使用Spring Security和JWT保护REST API实战源码

最新推荐文章于 2022-03-28 19:11:36 发布
最新推荐文章于 2022-03-28 19:11:36 发布
阅读量160 收藏
点赞数
分类专栏: 程序员 架构 Java. 文章标签: Java 程序员 Java程序员 架构 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuguang10/article/details/95650345
版权
本文介绍如何在Spring Boot应用中使用Spring Security和JWT保护REST API。讨论了HTTP Basic、Spring Session以及OAuth2作为保护选项,重点在于自定义JWT身份验证过滤器的实现。通过创建车辆资源的REST API示例,展示了Spring Security的配置,包括UserDetailsService、JwtTokenFilter和自定义身份验证流程。最后,给出了测试API和身份验证流程的curl命令。
摘要由CSDN通过智能技术生成

设计REST API时,必须考虑如何保护REST API,在基于Spring的应用程序中,Spring Security是一种出色的身份验证和授权解决方案,它提供了几种保护REST API的选项。

最简单的方法是使用HTTP Basic,当你启动基于Spring Boot的应用程序时,默认情况下会激活它,这有利于开发,可在开发阶段经常使用,但不建议在生产环境中使用。

Spring Session(使用Spring Security)提供了一个简单的策略来创建和验证基于头的令牌(会话ID),它可以用于保护RESTful API。

除此之外,Spring Security OAuth(Spring Security下的子项目)提供OAuth授权的完整解决方案,包括OAuth2协议中定义的所有角色的实现,例如授权服务器,资源服务器,OAuth2客户端等,Spring Cloud在其子项目Spring Cloud Security中给OAuth2客户端增加了单点登录功能,在基于Spring Security OAuth的解决方案中,访问令牌的内容可以是签名的JWT令牌或不透明值,我们必须遵循标准OAuth2授权流程来获取访问令牌。

对于那些没有计划将自己API暴露给第三方应用程序的资源完全拥有者来说,基于JWT令牌的简单授权更简单合理(我们不需要管理第三方客户端应用程序的凭据)。

Spring Security本身并没有提供这样的选项,幸运的是,通过将我们的自定义过滤器混合到Spring Security Filter Chain中来实现它并不困难。在这篇文章中,我们将创建这样一个自定义JWT身份验证解决方案。

在此示例应用程序中,可以将基于自定义JWT令牌的身份验证流程指定为以下步骤:

1. 从身份验证端点获取基于JWT的令牌,例如/auth/signin。

2. 从身份验证结果中提取令牌。

3. 将HTTP标头Authorization值设置为Bearer jwt_token。

4. 然后发送一个访问受保护资源的请求。

5. 如果请求的资源受到保护,Spring Security将使用我们的自定义Filter来验证JWT令牌,并构建一个Authentication对象,把它放入SecurityContextHolder以完成身份验证流程。

6. 如果JWT令牌有效,它将把请求的资源返回给客户端。

生成项目框架

创建新Spring Boot项目的最快方法是使用Spring Initializr生成基本代码。

打开浏览器,转到http://start.spring.io,在Dependencies字段中,选择Web,Security,JPA,Lombok,然后单击Generate按钮或按ALT + ENTER键以生成项目框架代码。

等待一段时间下载生成的代码,完成后,将zip文件解压缩到本地系统。

打开你喜欢的IDE,例如Intellij IDEA,NetBeans IDE,然后导入它。

创建示例REST API

在此应用程序中,我们将公开车辆资源的REST API。

/vehiclesPOST {name:'title'}

/vehicles/{id}GET200, {id:'1', name:'title'}

/vehicles/{id}PUT {name:'title'}

/vehicles/{id}DELETE

创建JPA实体Vehicle。

@Entity
@Table(name="vehicles")
@Data
@Builder
@AllArgsConstructor
@NoArgsConstructor
public class Vehicle implements Serializable {
 @Id
 @GeneratedValue(strategy = GenerationType.AUTO)
 private Long id ;
 @Column
 private String name;
}

