JWT和Security 登录权限判断和token访问和让token失效

已于 2022-02-11 12:00:37 修改
阅读量9.7k 收藏 14
点赞数 5
分类专栏: web 文章标签: java spring spring boot
于 2019-12-10 19:09:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yujunlong3919/article/details/103481152
版权

文章目录

Spring Security

Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求

JWT无状态的单点登录

jwt生成的token有有效期,如果没有到有效期怎么让token失效?
用户每次登录都把token对应保存到redis(username,token)
每次判断token是否有效,有效再次判断token是否和redis是否一致,不一致则token失效

流程
  1. 注册 username,password(加密后的)存到数据库
  2. 登录 通过username 和 password 比较判断是否正确,正确返回用户信息 token(jwt生成)
  3. 访问(需要传入token)通过token生成对应的UsernamePasswordAuthenticationToken并设置到SecurityContext
    中去
  4. 设置某一个方法的访问权限
    @PreAuthorize(“hasAuthority(‘ROLE_XYZ’)”)与@PreAuthorize(“hasRole(‘XYZ’)”)相同
用到的方法
configure(HttpSecurity http)
  http.cors()
                .and()
                // 关闭csrf
                .csrf().disable()
                // 关闭session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .exceptionHandling()
                .accessDeniedHandler(deniedHandler)
                .authenticationEntryPoint(entryPoint)
                .and()
                .authorizeRequests()
                // 需要角色为ADMIN才能删除该资源
                .antMatchers(HttpMethod.DELETE, "/tasks/**").hasAnyRole(ROLE_ADMIN)
                // 测试用资源,需要验证了的用户才能访问
                .antMatchers("/tasks/**").authenticated()
                // 其他都放行了
                .anyRequest().permitAll()
                .and()
                .formLogin()
                .loginPage("/api/user/login")
                .usernameParameter("user")
                .passwordParameter("pwd")
                .successHandler(successHandler)
                .failureHandler(failureHandler)
                .permitAll()
                .and()
                .logout()//默认注销行为为logout
                .logoutUrl("/api/user/logout")
                .logoutSuccessHandler(logoutSuccessHandler)
                .and()
                // 添加到过滤链中
                // 先是UsernamePasswordAuthenticationFilter用于login校验
                // 再通过OncePerRequestFilter,对其他请求过滤
                .addFilter(new JwtPreAuthFilter(authenticationManager(), getJwtTokenUtil()));
登录 authenticationSuccessHandler loadUserByUsername

http://127.0.0.1:8087/api/user/login

//匹配
   List<SimpleGrantedAuthority> simpleGrantedAuthorities = new ArrayList<>();
  simpleGrantedAuthorities.add(new SimpleGrantedAuthority(ROLE_ADMIN));
    AdminUser user = AdminUser.getInstance();
    return new User(user.getUsername(), user.getPassword(), simpleGrantedAuthorities);
    
//返回数据
 response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
  String s = JwtTokenUtil.TOKEN_PREFIX+jwtTokenUtil.generateToken(SecurityUtils.getCurrentUser());
   response.getWriter().write(JSONObject.toJSONString(RUtil.success(AdminUser.getInstance().setToken(s))));
通过token访问 doFilterInternal
@Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain chain) throws IOException, ServletException {
        String tokenHeader = request.getHeader(JwtTokenUtil.TOKEN_HEADER);
        System.out.println("tokenHeader:" + tokenHeader);
        // 如果请求头中没有Authorization信息则直接放行了
        if (tokenHeader == null || !tokenHeader.startsWith(JwtTokenUtil.TOKEN_PREFIX)) {
            chain.doFilter(request, response);
            return;
        }
        // 如果请求头中有token,则进行解析,并且设置认证信息
        SecurityContextHolder.getContext().setAuthentication(getAuthentication(tokenHeader));
        super.doFilterInternal(request, response, chain);
    }

