SpringSecurity整合JWT权限验证实现前后端分离,配合使用 Redis实现token超时的刷新机制

最新推荐文章于 2025-04-14 15:55:13 发布
最新推荐文章于 2025-04-14 15:55:13 发布
阅读量2.1k 收藏 14
点赞数 1
分类专栏: java8 redis springboot 文章标签: redis 数据库 spring java maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fenyudelushang/article/details/120890156
版权

项目使用SpringSecurity整合JWT实现权限验登陆,下面简单描述下整个流程。

1.登陆成功后生成JWT token 返回给前端,前端再次访问时携带这个jwt token,服务端收到后解析这个token,判断这个token是否超过最大有效期,如没有超过最大有效期但这个token过期了,就返回刷新后的jwt给前端,但超过了最大有效期就要用户重新登陆了,下面是具体的代码实现,有 不足之处多多指导哦。

1.配置验证过期以及刷新JWT的过滤器

@Component
public class JwtCheckTokenFilter extends OncePerRequestFilter {

//	@Autowired
//	UserDetailsService userservice;
	
	@Autowired
	UserService userService;

	@Autowired
	RedisUtil redisUtil;

	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		String token = request.getHeader("jwt_token");
		if (StringUtils.isEmpty(token))
			token = CookieUtil.getcookie(request, "jwt_token");
		if (!StringUtils.isEmpty(token)) {
			String username = JwtTokenUtil.getUsernameFromToken(token);
			if (username != null) {
				if (SecurityContextHolder.getContext().getAuthentication() == null) {
					//UserDetails userDetails = userservice.loadUserByUsername(username);
					UserMsg userMsg = userService.findByUsername(username);
					UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
					userMsg,token,getAuthorities(userMsg));
					authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
					SecurityContextHolder.getContext().setAuthentication(authentication);
				}
			} else {
				String user_key = redisUtil.getKeyByToken(token,"token");
				if (user_key != null) {
					UserMsg userMsg = userService.findByUsername(user_key);
					//UserDetails userDetails = userservice.loadUserByUsername(username2);
                     //返回刷新后的JWT
					String new_token = JwtTokenUtil.generateToken(userMsg);
                    //刷新redis中的JWT
					redisUtil.set("token"+redis_username,new_token,60*60*24*10);
					CookieUtil.addcookie(ImmutableMap.of("jwt_token", new_token), request, response);
				} else {
					SecurityContextHolder.clearContext();
				}
			}
		}else SecurityContextHolder.clearContext();
		filterChain.doFilter(request, response);
	}
	
	private Collection<GrantedAuthority> getAuthorities(UserMsg userMsg) {
		Stream<String> roles = 
				Objects.equals(1,userMsg.getIsadmin())?
				Stream.of("ROLE_admin","select","update","insert","delete")
				:Stream.of("ROLE_user","select","update","insert");
		return roles.map(SimpleGrantedAuthority::new).collect(Collectors.toList());
	}
}