创建JPA存储库:

public interface VehicleRepository extends JpaRepository<Vehicle, Long> {
}

创建一个Spring MVC basec Controller来公开REST API。

@RestController
@RequestMapping("/v1/vehicles")
public class VehicleController {
 private VehicleRepository vehicles;
 public VehicleController(VehicleRepository vehicles) {
 this.vehicles = vehicles;
 }
 @GetMapping("")
 public ResponseEntity all() {
 return ok(this.vehicles.findAll());
 }
 @PostMapping("")
 public ResponseEntity save(@RequestBody VehicleForm form, HttpServletRequest request) {
 Vehicle saved = this.vehicles.save(Vehicle.builder().name(form.getName()).build());
 return created(
 ServletUriComponentsBuilder
 .fromContextPath(request)
 .path("/v1/vehicles/{id}")
 .buildAndExpand(saved.getId())
 .toUri())
 .build();
 }
 @GetMapping("/{id}")
 public ResponseEntity get(@P
最低0.47元/天 解锁文章
zhuguang10
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-webmvc-jwt-sample:使用Spring Security和基于JWT令牌的身份验证来保护REST API
01-30
使用Spring SecurityJWT保护REST API 设计REST API时,必须考虑如何保护REST API。 在基于Spring的应用程序中,Spring Security是出色的身份验证和授权解决方案,它提供了多种保护REST API的选项。 最简单的方法是利用HTTP Basic,它在引导基于Spring Boot的应用程序时默认情况下被激活。 它适合于开发目的,并且在开发阶段经常使用,但是不建议在生产环境中使用Spring Session(具有Spring Security)提供了一种简单的策略来创建和验证基于标头的令牌(会话ID),它可用于保护RESTful API,我已经在我的和进行了演示。 除了这些,Spring Security OAuth(Spring Security的子项目)还提供了OAuth授权的完整解决方案,包括在OAuth2协议中定义的所有角色的实现,例如授权服务器,资源服务器,OAuth2客户端等。SpringCloud添加了Single Sign On OAuth2客户端通过其子项目Spring Cloud Security的功能
使用JWTSpring Security保护REST API
我的博客
08-31 1034
原文出处:http://www.jianshu.com/p/6307c89fe3fa(本文仅作备忘)通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被机器攻击就喝一壶的。那么一般来说,对API要划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用户开放对应的API。目前,比较主流的方案有几种:用户名和密码鉴权,使用Session保存用户鉴权结果。 使用OAuth进行鉴权(其实
Spring Boot(四)之使用JWTSpring Security保护REST API
08-30
主要介绍了Spring Boot(四)之使用JWTSpring Security保护REST API的相关知识,需要的朋友可以参考下
JWTSpring Security 保护 REST API(1)
哈喽羊
07-11 1439
       通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被机器攻击就够喝一壶的。那么一般来说,对API要划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用户开放对应的API。目前,比较主流的方案有几种:1.用户名和密码鉴权,使用Session保存用户鉴权结果。2.使用OAuth进行鉴权(其实OAuth也是一种基于Token的鉴权,只是没有规定Token的生成方式)3....
spring security+jwt 实现 restful api格式.
09-20
本案例采用jpa 持久化,/auth/login 获取token登入信息,把token 前添加Bearer 注意Bearer 后有个空格,放到headers 请求中.可访问其他信息
java+spring-boot-jwt + spring security集成实战项目.zip
08-17
5. **API保护**:使用Spring Security的`@Secured`或`@PreAuthorize`注解来保护REST API,只有持有有效JWT令牌的请求才能访问。 6. **错误处理**:配置异常处理,当认证或授权失败时返回合适的HTTP状态码和错误信息...
java8stream源码-spring-security-jwt:安全
06-04
源码 基于Spring SecurityJWT, Vue的前后端分离无状态认证Demo 简介 运行展示 主页 登陆 管理员页 后端 主要展示 Spring SecurityJWT 结合使用构建后端 API 接口。 主要功能包括登陆(如何在Spring Security...
[jojozhai]Spring Security开发安全REST服务源码完整版
11-22
