Spring Boot + Security + JWT 实现接口统一 Token 校验

最新推荐文章于 2023-06-27 17:14:20 发布
最新推荐文章于 2023-06-27 17:14:20 发布
阅读量723 收藏
点赞数
分类专栏: Spring Boot 文章标签: spring boot security jwt token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z1353095373/article/details/122859572
版权

前后端分离常规需求,前端第一次登录授权,获取 token,后续接口需要统一带上该参数,实现鉴权

安装

鉴权框架

		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

生成 token 框架

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

JWT

jwt:
  tokenHeader: Authorization #JWT存储的请求头
  secret: spring-boot-jwt-secret #JWT加解密使用的密钥
  expiration: 604800 #JWT的超期限时间(60*60*24*7)
  tokenHead: 'Bearer '  #JWT负载中拿到开头

定义工具类:JwtTokenUtil.java

过滤器

JWT登录授权:继承 OncePerRequestFilter,实现 doFilterInternal 方法
自定义返回结果:未登录或登录过期,实现 AuthenticationEntryPoint
自定义返回结果:没有权限访问时,实现 AccessDeniedHandler

鉴权

SecurityConfig,继承 WebSecurityConfigurerAdapter,设置白名单(比如登录),设置允许跨域,白名单之外的全部需要鉴权,将上面定义的过滤器添加进来

测试

这边主要有3个接口
第一个登录,成功后返回 token
第二个刷新 token,传旧 token,成功后,返回刷新后的 token
第三个,测试一下接口鉴权是否成功
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

