spring security配合jjwt完成权限管理02

最新推荐文章于 2025-09-23 16:04:55 发布
原创 最新推荐文章于 2025-09-23 16:04:55 发布 · 395 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jwt #spring boot

本文详细介绍了如何使用Spring Security和JWT实现登录认证。首先讲解了AuthenticationProvider在用户认证中的作用,然后展示了自定义的CustomAuthenticationProvider类,用于处理登录逻辑。接着,介绍了UsernamePasswordAuthenticationFilter的自定义实现JWTLoginFilter,该过滤器处理用户登录请求并生成JWT token。最后,讨论了权限验证的实现,包括BasicAuthenticationFilter的子类JwtTokenInterceptor,用于解析和验证JWT token。文章还提到了权限不足时的处理类MyAccessDeniedHandler,并给出了完整的配置类SecurityConfig。

上一篇做好基础操作之后现在开始做最终开发,首先完成登录位置:

登录板块

首先关注AuthenticationProvider类,spring security用户认证主要是通过AuthenticationManager这个类完成的,但是但是真正进行认证的是 AuthenticationManager 中定义的 AuthenticationProvider,所以我们要使用jwt配合security而又不通过security默认登录来做登录的时候,就需用户自己来完成认证工作了

import org.springframework.security.authentication.*;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;


public class CustomAuthenticationProvider implements AuthenticationProvider {
    private UserDetailsService userDetailsService;

    private BCryptPasswordEncoder bCryptPasswordEncoder;
    public CustomAuthenticationProvider(UserDetailsService userDetailsService, BCryptPasswordEncoder bCryptPasswordEncoder){
        this.userDetailsService = userDetailsService;
        this.bCryptPasswordEncoder = bCryptPasswordEncoder;
    }
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException,DisabledException {
        // 获取认证的用户名 & 密码
        String name = authentication.getName();
        String password = authentication.getCredentials().toString();
        // 认证逻辑
        UserDetails userDetails = userDetailsService.loadUserByUsername(name);
        //登录异常全部在JWTLoginFilter中统一抛出
        if (null != userDetails) {
            if (bCryptPasswordEncoder.matches(password, userDetails.getPassword())) {
                if (!userDetails.isAccountNonLocked()){
                    throw new DisabledException("当前账户被锁定了,请联系管理员");
                }else{
                    Authentication auth = new UsernamePasswordAuthenticationToken(name, password, userDetails.getAuthorities());
                    return auth;
                }

            } else {
                throw new BadCredentialsException("密码错误");
            }
        } else {
            throw new UsernameNotFoundException("用户不存在");
        }
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return authentication.equals(UsernamePasswordAuthenticationToken.class);
    }
}

这里主要是进行authenticate方法的重写,所有登录中的异常全部向上抛出,因为这里只是做认证动作,登录最终完成还是得去UsernamePasswordAuthenticationFilter这个类完成

首先UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份验证而定制化的一个过滤器
当用户登录得时候调用这个过滤器,底层自动调用AuthenticationProvider去认证可以配合完成登录认证工作



import com.alibaba.fastjson.JSONObject;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.mysecurity.liuyf.pojo.User;
import com.mysecurity.liuyf.util.ResponseUtil;
import com.mysecurity.liuyf.util.ResultCode;
import com.mysecurity.liuyf.util.jwt.AuthException;
import com.mysecurity.liuyf.util.jwt.JwtUtil;

import com.mysecurity.liuyf.util.jwt.TokenException;
import lombok.SneakyThrows;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.*;

public class JWTLoginFilter extends UsernamePasswordAuthenticationFilter {
    private AuthenticationManager authenticationManager;
    private  JwtUtil jwtUtil;
    public JWTLoginFilter(AuthenticationManager authenticationManager,JwtUtil jwtUtil) {
        this.authenticationManager = authenticationManager;
        this.jwtUtil=jwtUtil;
    }

