深入解析Spring Boot与Spring Security整合实现JWT认证

最新推荐文章于 2025-09-12 11:13:48 发布
原创 最新推荐文章于 2025-09-12 11:13:48 发布 · 318 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Spring Boot #Spring Security #JWT #认证 #Java

深入解析Spring Boot与Spring Security整合实现JWT认证

引言

在现代Web应用中,身份认证和授权是保障系统安全的重要组成部分。JWT(JSON Web Token)作为一种轻量级的认证机制,因其无状态、跨语言支持等优势,被广泛应用于分布式系统中。本文将结合Spring Boot和Spring Security,详细介绍如何实现基于JWT的身份认证。

JWT简介

JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。它由三部分组成:Header、Payload和Signature。JWT的主要特点包括:

  1. 无状态:服务端无需存储会话信息,减轻了服务器压力。
  2. 跨语言支持:JWT可以轻松在不同语言和平台之间传递。
  3. 自包含:JWT包含了所有必要的信息,减少了数据库查询。

环境准备

在开始之前,确保你的开发环境满足以下条件:

  • JDK 8或更高版本
  • Maven或Gradle构建工具
  • Spring Boot 2.5.x或更高版本
  • Spring Security 5.5.x或更高版本

项目搭建

  1. 创建Spring Boot项目

    使用Spring Initializr创建一个新的Spring Boot项目,添加以下依赖:

    • Spring Web
    • Spring Security
    • JJWT(用于生成和解析JWT)

  2. 配置Spring Security

    application.properties中配置JWT的密钥和过期时间:

    jwt.secret=your-secret-key
jwt.expiration=86400000

实现JWT认证

1. 生成JWT

创建一个工具类JwtTokenUtil,用于生成和解析JWT:

public class JwtTokenUtil {
    private static final String SECRET_KEY = "your-secret-key";
    private static final long EXPIRATION_TIME = 86400000; // 24小时

    public static String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();
        return Jwts.builder()
                .setClaims(claims)
                .setSubject(userDetails.getUsername())
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();
    }

    public static String getUsernameFromToken(String token) {
        return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getSubject();
    }
}

2. 配置Spring Security

创建一个配置类SecurityConfig,继承WebSecurityConfigurerAdapter,并重写相关方法:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/api/auth/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .addFilter(new JwtAuthenticationFilter(authenticationManager()))
                .addFilter(new JwtAuthorizationFilter(authenticationManager()));
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

3. 实现JWT过滤器

创建两个过滤器JwtAuthenticationFilterJwtAuthorizationFilter,分别用于处理登录请求和验证JWT:

public class JwtAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        // 实现登录逻辑
    }

    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        // 生成JWT并返回
    }
}

public class JwtAuthorizationFilter extends BasicAuthenticationFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        // 验证JWT并设置认证信息
    }
}

测试与验证

使用Postman或类似的工具测试以下接口:

  1. 登录接口POST /api/auth/login
  2. 受保护接口GET /api/protected

总结

本文通过Spring Boot和Spring Security的整合,实现了基于JWT的身份认证机制。JWT的无状态特性使其非常适合分布式系统,而Spring Security的强大功能则为开发者提供了灵活的配置选项。希望本文能帮助你快速掌握这一技术。

