SpringSecurity 整合 JWT.docx

、用户进入登录页，输入用户名、密码，进行登录； 2、服务器验证登录鉴权，如果改用户合法，根据用户的信息和服务器的规则生成 JWT Token 3、服务器将该 token 以 json 形式返回（不一定要json形式，这里说的是一种常见的做法） 4、用户得到 token，存在 localStorage、cookie 或其它数据存储形式中。以后用户请求 /protected 中的 API 时，在请求的 header 中加入 Authorization: Bearer xxxx(token)。此处注意token之前有一个7字符长度的 Bearer。 5、服务器端对此 token 进行检验，如果合法就解析其中内容，根据其拥有的权限和自己的业务逻辑给出对应的响应结果。 6、用户取得结果 【Spring Security 整合 JWT 知识点】 在前后端分离的现代Web应用程序中，安全性是至关重要的。Spring Security是一个强大的安全框架，用于保护Java应用。然而，仅使用Spring Security还不足以实现完整的身份验证和授权流程。这时，JSON Web Token (JWT)就发挥了作用。JWT是一种轻量级的身份验证机制，它允许在客户端和服务器之间安全地传递信息，而无需在每次请求时都发送凭据。 JWT的工作流程如下： 1. 用户通过登录页面提供用户名和密码。 2. 服务器验证这些凭据，如果用户合法，会根据用户信息和服务器的规则生成一个JWT Token。 3. 生成的Token以JSON格式返回给客户端，通常存储在localStorage、cookie或其他本地存储机制中。 4. 用户在访问受保护的API时，在HTTP请求头的Authorization字段中添加`Bearer + token`，这里的Bearer是一个7字符的前缀。 5. 服务器接收请求，验证Token的有效性，如果验证通过，解析Token内容并根据用户的权限和业务逻辑提供响应。 JWT由三部分组成： - 头部（Header）：包含加密算法等信息，例如`{ "alg": "HS256", "typ": "JWT" }`，表示使用HS256算法签名。 - 荷载（Payload）：包含用户数据声明，如用户ID、用户名、签发时间等，例如`{ "sub": "1234567890", "name": "John Doe", "iat": 1516239022 }`。 - 签名（Signature）：确保头部和荷载的完整性和未被篡改，由加密后的头部和荷载以及一个密钥生成。 为了在Spring Security中整合JWT，首先需要引入JWT的相关库，如jjwt。然后，可以创建JWT的生成和解析方法。以下是一个简单的示例： ```java import io.jsonwebtoken.Jwts; import java.util.Date; public class JwtUtils { // 签名密钥 private static final String SECRET_KEY = "your_secret_key"; // 生成JWT public static String generateToken(String subject) { return Jwts.builder() .setSubject(subject) .setExpiration(new Date(System.currentTimeMillis() + 7 * 60 * 1000)) // 设置过期时间 .signWith(io.jsonwebtoken.SignatureAlgorithm.HS256, SECRET_KEY) // 使用HS256算法签名 .compact(); } // 验证并解析JWT public static Claims parseToken(String token) { try { return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody(); } catch (Exception e) { throw new RuntimeException("Invalid JWT Token"); } } } ``` 在Spring Security的配置中，你需要定义一个过滤器来处理JWT的验证，例如`JwtAuthenticationFilter`，并在过滤器中调用`parseToken`方法来解析Token。同时，还需要设置一个访问决策管理器（AccessDecisionManager）来决定用户是否具有访问资源的权限。 整合Spring Security和JWT，可以创建一个安全、高效的身份验证和授权解决方案，使得前后端交互更加安全，同时减少了不必要的服务器负载，因为服务器不再需要存储和查找会话信息。