SpringSecurity6.0 通过JWTtoken进行认证授权

已于 2025-04-07 10:39:38 修改
阅读量1k 收藏 14
点赞数 9
CC 4.0 BY-SA版权
分类专栏: Springboot3 Spring Security 6.0 文章标签: spring java
于 2025-04-03 15:52:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nyzzht123/article/details/146981264

之前写过一个文章,从SpringSecurity 5.x升级到6.0,当时是为了配合公司的大版本升级做的,里面的各项配置都是前人留下来的,其实没有花时间进行研究SpringSecurity的工作机制。现在新东家有一个简单的系统要搭建,用户的认证授权流程也比较简单,通过用户/密码进行登录,登录后生成JWT token返回给前端,后续认证通过token进行,就把SpringSecurity重新捡了起来,搭建整个系统的安全认证框架。

项目依赖


	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>3.4.4</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>
		<!-- jwt token相关依赖-->
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
		</dependency>
	<dependencies>

项目后端整体还是通过Springboot来搭建,Springboot3.0中把JWT相关的依赖都整合到了spring-boot-starter-oauth2-resource-server中,无需再单独指定

认证

首先我们先完成通过账号密码进行登录相关代码

@Configuration
@EnableWebSecurity
public class SecurityConfig {
  @Value("${jwt.public.key}")
  RSAPublicKey key;

  @Value("${jwt.private.key}")
  RSAPrivateKey priv;

  @Bean
  public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    // @formatter:off
    http
        .authorizeHttpRequests((authorize) -> authorize
            .anyRequest().authenticated()
        )
        .csrf((csrf) -> csrf.ignoringRequestMatchers("/token"))
        .httpBasic(Customizer.withDefaults())
        .oauth2ResourceServer(OAuth2ResourceServerConfigurer::jwt)
        .sessionManagement((session) -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
        .exceptionHandling((exceptions) -> exceptions
            .authenticationEntryPoint(new BearerTokenAuthenticationEntryPoint())
            .accessDeniedHandler(new BearerTokenAccessDeniedHandler())
        );
    // @formatter:on
    return http.build();
  }

  @Bean
  UserDetailsService users() {
    // @formatter:off
    return new InMemoryUserDetailsManager(
        User.withUsername("user")
            .password("{noop}password")
            .authorities("app")
            .build()
    );
    // @formatter:on
  }

  @Bean
  JwtDecoder jwtDecoder() {
    return NimbusJwtDecoder.withPublicKey(this.key).build();
  }

  @Bean
  JwtEncoder jwtEncoder() {
    JWK jwk = new RSAKey.Builder(this.key).privateKey(this.priv).build();
    JWKSource<SecurityContext> jwks = new ImmutableJWKSet<>(new JWKSet(jwk));
    return new NimbusJwtEncoder(jwks);
  }


}

这里关注几个重点:

  1. HttpSecurity#httpBasic,这个方法表明通过基于HTTP Basic认证协议
  2. anyRequest().authenticated()表明所有请求都需要经过认证
  3. UserDetailsService,这里创建了一个仅存在于内存中的用户,用户名和密码是user/password,密码中添加的前缀{noop}和userDetailService的作用我们稍后再说
  4. oauth2ResourceServer设置jwt token相关的配置,Spring推荐情况是配置一个第三方的校验服务,我们这里为了简化将相关的生成和校验都在本地进行。

UserDetailService

public interface UserDetailsService {

	/**
	 * Locates the user based on the username. In the actual implementation, the search
	 * may possibly be case sensitive, or case insensitive depending on how the
	 * implementation instance is configured. In this case, the <code>UserDetails</code>
	 * object that comes back may have a username that is of a different case than what
	 * was actually requested..
	 * @param username the username identifying the user whose data is required.
	 * @return a fully populated user record (never <code>null</code>)
	 * @throws UsernameNotFoundException if the user could not be found or the user has no
	 * GrantedAuthority
	 */
	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

}

这个接口里只定义了一个方法,loadUserByUsername在通过用户名/密码进行认证时,需要通过来判断用户是否存在,在生产中,我们可以根据自己的需要通过数据库等获取用户信息。
拿到用户信息之后,要怎么校验密码呢?SpringSecurity提供了另外一个接口PasswordEncoder进行密码的编码和校验,
在这里插入图片描述

这里提供了非常多的实现方式,默认情况下Spring会加载DelegatingPasswordEncoder,同时将其他的实现都包含进去,那在进行密码校验的时候要匹配哪一个Encoder呢,这里{noop}password中的前缀就发挥作用了,{noop}表明使用NoOpPasswordEncoder进行处理,即不仅限任何编码处理,直接通过明文进行对比,这里当然不符合安全要求,在实际工作中我们根据需要直接指定一个Encoder即可

  @Bean
  PasswordEncoder passwordEncoder(){
    return new BCryptPasswordEncoder();
  }

生成JWT token

@RestController
public class TokenController {

  @Autowired
  JwtEncoder encoder;