 2.SpringSecurity的配置类

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled=true)
public class SecurityCo
最低0.47元/天 解锁文章
jwttoken自动续约_SpringSecurity Jwt Token 自动新的实现
weixin_39954569的博客
12-21 2182
功能需求最近项目中有这么一个功能,用户登录系统后,需要给 用户 颁发一个 token ,后续访问系统的请求都需要带上这个 token ,如果请求没有带上这个 token 或者 token 过期了,那么禁止访问系统。如果用户一直访问系统,那么还需要自动延长 token 的过期时间。功能分析1、token 的生成使用现在比较流行的 jwt 来生成。2、token 的自动延长要实现 token 的自动延...
Spring Security+JWT+Redis实现项目级前后端分离认证授权
weixin_71894495的博客
02-22 1442
本文介绍了一种前后端分离架构下,基于Spring security框架进行用户认证授权的方法,其中包括登录、登出、认证、授权、密码加密、jwt等知识点
SpringSecurity默认存入SPRING_SECURITY_CONTEXT影响Redis缓存Session,导致其它项目共享Session失败
酸菜鱼
12-18 2917
问题 SpringSecurity在配置了Redis后,会将SPRING_SECURITY_CONTEXT属性存入. 其中,如果实现了UserDetails的实体类,自然会被存入. 在其它项目中,如果配置了相同Redis地址用来Session共享,则在序列化时,会抛出UserDetails的实现类不存的异常 解决 将UserDetails的实现类放到一个公共模块中.在不同项目被调用. ...
spring security+jwt实现登录认证
最新发布
2302_77124303的博客
04-14 755
setExpiration(new Date(System.currentTimeMillis() + expiration)) // 过期时间。res.getWriter().write("{\"code\":403, \"msg\":\"权限不足\"}");res.getWriter().write("{\"code\":401, \"msg\":\"未认证\"}");.setIssuedAt(new Date(System.currentTimeMillis())) // 签发时间。
SpringSecurity SecurityContextPersistenceFilter源码 和企业级Redis使用思想
qq_31142237的博客
09-14 566
之前几篇我们基本上讲述了SpringSecurity 登录认证和授权认证的实现和源码分析。我们大致清楚了 : SpringSecurity 登录认证原理。 如果自定义登录认证流程 授权验证的流程原理 今天我们分析下整个认证过程和企业级redis使用的思想,是为了解决什么问题,以及怎么解决的? 我们简单回顾下 SpringSecurity 流程。 用户登录: 输入用户名 / 密码 JwtLoginFilter (自定义的UsernamePasswordAuthenticationFilter)..
日常记录-SpringBoot整合SpringSecurity(前后分离)+JWT+Redis
会走的鱼
09-04 3856
SpringBoot整合SpringSecurity一、搭建项目1、构建springboot项目2、导入依赖3、配置yml4、启动项目二、建立相关用户角色权限表1、创建数据库的字符集和排序规则2、用户表结构3、权限表结构4、用户与权限关联表结构5、插入测试数据三、创建实体类和Mapper1、SysUser2、SysPermission3、SysUserPermissionRelation4、配置@MapperScan四、Redis配置1、RedisConfig2、RedisUtil五、统一全局返回格式与处理
Spring Security+Redis实现登录
sky2019116的博客
02-03 1724
Spring Security是一个基于Spring框架的安全框架,它提供了一套完整的认证和授权机制,可以方便地实现登录功能需要实现UserDetails接口,并重写其中方法和定义一下自己需要用到的属性。@Data/** 用户唯一标识 *//** 登陆时间 *//** 过期时间 *//** 登录IP地址 *//** 浏览器类型 *//** 操作系统 *//** 用户信息 */@Override@Override/*** 账户是否未过期,过期无法验证*/
SpringSecurity Jwt Token 自动新的实现
08-19
SpringSecurity Jwt Token 自动新的实现 SpringSecurity Jwt Token 自动新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者...
Springboot前后端分离JWT+Security+Redis实现登录拦截及权限认证,包含全局异常处理以及统一返回风格
12-25
在本项目中,我们将探讨如何利用Spring Boot、JWT(JSON Web Token)、Spring Security和Redis实现一个高效的登录拦截和权限认证系统,同时实现全局异常处理和统一的API返回风格。 1. **Spring Boot**:Spring ...
整合springsecurityspringboot及redisjwt实现前后端分离登录认证图片验证码功能
xiangguang_fight的博客
01-16 2264