源码下载

梦想blog
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot统一校验token,编写拦截器
djdjjdjdj的博客
07-30 1303
在之前的开发中,我们会在每一个Service中对token做处理,相同的逻辑一定是要进行统一处理的,该如何处理呢? 由于程序是运行在web容器中,每一个HTTP请求都是一个独立线程,也就是可以理解成我们编写的应用程序运行在一个多线程的环境中,那么我们就可以使用ThreadLocal在HTTP请求的生命周期内进行存值、取值操作。 说明: 用户的每一个请求,都是一个独立的线程 图中的TL就是ThreadLocal,一旦将数据绑定到ThreadLocal中,那么在整个请求的生命周期内都可以随时拿到Thread
Spring boot+Spring security+JWT实现前后端分离登录认证及权限控制
m0_54849806的博客
08-02 5929
基本上没讲什么底层实现,这篇是使用篇,后续会出SpringSecurity的底层源码讲解,并且如果本帖有问题的有疑问的读者可以在评论区留言,本人会积极处理。您的支持是我最大的动力,本人一直在努力的更新各种框架的使用和框架的源码解读~!先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。httpshttpshttps。...
Spring Security + JWT 实现基于Token的安全验证
热门推荐
huanghuitan的博客
05-16 2万+
Spring Security + JWT 实现基于token的安全验证 准备工作 使用Maven搭建SpringMVC项目,并加入Spring Security实现 参考: Spring SecurityJWT官网 JWT简介 参考:JWT简介 JWT的结构 JWT包含了使用 . 分隔的三部分: 1.Header 头部,
SpringBoot自定义注解实现Token校验
qq_14958051的博客
03-01 436
来源:blog.csdn.net/qq_33556185/article/details/1054202051.定义Token的注解,需要Token校验接口,方法上加上此注解import...
SpringSecurity+Jwt实现token权限验证
weixin_43671737的博客
07-02 2349
1,首先先贴一下项目结构更容易梳理思路,文章较长请细心阅读。 2.创建User用户和UserPermissons用户权限实体类,在生成token时会需要用户的账号密码和权限。还需要几个工具类,现在一步步为大家展示。 yml配置文件 # 端口 server: port: 8080 # 数据库连接配置 spring: datasource: driver-class-name: com.mysql.cj.jdbc.Driver url: jdbc:mysql://localhost:3
Spring Boot+Spring Security+JWT 实现token验证
xue317378914的专栏
06-06 1万+
Spring Boot+Spring Security+JWT 实现token验证什么是JWTJWT的工作流程JWT的主要应用场景JWT的结构SpringBoot+Spring SecurityJWT集成实现token验证引入JWT依赖JWT的生成和解析工具类Spring Security配置登录生成tokentoken校验演示总结 通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被机器攻击就喝一壶的。那么一般来说,对API要划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用
springboot+springSecurity+jwt实现的基于token的权限管理的一个demo
最新发布
02-16
Spring BootSpring SecurityJWT(JSON Web Token)的组合提供了一种高效且灵活的方式来实现权限管理。这个“springboot+springSecurity+jwt实现的基于token的权限管理的一个demo”旨在演示如何在Spring Boot应用...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
Spring Boot结合Spring SecurityJWT(JSON Web Token)提供了一种高效且灵活的解决方案。本文将深入探讨如何使用这些技术来构建用户登录和权限认证系统。 首先,让我们了解这三个关键组件: 1. **Spring Boot**...
SpringSecurity代码实现JWT接口权限授予与校验
字母哥博客
12-03 2038
通过笔者前两篇文章的说明,相信大家已经知道JWT是什么,怎么用,该如何结合Spring Security使用。那么本节就用代码来具体的实现一下JWT登录认证及鉴权的流程。 一、环境准备工作 建立Spring Boot项目并集成Spring Security,项目可以正常启动 通过controller写一个HTTP的GET方法服务接口,比如:“/hello” 实现最基本的动态数据验证及权限分配...
SpringBoot+Security+Jwt登录认证与权限控制(一)
weixin_48568302的博客
06-21 1473
SpringBoot+Security+Jwt登录认证与权限控制
springboot+springsecurity+jwt实现基于token认证(可能有点详细)
qq_42394044的博客
11-02 1848
准备工作 1、新建一个springboot项目并导入下面依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</gro
SpringBoot集成Spring Security实现登陆和简单权限验证
不经意的博客
09-21 7248
1.数据库配置好 2.导依赖 <!-- spring security 安全认证 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependen
SpringSecurity认证过滤器的实现
爱敲键盘的程序源的博客
11-20 497
SpringSecurity认证过滤器的实现
Spring Security教程(8)---- 自定义决策管理器及修改权限前缀
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-17 2万+
首先介绍下Spring的决策管理器,其接口为AccessDecisionManager,抽象类为AbstractAccessDecisionManager。而我们要自定义决策管理器的话一般是继承抽象类而不去直接实现接口。 在Spring中引入了投票器(AccessDecisionVoter)的概念,有无权限访问的最终觉得权是由投票器来决定的,最常见的投票器为RoleVoter,在RoleVote
Spring Security核心接口及功能概述,包括详细代码示例,你学了吗
qq_28245087的博客
06-27 1019
解析:Spring Security是一个基于Spring框架的安全框架,用于保护应用程序的安全性。它提供了一系列的安全服务和功能,包括身份验证、授权、会话管理、加密和安全日志记录等。Authentication:用于表示用户的身份验证信息,包括用户名、密码、权限等。UserDetailsService:用于从数据库或其他数据源中获取用户信息,以便进行身份验证。UserDetails:用于表示用户信息的接口,包括用户名、密码、权限等。
利用JWT Token配合Redis实现单点登录并进行Token的缓存验证唯一性
qq_51891433的博客
06-10 2776
以上为一个基础的使用Spring Boot、MyBatis、Redis和JWT实现用户登录认证的完整示例。具体实现中可以根据需求进行更改和优化。
Springboot之OncePerRequestFilter
weixin_44636027的博客
11-14 4643
类说明 OncePerRequestFilter能够确保在一次请求只通过一次filter,而不需要重复执行。 记录到问题 在使用springSecurity的过程中遇到已经放权校验的url,在请求头依然携带有效的token信息,依然被拦截。 解决方案 使用JwtAuthenticationTokenFilter继承OncePerRequestFilter,重写doFilterInternal()方法,将请求头中的token信息去掉。 实现代码如下。 @Component @Slf4j public clas
Spring Security 6 配置方法,废弃 WebSecurityConfigurerAdapter
markvivv随笔
03-26 2万+
Spring Security 5.7.0-M2中,Spring就废弃了WebSecurityConfigurerAdapter,因为Spring官方鼓励用户转向基于组件的安全配置。本文整理了一下新的配置方法。在下面的例子中,我们使用Spring Security lambda DSL和HttpSecurity#authorizeHttpRequests方法来定义我们的授权规则,从而遵循最佳实践。
帮我写一个基于springboot+springsecurity+jwt的权限管理系统
03-25