    /**
     * description: 读取Token信息,创建UsernamePasswordAuthenticationToken对象
     *
     * @param tokenHeader
     * @return org.springframework.security.authentication.UsernamePasswordAuthenticationToken
     */
    private UsernamePasswordAuthenticationToken getAuthentication(String tokenHeader) {
        //解析Token时将“Bearer ”前缀去掉
        String token = tokenHeader.replace(JwtTokenUtil.TOKEN_PREFIX, "");
        String username = jwtTokenUtil.getUserNameFromToken(token);
        List<String> roles = jwtTokenUtil.getUserRole(token);
        Collection<GrantedAuthority> authorities = new HashSet<>();
        if (roles != null) {
            for (String role : roles) {
                // authorities.add(new SimpleGrantedAuthority(ROLE_PRE+role));
                //hasRole('admin')

                //hasAuthority('admin')
                //@PreAuthorize("hasAuthority('ROLE_XYZ')")与@PreAuthorize("hasRole('XYZ')")相同
                authorities.add(new SimpleGrantedAuthority(role));
            }
        }
        if (username != null) {
            return new UsernamePasswordAuthenticationToken(username, null, authorities);
        }
        return null;
    }
方法设置权限
  @ApiOperation(value = "测试权限接口hasAuthority")
    @PostMapping(value = "/testPreAuthorize")
    // @PreAuthorize("hasAuthority('administrator') or hasAuthority('admin')")
    // @PreAuthorize("hasAuthority('administrator') and hasAuthority('admin')")
    //@PreAuthorize("hasAnyRole('administrator','admin')")
    //@PreAuthorize("hasAnyAuthority('administrator','admin')")
    @PreAuthorize("hasAuthority('admin')")
    public R<String> testPreAuthorize() {
        return RUtil.success("admin" + SecurityContextHolder.getContext().getAuthentication().getPrincipal());
    }


    @ApiOperation(value = "测试权限接口")
    @PostMapping(value = "/testPreAuthorizeRole")
    @PreAuthorize("hasRole('admin')")
    public R<String> testPreAuthorizeRole() {
        return RUtil.success("admin" + SecurityContextHolder.getContext().getAuthentication().getPrincipal());
    }
验证密码流程

判断用户输入的密码是否正确 原密码和加密后的密码匹配

  1. UserDetails userDetails(数据库存储的密码-加密后的密码) 通过 (UserDetailsService-loadUserByUsername)赋值
  2. UsernamePasswordAuthenticationToken authentication(前端获取到的密码) 通过过滤器(UsernamePasswordAuthenticationToken->attemptAuthentication)赋值
  3. 对比密码 DaoAuthenticationProvider->additionalAuthenticationChecks->
@SuppressWarnings("deprecation")
	protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			logger.debug("Authentication failed: no credentials provided");

			throw new BadCredentialsException(messages.getMessage(
					"AbstractUserDetailsAuthenticationProvider.badCredentials",
					"Bad credentials"));
		}

		String presentedPassword = authentication.getCredentials().toString();

		if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			logger.debug("Authentication failed: password does not match stored value");

			throw new BadCredentialsException(messages.getMessage(
					"AbstractUserDetailsAuthenticationProvider.badCredentials",
					"Bad credentials"));
		}
	}
动态权限管理
1. DynamicSecurityService

获取所有路径对应的资源并存放到map中
修改或者删除后台资源以后需要清空动态资源重新获取

2. OncePerRequestFilter->doFilterInternal

JWT登录授权过滤器
通过UserDetailsService获取UserDetails并设置setAuthentication(UsernamePasswordAuthenticationToken)
FilterChain.doFilter
ExceptionTranslationFilter->handleSpringSecurityException-handleAuthenticationException&handleAccessDeniedException

3. AbstractSecurityInterceptor&FIlter->beforeInvocation,doFilter

doFilter中调用beforeInvocation
beforeInvocation调用getAttributes,attemptAuthorization
attemptAuthorization 调用decide

4. AuthenticationEntryPoint->commence
5. AccessDeniedHandler->handle
6. FilterInvocationSecurityMetadataSource->getAttributes

