【SpringSecurity+JWT】实现前后端分离认证授权

最新推荐文章于 2025-04-13 14:51:31 发布
最新推荐文章于 2025-04-13 14:51:31 发布
阅读量1k 收藏 2
点赞数
分类专栏: 分布式微服务 文章标签: java 前端 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hupengfei_shenyang/article/details/125569907
版权

SpringSecurity从入门到精通

快速入门

SpringSecurity是spring家族中的一个安全管理框架,核心功能是认证和授权

认证:验证当前访问系统的是不是系统的用户,并且要确认具体是哪个用户
授权:经过认证后判断当前用户时候有权限进行某个操作

1、引入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

新建一个简单的helloController,然后我们访问hello接口,就需要先登录才能访问

认证

在这里插入图片描述

基本原理

SpringSecurity的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器,如下展示几个重要的过滤器

在这里插入图片描述

SpringSecurity过滤器链如图
在这里插入图片描述

其中最常用的三个过滤器:

  1. UsernamePasswordAuthenticationFilter:负责处理我们在登录页面填写了用户名和密码后的登录请求。默认的账号密码认证主要是他来负责
  2. ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException
  3. FilterSecurityInterceptor:负责权限校验的过滤器

在这里插入图片描述
Authentication接口:它的实现类,表示当前访问系统的用户,封装了前端传入的用户相关信息
AuthenticationManager接口:定义了认证Authentication的方法
UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个更具用户名查询用户信息的方法
UserDetails接口:提供核心用户信息。通过UserDetailService根据用户名获取处理的用户信息要封装成UserDetails对象放回。然后将这些信息封装到Authentication对象中

认证配置讲解


@Override
protected void configure(HttpSecurity httpSecurity) throws Exception{
   
    httpSecurity
            //关闭csrf
            .csrf().disable()
            //不通过Session获取SecurityContext
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
            .authorizeRequests()
            //对于登录接口,允许匿名访问
            .antMatchers("/login").anonymous()
            //除上面外的所有请求全部需要鉴权认证
            .anyRequest().authenticated();

    httpSecurity.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
}

授权

不同的用户可以有不同的功能

在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验,在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息,当前用户是否拥有访问当前资源所需要的权限,所以我们在项目中只需要把当前用户的权限信息存入Authentication

限制访问资源所需要的权限


// 放在配置类上
@EnableGlobalMethodSecurity(prePostEnable=true)

@RestController
public class LoginController {
   

    @RequestMapping("/login")
    // 有test权限才可以访问
    @PreAuthorize("hasAuthority('test')")
    // 有test和admin中的任意权限即可
    @PreAuthorize("hasAnyAuthority('test','admin')")
    // 必须有ROLE_test和ROLE_admin两个权限,hasRole会默认给角色添加前缀
    @PreAuthorize("hasRole('ROLE_test','ROLE_admin')")
    // 有ROLE_test和ROLE_admin中的任意权限即可,hasRole会默认给角色添加前缀
    @PreAuthorize("hasAnyRole('ROLE_test','ROLE_admin')")
    public String login(@RequestBody User user){
   
        // 登录
        return loginService.login(user);
    }
}

正常企业开发是不会选择在代码中控制权限的,而是从数据库中,通过用户、角色、权限来配置(RBAC权限模型)
在这里插入图片描述

自定义权限校验方法


@Component("ex")
public class SGExpressionRoot {
   
    public boolean hasAuthority(String authority){
   
        // 获取当前用户权限
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        LoginUser loginUser = (LoginUser)authentication.getPrincipal();
        List<String> permissions = loginUser.getPermissions();
        return permissions.contains(authority);
    }
}

调用我们自定义的检查规则


@RequestMapping("/login")
// SPEL表达式,@ex相当于获取容器中bean的名字是ex的对象
@PreAuthorize("@ex.hasAuthority('test')")
//    @PreAuthorize("hasAuthority('test')")
public String login(@RequestBody User user){
   
    // 登录
    return loginService.login(user);
}

配置文件配置访问权限


httpSecurity
                //关闭csrf
                .csrf().disable()
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                //对于登录接口,允许匿名访问
                .antMatchers("/login").anonymous()
                //具有admin权限才能访问helloController
                .antMatchers("/hello").hasAuthority("admin")
                //除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();

自定义失败提示

SpringSecurity自定义的异常过滤器,ExceptionTranslationFilter
认证过程出现异常,会被封装成AuthenticationException然后调用AuthenticationEntryPoint对象的方法
授权过程中出现异常会被封装成AccessDeniedException然后调用AccessDeniedHandler对象的方法

所以如果我们想要自定义异常处理,只需要自定义AuthenticationEntryPoint和AccessDeniedHandler然后配置给SpringSecurity即可


