Springboot+Spring-Security+JWT 实现用户登录和权限认证

已于 2024-10-11 11:05:23 修改
阅读量942 收藏 4
点赞数 18
文章标签: spring spring boot 后端
于 2024-10-10 14:20:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuwinter/article/details/142820245
版权

1. 环境准备

  • 安装 JDK:确保你的开发环境中安装了 JDK 8 及以上版本。
  • 创建 Spring Boot 项目:可以使用 Spring Initializr(https://start.spring.io/)创建一个新的Spring Boot 项目,添加以下依赖:
    • Spring Web
    • Spring Security
    • Spring Data JPA(如果使用数据库)
    • JWT(可以通过 Maven 或 Gradle 手动添加)

2. 项目结构

你的项目结构大致可以是这样的:

src/main/java/com/example/demo
│
├── config
│   ├── SecurityConfig.java
│   └── WebSecurityConfig.java
├── controller
│   └── AuthController.java
├── model
│   ├── User.java
│   └── Role.java
├── repository
│   └── UserRepository.java
├── service
│   ├── UserService.java
│   └── JwtService.java
└── DemoApplication.java

3. 用户模型

首先定义用户模型,例如 User 类:

@Entity
public class User {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    
    private String username;
    private String password;
    
    // 其他属性和 getter/setter
}

4. JWT 工具类

创建一个 JWT 工具类,用于生成和解析 JWT:

@Component
public class JwtService {
    private final String SECRET_KEY = "your_secret_key"; // 请使用更复杂的密钥

    public String generateToken(UserDetails userDetails) {
        return Jwts.builder()
                .setSubject(userDetails.getUsername())
                .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10)) // 10小时过期
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    public String extractUsername(String token) {
        return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getSubject();
    }

    public boolean isTokenExpired(String token) {
        return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getExpiration().before(new Date());
    }
}

5. 安全配置

创建安全配置类,配置 Spring Security:

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/auth/login").permitAll()
            .anyRequest().authenticated()
            .and()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        
        http.addFilterBefore(new JwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
    }
}

6. 认证控制器

创建认证控制器,处理用户登录请求:

@RestController
@RequestMapping("/auth")
public class AuthController {
    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private JwtService jwtService;

    @PostMapping("/login")
    public ResponseEntity<String> login(@RequestBody AuthRequest request) {
        authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(request.getUsername(), request.getPassword())
        );
        String token = jwtService.generateToken(userDetails);
        return ResponseEntity.ok(token);
    }
}

7. 用户认证和授权

实现用户认证的逻辑,以及如何从 JWT 中提取用户信息,进行权限校验。

8.架构

以下是这种架构的流程和整体图解:

+-----------------------+      +-----------------------+ 
|    Client (Frontend)   |      |      Database         |
+-----------------------+      +-----------------------+
           |                              |
           v                              v
+-----------------------+      +-----------------------+  
|  Authentication API    |<--> |  User/Role Repository  |
|  (Login/Register)      |      |                       |
+-----------------------+      +-----------------------+
           |
           v
+-----------------------+
| JWT Generation Module |
|  - Sign JWT           |
|  - Validate JWT       |
+-----------------------+
           |
           v
+-----------------------+      +-----------------------+
|  JWT Filter Middleware|----->|  Business Logic Layer  | (Secured Endpoints)
+-----------------------+      +-----------------------+
           |
           v
+-----------------------+
|  Spring Security      | 
|  - Role/Permission    |
|  - User Authentication|
+-----------------------+
           |
           v
+-----------------------+
|  HTTP Response (Token/|
|  Authenticated Data)  |
+-----------------------+
           |
           v
+-----------------------+
|      Client (Frontend)|
+-----------------------+
各个模块的功能解释
8.1. 客户端(Client)
  • 用户通过前端(例如 Web、移动端应用)发起登录请求,将用户名和密码提交给后端 API。
  • 登录成功后,后端返回一个 JWT 令牌,前端将令牌保存在本地存储或 cookies 中,后续请求会携带这个令牌。
8.2. 认证控制器(Authentication Controller)
  • 负责处理用户登录和注册请求。
  • 接收用户的用户名和密码,并调用 AuthenticationManager 进行认证。
  • 认证成功后,生成 JWT 令牌,并将其返回给客户端。
8.3. JWT 管理模块
  • 生成 JWT:一旦用户认证成功,系统会生成一个 JWT,通常包含用户的用户名、角色、令牌过期时间等信息。
  • 解析 JWT:每个用户请求时携带的 JWT 会通过过滤器解析出用户身份。
  • 验证 JWT:检查令牌的有效性、过期时间,并确保签名没有被篡改。
8.4. JWT 过滤器(JWT Filter)
  • JWT 过滤器会拦截所有请求,从 HTTP 请求头中获取 JWT 令牌。
  • 验证令牌的有效性,解析出用户的身份信息。
  • 将解析后的用户信息添加到 SecurityContextHolder 中,让 Spring Security 知道当前用户是谁,拥有什么权限。
8.5. Spring Security
  • 处理用户的认证和授权,控制用户访问系统中的受保护资源。
  • 基于 SecurityContextHolder 中的用户信息决定用户能访问哪些资源(控制角色、权限)。
  • 通过注解(如 @PreAuthorize)或配置类定义权限。
8.6. 数据库模块
  • 存储用户、角色、权限等信息,供认证和权限管理使用。
  • 使用 Spring Data JPA 或其他 ORM 工具来访问用户表和角色表。
8.7. 业务逻辑层(Business Logic Layer)
  • 承载系统的核心业务逻辑。
  • 所有请求都会经过 Spring Security 认证和授权,确保只有合适权限的用户才能执行特定操作。