如果配置的资源map为空需要重新获取
获取访问该路径所需资源

7. AccessDecisionManager->decide

将访问所需资源和用户拥有资源进行比对
通过1获取访问所需的资源

参考资源

mall

web.ignoring()和permitAll() 区别

web.ignoring(),一般配置静态资源路径 配置以后忽略所有WebSecurity相关的过滤器
permitAll() 放行 不去做验证是否可以访问(UsernamePasswordAuthenticationToken),但还是会经过过滤器

yujunlong3919
关注
  • 5
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者Token过期了,那么禁止访问系统。如果用户一直...
springboot 整合 Spring Security+JWT 实现token 认证和校验
qq_30519365的博客
12-06 1357
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。认证成功和校验的时候,去处理还有注销的时候去删除这个token 的key。
Jwt + security 生成token
weixin_43750315的博客
09-17 999
三件套 1 public class JwtAuthenticatioToken extends UsernamePasswordAuthenticationToken { private static final long serialVersionUID = 1L; private String token; public JwtAuthenticatioToken(Object principal, Object credentials){ super(princ
JSON Web Tokens(JWT)与SpringSecurity如何配合使用?
最新发布
java永无止境!
06-23 752
整合JWTSpring Security需要创建用于JWT操作的工具类、自定义过滤器来解析请求中的JWT令牌,并在安全上下文中填充认证信息。然后,你需要将这个过滤器配置到Spring Security中,让其在适当的位置拦截请求。最后,服务端的端点可以根据已经验证的凭据进行保护,使用Spring Security提供的方法级别安全注解来控制访问。注意在生产环境中,密钥(SECRET_KEY)应该是保密的,并且足够复杂,通常会从安全存储的配置中取得,而不是直接硬编码在代码中。
JWT介绍以及SpringSecurity基于JWT实现Token的处理-51
suiyishiguang的博客
08-24 627
【大型电商项目开发】JWT介绍以及SpringSecurity基于JWT实现Token的处理-51
3.Spring Security实现JWT token验证
相互学习 共同进步
04-24 3396
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
JWTtoken的理解以及优缺点实战结果来啦
dageliuqing的博客
10-30 732
将签名部分使用秘钥进行解密,如果可以正常解开,说明令牌来自信任方颁发,将解密后的内容与JWT的头部和有效载荷的base64编码内容对比是否一致,如果一致,说明令牌未被篡改。对于第一个问题而言,确认token确实是由被信任的第三方颁发的,一般都是通过加密算法来建立信任,颁发时使用密钥进行加密,如果能够对加密内容进行正常解密说明token来自信任方。对称可逆加密效率高,速度快,但是由于对称可逆加密使用的是同一个秘钥,所以必须向解密的应用提供秘钥,相对而言不安全,所以一般只用于内部应用之间。
(十三)JWTSpringSecurity实现基于Token登录--基于SpringBoot+MySQL+Vue+ElementUI+Mybatis前后端分离面向小白管理系统搭建
wdyan297的博客
01-26 5657
本次任务,我们完成大家期待已久的登录页面,让系统的逻辑更加规范。(1)熟练自主设计一个登录或者其他类型页面; (2)了解Spring Security的工作原理;(3)理解登录、认证、拦截、放行等基本概念;(4)实现基于Token登录
基于springboot+springSecurity+jwt实现的基于token权限管理的一个demo,适合新手
03-02
本篇文章将深入探讨如何使用SpringBootSpringSecurity以及JSON Web TokenJWT)技术来构建一个简单的权限管理Demo,非常适合初学者学习。 **1. SpringBoot简介** SpringBootSpring框架的一种简化版本,它旨在...
基于springboot+security+jwt+redis实现微信小程序登录token权限鉴定-源码
10-02
在本项目中,开发者利用Spring BootSpring SecurityJWT(JSON Web Token)和Redis构建了一个微信小程序的登录系统,并实现了用户权限验证。以下是对这些技术及其应用的详细说明: 1. **Spring Boot**: Spring...
请求时token过期自动刷新token操作
10-14
