spring security6通过token认证和鉴权

最新推荐文章于 2025-04-03 15:52:47 发布
原创 最新推荐文章于 2025-04-03 15:52:47 发布 · 1k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端 #spring-security

在采用基于Token的认证机制(如JWT,JSON Web Token)时,Spring Security 6 提供了灵活的方式来进行配置和集成。以下是详细的步骤和关键类、方法,帮助你实现一个基于Token的安全认证机制。

1. 添加依赖

首先,确保你的项目中包含必要的依赖。对于使用JWT的场景,通常需要添加以下依赖:

<!-- Spring Security -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<!-- JWT -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred -->
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

2. 配置SecurityFilterChain

接下来,在Spring Security配置类中设置SecurityFilterChain,以支持基于Token的认证机制。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http, JwtAuthenticationFilter jwtAuthenticationFilter) throws Exception {
        http
            .csrf().disable() // 禁用CSRF保护
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 设置为无状态会话
            .and()
            .authorizeHttpRequests(authorize -> authorize
                .antMatchers("/auth/**").permitAll() // 公开路径,例如登录和注册
                .anyRequest().authenticated() // 其他所有请求都需要认证
            )
            .addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class); // 添加自定义JWT过滤器

        return http.build();
    }
}

3. 实现JWT工具类

创建一个工具类来生成和解析JWT令牌。

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.function.Function;

@Component
public class JwtUtil {

    private String secret = "yourSecretKey"; // 应该存储在一个安全的地方,并且不要硬编码

    // 从token中提取用户名
    public String extractUsername(String token) {
        return extractClaim(token, Claims::getSubject);
    }

    // 从token中提取过期时间
    public Date extractExpiration(String token) {
        return extractClaim(token, Claims::getExpiration);
    }

    // 提取单个声明
    public <T> T extractClaim(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = extractAllClaims(token);
        return claimsResolver.apply(claims);
    }

    // 解析token的所有声明
    private Claims extractAllClaims(String token) {
        return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
    }

    // 检查token是否过期
    private Boolean isTokenExpired(String token) {
        return extractExpiration(token).before(new Date());
    }

    // 生成token
    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();
        return createToken(claims, userDetails.getUsername());
    }

    // 创建token
    private String createToken(Map<String, Object> claims, String subject) {
        return Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10)) // 10小时过期
                .signWith(SignatureAlgorithm.HS256, secret).compact();
    }

    // 验证token
    public Boolean validateToken(String token, UserDetails userDetails) {
        final String username = extractUsername(token);
        return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
    }
}

4. 实现JWT认证过滤器

创建一个自定义的过滤器来处理JWT验证逻辑。

import jakarta.servlet.FilterChain;
import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import java.io.IOException;

@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    @Autowired
    private JwtUtil jwtUtil;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {

        final String authorizationHeader = request.getHeader("Authorization");

        String username = null;
        String jwt = null;

        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            jwt = authorizationHeader.substring(7);
            username = jwtUtil.extractUsername(jwt);
        }

        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

            if (jwtUtil.validateToken(jwt, userDetails)) {
                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken =
                        new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        chain.doFilter(request, response);
    }
}

5. 实现用户认证服务

确保你有一个实现了UserDetailsService的类来加载用户信息。

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 这里可以替换为从数据库或其他数据源加载用户信息的逻辑
        return new org.springframework.security.core.userdetails.User(
                username,
                "password",
                AuthorityUtils.createAuthorityList("ROLE_USER")
        );
    }
}

6. 控制器示例

创建一个控制器来生成JWT令牌。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.web.bind.annotation.*;

@RestController
public class AuthController {

    @Autowired
    private JwtUtil jwtUtil;

    @Autowired
    private UserDetailsService userDetailsService;

    @PostMapping("/auth/login")
    public String createAuthenticationToken(@RequestBody AuthenticationRequest authenticationRequest) throws Exception {
        final UserDetails userDetails = userDetailsService.loadUserByUsername(authenticationRequest.getUsername());
        if (!userDetails.getPassword().equals(authenticationRequest.getPassword())) {
            throw new Exception("Invalid credentials");
        }
        final String jwt = jwtUtil.generateToken(userDetails);
        return jwt;
    }
}

class AuthenticationRequest {
    private String username;
    private String password;

    // Getters and Setters
}

总结

通过上述步骤,你可以成功地在Spring Security 6中实现基于JWT的认证机制。主要步骤包括:

  1. 添加依赖:引入必要的依赖。
  2. 配置SecurityFilterChain:禁用CSRF保护并设置为无状态会话。
  3. 实现JWT工具类:用于生成和解析JWT令牌。
  4. 实现JWT认证过滤器:处理JWT验证逻辑。
  5. 实现用户认证服务:加载用户信息。
  6. 创建控制器:提供生成JWT令牌的接口。

这样,你的应用程序就可以使用JWT进行安全认证和授权了。

datalover
关注
SpringSecurity+jwt实现认证功能
geinvse_seg的博客
03-22 1380
前面我们已经通过使用springboot框架获得了管理数据的基本能力,但是一个系统不或缺的功能是安全登录。这里我们以springsecurity+jwt方案实现登录以及限控制。本文对jwt登录校验,限管理的原理简单描述,并且提供了实现方案。
SpringSecurity认证框架SpringSecurity——认证
低调做人,低调编码,神码都是浮云
06-22 1247
认证框架SpringSecurity——认证
SpringSecurity6.0 通过JWTtoken进行认证
java scala
04-03 1139
之前写过一个文章,从SpringSecurity 5.x升级到6.0,当时是为了配合公司的大版本升级做的,里面的各项配置都是前人留下来的,其实没有花时间进行研究SpringSecurity的工作机制。现在新东家有一个简单的系统要搭建,用户的认证流程也比较简单,通过用户/密码进行登录,登录后生成JWT token返回给前端,后续认证通过token进行,就把SpringSecurity重新捡了起来,搭建整个系统的安全认证框架。
SpringBoot3.0 + SpringSecurity6.0+JWT
热门推荐
胖胖爱吃肉~的博客
03-03 2万+
SpringBoot3.0 + SpringSecurity6.0+JWTSpring SecuritySpring 家族中的一个安全管理框架。一般Web应用的需要进行认证认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授:经过认证后判断当前用户是否有限进行某个操作搭建一个SpringBoot工程① 设置父工程 添加依赖 配置文件application.yml ② 创建启动类 ③ 创建Controller 启动项目,查看接口文档地址:http://localhost:4
基于Spring Security 6的OAuth2 系列之九 -服务器--token的获取
代码让AI扣
02-03 2216
我们从源码OAuth2AuthorizationServerJwtAutoConfiguration可以看到默认情况下是自动生成一个RSA非对称的加密,如下图:安全问题:我们知道密钥是经常需要轮换的,如果使用默认我们就无法定时轮换,当然重新启动就能切换集群问题:如果我们的授服务器是一个集群,那么每个服务器的密钥都是不一样,无法实现集群效果因此我们只需要自定义jwkSource,就可以自己使用自己生成的RSA密钥。代码参考lesson05子模块。
SpringSecurity6.0+Redis+JWT+MP基于token认证功能开发(源码级剖析可用于实际生产项目)
laizhenghua的博客
06-25 8205
引子:最近做项目时遇到了一个特殊的需求,需要写共享接口把本系统的一些业务数据共享给各地市的自建系统,为了体现公司的专业性以及考虑到程序的扩展性(通过各地市的行政区划代码做限制),决定要把接口做的高级一些,而不是简单的传个用户名密码对比数据库里面的,那样真的很low。于是写了基于token认证功能,在这里分享出来供大家学习与探讨。
Spring Cloud Gateway 整合 Spring Security 统一登录认证
08-15
3. **定制Filter**:在Spring Cloud Gateway中,我们可以自定义WebFlux Filter,利用Spring Security提供的API进行认证。这通常涉及到`@PreAuthorize``@Secured`等注解的使用,以控制对特定路由的访问限。...
SpringSecurity认证框架SpringSecurity——授
低调做人,低调编码,神码都是浮云
06-24 1730
认证框架SpringSecurity——授
Spring security 自定义 token 身份验证
让 Java 再次伟大!
10-21 866
既然 Spring securtiy 的核心是 Filter chains,那我们只需要定义一个符合 security 标准的 filter ,再把自己的 chain 加入到 VirtualFilterChain 里面,就可以自定义身份验证的认证逻辑了。more之前提到过,大部分身份认证相关的过滤器都继承了 AbstractAuthenticationProcessingFilter。但是这一次我们让接下来的自定义过滤器不选择继承它,而是继承 OncePerRequestFilter。
Spring Security+JWT 动态(6)
myli92的博客
02-22 492
Component@Slf4j@Autowired@Override@Override> clazz) {@Overridelog.info("{} 对应的角色。//如果通过url关联限为空,统一按没限处理return 0;throw new AccessDeniedException("限不足,无法访问");return 0;// 获取用户拥有的限信息// 这里判断用户拥有的角色该url需要的角色是否有匹配break;