@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {
   
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOE
最低0.47元/天 解锁文章
Spring Boot与JWT整合实现前后端分离的用户认证
oscar999的专栏
10-25 1256
前言 本篇使用java-jwt作为JWT库,与Spring Boot整合实现前后端分离架构中用户认证。 关于JWT的介绍参考: JWT介绍以及java-jwt的使用 整合思路 后端提供登录服务,根据前端POST的用户名、密码产生Token。 对用户名、密码验证通过后产生Token Token中包含用户名、过期时间,使用用户密码作为密钥进行加盐加密。 前端获取该Token后,随后的请求附加...
Spring Security+JWT+Redis实现项目级前后端分离认证授权
weixin_71894495的博客
02-22 1490
本文介绍了一种前后端分离架构下,基于Spring security框架进行用户认证授权的方法,其中包括登录、登出、认证授权、密码加密、jwt等知识点
Spring boot+Spring security+JWT实现前后端分离登录认证及权限控制
热门推荐
李哈zzz的博客
03-30 2万+
借鉴文章: Springboot + Spring Security 实现前后端分离登录认证及权限控制_I_am_Rick_Hu的博客-优快云博客_springsecurity前后端分离登录认证 最近一段时间,公司给我安排了一个公司子系统的后台管理系统,让我实现权限管理。此时我就考虑到Spring全家桶的Spring security来权限管理。Spring security大致分为认证授权两个功能,底层也是通过JavaWeb的Filter过滤器来实现,在Spring security中维护了一个.
Spring Security + JWT 实现前后端分离权限控制实战教程
最新发布
zru_9602的博客
04-13 1041
Autowired@Autowiredtry {return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("用户名或密码错误");JWTSpring Security 的结合,可以帮助你构建一个无状态、安全、高效的前后端分离权限系统。它简化了登录状态的管理流程,提高了系统的伸缩性与并发处理能力。
SpringSecurity详细解释
m0_59208630的博客
11-02 233
Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证授权认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证授权也是SpringSecurity作为安全框架的核心功能。
Spring Security+JWT实现项目级前端分离认证授权
qq_44862692的博客
06-27 1032
SpringSecurity从入门到精通 0. 简介 ​ Spring Security 是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。 ​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。 ​ 一般Web应用的需要进行认证授权。 ​ 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户
Springboot使用SpringSecurity+Jwt前后端分离认证
qq_37924768的博客
04-26 1213
Springboot使用SpringSecurity+Jwt前后端分离认证 springsecurity是一个权限管理框架,由多个过滤器链组成,本次主要使用springsecurity结合jwt生成token进行前后端分离的权限校验。 权限这块使用了传统的RBAC权限控制,由五张表组成。 引入依赖: <dependency> <groupId>io.jsonwebtoken</groupId> <artifactI
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
SpringSecurity+JWT前后端分离架构登录认证
01-20
综上所述,Spring Security 和 JWT 的集成是构建安全的前后端分离架构的关键。通过合理的配置和实现,可以实现高效、安全的用户认证系统。在实际项目中,还需要考虑其他因素,如错误处理、令牌的过期策略以及安全性...
SpringSecurity
weixin_71974012的博客
05-10 1447
SpringSecurity从入门到精通
Spring Security+JWT前后端分离项目中,实现认证授权的入门及理论讲解
penriver的博客
05-03 1644
SpringSecurity的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。包含如下核心过滤器 - UsernamePasswordAuthenticationFilter: 根据用户名及密码进行认证工作 - ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和 AuthenticationException - FilterSecurityInterceptor: 负责进行授权操作 本文讲解认证授权的入门及理论讲解
Spring Security 安全校验前后端分离
weixin_44084735的博客
09-16 2134
Spring Security 是一个专注于向 Java 应用程序提供身份验证和授权的安全框架,在Web环境下,它是借助Filter来实现对请求的校验;因为是一个框架,开发出来的目的是为了适配各个不同的场景,各种扩展,再加上框架本身默认的功能是在以template 画html, 以Session做回话管理这种开发模式;不过我们现在都是前后端分离,所以原有的一些功能就不怎么适用了,导致我们刚接手时会觉得有点困难,接下来我们简单讲解一下框架的流程,以及后续更改为前后端使用Token交互的方式;
Springboot 整合swagger、springsecurity、jjwt实现前后端分离架构的权限认证搭建。
weixin_43277309的博客
04-08 1204
Springboot 整合swagger、springsecurity、jjwt实现前后端分离架构的权限认证搭建。 一、写本文的目的性() 1.1、网上有很多关于springsecurity、整合jjwt的相关例子,我前段时间因为个人原因,需要整合,但是看了网上的例子,要不太过于复杂,要么前后端耦合度太高,要么没有什么ruan用(但是我还是找到了某位猿猿的分享,得到了启发) 二、需要做的准备 2.1、没学过springboot、springsecurity的去学一下 这里有一份springsecurit
SpringBoot整合Spring Security+JWT实现前后端分离登录权限处理
z132411的博客
05-05 3025
