SpringBoot安全三板斧:整合SpringSecurity+JWT+OAuth2

最新推荐文章于 2025-08-14 18:00:00 发布
原创 最新推荐文章于 2025-08-14 18:00:00 发布 · 475 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #安全 #后端

🎓博主介绍:Java、Python、js全栈开发 “多面手”,精通多种编程语言和技术,痴迷于人工智能领域。秉持着对技术的热爱与执着,持续探索创新,愿在此分享交流和学习,与大家共进步。
📖DeepSeek-行业融合之万象视界(附实战案例详解100+)
📖全栈开发环境搭建运行攻略:多语言一站式指南(环境搭建+运行+调试+发布+保姆级详解)
👉感兴趣的可以先收藏起来,希望帮助更多的人
在这里插入图片描述

SpringBoot安全三板斧:整合SpringSecurity+JWT+OAuth2

一、引言

在当今数字化时代,Web应用程序的安全性至关重要。Spring Boot作为一款广泛使用的Java开发框架,为开发者提供了便捷的开发体验。而Spring Security、JWT(JSON Web Token)和OAuth 2.0则是保障Spring Boot应用安全的三把利器。本文将详细介绍如何将这三者整合到Spring Boot项目中,为你的应用构建一个强大的安全体系。

二、Spring Security基础

2.1 Spring Security简介

Spring Security是Spring家族中的一个强大的安全框架,它提供了全面的安全解决方案,包括认证和授权。通过简单的配置,就可以为Web应用添加基本的安全功能。

2.2 简单的Spring Security配置示例

首先,我们创建一个简单的Spring Boot项目,并添加Spring Security依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

然后,创建一个配置类来配置Spring Security:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
           .authorizeRequests()
               .anyRequest().authenticated()
               .and()
           .formLogin();
        return http.build();
    }
}

在上述配置中,我们要求所有请求都需要进行身份验证,并使用表单登录。

三、JWT基础

3.1 JWT简介

JWT是一种用于在网络应用间安全传递信息的开放标准(RFC 7519)。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT通常用于身份验证和信息交换。

3.2 JWT的生成和验证

我们可以使用Java的JJWT库来生成和验证JWT。首先,添加JJWT依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

然后,创建一个JWT工具类:

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

public class JwtUtils {

    private static final String SECRET_KEY = "yourSecretKey";
    private static final long EXPIRATION_TIME = 86400000; // 24 hours

    public static String generateToken(String username) {
        return Jwts.builder()
               .setSubject(username)
               .setIssuedAt(new Date(System.currentTimeMillis()))
               .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
               .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
               .compact();
    }

    public static String getUsernameFromToken(String token) {
        return Jwts.parser()
               .setSigningKey(SECRET_KEY)
               .parseClaimsJws(token)
               .getBody()
               .getSubject();
    }

    public static boolean validateToken(String token) {
        try {
            Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token);
            return true;
        } catch (Exception e) {
            return false;
        }
    }
}

四、OAuth 2.0基础

4.1 OAuth 2.0简介

OAuth 2.0是一种授权框架,它允许用户授予第三方应用访问其受保护资源的权限,而无需共享用户名和密码。OAuth 2.0定义了四种授权类型:授权码模式、隐式模式、密码模式和客户端凭证模式。

4.2 Spring Boot中使用OAuth 2.0

在Spring Boot中,我们可以使用Spring Security OAuth 2.0来实现OAuth 2.0的功能。首先,添加依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

然后,配置OAuth 2.0客户端:

spring:
  security:
    oauth2:
      client:
        registration:
          github:
            client-id: your-client-id
            client-secret: your-client-secret
            scope: read:user
        provider:
          github:
            authorization-uri: https://github.com/login/oauth/authorize
            token-uri: https://github.com/login/oauth/access_token
            user-info-uri: https://api.github.com/user

在上述配置中,我们配置了一个GitHub的OAuth 2.0客户端。

五、整合Spring Security、JWT和OAuth 2.0

5.1 配置Spring Security使用JWT

我们需要创建一个JWT过滤器来验证请求中的JWT。首先,创建一个JwtAuthenticationFilter类:

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String token = getJwtFromRequest(request);

        if (token != null && JwtUtils.validateToken(token)) {
            String username = JwtUtils.getUsernameFromToken(token);

            UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
                    username, null, null);
            authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

