使用Spring Boot和Spring Security构建安全的RESTful API

原创 于 2025-06-12 09:01:59 发布 · 406 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Spring Boot #Spring Security #JWT #RESTful API #Java

使用Spring Boot和Spring Security构建安全的RESTful API

引言

在现代Web开发中,构建安全的RESTful API是每个开发者的必备技能。Spring Boot和Spring Security作为Java生态中的主流框架,提供了强大的工具和功能来简化这一过程。本文将详细介绍如何使用这两个框架构建一个安全的RESTful API,并实现基于JWT(JSON Web Token)的认证机制。

项目搭建

首先,我们需要创建一个Spring Boot项目。可以通过Spring Initializr(https://start.spring.io/)快速生成项目骨架。选择以下依赖:

  • Spring Web
  • Spring Security
  • Lombok(简化代码)

生成项目后,导入到IDE中,确保项目能够正常运行。

配置Spring Security

Spring Security是一个功能强大的安全框架,可以轻松集成到Spring Boot项目中。我们需要配置它以实现基于JWT的认证。

添加JWT依赖

pom.xml中添加以下依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

实现JWT工具类

创建一个JwtUtil类,用于生成和验证JWT令牌:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.function.Function;

@Component
public class JwtUtil {

    @Value("${jwt.secret}")
    private String secret;

    @Value("${jwt.expiration}")
    private Long expiration;

    public String generateToken(String username) {
        Map<String, Object> claims = new HashMap<>();
        return createToken(claims, username);
    }

    private String createToken(Map<String, Object> claims, String subject) {
        return Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + expiration * 1000))
                .signWith(SignatureAlgorithm.HS256, secret)
                .compact();
    }

    public Boolean validateToken(String token, String username) {
        final String extractedUsername = extractUsername(token);
        return (extractedUsername.equals(username) && !isTokenExpired(token));
    }

    private Boolean isTokenExpired(String token) {
        return extractExpiration(token).before(new Date());
    }

    public Date extractExpiration(String token) {
        return extractClaim(token, Claims::getExpiration);
    }

    public String extractUsername(String token) {
        return extractClaim(token, Claims::getSubject);
    }

    private <T> T extractClaim(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = extractAllClaims(token);
        return claimsResolver.apply(claims);
    }

    private Claims extractAllClaims(String token) {
        return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
    }
}

配置安全过滤器

创建一个JwtRequestFilter类,用于拦截请求并验证JWT令牌:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    @Autowired
    private JwtUtil jwtUtil;

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
        final String authorizationHeader = request.getHeader("Authorization");

        String username = null;
        String jwt = null;

        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            jwt = authorizationHeader.substring(7);
            username = jwtUtil.extractUsername(jwt);
        }

        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
            if (jwtUtil.validateToken(jwt, username)) {
                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken =
                        new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                usernamePasswordAuthenticationToken
                        .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        chain.doFilter(request, response);
    }
}

实现用户认证

创建一个UserDetailsServiceImpl类,用于加载用户信息:

import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.Collections;

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 这里应该从数据库加载用户信息
        return new User("admin", "password", Collections.emptyList());
    }
}

创建RESTful API

最后,创建一个简单的RESTful API,并使用JWT进行保护:

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/api")
public class ApiController {

    @GetMapping("/hello")
    public String sayHello() {
        return "Hello, World!";
    }
}

测试API

使用Postman或其他工具测试API:

  1. 首先调用登录接口获取JWT令牌。
  2. 在后续请求的Authorization头中添加Bearer <token>
  3. 访问受保护的API端点。

总结

本文详细介绍了如何使用Spring Boot和Spring Security构建安全的RESTful API,并实现基于JWT的认证机制。通过这种方式,可以确保API的安全性,同时保持代码的简洁和可维护性。

希望本文对你有所帮助!