9. 测试

使用 Postman 或类似工具测试你的 API。确保能成功登录并返回 JWT,之后可以使用该 JWT 进行授权访问其他受保护的资源。

10. 深入学习

  • 学习 Spring Security 的更多配置选项,如角色和权限控制。
  • 深入了解 JWT 的工作原理和安全性。
  • 了解如何将用户信息存储在数据库中,并与 Spring Data JPA 集成。

11. 进一步扩展

  • 添加用户注册功能。
  • 处理 JWT 的刷新和注销。
  • 研究 OAuth2 和 Spring Security 的其他身份验证机制。
yuwinter
关注
SpringBoot项目使用SpringSecurity和JWT实现登录功能
viperd的博客
03-27 1074
使用SrpingSecurity和JWT实现登录校验功能
SpringBoot+Security+Jwt登录认证权限控制(一)
weixin_48568302的博客
06-21 1535
SpringBoot+Security+Jwt登录认证权限控制
SpringSecurity + JWT 实现登录认证
最新发布
牧夏的个人博客
07-18 627
Componentpublicclassextendsprivate@Overrideprotectedvoidthrows// 1.获取 JWT 令牌Stringtokenif// 2.判断 JWT 令牌正确性if// 3.获取用户信息,存储 Security 中JWTjwtifnullnull) {LonguidStringusername// 4.创建用户对象。
springboot+springsecurity+jwt 完整登录验证流程 小白都会!
Caryll的博客
07-15 818
Spingboot+springsecurity+jwt 学习参考
SpringBoot 全家桶 | SpringSecurity + JWT 实现用户登录(兼容前后端未分离项目)
人生就是一个不断学习的过程
09-13 2270
前言 本篇主要讲述 Spring Security 如何结合 JWT实现无状态下用户登录,使其满足前后端分离及应用集群化部署要求。 什么是有状态 有状态服务是服务端记录客户端会话信息,即Session信息。客户端每次请求都会携带Session信息,服务端以此来识别客户端身份。而 Session 保存在服务端内存中的,不支持集群化部署。 当然 Spring 也给出了解决方案,即使用特殊方式将 Session 序列化存入到数据库中,以实现会话共享,满足集群化部署要求。详细案例参见《SpringBoot 全家
springBoot整合spring security+JWT实现单点登录与权限管理前后端分离--筑基中期
qq_43788185的博客
09-05 1605
写在前面 在前一篇文章当中,我们介绍了springBoot整合spring security单体应用版,在这篇文章当中,我将介绍springBoot整合spring secury+JWT实现单点登录与权限管理。 本文涉及的权限管理模型是基于资源的动态权限管理。数据库设计的表有 user 、role、user_role、permission、role_permission。 单点登录当中,关于访问者信息的存储有多种解决方案。如将其以key-value的形式存储于redis数据库中,访问者令牌中存放key。校验
Springboot+SpringSecurity+JWT实现用户登录权限认证示例
08-19
通过这种方式,Spring Security会处理用户的登录认证,而JWT则负责在后续的API请求中传递用户信息,实现无状态的身份验证。Spring Security OAuth2库可以进一步扩展功能,例如实现OAuth2的授权流程,以便在多应用...
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
通过Spring Boot的便捷性,Spring Security的安全性,JWT的无状态认证,MyBatis-Plus的高效数据操作,以及MySQL的稳定存储,实现用户登录、角色分配、权限验证等功能,为开发人员提供了一个可参考的权限管理解决...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
SpringBoot】集成SpringSecurity+JWT实现多服务单点登录,原来这么easy
墩墩分墩
09-25 2533
- **单点登录(SingleSignOn,SSO)**,当用户在身份`认证服务器`上登录一次以后,即可**获得访问单点登录系统中其他关联系统和应用软件的权限**,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,`用户只需一次登录就可以访问所有相互信任的应用系统`。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的一种**分布式登录方式**。
Spring boot+Spring security+JWT实现后端分离登录认证权限控制
m0_54849806的博客
08-02 5976
基本上没讲什么底层实现,这篇是使用篇,后续会出SpringSecurity的底层源码讲解,并且如果本帖有问题的有疑问的读者可以在评论区留言,本人会积极处理。您的支持是我最大的动力,本人一直在努力的更新各种框架的使用和框架的源码解读~!先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。httpshttpshttps。...
最新springBoot_security配置+ jwt 登录实现
i_am_bad_man的博客
04-22 542
null ) {try {// 授权//验证失败log.info("{} 验证失败",jwt);
SpringSecurity + JWT实现登录认证
qh1112的博客
05-06 608
springSecurity整合jwt+redis实现token
SpringBoot整合JWT+Spring Security+Redis实现登录拦截(一)登录认证
郝南过的博客
12-25 3243
Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等。实际操作时经常需要实现XXXFilter来自定义的登录以及访问控制。什么是身份认证身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。常见的身份认证一般要求用户提供用户名和密码。
springboot+springSecurity+jwt实现登录
ChiZng的博客
08-31 494
springboot+SpringSecurity+JWT 引入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!--JWT(Json Web Token)登录支持--> <dependency&
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
bobozai86的博客
05-23 2174
一、概念 1、什么是JWT Json Web Token (JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519) 该token被设计为紧凑且安全的 特别适用于分布式站点的单点登录(SSO)场景 随着JWT的出现 使得校验方式更加简单便捷化 JWT实际上就是一个字符串 它由三部分组成:头部 载荷和签名 用[.]分隔这三个部分 最终的格式类似于:xxxx.xxxx.xxxx 在服务器直接根据token取出保存的用户信息 即可对token的可用性进行校验 使得单点登
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yuwinter

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值