            SecurityContextHolder.getContext().setAuthentication(authentication);
        }

        filterChain.doFilter(request, response);
    }

    private String getJwtFromRequest(HttpServletRequest request) {
        String bearerToken = request.getHeader("Authorization");
        if (bearerToken != null && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7);
        }
        return null;
    }
}

然后,在SecurityConfig类中配置该过滤器:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
public class SecurityConfig {

    private final JwtAuthenticationFilter jwtAuthenticationFilter;

    public SecurityConfig(JwtAuthenticationFilter jwtAuthenticationFilter) {
        this.jwtAuthenticationFilter = jwtAuthenticationFilter;
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
           .csrf().disable()
           .authorizeRequests()
               .antMatchers("/api/auth/**").permitAll()
               .anyRequest().authenticated()
               .and()
           .addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
        return http.build();
    }
}

5.2 整合OAuth 2.0和JWT

当用户通过OAuth 2.0进行授权后,我们可以生成一个JWT并返回给客户端。以下是一个简单的示例:

import org.springframework.security.oauth2.client.authentication.OAuth2AuthenticationToken;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class OAuth2Controller {

    @GetMapping("/oauth2/callback")
    public String oauth2Callback(OAuth2AuthenticationToken authentication) {
        String username = authentication.getName();
        String token = JwtUtils.generateToken(username);
        return "Your JWT token: " + token;
    }
}

六、总结

通过整合Spring Security、JWT和OAuth 2.0,我们可以为Spring Boot应用构建一个强大的安全体系。Spring Security提供了基本的认证和授权功能,JWT用于在客户端和服务器之间安全传递身份信息,OAuth 2.0则允许用户授权第三方应用访问其受保护资源。希望本文能够帮助你更好地理解和应用这三个安全技术。