好的,下面是一个基于Spring BootSpring SecurityJWT的权限管理系统的代码框架。 1. 首先,引入相关的依赖: ```xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> </dependencies> ``` 2. 编写JWT工具类: ```java @Component public class JwtUtils { private static final String SECRET_KEY = "my_secret_key"; private static final long EXPIRATION_TIME = 864_000_000L; public String generateToken(String username) { Date expirationDate = new Date(System.currentTimeMillis() + EXPIRATION_TIME); String token = Jwts.builder() .setSubject(username) .setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); return token; } public String getUsernameFromToken(String token) { try { Claims claims = Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody(); return claims.getSubject(); } catch (Exception e) { return null; } } public boolean isValidToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (Exception e) { return false; } } } ``` 3. 编写自定义UserDetailsService: ```java @Service public class CustomUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found with username: " + username); } return new org.springframework.security.core.userdetails.User( user.getUsername(), user.getPassword(), new ArrayList<>() ); } } ``` 4. 配置Spring Security: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailsService userDetailsService; @Autowired private JwtUtils jwtUtils; @Autowired private UnauthorizedHandler unauthorizedHandler; @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable().authorizeRequests() .antMatchers(HttpMethod.POST, "/users/login").permitAll() .anyRequest().authenticated() .and() .exceptionHandling() .authenticationEntryPoint(unauthorizedHandler) .and() .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } @Override public void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(jwtUtils, userDetailsService); } } ``` 在这个配置中,我们使用了JwtAuthenticationFilter来处理JWT校验和授权。UnauthorizedHandler则用来处理未授权的情况。 5. 编写JwtAuthenticationFilter: ```java public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtUtils jwtUtils; @Autowired private CustomUserDetailsService userDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { String authorizationHeader = request.getHeader("Authorization"); String username = null; String token = null; if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) { token = authorizationHeader.substring(7); username = jwtUtils.getUsernameFromToken(token); } if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = userDetailsService.loadUserByUsername(username); if (jwtUtils.isValidToken(token)) { UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } chain.doFilter(request, response); } } ``` 6. 编写UnauthorizedHandler: ```java @Component public class UnauthorizedHandler implements AuthenticationEntryPoint { @Override public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException { response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized"); } } ``` 7. 编写UserController: ```java @RestController @RequestMapping("/users") public class UserController { @Autowired private UserRepository userRepository; @Autowired private JwtUtils jwtUtils; @PostMapping("/signup") public ResponseEntity<?> signUp(@RequestBody User user) { User existingUser = userRepository.findByUsername(user.getUsername()); if (existingUser != null) { return new ResponseEntity<>("Username already exists", HttpStatus.BAD_REQUEST); } user.setPassword(new BCryptPasswordEncoder().encode(user.getPassword())); userRepository.save(user); return ResponseEntity.ok("User created successfully"); } @PostMapping("/login") public ResponseEntity<?> login(@RequestBody User user) { try { Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); if (authentication != null && authentication.isAuthenticated()) { return ResponseEntity.ok("User already authenticated"); } authenticationManager.authenticate(new UsernamePasswordAuthenticationToken( user.getUsername(), user.getPassword())); final String token = jwtUtils.generateToken(user.getUsername()); return ResponseEntity.ok(token); } catch (BadCredentialsException e) { return new ResponseEntity<>("Invalid username/password supplied", HttpStatus.UNAUTHORIZED); } } } ``` 这里的User类是一个简单的POJO,包含了username和password字段。 现在,就可以使用这个权限管理系统了。在前端请求中,需要在Header中传递一个Authorization的键值对,键是Bearer加上空格,值是JWT Token。这样就可以在Spring Security中进行授权了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值