Spring Security实战:构建安全RESTful API
java专栏
06-29 1721
认证逻辑就像是门卫检查出入证的过程,Spring Security允许我们自定义这个过程。通过实现UserDetailsService接口,我们可以定义自己的用户认证逻辑。@Service@Override// 这里你可以查询数据库,找到对应的用户信息// 假设我们找到了一个用户。
Spring Security 实战:保护 RESTful API
java专栏
08-30 997
嘿,小伙伴们!欢迎来到 Spring Security 的实战之旅!Spring Security 是一个功能强大的安全框架,它可以帮你保护应用程序免受各种攻击。在本篇文章中,我们将手把手教你如何使用 Spring Security 来保护 RESTful API,确保只有经过验证授权的用户才能访问你的资源。准备好了吗?Let’s go!恭喜你完成了这篇 Spring Security 实战教程!你现在应该知道如何使用 Spring Security 来保护你的 RESTful API 了。
spring security+jwt 实现 restful api格式.
09-20
本案例采用jpa 持久化,/auth/login 获取token登入信息,把token 前添加Bearer 注意Bearer 后有个空格,放到headers 请求中.可访问其他信息
Spring Boot 3.x 集成 Spring Security 实现安全RESTful API
qq_30110433的博客
04-28 1231
通过 Spring Boot 3.x Spring Security,我们构建了一个安全的任务管理 API,集成了 JWT 认证角色授权。Spring Security 6.x 的简洁配置 Virtual Threads 支持让开发更高效。关于作者:我是小贺,乐于分享各种编程知识,同时欢迎大家关注我的个人博客以及微信公众号[小贺前端笔记]
SpringSecurity 开发安全RESTful服务(持续更新)
暗余的博客
12-26 2641
导航:SpringSecurity 开发安全的Rest服务一. 初入Restful1.1 本章导航1.2 使用SpringMVC 编写Restful API1.3 REST成熟度模型1.4 常用注解 SpringSecurity 开发安全的Rest服务 一. 初入Restful 1.1 本章导航 使用Spring MVC编写Restful API 使用Spring MVC处理其他web应用常...
Spring Boot使用 Spring Security 构建权限系统的示例代码
08-29
Spring Boot使用Spring Security构建权限系统是非常轻松简单的。 首先,我们需要了解Spring Security框架。Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架...
spring-boot-projects-Spring Boot RESTful API开发实战项目
最新发布
11-08
Spring Boot 是一个为快速构建大型企业...这些实战项目通过提供实际开发中用到的源码架构设计,可以帮助开发者快速理解掌握Spring Boot及其相关技术栈的使用,从而更高效地构建出高质量的RESTful API微服务架构。
Spring Boot如何使用Spring Security进行安全控制
08-30
Spring Boot使用 Spring Security 进行安全控制 Spring Boot 作为一个流行的 Java 框架,安全控制是其不可或缺的一部分。 Spring Security 是一个功能强大且广泛使用安全框架,它提供了许多安全控制机制,例如...
Spring Boot开发框架】基于Spring Boot的Web应用开发教程:从环境搭建到RESTful API实战介绍了Spring Boot框架
06-13
接着,介绍了Spring Boot核心组件的应用,包括Spring MVC、Spring Data JPASpring Security的具体实现配置。最后,通过一个在线书店系统的示例,展示了如何从需求分析、数据库设计到项目实现的完整开发流程。 ...
Java Spring Boot框架如何快速构建RESTful API
Lindaoland的博客
04-19 1038
在UserController中,我们可以定义处理各种HTTP请求的方法,如GET、POST、PUT、DELETE等。通过创建Spring Boot项目、定义数据模型、创建Repository接口Controller类,我们可以轻松地构建出功能完善的RESTful API。例如,我们可以创建一个User实体类,包含id、name、age等属性,并使用@Entity、@Id等注解进行配置。在构建RESTful API的过程中,我们还可以进行一些优化扩展操作,以提高API的性能可维护性。
Restful风格服务端应用的Spring Boot + Spring Security配置
