SpringSecurity之JWT实现token认证和授权.zip资源-CSDN下载

共16个文件

java：16个

jwt

token

SpringSecurity

登录认证与授权

需积分: 50 148 浏览量 2020-08-09 10:52:57 上传评论收藏 18KB ZIP 举报

Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架，广泛用于构建安全的Java Web应用程序。它提供了全面的安全管理组件，包括用户认证、权限控制、会话管理等。在这个主题中，我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证和授权。 JWT 是一种轻量级的、安全的、无状态的身份验证机制，常用于API的鉴权。它通过在客户端和服务器之间传递令牌来验证用户身份，而不是传统的session和cookie方式。JWT包含三部分：头部、载荷和签名，其中载荷可以携带用户信息，而签名则确保数据的完整性和来源的可靠性。要将Spring Security与JWT集成，首先需要在项目中添加相关的依赖。这通常包括Spring Security的核心库以及JWT的实现库，如jjwt或nimbus-jose-jwt。接下来，我们需要配置Spring Security的AuthenticationProvider。这个组件负责处理用户的登录请求，验证提供的凭证，并创建对应的Authentication对象。我们可以实现UserDetailsService接口，从数据库或其他来源加载用户信息，然后在authenticate()方法中对比输入的用户名和密码。一旦用户成功认证，Spring Security会创建一个Authentication对象，其中包含用户信息。此时，我们可以生成一个JWT并返回给客户端。JWT通常包含用户ID、角色和其他相关权限信息。生成JWT时，需要设置一个密钥（secret key），用于签名和验证。客户端收到JWT后，将其存储在本地（例如，浏览器的localStorage）。在后续的请求中，客户端需要在Authorization头中附带此JWT。Spring Security的过滤器链会拦截这些请求，检查Authorization头中的JWT，并使用相同的密钥进行验证。如果验证成功，过滤器会解析JWT，创建一个代表当前用户的Authentication对象，并将其放入Spring Security的SecurityContextHolder中，从而实现对资源的访问控制。为了控制资源的访问权限，Spring Security提供了一种基于注解的权限表达式系统。我们可以使用@PreAuthorize、@PostAuthorize、@Secured等注解来定义哪些方法需要特定的角色或权限才能访问。此外，还可以使用AccessDecisionManager和AccessDecisionVoter来实现自定义的授权逻辑。在实际应用中，还需要考虑JWT的刷新和过期策略。当JWT过期时，用户需要重新登录获取新的JWT。为了提高用户体验，可以提供一个刷新令牌的机制，允许用户在不重新登录的情况下获取新令牌。这通常涉及到另一个专门的刷新端点和额外的安全措施。结合Spring Security和JWT可以构建高效、安全的认证和授权系统。通过理解这两个组件的工作原理和交互方式，开发者能够为Web应用提供强大且灵活的身份验证和授权功能。