  @PostMapping("/token")
  public String token(Authentication authentication) {
    Instant now = Instant.now();
    long expiry = 36000L;
    // @formatter:off
    String scope = authentication.getAuthorities().stream()
        .map(GrantedAuthority::getAuthority)
        .collect(Collectors.joining(" "));
    JwtClaimsSet claims = JwtClaimsSet.builder()
        .issuer("self")
        .issuedAt(now)
        .expiresAt(now.plusSeconds(expiry))
        .subject(authentication.getName())
        .claim("scope", scope)
        .build();
    // @formatter:on
    return this.encoder.encode(JwtEncoderParameters.from(claims)).getTokenValue();
  }

}

这里有一个小提示,我们在创建UserDetail的时候可以设置#authorities()#roles(),但是最终都会设置到authorities中,这两个在当今的SpringSecurity中实际上是一个东西,所以我们在Authentication中也只有getAuthorities()这一个方法
进行测试

curl -XPOST user:password@localhost:8080/token

然后能够得到类似的返回

eyJhbGciOiJSUzI1NiJ9.eyJpc3MiOiJzZWxmIiwic3ViIjoidXNlciIsImV4cCI6MTYwNDA0MzA1MSwiaWF0IjoxNjA0MDA3MDUxfQ.yDF_JgSwl5sk21CF7AE1AYbYzRd5YYqe3MIgSWpgN0t2UqsjaaEDhmmICKizt-_0iZy8nkEpNnvgqv5bOHDhs7AXlYS1pg8dgPKuyfkhyVIKa3DhuGyb7tFjwJxHpr128BXf1Dbq-p7Njy46tbKsZhP5zGTjdXlqlAhR4Bl5Fxaxr7D0gdTVBVTlUp9DCy6l-pTBpsvHxShkjXJ0GHVpIZdB-c2e_K9PfTW5MDPcHekG9djnWPSEy-fRvKzTsyVFhdy-X3NXQWWkjFv9bNarV-bhxMlzqhujuaeXJGEqUZlkhBxTsqFr1N7XVcmhs3ECdjEyun2fUSge4BoC7budsQ

然后我们把token配置到环境变量中

export TOKEN=`curl -XPOST user:password@localhost:8080/token`

请求另外一个接口

curl -H "Authorization: Bearer $TOKEN" localhost:8080 && echo

Hello, user!

权限控制

在完成认证后,后续我们可以继续进行授权相关的校验工作,SpringSecurity提供两种授权校验的方式

  • 基于http请求的方式,包括路径匹配、请求方法匹配等,
  • 基于方法的控制,通过@PreAuthorize等注解,在方法上进行更细粒度的控制,我采用了这一种方式
  @PreAuthorize("hasAuthority('SCOPE_ADMIN')")//JWT token解析后会加一个前缀'scope'
  @GetMapping("/admin")
  public String admin(Authentication authentication){
    return authentication.getAuthorities().toString();
  }