整合springsecurityspringboot及redisjwt实现前后端分离登录认证图片验证码功能 首先我们要先明白springsecurity过滤器链的大致执行流程: 即当用户发起一个请求,那么他将进入 Security 过滤器链。 当到 LogoutFilter 的时候判断是否是退出路径,如果是退出路径则到 logoutHandler 退出处理器,如果退出成功则到logoutSuccessHandler 退出成功处理。如果不是退出路径则直接进入下一个过滤器。 当到 UsernamePas
Spring Security+redis+jwt的简单使用(登入登出及token验证)
weixin_65247941的博客
09-22 2396
​ 自定义的登入接口放行@Autowired//创建BCryptPasswordEncoder 注入容器@Bean //注入IOC容器@Overridehttp//关闭csrf//不通过Session获取SecurityContext.and()// 对于登录接口 允许匿名访问// 除上面外的所有请求全部需要鉴权认证//把token校验过滤器添加到过滤器链中http@Override@Bean//用户认证后的封装@Autowired。
RedisSpringSecurity集成
AI天才研究院
01-28 1021
1.背景介绍 1. 背景介绍 Redis是一个开源的高性能键值存储系统,广泛应用于缓存、会话存储、计数器、消息队列等场景。Spring Security是Java平台上最受欢迎的安全框架之一,用于实现身份验证、授权和访问控制。在现代Web应用中,RedisSpring Security的集成成为了一种常见的实践,以提高系统性能和安全性。 本文将涵盖RedisSpring Security...
SpringSecurity提示Token过期返回错误代码而不是报系统繁忙的处理
Qyq0498的博客
02-18 5190
SpringSecurity对于每一个接口请求都会经过一个鉴权访问的Filter类,故Token过期的设置就在这里面处理啦。 第一步就是Security的入口啦,配置好SecurityConfig,注入所需要的所有Filter类 以下是我项目中的配置,仅供参考哈 package com.daqing.financial.hrauth.config; import com.daqing.financial.hrauth.filter.AdminAuthenticationProcessingFilter;
Shiro+JWT+Redis做认证,关于token有效期内续期方案
lucay1992的博客
02-09 1934
最近做的项目Springboot+vue前后端分离 还是选用了扩展功能很强大的shiro作为安全框架 并且弃用了shiro的session管理,使用JWT(JSON Web Token)取而代之 现在已经实现登录认证 有个问题是,用户在token有效时间内的正常操作(请求header中携带token的请求)如何token最好? 在网上查了查,我总结出两个方案: 1.第一种方案,单token反复新 简单来说就是用户每次访问后台服务,验证token通过时,会进行jwt续期(重新颁发toke
第九章:Spring Security 使用redis存储用户权限信息
胡汉三
06-01 9710
前面我们使用jwttoken来进行登录,但是只说明了它的好处,那么我们来讲一讲他不好的地方:消息体可以被base64解密为明文、不适合存放大量信息、无法作废未过期的token。显然我们准备要存储的东西非常多,用户信息+权限信息。所以我们考虑换redis来进行存储,抛弃jwt。 集成 <!-- redis连接 --> <dependency> <groupId>org.springframework.boot</groupId> <a
SpringSecurity+JWT+Redis实现前后端分离认证与授权
weixin_52536274的博客
11-03 645
我们还要定义一个过滤器去进行JWT验证,把自定义过滤器的优先级放到SpringSecurity的认证过滤前。正常用户执行登录操作后系统会把用户的id封装为jwt传递给前端,前端每次发起请求都会在请求头中携带jwt。我们对携带的jwt进行解析:第一种情况,如果解析失败,说明本次请求可能是注册、登录请求或用户未经过登录认证。直接放行到SpringSecurity的认证过滤器。解析成功就从Redis中取出该用户的认证信息并存入SecurityContextHolder上下文中以便后续过滤器的使用
解决:spring security 登录页停留时间过长 跳转至 403页面
该怎么解释?我懒得解释
12-01 4005
前言:最近的项目中用到了spring security组件,说句显low的话:我刚开始都不知道用了security好不勒,提了bug,在改的过程中,遇到了一些问题,找同事交流,才知道是用的security组件。 这个bug,真的是一波三折:复现它就是个问题,然后我又把403改成了404,后来干脆登录不进去主站,最后,这个bug,被消灭在本宝宝的代码中,哈哈哈哈哈! 问题所在:token
spring security 学习笔记 加入认证redis缓存(四)
m0_37723564的博客
01-17 1812
java开发中一般的安全开发框架比较常用的就是shiro和spring security。shiro的特点就是轻量级,上手比较简单,在网上的文档比较多;spring security的功能比较强大,属于spring 生态下的一个组件能很好的和spring旗下别的组件进行搭配,尤其是在目前微服务架构比较火热的大环境下,spring security天然就能融入spring cloud的微服务治理架构的优势就愈发的明显。
spring security,jwtredis实现前后端分离
05-31
好的,这是一个关于Spring Security、JWTRedis实现前后端分离的问题。 首先,Spring Security是一个基于Spring框架的安全框架,可以用来实现用户认证、授权等功能。 JWT(JSON Web Token)是一种用于在网络上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值