资源推荐

资源详情

资源评论

收起资源包目录

SpringSecurity之JWT实现token认证和授权.zip （16个子文件）

SpringSecurity之JWT实现token认证和授权

config

SwaggerConfig.java 3KB

WebSecurityConfig.java 4KB

serviceImpl

UserDetailsServiceImpl.java 2KB

pojo

User.java 4KB

LoginBean.java 749B

security

JwtAuthenticatioToken.java 1KB

JwtAuthenticationProvider.java 2KB

JwtAuthenticationFilter.java 1KB

GrantedAuthorityImpl.java 663B

controller

LoginController.java 4KB

DictController.java 3KB

util

JwtUserDetails.java 2KB

JwtTokenUtils.java 7KB

PasswordUtils.java 815B

PasswordEncoder.java 3KB

SecurityUtils.java 3KB

package com.mango.cms.mangomain.util; import com.mango.cms.mangomain.security.GrantedAuthorityImpl; import com.mango.cms.mangomain.security.JwtAuthenticatioToken; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.security.core.Authentication; import org.springframework.security.core.GrantedAuthority; import javax.servlet.http.HttpServletRequest; import java.util.*; /** * @program: mangocms * @description: 根据请求令牌获取登录认证信息 * @author: zjc * @create: 2020-08-08 07:59 **/ public class JwtTokenUtils { private static final long serialVersionUID = 1L; /** * 用户名称 */ private static final String USERNAME = Claims.SUBJECT; /** * 创建时间 */ private static final String CREATED = "created"; /** * 权限列表 */ private static final String AUTHORITIES = "authorities"; /** * 密钥 */ private static final String SECRET = "abcdefgh"; /** * 有效期12小时 */ private static final long EXPIRE_TIME = 12 * 60 * 60 * 1000; /** * 生成令牌 */ public static String generateToken(Authentication authentication) { Map<String, Object> claims = new HashMap<>(3); claims.put(USERNAME, SecurityUtils.getUsername(authentication)); claims.put(CREATED, new Date()); claims.put(AUTHORITIES, authentication.getAuthorities()); return generateToken(claims); } /** * 从数据声明生成令牌 * * @param claims 数据声明 * @return 令牌 */ private static String generateToken(Map<String, Object> claims) { Date expirationDate = new Date(System.currentTimeMillis() + EXPIRE_TIME); return Jwts.builder().setClaims(claims).setExpiration(expirationDate).signWith(SignatureAlgorithm.HS512, SECRET).compact(); } /** * 从令牌中获取用户名 * * @param token 令牌 * @return 用户名 */ public static String getUsernameFromToken(String token) { String username; try { Claims claims = getClaimsFromToken(token); username = claims.getSubject(); } catch (Exception e) { username = null; } return username; } /** * 根据请求令牌获取登录认证信息 * */ public static Authentication getAuthentticattionFromToken(HttpServletRequest request){ Authentication authentication =null; //获取请求携带的令牌 String token = JwtTokenUtils.getToken(request); if (token != null){ //请求令牌并不能为空 if(SecurityUtils.getAuthentication() == null){ //上下文中的Authentication Claims claims = getClaimsFromToken(token); if(claims == null){ return null; } String username =claims.getSubject(); if(username == null){ return null; } if(isTokenExpired(token)){ return null; } Object authors =claims.get(AUTHORITIES); List<GrantedAuthority> authorities =new ArrayList<>(); if(authors != null && authors instanceof List){ for(Object object : (List) authors){ authorities.add(new GrantedAuthorityImpl( (String)((Map) object).get("authority"))); } } authentication = new JwtAuthenticatioToken(username,null,authorities,token); }else{ if(validateToken(token,SecurityUtils.getUsername())){ //如果上下文中Authentication非空，且请求命令合法 //直接返回当前登录认证信息 authentication = SecurityUtils.getAuthentication(); } } } return authentication; } /** * 从令牌中获取数据声明 * * @param token 令牌 * @return 数据声明 */ private static Claims getClaimsFromToken(String token) { Claims claims; try { claims = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody(); } catch (Exception e) { claims = null; } return claims; } /** * 验证令牌 * @param token * @param username * @return */ public static Boolean validateToken(String token, String username) { String userName = getUsernameFromToken(token); return (userName.equals(username) && !isTokenExpired(token)); } /** * 刷新令牌 * @param token * @return */ public static String refreshToken(String token) { String refreshedToken; try { Claims claims = getClaimsFromToken(token); claims.put(CREATED, new Date()); refreshedToken = generateToken(claims); } catch (Exception e) { refreshedToken = null; } return refreshedToken; } /** * 判断令牌是否过期 * * @param token 令牌 * @return 是否过期 */ public static Boolean isTokenExpired(String token) { try { Claims claims = getClaimsFromToken(token); Date expiration = claims.getExpiration(); return expiration.before(new Date()); } catch (Exception e) { return false; } } /** * 获取请求Token * @param request * @return */ //尝试从请求头中获取请求写带的令牌，默认从请求头中的“Authentication”参数以“Bearer”开头的信息为令牌信息， //若为空的话，尝试从token参数获取 public static String getToken(HttpServletRequest request){ String token = request.getHeader("Authorization"); String tokenHead = "Bearer"; if(token == null){ token = request.getHeader("token"); }else if(token.contains(tokenHead)){ //当且仅当此字符串包含指定的tokenHead值序列时，返回true。 token =token.substring(tokenHead.length()); } if("".equals(token)){ token = null; } return token; } }

评论收藏

内容反馈