默认情况下,Authority中的内容会比你生成token时多加一个前缀SCOPE_,当然你也可以通过配置进行更改。

小结

这里简单介绍了一下认证和授权的配置,实际上SpringSecurity要远比这些要复杂的多,有更深入的需求可以参考官方文档或者源码

这里推荐一下自己的项目地址,已经把用户配置到h2数据库中
https://gitee.com/xiiiao/hello-spring-security

Spring Security 6 JWT身份验证
weixin_52019286的博客
01-26 1115
基于JWT 实现身份认证授权,是当前流行的一种技术解决方案。使用这种方案,要求用户先发来用户名与密码,当用户名与密码校验通过时,服务器端返回一个JWT给客户端。客户端拿到JWT之后,将其放到HTTP 请求名为Authorization的Header 中,随后继请求一起发给服务端服务端先校验JWT的有效性,有效之后,开放资源给客户端访问。public static final String JWT_KEY="这是我的一个私有密钥,用于生成JWT";//设置放在HTTP请求Header的名字。
spring security6通过token认证和鉴权
datalover的专栏
02-05 903
通过上述步骤,你可以成功地在Spring Security 6中实现基于JWT认证机制。添加依赖:引入必要的依赖。配置SecurityFilterChain:禁用CSRF保护并设置为无状态会话。实现JWT工具类:用于生成和解析JWT令牌。实现JWT认证过滤器:处理JWT验证逻辑。实现用户认证服务:加载用户信息。创建控制器:提供生成JWT令牌的接口。这样,你的应用程序就可以使用JWT进行安全认证授权了。
Spring Security 6 功能详解及与老版本差异对比
最新发布
csdn_tom_168的博客
06-14 939
Spring Security 6通过。
SpringSecurity6.0+Redis+JWT+MP基于token认证功能开发(源码级剖析可用于实际生产项目)
laizhenghua的博客
06-25 7817
引子:最近做项目时遇到了一个特殊的需求,需要写共享接口把本系统的一些业务数据共享给各地市的自建系统,为了体现公司的专业性以及考虑到程序的扩展性(通过各地市的行政区划代码做限制),决定要把接口做的高级一些,而不是简单的传个用户名和密码对比数据库里面的,那样真的很low。于是写了基于token的认证功能,在这里分享出来供大家学习与探讨。
SpringSecurity6.0+Redis+JWT - 实现用户注册/登录/认证流程
Y_xianlin的博客
09-12 2049
本项目Security6登录设计参考CSDN博客SpringSecurity6.0+Redis+JWT+MP基于token认证功能开发(源码级剖析可用于实际生产项目)_springsecurity redis管理token-CSDN博客因为SpringBoot3与Security6更新后, 部分方法被标为弃用,经过更改后, 已全部更改为最新用法代码辅助: ChatGPT-4o/智谱清言GLM-4使用数据库: Mysql/Redis。
Spring-Security & JWT 实现 token
天行健,君子以自强不息;地势坤,君子以厚德载物。
07-23 2436
一、JWT//www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html二、项目环境搭建2.1 引入依赖pom.xml<dependencies> <dependency> <groupId>javax.xml.bind</gro...
Spring Security 6.0尝鲜
时雨吹雪的博客
01-19 4219
Spring Security 6.0
基于Spring Boot 3 + Spring Security6 + JWT + Redis实现登录、token身份认证
m0_74823388的博客
01-06 921
基于Spring Boot3实现Spring Security6 + JWT + Redis实现登录、token身份认证。系列文章指路??项目源码??
java+spring-boot-jwt + spring security集成实战项目.zip
08-17
在本项目中,我们主要探讨的是如何将JavaSpring Boot框架相结合,利用JWT(JSON Web Token)和Spring Security来构建一个安全的Web应用程序。这个实战项目涵盖了从基础概念到实际应用的完整流程,旨在帮助开发者...
springsecurity+jwt实现前后端分离认证授权
qq_30166465的博客
09-20 1098
Spring Security 中文文档Spring Security是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。Spring Security基于过滤器链的概念,可以轻松地集成到任何基于Spring的应用程序中。它支持多种身份验证选项和授权策略,开发人员可以根据需要选择适合的方式。此外,Spring Security还提供了一些附加功能,如集成第三方身份验证提供商和单点登录,以及会话管理和密码编码等。
SpringBoot整合SpringSecurity+JWT实现认证授权
weixin_44145156的博客
03-01 488
springsecurity实现认证授权
Spring Security 6.0(spring boot 3.0) 下认证配置流程
热门推荐
hjg719的博客
12-13 2万+
Spring Security 6.0(spring boot 3.0) 下认证配置流程
spring security6.0版本入门解析
Mr.xu的博客
03-06 5461
spring security6.0.0的入门详解,不看可惜了......
Spring Security 实战干货:使用 JWT 认证访问接口
码农小胖哥
11-08 3321
1. 前言 欢迎阅读Spring Security 实战干货系列。之前我讲解了如何编写一个自己的 Jwt 生成器以及如何在用户认证通过后返回 Json Web Token 。今天我们来看看如何在请求中使用 Jwt 访问鉴权。DEMO 获取方法在文末。 2. 常用的 Http 认证方式 我们要在 Http 请求中使用 Jwt 我们就必须了解 常见的 Http 认证方式。 2.1 HTTP Basi...
3.Spring Security实现JWT token验证,GrantedAuthority接口,权限注解(@prePostEnabled、@Secured、@jsr250E)
相互学习 共同进步
04-24 4488
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
SpringSecurity6实现动态权限,rememberMe、OAuth2.0授权登录,退出登录等功能
路漫漫其修远兮,吾将上下而求索
05-13 2751
SpringSecurity第三讲,介绍动态权限,OAuth2.0的第三方授权登录,退出登录等功能
Spring Security(三)JWT Token认证认证思路分析
Lyndon的专栏
08-04 2047
单点登录相关
SpringSecurity集成JWT
lty1392309506的博客
04-18 690
使用 Spring Security 集成 JWT(JSON Web Token)身份验证是一种常见的方式来实现基于令牌的身份验证。在 Spring Boot 应用程序中使用 Spring SecurityJWT,可以创建一个安全、可扩展的身份验证系统。
Spring Security 6 系列之九 - 集成JWT
代码让AI扣
12-26 1778
1)不清楚的可以回顾lesson03子模块,这里做了一些小改动2) 在entity包下新增LoginUserDetails类,自定义类为了能够Redis序列化,之前使用Security默认的User,在Redis反序列化会报错@Data@Override@Override@Override@Override@Override@Override@Override3)定义entity包下的TUser和对应mapper包下的TUserMapper@Data。
掌握SpringSecurityJWT:实现高效token认证授权
- 在Spring Security中集成JWT进行认证授权涉及到创建JWT Token,并在用户登录时将其返回给客户端。客户端在后续的请求中将这个Token包含在HTTP请求头中发送给服务器。服务器端的Spring Security配置了相应的过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值