springboot 整合 Spring Security+JWT 实现token 认证校验
qq_30519365的博客
12-06 1650
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。认证成功校验的时候,去处理还有注销的时候去删除这个token 的key。
SpringSecurity实现动态
weixin_42943586的博客
06-25 1162
SpringSecurity原理 整个认证的过程其实一直在围绕图中过滤链的绿色部分,而我们今天要说的动态主要是围绕其橙色部分,也就是图上标的:FilterSecurityInterceptor。 FilterSecurityInterceptor 想知道怎么动态首先我们要搞明白SpringSecurity逻辑,从上图中我们也可以看出:FilterSecurityInterceptor是这个过滤链的最后一环,而认证之后就是,所以我们的FilterSecurityInterceptor
Spring Security 6 JWT身份验证
weixin_52019286的博客
01-26 1262
基于JWT 实现身份认证,是当前流行的一种技术解决方案。使用这种方案,要求用户先发来用户名与密码,当用户名与密码校验通过时,服务器端返回一个JWT给客户端。客户端拿到JWT之后,将其放到HTTP 请求名为Authorization的Header 中,随后继请求一起发给服务端服务端先校验JWT的有效性,有效之后,开放资源给客户端访问。public static final String JWT_KEY="这是我的一个私有密钥,用于生成JWT";//设置放在HTTP请求Header的名字。
SpringSecurityJWT
qq_43244309的博客
05-05 466
最近在博客开发中使用SpringSecurity框架,记录一下。
Spring Security】安全框架学习(六)
Jerry‘s word
08-28 542
一个是已认证的,一个是未认证的,结构不一样;同时,一个是登录,一个是验证两个场景,不能混在一起看。可以这么理解,之前的是登陆时验证,后面的这个是登录后访问验证。上面的代码与之前登陆的代码相比较,可以发现为什么之前UsernamePasswordAuthenticationToken存的是usernamepassword,而这里存的是loginUsernull呢?我们需要自定义一个过滤器,这个过滤器会去获取请求头中的token,对token进行解析取出其中的userid。方法内部加上如下代码即可实现。..
3.Spring Security实现JWT token验证,GrantedAuthority接口,限注解(@prePostEnabled、@Secured、@jsr250E)
相互学习 共同进步
04-24 4646
Component@Autowired/*** hasPermission方法* 这里仅仅判断PreAuthorize注解中的限表达式* 实际中可以根据业务需求设计数据库通过targetUrlpermission做更复杂* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
基于SpringBoot3+Security6+JWT实现机制
算法小生
11-07 691
为什么要说下呢,JWT三部分组成,就要刚刚笔者参加的2023下半年系统架构师考试中考到了,然后我竟然想不起来了。。。JWT(JSON Web Token)由三个部分组成,它们分别是头部(header)、载荷(payload)签名(signature)。头部(Header):JWT的头部是一个包含两个部分的JSON对象,用于描述签名算法令牌类型。它通常包含以下信息:typ(类型):令牌的类型,这里通常是"JWT"。alg(算法):用于签名令牌的算法,例如HMAC、RSA或者其他加密算法。
11.SpringSecurity基于JWT实现Token的处理
飘然渡沧海的博客
03-06 1333
SpringSecurity基于JWT实现Token的处理
spring security+jwt实现认证
weixin_41377877的博客
04-13 609
下来就是说认证了,认证的逻辑其实也很简单,这里我是结合JWT去做的认证校验。大致流程就是,登录的时候,验证完用户之后,会根据用户生成一个带有用户信息的token返回给客户端,客户端再下次请求时则带着token访问,过滤器会获取token来进行验证,如果验证通过,则对该用户进行资源授,如果验证不通过,则返回认证失败,大致流程就是这样。在上述返回用户以及用户的限之后,返回的资源我们会在redis或者其他手段保存下来,在下次请求进来时,完成认证之后,会获取相关用户的限进行授。首先,引入相关的依赖。
springboot4.0.0 springsecurity 配合layuiadmin使用 登录
最新发布
12-17
4.0.0可能为笔误,这里以Spring Boot 2.7.x或3.x为例,两者在配置上类似,但需注意Spring Security 6.x的配置变化)Spring Security来实现登录。LayuiAdmin负责前端登录界面路由跳转,Spring Security负责...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值