springBoot-springSecurity-OAuth2
子笙的博客
01-16 2833
springBoot整合OAuth2示例及其代码
Java安全协议“三板斧”:从“明文传输”到“密不透风”,代码教你玩转加密与认证
java专栏
04-16 634
三板斧,教你如何让Java应用从“裸奔模式”变身“金钟罩”!从“数据全裸”到“密不透风”一网打尽!“用户密码明文存储?,让数据从“明文裸奔”变成“加密特工”!,让访问从“随意闯入”变成“持证上岗”!,让权限从“无章可循”变成“分寸必争”!🔥关注墨瑾轩,带你探索编程的奥秘!🔥超萌技术攻略,轻松晋级编程高手🚀。🔥技术宝库已备好,就等你来挖掘🚀。🔥订阅墨瑾轩,智趣学习不孤单🚀。🔥即刻启航,编程之旅更有趣🚀。:为什么数据像“裸体模特”?:为什么接口像“无人门卫”?:为什么用户能“越权访问”?
Spring Boot 3.3新特性发布
nanxiaotao的博客
05-26 2029
Spring Boot 3.3 现已正式发布!此版本包含大量更新,包括多项新功能。我们决定进行一些挑选,并查看最重要的变化,其中包括对类数据共享 (CDS) 的支持,以加快应用程序启动速度。
SpringBoot入门到精通_第4篇 _开发三板斧
Gblfy_Blog
09-21 663
接上一篇:SpringBoot入门到精通_第2篇 _1分钟实战需求项目 https://blog.csdn.net/weixin_40816738/article/details/101095964 文章目录一、SpringBoot应用组件分析1.4 开发三板斧:1.4.1 加依赖1.4.2 启动类加注解1.4.3 写配置1.5 SpringBoot Actuator监控1.5.1 是什么?1...
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
竹林幽深
08-11 1921
您可以采用 JPA/Hibernate等一切你所熟悉的数据库框架,但这并不是本文档的重点。这里仅以MySQL 8.x与MybatisPlus为例:我们这里没有实现注册模块,但又想体验密码加密功能,因此推荐从此处由纯文本密码转换成加密密码存储至数据库中。编写授权服务// }创建两个实体类其一:User// 导入 Lombok 库中的注解import lombok.Builder;
SpringSecurity Oauth2整合JWT
会奔跑的茄子的博客
12-27 1596
JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简介的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。官网:标准:jwt基于json,非常方便解析。可以在令牌中自定义丰富的内容,易扩展。通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。资源服务使用JWT可不依赖认证服务即可完成授权。JWT令牌较长,占存储空间比较大。
登录认证体系重构内幕:JWT平滑替代Session的7步迁移流程与安全加固策略
# 登录认证体系的演进之路:从Session到JWT的深度重构 在当今这个应用架构飞速迭代的时代,你有没有发现——每次打开一个App,后台可能已经跑着几十个微服务?而用户登录这件事,早已不再是“输入密码 → 进系统”...
Java构建RESTful API:从青铜到王者的10个高级技巧
java专栏
08-14 1473
摘要(150字): 本文探讨RESTful API的高阶设计策略,聚焦三大核心场景:1)高并发优化(缓存/异步/分页)、2安全防护(OAuth2.0/JWT)、3)自解释API设计(HATEOAS)。通过Spring Data REST实现零代码CRUD,结合@Projection控制字段暴露;利用HATEOAS动态生成操作链接,使API具备自发现能力;采用CompletableFuture实现异步链式处理,提升吞吐量。文中代码示例涵盖实体定义、响应标准化及异常处理,为构建高性能、安全的工业级API提供实
Java热迁移实战:Azure上实现应用的“零停机”升级
最新发布
java专栏
08-14 935
Spring RESTful API设计与性能优化实践》摘要: 本文针对高并发场景下的API设计痛点,提出三大核心解决方案: 1️⃣ 自动化CRUD:通过Spring Data REST实现零代码接口生成,结合@Projection实现字段级安全控制; 2️⃣ 超媒体驱动:利用HATEOAS动态生成API导航链接,构建自解释的接口文档; 3️⃣ 异步性能优化:采用CompletableFuture链式处理订单创建与通知,避免线程阻塞。文中包含实体类设计、分页配置、N+1查询规避等实战代码,并强调通过OAu
ConnectUtility源码阅读指南:从启动流程到核心组件初始化的8个关键节点剖析
在现代微服务架构中,连接器框架早已不再是简单的“网络胶水”,而是承载着服务发现、协议适配、安全认证和性能优化等多重职责的核心基础设施。当你的应用需要同时对接 Kafka、Redis、MySQL 和 gRPC 服务时,如何...
SpringBoot2--Spring Security
weixin_43233653的博客
12-30 511
前言 在Java应用中,绝大多数情况下都是通过同步的方式来实现交互处理的;但是在处理与第三方系统交互的时候,容易造成响应迟缓的情况,之前大部分都是使用多线程来完成此类任务,其实,在Spring 3.x之后,就已经内置了@Async来完美解决这个问题。 一、异步任务 1)建立一个service,注解@Async说明这个一个异步方法 ...
SpringBoot3.0 + SpringSecurity6.0 +OAuth2 使用Github作为授权登录
weixin_46076174的博客
06-16 3937
开放授权(OAuth)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。过程如下: (A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获
springboot整合security(二)
weixin_45948218的博客
06-23 230
今天说说连接数据库实现security登录 首先还是建一个springboot项目 包结构如下 securityConfig package com.example.security02.config; import com.fasterxml.jackson.databind.ObjectMapper; import org.springframework.context.annotation.Configuration; import org.springframework.secu
SpringBoot+SpringSecurity OAuth2 认证服务搭建实战 (二)
06-20 1272
OAuth2 整体分三总分:OAuth授权服务(Authorization),OAuth资源服务(Authentication),客户端服务(Client Service 其实就是一个web服务,它是来用OAuth的)Spring Security 轻松的就搞定了所有配置。Nice当然想玩转Spring Security OAuth 还有很乐子在里面。下一篇文章再深入讲一下,其它玩儿法。
Spring Boot 3整合OAuth2实现第三方登录完整指南
MenzilBiz的博客
04-07 2044
Slf4j@Override// 根据不同平台处理用户信息// 添加平台标识// 标准化用户信息= null?@Slf4j@Override// 根据不同的登录来源处理不同逻辑// GitHub特定处理逻辑// 设置默认跳转路径// 实现GitHub用户的特定处理逻辑// 例如保存用户信息到数据库等本文详细介绍了在Spring Boot 3中整合OAuth2实现第三方登录的完整流程。
springBootspring security 版本对应关系
热门推荐
快乐的小三菊的博客
11-23 2万+
springBootspring security 版本对应关系
SpringBoot集成security2)|(security自定义配置)
Oaklkm的博客
12-02 743
