM框架介绍 28 四、创建SSM项目 31 五、SSM配置文件 45 六、运行SSM项目 53 七、mybatis反向工程 61 八、DAO调试与测试 67 九、业务逻辑层与测试 73 十、控制器层编写与前端整合 78 十一、显示所有部门信息与代理 82 十二、实现带参查询(按多条件组合模糊查询)与缓存 103 十三、实现部门信息增加 114 十五、实现部门信息批量删除 133 十六、日期转换器 136 十七、控制器使用实体对象接
初步理解JWT并实践使用
热门推荐
小山半白的博客
01-12 11万+
  JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因...
jwt实现
m0_72729869的博客
07-29 4322
JSONWebtoken简称JWT,是用于对应用程序上的用户进行身份验证的标记。也就是说,使用JWTS的应用程序不再需要保存有关其用户的cookie或其他session数据。此特性便于可伸缩性,同时保证应用程序的安全。...
jwtspringboot实现
身体,灵魂,技术。总要有一个在前进
03-25 1093
什么是JWT JSON Web Token 通过数字签名的方式,以json对象为载体,在不同服务中端之间安全的传递信息。 JWT作用 JWT最常见的场景是授权登录,一旦用户登录,后续每个请求都将包含JWT,系统在每次处理用户请求之前,都会先进行JWT安全验证,通过之后再进行处理,例如公司进出时的工牌 JWT的组成 JWT总共由三部分组成,并用.拼接 例如 sakakhvhhjasvx5as6xsaxxs51a6.xasyjxsvaxsa6545sx6asxbahvxshsx1a+saxsxn
JWT学习笔记
m0_64590755的博客
07-19 649
存放用户自定义信息,通常会把用户信息和令牌到期时间放在这里,同样是一个Json对象,里面的key和value可以随意设置,经过Base64 Url编码后形成JWT的第二部分,由于部分是没有加密的,建议只存放非敏感信息。JWT最常见的常见就是授权认证,一旦用户登录,后续的每个请求都将包含JWT,系统在每次处理用户请求之前,都要先进行JWT安全验证,通过之后再进行处理。使用表头的算法和私钥对第一部分和第二部分进行加密,通过Base64 Url编码后形成JWT的第三部分。是一个密钥,用于生成签名。
Jwts.‘parser()‘ 已经过时了 & ‘setSigningKey(java.security.Key)‘ 已经过时了
weixin_48121276的博客
03-16 3006
Jwts.'parser()' 已经过时了
使用jwt令牌解析时出现的一个错误
MOYUTUDOU的博客
07-28 1110
中的值的类型来自动选择合适的方式进行编码。由于Java是强类型语言,JJWT库在编码时会将数字类型统一转换为浮点数类型(Double),以便于解码时正确还原。所以后来解析出来了一个Double,修改后为。return Result.error("用户名或密码错误");这是错误类型,Double无法强制转换为Integer。log.info("员工登录{}",emp);使用AOP统计操作日志报错,最后发现在。}这是生成jwt令牌的函数。这是jwt的解析函数。
JWTs使用简介
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
03-28 3万+
JWTs使用简介 什么是JWT JSON Web Token (JWT)是一种基于 token 的认证方案。 简单的说,JWT就是一种Token的编码算法,服务器端负责根据一个密码和算法生成Token,然后发给客户端,客户端只负责后面每次请求都在HTTP header里面带上这个Token,服务器负责验证这个Token是不是合法的,有没有过期等,并可以解析出subject和claim里面的数...
JWT基本使用
weixin_42129939的博客
05-04 1558
JWT的Java基本使用,解析和生成
Java 服务端签发 JWT 作为 access token,以及相关问题
倪琛的博客
08-15 999
目录背景什么是 JWT(JSON Web Token)Java 实现签发和校验 JWT签发校验客户端如何储存 JWT?如何退出登录? 背景 最近我们的游戏充值平台在搞用户登录系统,准备支持 Google 和 Facebook 两种快捷登录方式。 用户首先从第三方平台(例如 Google)拿到 Google 的 access token,传给我们的服务端,我们再请求 Google 的 token 校验服务,确认该用户的 Google user id。 理论上来说,如果 Google 和 Facebook 签发
web-security第五期:使用Spring Security+JWT实现基于令牌的访问
Swing
06-11 3550
源码地址:链接(Spring-Security) 前两期分别分析了Spring Security Authentication 和 JWT,这一节组合这两个技术,完成 记住我的功能 1.令牌工具类 使用上一期的知识,很容易写一个下面的令牌操作工具类: /** * 登录令牌操作 * * @author swing */ public class JwtService { /** * 令牌有效期(30分钟) */ private static final .
SpringBoot+JWT:实现Token登录权限认证详解
JWT则是一种轻量级的身份验证机制,它允许用户在不暴露敏感信息的情况下在多个服务之间进行身份验证。本文将深入探讨如何将这两个强大的工具结合,以实现基于token的登录权限认证。 一、JWT登录认证流程 1. 用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值