    // 尝试身份认证(接收并解析用户凭证)
    @SneakyThrows
    @Override
    public Authentication attemptAuthentication(HttpServletRequest req, HttpServletResponse res) throws AuthenticationException {
        Map<String, Object> data = new HashMap<>();
        try {
            User user = new ObjectMapper().readValue(req.getInputStream(), User.class);
            Authentication authentication= authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(
                            user.getUsername(),
                            user.getPassword(),
                            new ArrayList<>())
            );
            return authentication;
        } catch (IOException e) {
            System.out.println(e);
            throw new RuntimeException(e);
        }catch (Exception e) {
            //登录异常再这里捕获并且返回给前端数据
           // System.out.println(e.getMessage());
            data.put("code", ResultCode.LOGIN_FAIL.val());
            data.put("message", e.getMessage());
            ResponseUtil.sendMsg(res,data);
            return null;
        }
    }
    // 认证成功(用户成功登录后,这个方法会被调用,我们在这个方法里生成token)
    @Override
    protected void successfulAuthentication(HttpServletRequest request,
                                            HttpServletResponse response,
                                            FilterChain chain,
                                            Authentication auth) throws IOException, ServletException {

        Map<String, Object> data = new HashMap<>();
        // builder the token
        String token = null;
        try {
            //添加用户权限到token中去,动态修改权限的话不能立即生效
            Collection<? extends GrantedAuthority> authorities = auth.getAuthorities();
            // 定义存放角色权限集合的对象
            StringBuilder sb=new StringBuilder();

            Object[] grantes=authorities.toArray();
            for(int i=0;i<grantes.length;i++){
                sb.append(grantes[i]);
                if(i!=grantes.length-1){
                    sb.append(",");
                }
            }
           token= jwtUtil.generateToken(auth.getName()+"-"+sb.toString());
           // System.out.println(token);
            // 登录成功后,返回token到header里面
            data.put("code", ResultCode.SUCCESS.val());
            data.put("data", token);
            ResponseUtil.sendMsg(response,data);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

这里需要重写两个方法
attemptAuthentication方法尝试身份认证(接收并解析用户凭证)

successfulAuthentication这个方法,这个方法主要是登录认证成功并且加载了用户的资料后调用的,我们在这个位置使用jwtUtil.generateToken()创建了token(这里把权限也写进去了)
这样登录的整体就完成了,接收用户登录数据,调用security验证数据,最后把所需要的数据写到token中回传给前端(注意格式),让前端人员保存到客户端用于客户端访问的时候携带

权限认证板块

登录模块写好了,我们需要构造权限拦截、访问认证板块了
BasicAuthenticationFilter:主要做security的权限认证,我们需要编写类继承它



import com.mysecurity.liuyf.util.ResponseUtil;
import com.mysecurity.liuyf.util.ResultCode;
import com.mysecurity.liuyf.util.jwt.JwtUtil;
import com.mysecurity.liuyf.util.jwt.TokenException;
import io.jsonwebtoken.*;
import lombok.SneakyThrows;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;
import javax.servlet.FilterChain;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.*;

public class JwtTokenInterceptor extends BasicAuthenticationFilter {
    private  JwtUtil jwtUtil;
    public JwtTokenInterceptor(AuthenticationManager authenticationManager,JwtUtil jwtUtil) {
        super(authenticationManager);
        this.jwtUtil=jwtUtil;
    }