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,包括Web应用和...通过学习和分析这套源码,开发者可以深入理解Spring Security如何保护REST服务,从而在实际项目中更有效地应用和扩展这个框架。
spring Boot 集成swagger2全过程(代码包含集成Spring Security+ JWT)
04-27
在本教程中,我们将深入探讨如何将Swagger2与Spring Boot集成,同时考虑到Spring SecurityJWT(JSON Web Token)的安全机制。Swagger2是一个流行的API文档工具,它允许开发者以交互式方式展示和测试RESTful API。...
毕业设计&课设-演示了一个使用JSON Web令牌(JWT)和Spring Security的完全无状态和基于REST.zip
最新发布
02-19
毕业设计、课程设计源码文件,已经过测试可以直接使用。毕业设计、课程设计源码文件,已经过测试可以直接使用。毕业设计、课程设计源码文件,已经过测试可以直接使用。毕业设计、课程设计源码文件,已经过测试可以...
使用JWT Token进行RestFul API权限验证
a1203177935的博客
07-01 6244
问题 后端提供的RestFul API一般都需要进行权限验证,而Web框架一般采用Cookies+Session来进行认证。但RestFul API属于无状态协议,而在后台使用Session的话,由于Session本身需要服务端进行维持,这样就破坏了Rest的无状态性。 解决方案 抛弃Cookie+Session的认证架构,选用Token作为认证手段。在登录验证时,后台收集账号信息、IP、访...
配置 Spring SecurityJWT(二)
qiuweifan的博客
03-28 869
下面的类是我们安全实现的关键。它包含了我们项目所需的几乎所有安全配置。 让我们首先在包中创建以下SecurityConfig类com.example.config,然后我们将通过代码并了解每个配置的作用
Springboot+Spring-Security+JWT+Redis实现restful Api的权限管理以及token管理
weixin_43937302的博客
08-16 1904
版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。 ...
JWTSpring Security 保护 REST API(2)
哈喽羊
07-11 2423
接着《JWTSpring Security 保护 REST API(1)》继续来配置,我们已经把SpringSecurity部分配置完了,现在,我们要开始配置JWT 了首先,我们我们来看下目录,大致了解下我们需要的类首先,我们要在配置文件application.yml里面进行jwt的相关配置每次客户端向服务端发送请求的时候head里面都要带上Authorization的属性,route是关于...
Spring Boot+Spring Security+JWT 实现 RESTful Api 认证 (一)
https://gitee.com/micai-code
09-13 9万+
摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的。现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能够访问API。 一:开发一个简单的API 在IDEA开发工具中新建一个maven工程,添加对应的依赖如下: <dependency> <gro...
Springboot+Spring-Security+JWT+Redis实现restful Api的权限管理以及token管理(超详细用爱发电版)
ech13an的博客
06-24 7万+
前言 其实挺早就想写一篇关于jwt的博文去好好总结一下之前踩过的坑了,但是事情有点太多了,一直没抽出时间来写,刚好现在有点时间可以好好静下来写一遍(可能)有点质量的博文吧,毕竟一直都是看别人的博文去学习,我也好好写一遍吧哈哈。既然如果偶然搜到这篇文章的话,我相信大家应该都了解了什么是jwt,比较想知道怎么使用springboot+spring-security去实现,当然也可以使用shiro,其...
Springboot+Spring-Security+JWT 实现用户登录和权限认证
热门推荐
congge
06-08 27万+
如今,互联网项目对于安全的要求越来越严格,这就是对后端开发提出了更多的要求,目前比较成熟的几种大家比较熟悉的模式,像RBAC 基于角色权限的验证,shiro框架专门用于处理权限方面的,另一个比较流行的后端框架是Spring-Security,该框架提供了一整套比较成熟,也很完整的机制用于处理各类场景下的可以基于权限,资源路径,以及授权方面的解决方案,部分模块支持定制化,而且在和oauth2.0进...
JSON WEB TOKEN
weixin_34273481的博客
03-19 725
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token...
史上最全面的基于JWT token登陆验证
SuperBins的博客
07-18 3500
介绍JWT 1、什么是JWTJWT(Json web token), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。 2、JWT的组成: jwt由header(头部),playload(载荷)、signature(签名三部分组成) 头部部分header { “alg”: “HS256”, “typ”: “JWT” } alg描述的是签名算法。默认值是HS...
微信小程序使用springsecurityjwt实现权限验证
05-24
微信小程序可以使用Spring SecurityJWT来实现权限验证。JWT是一种基于JSON的令牌,用于在客户端和服务器之间传递安全信息。Spring Security是一个处理身份验证和授权的框架。 以下是实现步骤: 1. 在后端服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值