Spring Boot 3.3.7整合Spring Security+JWT认证实战教程

最新推荐文章于 2025-04-13 18:06:08 发布
最新推荐文章于 2025-04-13 18:06:08 发布
阅读量533 收藏 5
点赞数 4
文章标签: spring spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Crazy7426/article/details/145990163
版权

Spring Boot 3.3.7整合Spring Security+JWT认证实战教程

在现代Web开发中,身份认证和授权是保障系统安全的关键环节。Spring Security作为Spring生态中的安全框架,提供了强大的安全功能,而JWT(JSON Web Token)则是一种轻量级的无状态认证机制。本文将详细介绍如何在Spring Boot 3.3.7项目中整合Spring Security和JWT,实现安全的认证与授权功能。

一、项目初始化

1. 创建Spring Boot项目

  1. 创建一个Spring Boot项目。
  2. 选择以下依赖项:
    • Spring Web
    • Spring Security
    • Lombok
    • commons-lang3
    • jjwt-jackson
    • jjwt-impl
    • jjwt-api

2. 引入依赖

pom.xml中添加以下依赖:

<dependencies>
    <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-api</artifactId>
            <version>0.11.5</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-impl</artifactId>
            <version>0.11.5</version>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-jackson</artifactId>
            <version>0.11.5</version>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
        </dependency>
</dependencies>

二、JWT工具类

1. 创建JwtUtil

JwtUtil类用于生成和解析JWT Token。以下是关键代码:

private static final String SECRET_KEY = "1234567890123456789012345678901234567890";

    public static String getUsername(String token) {
        try{
            String username = extractClaim(token, Claims::getSubject);
            return username;
        }catch (Exception e){
            e.printStackTrace();
            return "";
        }
    }

    public static Date extractExpiration(String token) {
        return extractClaim(token, Claims::getExpiration);
    }

    public static <T> T extractClaim(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = extractAllClaims(token);
        return claimsResolver.apply(claims);
    }

    public static Claims extractAllClaims(String token) {

        byte[] keyBytes = SECRET_KEY.getBytes(StandardCharsets.UTF_8);
        SecretKey key = Keys.hmacShaKeyFor(keyBytes);
        return Jwts.parserBuilder()
                .setSigningKey(key) // 使用 SecretKey 进行签名验证
                .build()
                .parseClaimsJws(token)
                .getBody();
    }

    private static Boolean isTokenExpired(String token) {
        return extractExpiration(token).before(new Date());
    }

    public static String generateToken(String username) {
        Map<String, Object> claims = new HashMap<>();
        return createToken(claims, username);
    }

   
    public static String createToken(Map<String, Object> claims, String subject) {

        byte[] keyBytes = SECRET_KEY.getBytes(StandardCharsets.UTF_8);
        SecretKey key = Keys.hmacShaKeyFor(keyBytes);

        return Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 )) // 设置过期时间为1小时后
                .signWith(key, SignatureAlgorithm.HS256) // 使用 SecretKey 和指定的签名算法
                .compact();
    }

三、自定义用户详情服务

1. 创建CustomUserDetailsService

CustomUserDetailsService类实现了UserDetailsService接口,用于加载用户信息。以下是关键代码:

@Service
public class CustomUserDetailsService implements UserDetailsService {
    @Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 示例:硬编码用户(实际应从数据库读取)
        if ("admin".equals(username)) {
            // 构建并返回一个 UserDetails 对象,包含用户名、加密后的密码和角色信息
            return User.builder()
                    .username("admin")
                    .password(passwordEncoder.encode("123456"))
                    .roles("ADMIN")
                    .build();
        }
        // 如果用户名不存在,抛出 UsernameNotFoundException 异常
        throw new UsernameNotFoundException("用户不存在");
    }
}

四、JWT过滤器

1. 创建JwtFilter

JwtFilter类继承自OncePerRequestFilter,用于拦截请求并验证JWT Token。以下是关键代码:

public class JwtFilter extends OncePerRequestFilter {

    private static final String TOKEN_HEADER = "token";