06-08
NULL 博文链接:https://357029540.iteye.com/blog/2329730
Spring Security 4 Rest API
holdlg
11-08 899
有霾走遍天下,无霾寸步难行最近在用spring boot 注解方式 实现 rest 风格的 angular 2 API, 有坑,虽记录之,如下:Spring Securityspring出的一套集认证与授权一体的库。官方文档大部分都是以网页提交表单的方式说明的。Spring Security 认证源码 Spring Security 4 认证代码在UsernamePasswordAuthentic
Spring Security技术栈学习笔记(二)RESTful API详解
脚踏实地,慢慢来
04-08 8093
RESTful一种软件架构风格、设计风格,而不是标准,只是提供了一组设计原则约束条件。它主要用于客户端服务器交互类的软件。基于这个风格设计的软件可以更简洁,更有层次,更易于实现缓存等机制。本篇博客主要讲述使用Spring MVC开发RESTful风格的API。 一、传统APIRESTful API 传统的APIRESTful API如下表所示: 行为 传统A...
Spring Security+Spring Social+SpringBoot集成Restful可配置安全模块及代码生成器
weixin_34029680的博客
01-04 503
简介: 1.本项目主要分为core核心模块,browser浏览器模块,app模块,demo使用restful实例模块及spring-boot-api-project-seed代码生成器模块。 2.本项目主要实现,手机验证码登录功能,图片验证码登录功能,qq,微信社交用户登录功能,controller--mapper层通用crud代码生成功能,swagger-ui文档功能,session集群...
使用SpringSecuritySpringMVC来实现安全RESTFul接口
牵佳一诺的博客
07-10 2730
可以使用SpringSecurity在请求到@RequestMapping之前进行拦截。 题外话:Spring的Interceptor(拦截器)是在@RequestMapping之后进行拦截的。
Spring Security技术栈学习笔记(四)RESTful API服务异常处理
脚踏实地,慢慢来
04-08 4622
当我们从浏览器访问不存在的Spring BootRESTful API的时候,往往会返回Spring Boot内置的404错误界面,但是作为前后端分离的应用,相同的API也许会在其他终端访问,比如手机APP等,那么也会是相同的处理方式吗? 一、Spring Boot的默认处理方式分析 从浏览器端访问 启动Spring Boot项目,从浏览器访问一个不存在的API,如“/us...
RESTful API使用 Spring Security
曲翎风
11-09 453
介绍 在篇文章中,我们将学习如何使用 Spring Spring Security 5 提供更安全RESTful API。 我们将使用 Java 配置来设置安全性,并将使用登录 Cookie 方法进行身份验证。 启用Spring Security Spring Security 的体系结构完全基于 Servlet 过滤器。 注册 Spring Security 过滤器的最简单选择是添加 ...
Spring Security入门(八) 使用Spring MVC开发RESTful API-错误处理
上千主上-贝库塔
04-28 604
一.导学 Spring boot中默认的错误处理机制 自定义异常处理 二.spring boot中默认的错误处理机制 访问一个不存在的url http://localhost:8070/xxx 浏览器的默认错误如下图所示 浏览器的处理(我们先访问正常页面) http://localhost:8070/user/1 获取用户信息的请求,返回的是json格式的用户信息 我们...
学习 Spring Security(七):RESTful 化注册 API
qq_44005305的博客
01-05 355
在注册系列的最后几篇博文中,我们将以 MVC 方式来构建所需要到的大部分功能。我们将把这些 API 中的一部分转换成更具 REST 风格。
构建智能点系统:使用Spring BootJava RESTful API
- 使用Maven打包运行项目:通过`mvn spring-boot:run`命令来启动Spring Boot应用程序。 #### 12. 关键技术栈小结 - **Spring Boot**:简化了基于Spring的应用开发。 - **Java 8**:提供了现代的编程特性,比如...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Uranus^

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值