前言 本篇文章是基于上一篇文章进行的整理扩展,没有看过的可以看一下上一篇文章 SpringBoot整合Spring Security实现前后端分离登录权限处理_zmgst的博客-优快云博客 本篇文章的思路是基于这位博主的博客进行的开发,一些对于jwt的描述,session和token的不同描述的很不错,原文地址: 【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证_小灵宝的博客-优快云博客_springboot整合security+jwt 依赖引入:
SpringBoot使用JWT作为Token实现前后端分离登录
q438944209的博客
02-14 7464
JWT就不多介绍了 传统的shiro和SpringSecurity安全框架需要Session,重启后Session会丢失,或者将Session存入redis也行,但是相对比较繁琐。利用JWT可以很轻松的实现Token的认证,在前后端分离的情况下,JWT也显得非常的简易。 依赖 &lt;dependency&gt; &lt;groupId&gt;com.auth0&lt;/groupId&...
前后端分离开发,六大方案全揭秘:HTTP API 认证授权
emprere的博客
12-19 516
文章作者:陈皓文章出处:https://coolshell.cn我们知道,HTTP 是无状态的,所以,当我们需要获得用户是否在登录的状态时,我们需要检查用户的登录状态,一般来说,用户的登...
谈谈前后端分离认证选择
汉堡请不要欺负面条
09-30 616
什么是前后端分离?为什么要前后端分离前后端分离,说的更多的是一种架构上的概念。在传统的web架构中,比如经典的MVC,会分数据层、逻辑层、视图层。这个视图层即我们所说的前端了,映射到代码层面,就是html、js、css等代码文件。数据层和逻辑层更多的是后端部分,例如我们的.java、.go、.py等文件。这些文件会在一个工程中,并不会单独的开发、测试、部署。 在前后端分离的架构中,前端和后端是分开的,分别在不同的工程中。前端有专门的前端开发人员来进行开发、测试,后端则有后端开发人员来进行开发..
Spring Security+jwt前后端分离
02-13
### Spring Security 和 JWT前后端分离架构中的身份验证与授权 在现代 Web 应用程序开发中,采用前后端分离架构变得越来越普遍。为了在这种架构下实现安全的身份验证和授权机制,通常会选择结合使用 Spring Security 和 JSON Web Token (JWT)[^1]。 #### 配置 Spring Security 自定义过滤器链 通过继承 `WebSecurityConfigurerAdapter` 类并覆盖其方法来定制化配置 Spring Security 是一种常见做法。然而,在最新版本的 Spring Security 中推荐直接注册组件而不是扩展此适配器类[^2]: ```java @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated() .and() .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class); return http.build(); } } ``` 这段代码禁用了 CSRF 支持(因为 REST API 不应依赖于浏览器自动发送 Cookies)、启用了路径匹配规则以及设置了无状态会话管理策略,并添加了一个自定义的 JWT 认证过滤器到 HTTP 请求处理流程之前。 #### 创建 JWT 认证过滤器 接下来需要编写一个专门负责解析请求头携带的 Bearer token 并完成用户认证逻辑的过滤器: ```java @Component public class JwtAuthenticationTokenFilter extends OncePerRequestFilter { private final String secretKey; public JwtAuthenticationTokenFilter(@Value("${jwt.secret}") String secretKey) { this.secretKey = secretKey; } @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { try { String jwt = getJwtFromRequest(request); if (StringUtils.hasText(jwt)) { Claims claims = Jwts.parserBuilder() .setSigningKey(Keys.hmacShaKeyFor(secretKey.getBytes())) .build() .parseClaimsJws(jwt).getBody(); String username = claims.getSubject(); Collection<? extends GrantedAuthority> authorities = Arrays.stream(claims.get("roles").toString().split(",")) .map(SimpleGrantedAuthority::new) .collect(Collectors.toList()); Authentication authentication = new UsernamePasswordAuthenticationToken( username, null, authorities); SecurityContextHolder.getContext().setAuthentication(authentication); } } catch (Exception ex){ logger.error("Could not set user authentication in security context", ex); } chain.doFilter(request,response); } private String getJwtFromRequest(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7, bearerToken.length()); } return null; } } ``` 上述代码实现了从 HTTP 头部提取 JWT 字符串的功能,并利用 HMAC SHA-256 算法对其进行签名验证;如果成功,则构建相应的 `UsernamePasswordAuthenticationToken` 对象填充至当前线程的安全上下文中以便后续访问控制决策时能够获取已登录用户的权限信息[^3]。 #### 客户端集成 对于前端应用而言,当用户尝试登录时应该向服务器提交用户名密码组合换取有效的 JWT ,之后每次发起受保护资源请求前都需要附带该令牌作为凭证。考虑到 Base64 编码可能存在的 URL 特殊字符问题,建议遵循 RFC 7519 规范采用 Base64URL 方案编码 payload 数据部分[^4]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值