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain chain)
            throws ServletException, IOException {
        // 1. 获取请求头中的Token
        String requestToken = request.getHeader(TOKEN_HEADER);
        String requestURI = request.getRequestURI();
        if ("/login".equals(requestURI)){
            chain.doFilter(request, response);
            return;
        }

        if(StringUtils.isBlank(requestToken)){
            // 如果Token为空,返回401未授权状态码和错误信息
            response.setContentType("application/json;charset=UTF-8");
            response.setStatus(401);
            response.getWriter().write("""
            {
                "code": 401,
                "msg": "token为空",
                "timestamp": %d
            }
            """.formatted( System.currentTimeMillis()));
            return;
        }

        // 从Token中解析出用户名
        String username = JwtUtil.getUsername(requestToken);
        if(StringUtils.isNoneBlank(username)){
            List<String> roles = List.of("ADMIN","USER");
            List<SimpleGrantedAuthority> list = roles.stream().map(role -> new SimpleGrantedAuthority("ROLE_" + role)).toList();
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username,null,list);
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
            chain.doFilter(request, response);
        }else {
            // 如果Token无效,返回401未授权状态码和错误信息
            log.info("token错误");
            response.setContentType("application/json;charset=UTF-8");
            response.setStatus(401);
            response.getWriter().write("""
            {
                "code": 401,
                "msg": "token错误",
                "timestamp": %d
            }
            """.formatted( System.currentTimeMillis()));
        }
    }
}

五、安全配置

1. 创建SecurityConfig

SecurityConfig类用于配置Spring Security的安全规则。以下是关键代码:

@Configuration
@EnableWebSecurity
public class SecurityConfig {

   
    @Bean
    public AuthenticationManager authenticationManager(
            AuthenticationConfiguration config) throws Exception {
        return config.getAuthenticationManager();
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
                // 禁用CSRF保护
                .csrf(AbstractHttpConfigurer::disable)
                // 配置请求的授权规则
                .authorizeHttpRequests(auth -> auth
                        .requestMatchers("/get").hasRole("ADMIN") // 只有ADMIN角色可以访问/get路径
                        .requestMatchers("/login").permitAll() // 允许所有用户访问/login路径
                        .anyRequest().authenticated() // 其他所有请求都需要认证
                )
                // 在认证流程前添加JwtFilter过滤器
                .addFilterBefore(
                        new JwtFilter(),
                        UsernamePasswordAuthenticationFilter.class
                )
                // 禁用表单登录
                .formLogin(AbstractHttpConfigurer::disable)
                // 禁用会话管理
                .sessionManagement(SessionManagementConfigurer::disable)
                // 配置异常处理
                .exceptionHandling(exception -> exception
                        .authenticationEntryPoint(new CustomAuthenticationEntryPoint())  // 处理认证异常
                        .accessDeniedHandler(new CustomAccessDeniedHandler())  // 处理授权异常
                );

        return http.build();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

六、认证入口与异常处理

1. 创建CustomAuthenticationEntryPoint

CustomAuthenticationEntryPoint类用于处理认证失败的逻辑。以下是关键代码:

public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
public void commence(HttpServletRequest request,
                         HttpServletResponse response,
                         AuthenticationException ex)
            throws IOException {
        response.setContentType("application/json;charset=UTF-8");
        response.setStatus(401);
        response.getWriter().write("""
            {
                "code": 401,
                "msg": "身份认证失败: %s",
                "timestamp": %d
            }
            """.formatted(ex.getMessage(), System.currentTimeMillis()));
    }
}