上一章节我们简单的介绍了,springSecurity的集成,并实现了简单的登录功能,以及security登录的一些原理,本章我们将介绍security的基于数据库用户的配置,权限控制以及资源访问控制的配置本片文章是在上一篇基础上进行的扩展,如果大家对项目基础不是很清楚请查看上一篇文章要实现自定义配置,首先创建一个继承于WebSecurityConfigurerAdapter的配置类,在代码实现之前我们来了解一下WebSecurityConfigurerAdapter配置类。
Spring Boot2 总结(二) Spring Security的基本配置
09-09 448
  Spring BootSpring Security提供了自动化配置方案,同时这也是在Spring Boot项目中使用Spring Security的优势,因此Spring Security整合Spring Boot项目中是非常容易的。 一.Spring Security 的基本用法 1.1 创建项目,添加依赖 对应的依赖如下: 1.2 添加一个controller接口 @GetMapping("/hello") public String hello(){ return
实战案例:SpringBoot整合OAuth2
AI天才研究院
01-21 1501
1.背景介绍 1. 背景介绍 OAuth2 是一种基于标准的授权协议,它允许用户授予第三方应用程序访问他们的资源,而无需将他们的凭据(如密码)发送给这些应用程序。这使得用户可以安全地授予和撤回对他们资源的访问权限。Spring Boot 是一个用于构建微服务的框架,它简化了开发人员的工作,使他们能够快速构建、部署和管理微服务应用程序。 在本文中,我们将讨论如何将 Spring Boot...
springsecurity整合jwt oauth2登录
05-16
### Spring Security整合JWTOAuth2实现登录功能的最佳实践 为了实现基于Spring SecurityJWT以及OAuth2安全架构,可以按照以下方式设计并实施: #### 1. 配置依赖项 在`pom.xml`中引入必要的依赖库,包括Spring Security核心组件、JWT支持以及OAuth2相关模块。 ```xml <dependencies> <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- JWT Support --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> <!-- OAuth2 Client and Resource Server --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-resource-server</artifactId> </dependency> </dependencies> ``` #### 2. 创建安全配置类 定义一个配置类来启用OAuth2客户端功能,并指定登录页面及相关URL的访问控制策略。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/login", "/token/**").permitAll() // Allow access to login endpoint and token generation endpoints. .anyRequest().authenticated() // All other requests require authentication. .and() .oauth2Login() .loginPage("/login") .defaultSuccessUrl("/home", true); } } ``` 此部分实现了基本的身份验证逻辑,允许未认证用户访问特定路径(如`/login`),而其他资源需经过身份验证才能访问[^2]。 #### 3. 实现JWT生成器和服务端解析 创建一个工具类用于生成JSON Web Tokens (JWT),并将用户信息编码到Token中以便后续解码使用。 ```java @Component public class JwtUtil { private static final String SECRET_KEY = "your_secret_key_here"; public String generateToken(String username){ Date nowDate = new Date(); Date expireDate = new Date(nowDate.getTime()+1000*60*60); return Jwts.builder() .setSubject(username) .setIssuedAt(nowDate) .setExpiration(expireDate) .signWith(SignatureAlgorithm.HS512,SECRET_KEY).compact(); } public boolean validateToken(String token){ try{ Jws<Claims> claimsJws=Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return !claimsJws.getBody().getExpiration().before(new Date()); }catch(Exception e){ return false; } } } ``` 这段代码展示了如何利用Java中的`jjwt`库生成带有签名的有效期受限的JWT字符串[^1]。 #### 4. 自定义过滤器处理JWT校验 编写自定义Filter拦截HTTP请求头中的Authorization字段提取Bearer Token完成自动化的鉴权操作。 ```java public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtUtil jwtUtil; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)throws ServletException ,IOException{ final String authHeader=request.getHeader("Authorization"); if(authHeader!=null && authHeader.startsWith("Bearer ")){ String jwt=authHeader.substring(7); if(jwtUtil.validateToken(jwt)){ UsernamePasswordAuthenticationToken authToken=new UsernamePasswordAuthenticationToken( jwtUtil.getUsernameFromToken(jwt), null,new ArrayList<>()); SecurityContextHolder.getContext().setAuthentication(authToken); } } filterChain.doFilter(request,response); } } ``` 以上片段说明了当接收到含有有效JWT凭证时更新当前线程上下文中存储的身份对象实例的过程[^3]。 #### 5. 应用程序属性配置 最后,在application.properties或者yml文件里补充一些必要参数设定比如第三方提供商详情等。 ```properties # Application Properties Configuration Example server.port=8080 spring.security.oauth2.client.registration.google.client-id=<YourClientIdHere> spring.security.oauth2.client.registration.google.client-secret=<YourSecretHere> ... ``` 这些设置指定了Google作为外部账号提供者之一的具体凭据数据[^2]。 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

fanxbl957

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值