本文将深入探讨请求时`token`过期自动刷新的操作,这对于维持用户登录状态和提供无缝体验至关重要。 1. **Token的用途**: `Token`主要用作身份验证和授权。当用户成功登录后,服务器会生成一个带有时效性的`token...
springboot+jwt+spring-security.rar
05-20
Spring Boot集成JWT的过程主要包括创建Token、验证Token和处理Token过期。在创建Token时,我们需要定义一个密钥,使用这个密钥和JWT的Payload生成Signature。验证Token时,服务器会检查Signature是否匹配,确保Token...
Security + JWT 实现基于Token自定义登录参数验证
qq_27933251的博客
08-12 1379
Security + JWT 实现基于Token自定义登录参数验证 文章目录Security + JWT 实现基于Token自定义登录参数验证简介框架核心组件二、使用步骤1.pom2.自定义实现类 简介 通俗易懂的说就是用户名+密码进行登录,后端服务器验证用户名和密码是否正确,获取用户权限等,然后生成token返回,下次调用接口时在请求头添加token,后端通过解析token来完成用户登录权限验证 框架核心组件 1. AuthenticationManager:用户认证的管理类,所有的认证请求(比
.Net Core2.1使用jwt生成Token做身份认证
qq_40347722的博客
07-22 3398
.Net core 使用jwt获取Token认证登录
使用jwt生成token和解析token
m0_63266743的博客
07-25 422
使用jwt生成token,并解析
如何使用JWT进行身份验证与授权
dotNET跨平台
05-05 2182
简介JWT定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。工作流程1、用户使用账号、密码登录应用,登录的请求发送到认证服务器。2、认证服务器进行用户验证,然后创建JWT字符串返回给客户端。3、客户端请求接口时,在请求头带上JWT。应用服务器验证JWT合法性,如果合法则继续调用应用接口返回结果。数据结...
Spring Security如何使用JWT作为访问数据身份认证Token,并将身份数据存入Redis
weixin_59216829的博客
04-13 2037
本文将着重介绍在Spring Security中如何使用JWT作为数据访问的身份认证令牌,使用JWT这个将代替原来的cookie身份认证。
【第十一篇】SpringSecurity基于JWT实现Token的处理
波波烤鸭的博客
05-26 3284
SpringSecurity基于JWT实现Token的处理   前面介绍了手写单点登录JWT的应用,本文结合SpringSecurity来介绍下在SpringBoot项目中基于SpringSecurity作为认证授权框架的情况下如何整合JWT来实现Token的处理。 一、认证思路分析   SpringSecurity主要是通过过滤器来实现功能的!我们要找到SpringSecurity实现认证和校验身份的过滤器! 1.回顾集中式认证流程 用户认证:   使用 UsernamePasswordAuthent
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1512
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌。
使用Spring Security和Redis实现用户登录以及权限控制,介绍下细节
05-21
使用Spring Security和Redis实现用户登录以及权限控制可以考虑以下细节: 1. 用户登录验证:Spring Security提供了多种方式进行用户身份验证,可以选择基于表单登录、基于HTTP Basic认证、基于OAuth2等方式。在基于表单登录的方式中,可以通过实现UserDetailsService接口加载用户信息,或者使用自定义的AuthenticationProvider实现身份验证逻辑。在验证成功后,可以生成并返回JWT token作为用户的凭证。 2. JWT token管理:使用Redis进行JWT token的管理可以考虑将token作为key,用户信息作为value存储在Redis中。在token失效之前,可以通过Redis中的key检查token是否有效,或者通过设置token的过期时间来管理token的有效期。 3. 权限控制:Spring Security提供了基于角色的权限控制和基于资源的权限控制两种方式。可以通过自定义AccessDecisionManager实现权限决策逻辑,或者通过使用注解@EnableGlobalMethodSecurity实现方法级别的权限控制。 4. CSRF保护:Spring Security提供了基于Cookie和基于Header的CSRF保护方式。可以通过在前端页面中添加隐藏的_csrf字段和在后端配置CsrfTokenRepository实现CSRF保护。 5. 安全配置:可以通过配置WebSecurityConfigurerAdapter和HttpSecurity实现对登录、注销、记住我等安全相关的行为进行定制。 以上是使用Spring Security和Redis实现用户登录以及权限控制的一些细节,需要根据具体的需求进行定制化实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值