2. 创建CustomAccessDeniedHandler

CustomAccessDeniedHandler类用于处理权限不足的逻辑。以下是关键代码:

public void handle(HttpServletRequest request,
                       HttpServletResponse response,
                       AccessDeniedException ex)
            throws IOException {
        response.setContentType("application/json;charset=UTF-8");
        response.setStatus(403);
        response.getWriter().write("""
                {
                    "code": 403,
                    "msg": "权限不足: %s",
                    "requiredRole": "ADMIN", // 示例动态字段
                    "timestamp": %d
                }
                """.formatted(ex.getMessage(), System.currentTimeMillis()));
    }

七、登录控制器

1. 创建LoginController

LoginController类提供登录接口,生成JWT Token。以下是关键代码:

@RestController
public class LoginController {
    private final AuthenticationManager authenticationManager;

    public LoginController(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }

    @PostMapping("/login")
    public ResponseEntity<String> login(@RequestBody LoginRequest request) {
        try {
            Authentication authentication = authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(
                            request.getUsername(),
                            request.getPassword()
                    )
            );
            SecurityContextHolder.getContext().setAuthentication(authentication);
            String token = JwtUtil.generateToken(request.getUsername());
            return ResponseEntity.ok("登录成功:"+token);
        } catch (Exception e) {
            return ResponseEntity.status(401).body("认证失败: " + e.getMessage());
        }
    }
    @GetMapping("get")
    public String get(){
        return "success";
    }

    // 登录请求参数类
    @Data
    public static class LoginRequest {
        private String username;
        private String password;
    }
}

八、运行与测试

1. 启动项目

  1. 启动SkyApplication,访问http://localhost:8080/login进行登录测试。
  2. 示例请求体:
    {
    "username": "admin",
    "password": "123456"
}
  3. 登录成功后,返回JWT Token。

2. 访问受保护资源

  1. 示例:访问http://localhost:8080/get,需要在请求头中添加token字段。

九、总结

本文详细介绍了如何在Spring Boot 3.3.7中整合Spring Security和JWT,实现了安全的认证与授权功能。通过自定义用户详情服务、JWT过滤器和安全配置,我们构建了一个灵活且安全的认证系统。希望本文对你有所帮助!

源码地址:

https://download.youkuaiyun.com/download/Crazy7426/90448031
AI程小序
关注
Spring Boot入门(07):整合 MySQL 和 Druid数据源 | 全网最详细保姆级教学(两万字)
**My Coding Family**
08-16 2万+
Spring Boot中,整合MySQL和Druid数据源是不可或缺的一步。本文将为您介绍最详细的保姆级教学,从配置pom.xml到创建数据库、数据表,再到编写Java代码,一步一步地带您实现整合MySQL和Druid数据源。文章总字数达到两万字,细致全面,绝不让您失望。来一起学习吧!
SpringBoot3整合SpringSecurity
weixin_57792864的博客
10-21 590
SpringBoot3整合SpringSecurity
Springboot3.0+Security6.0+jwt+jdk17登陆认证
weixin_42531072的博客
04-19 7591
集各位大佬的精华,弄出来的一套基于jdk17Springboot3.0,SpringSecurity6.0,jwt认证体系。
Spring Boot 3Spring Security 6集成JWT认证实现访问令牌黑名单和刷新令牌撤销功能
最新发布
TsukasaHwan的博客
04-13 658
Spring Boot 3Spring Security 6集成JWT认证实现访问令牌黑名单和刷新令牌撤销功能
一文带你了解springboot3+jwt+security的使用
java_beautiful的博客
04-09 753
Spring Security已经成为java后台权限校验的第一选择.今天就通过读代码的方式带大家深入了解一下Security,本文主要是基于开源项目 spring-boot-3-jwt-security来讲解Spring Security + JWT(Json Web Token).实现用户鉴权,以及权限校验. 所有代码基于jdk17+构建.现在让我们开始吧! 项目配置 鉴权配置 当项目引入Security依赖后,启动项目会生成一个随机的密码,当我们要访问资源的时候需要使用这个密码登录后才能使
springboot3整合最新版jjwt(0.12.3
m0_73376570的博客
01-31 6598
基于黑马的苍穹外卖,使用springboot3整合jjwt(0.12.3
Spring Boot 3 集成 Spring Security + JWT
sc35262的博客
12-03 1386
在之前的案例中没有自定义未授权和未登录,直接在页面上显示错误信息,这样对于前端来说不是很好处理,我们将所有接口按照一定的格式返回,会方便前端交互处理。未登录java代码解读复制代码。
SpringBoot3Spring Security 详细使用实例(简单使用、JWT模式)
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-23 6133
Spring Security 使用起来非常简单,只要引入相关依赖包,然后增加注解`@EnableWebSecurity`就可以。同时提供了丰富的扩展点,可以让你自定义权限校验策略。 常见的使用场景分两类: 1. 有session模式,通常是前端不分离的项目,使用cookie + session 模式存储以及校验用户权限; 2. 无session模式,通常是前后端分离项目,使用Jwt形式的Token校验权限
SpringBoot整合SpringSecurityJWT
hello,word!
03-03 6790
SpringBoot整合SpringSecurityJWTSpringSecurity提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限。
SpringBoot3.3.7整合SpringSecurity6.3.6
02-21
‌资源介绍‌:提供基于Spring Boot 3.3.7Spring Security 6.3.6的完整安全框架整合代码,包含用户认证、角色权限控制、CSRF防护等核心模块,配置注释详尽,支持OpenJDK17环境,RESTful接口示例。 ‌适用人群‌:...
SpringBoot3.3.7整合JWT
03-03
Spring Boot 3.3.7版本中整合JWT(JSON Web Token)涉及到多个方面的知识,首先是Spring Boot的基础应用,以及Spring Security安全框架的集成,最后是JWT的使用。在详细介绍这三个部分的知识点之前,我们先了解...
SpringBoot 3.3.7版本中整合JWTSpring Security教程
Spring Boot 3.3.7整合JWT(JSON Web Token),需要结合Spring Security来实现安全控制,以下是详细的知识点: ### 1. JWT简介 JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表示声明的方式。JWT...
springboot整合securityjwt
08-05
springboot2.0整合securityjwt, 还整合了redis,与swagger-ui
Spring Boot应用中集成Spring Security实现用户注册和登录
锐意工作室
07-14 2050
文章目录在Spring Boot应用中集成Spring Security实现用户注册和登录前言引入依赖引入Spring Security依赖引入Spring Data JPA和MySQL依赖引入Thymeleaf依赖引入前端依赖引入其他依赖表设计API设计应用配置配置Spring SecurityWeb层HomeController类RegistrationController类RegistrationDto类字段校验Service层数据层JPA EntitiesUser Entity类Role Entit
springboot集成springsecurity + jwt的使用
hjh15827475896的博客
06-07 1851
当项目中要用到用户的认证及权限的时候我们一般会使用 springSecurity来解决。
Spring Boot 3 + JWT + Security 联手打造安全帝国:一篇文章让你掌握未来!
Innocence_0的博客
03-06 1849
已经成为java后台权限校验的第一选择.今天就通过读代码的方式带大家深入了解一下Security,本文主要是基于开源项目[spring-security)来讲解Spring Security + JWT(Json Web Token).实现用户鉴权,以及权限校验.所有代码基于jdk17+构建.现在让我们开始吧!
springboot3+Spring Security+JWT+redis+MySQL实现登陆验证
admin_cx的博客
05-15 2578
使用springboot3+Spring Security+JWT+redis+mysql实现登陆验证功能
Spring Boot 3Spring Security + JWT 安全认证模块的封装与自动配置踩坑指南》
zj_939222714的博客
03-20 493
通过这次实践,我们不仅成功将安全认证机制封装为公共模块,还深入了解了 Spring Boot 3 的自动配置机制。虽然过程中遇到了一些坑,但通过不断尝试和查阅文档,最终找到了解决方案。希望本文能帮助到正在学习 Spring Boot 3Spring Security 的开发者们。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值