基于Spring Boot 3 + Spring Security6 + JWT + Redis实现登录、token身份认证
m0_74823683的博客
03-02 758
基于Spring Boot3实现Spring Security6 + JWT + Redis实现登录、token身份认证。系列文章指路??项目源码??
Spring BootSpring Security 实现 JWT 认证
weixin_43833540的博客
06-16 2322
Spring Security 中,UsernamePasswordAuthenticationToken 的 authorities 参数用于注入当前用户的​​权限集合​​(Collection<?JWT 是一种开放标准(RFC 7519),用于在网络应用间安全传递 JSON 格式的声明信息。JWT 在微服务、跨域单点登录(SSO)场景中优势显著。JWT 由三部分组成,以点号。
spring security+jwt实现认证授权
weixin_41377877的博客
04-13 600
下来就是说认证了,认证的逻辑其实也很简单,这里我是结合JWT去做的认证校验。大致流程就是,登录的时候,验证完用户之后,会根据用户生成一个带有用户信息的token返回给客户端,客户端再下次请求时则带着token访问,过滤器会获取token来进行验证,如果验证通过,则对该用户进行资源授权,如果验证不通过,则返回认证失败,大致流程就是这样。在上述返回用户以及用户的权限之后,返回的资源我们会在redis或者其他手段保存下来,在下次请求进来时,完成认证之后,会获取相关用户的权限进行授权。首先,引入相关的依赖。
Spring Boot 项目中实现 JWT + Security 的完整流程
最新发布
qq_62024906的博客
09-12 494
Spring Security 本质是。
Springboot Security 有关postman访问401的问题
清的博客
05-20 952
还有一个困扰我4-5个小时的问题,因为我是刚学springboot,没有想到SecurityConfiguration是要在主运行文件也就是xxxxxxApplication一个包内的,不然就上边那行代码就会失效。主要问题是csrf的问题,这个是防止跨站请求伪造攻击的,目前高版本securitys是默认开启的,需要关闭。
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
emprere的博客
10-05 475
一.说明SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地...
SpringBoot整合SpringSecurityJWT
hello,word!
03-03 7022
SpringBoot整合SpringSecurityJWTSpringSecurity提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限。
精选资源
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring SecurityJWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
精选资源
spring boot3.x结合spring security最新版实现jwt登录验证
09-02
接下来,我们将步骤化讲解如何在Spring Boot 3.xSpring Security的集成中使用JWT: 1. **项目初始化**: - 创建一个新的Spring Boot项目,选择Spring Web和Spring Security starter。 - 添加JWT相关的依赖,如`...
Springboot+Security+Jwt
点点的博客
12-13 1万+
工程目录 文章目录 工程目录 前言 一、Security是什么? 二、使用步骤 1.引入pom.xml文件 2.application.yml文件 。。。。。。 总结:代码足够详细,有耐心的可以看,没耐心的浪费时间! 前言 随着业务的发展,传统的不分离前后端的Java项目逐渐减少,更多的时候是做到前后端分离,会话管理也就从传统的Session会话管理变为Jwt管理会话,本篇文章就是SpringBoot使用Jwt管理会话同时整合Security,完成权限操作。
SpringBoot+SpringSecurity+JWT实现认证授权
热门推荐
oyc的博客
01-17 5万+
一、背景: 在 B/S 系统中,登录功基本都是依靠 Cookie 来实现的,用户登录成功之后主要需要客户端和服务端完成以下两项工作: (1)服务端将登录状态记录到 Session 中,或者签发Token; (2)客户端利用Cookie保存于服务端对应的 Session ID 或 Token。之后每次请求都会带上Cookie信息(包含Session ID或者Token),当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单点登录:单点登录(Single Sign On, S.
SpringBoot+SpringSecurity+JWT整合
seeyouagain_的博客
01-04 1万+
SpringSecurity入门简单案例适合新手学习
Spring boot Security Jwt
何xiao树
05-31 1635
Spring Security 整合开发 引入 security 启动器,默认拦截所有资源,启动项目会生成一个默认密码,账号 user <!-- 引入Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-.
(五)Spring Boot学习——spring security +jwt使用(前后端分离模式)
朝屯暮蒙vi的博客
02-10 2076
2.不带token则在控制器中对用户密码进行验证,因为在loadUserByUsername方法中设置了对用户名密码的验证,所以使用UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginName, password);验证结果是true的。我使用的是springboot3.3.5 springsecurity6.x的 jwt 0.12.6
springboot集成springsecurity + jwt的使用
hjh15827475896的博客
06-07 2016
当项目中要用到用户的认证及权限的时候我们一般会使用 springSecurity来解决。
springboot+springsecurity的基础上+JWT(私钥加密,公钥解密)
furenqiang的博客
12-23 3959
一、已经完成了springboot+springsecurity的工作若没完成,请移步 security的使用:三个工具类 ,放在项目专门存放工具类的包下面 (1)、jwtUtils.java: JWT生成TOKEN package com.aliyun.vuelogin.util; import com.aliyun.vuelogin.common.Payload; import io.js...
Spring Security(三)JWT Token认证认证思路分析
Lyndon的专栏
08-04 2111
单点登录相关
SpringSecurity实现角色权限控制(SpringBoot+SpringSecurity+JWT
lans_g的博客
05-14 9116
通过springboot整合jwtsecurity,以用户名/密码的方式进行认证授权认证通过jwt+数据库的,授权这里使用了两种方式,分别是SpringSecurity自带的hasRole方法+SecurityConfig和 我们自定义的permission+@PreAuthorize注解。用来存储和获取当前线程关联的 SecurityContext 对象的类。
Spring BootJWTSpring Security整合示例
标题中提到的知识点包括JWT(Json Web Token)和Spring Security的结合使用,以及如何在Spring Boot项目中实现这一安全机制。JWT是一种轻量级的认证机制,常用于Web应用中,用于在客户端和服务器之间安全地传输信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Uranus^

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值