    @SneakyThrows
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, TokenException {
        Map<String, Object> data = new HashMap<>();
        String header = request.getHeader("token");
        if (header == null|| header.isEmpty()) {
            data.put("code", ResultCode.PARAMS_ERROR.val());
            data.put("message", ResultCode.PARAMS_ERROR.msg());
            ResponseUtil.sendMsg(response,data);
            return;
        }
        UsernamePasswordAuthenticationToken authentication = getAuthentication(request, response);
        if (authentication!=null){
        SecurityContextHolder.getContext().setAuthentication(authentication);
        chain.doFilter(request, response);
        }
    }
    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException {
        Map<String, Object> data = new HashMap<>();
        data.put("code", ResultCode.SYS_ERROR.val());
        String token = request.getHeader("token");
        // parse the token.
        String user = null;
        try {
            // 密钥
            Claims  claims = jwtUtil.parseToken(token);
           /* // token签发时间
            long issuedAt = claims.getIssuedAt().getTime();
            // 当前时间
            long currentTimeMillis = System.currentTimeMillis();
            // token过期时间
            long expirationTime = claims.getExpiration().getTime();*/
            //System.out.println(claims);
            user = claims.getSubject();
            if (user != null) {
                String[] split = user.split("-")[1].split(",");
                ArrayList<GrantedAuthority> authorities = new ArrayList<>();
                for (int i=0; i < split.length; i++) {
                   authorities.add(new SimpleGrantedAuthority(split[i]));
                }
                return new UsernamePasswordAuthenticationToken(user, null, authorities);
            }
       }
        /**
         * 捕获并返回前端token相关的异常
         */
        catch (ExpiredJwtException e) {
            data.put("message", "Token已经过期");
            ResponseUtil.sendMsg(response,data);
             return null;
        }
        catch (MalformedJwtException|UnsupportedJwtException|IllegalArgumentException|SignatureException e ) {
            data.put("message", "Token格式错误");
            ResponseUtil.sendMsg(response,data);
             return null;
        }
        catch (Exception e) {
            System.out.println(e);
            data.put("message", ResultCode.SYS_ERROR);
            ResponseUtil.sendMsg(response,data);
            return null;
        }
        return null;
    }
}

重写doFilterInternal方法去验证

UsernamePasswordAuthenticationToken authentication = getAuthentication(request, response);这个位置我们调用getAuthentication()方法,这这个方法中完成token的解析以及对当前token权限的解析(之前登录的时候随着用户名一起放置在jwt中,在这个位置反向解析出来,完成new UsernamePasswordAuthenticationToken()交给security去处理权限)

在getAuthentication方法中我们抛出token错误(乱写的token)和token过期的异常用于返回给前端

最后编写一个类继承自AccessDeniedHandler用于当用户没有某种权限的时候返回前端错误



import com.fasterxml.jackson.databind.ObjectMapper;
import com.mysecurity.liuyf.util.JsonResult;
import com.mysecurity.liuyf.util.ResultCode;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;


import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse response, AccessDeniedException e) throws IOException, ServletException {
            // TODO Auto-generated method stub
            response.setCharacterEncoding("UTF-8");
            response.setContentType("text/html;charset=utf-8");
        ObjectMapper mapper = new ObjectMapper();
        String result=null;
        result= mapper.writeValueAsString(new JsonResult(ResultCode.USER_NO_PERMISSION,ResultCode.USER_NO_PERMISSION.msg()));
        response.getWriter().print(result);
    }
}

这样我们基础都写完了,最后我们完成配置


@Configuration
//@EnableGlobalMethodSecurity(prePostEnabled=true)
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 权限不足
     * @return
     */
    @Bean
    AccessDeniedHandler customAccessDeniedHandler(){
        return new MyAccessDeniedHandler();
    }

 
  @Bean
  BCryptPasswordEncoder bCryptPasswordEncoder(){
      return new BCryptPasswordEncoder();
  }

    @Autowired
   private JwtUtil jwtUtil;
    @Autowired
    private UserDetailsService userDetailsService;

    /**
     * 身份认证位置
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(new CustomAuthenticationProvider(userDetailsService, bCryptPasswordEncoder()));
    }


    @Autowired
    ApplicationParams params;
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers(params.getAntMatchers());
    }

   
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
               .authorizeRequests()
                .antMatchers("/userLogin").anonymous()
                .antMatchers(HttpMethod.GET,"/*.html").permitAll()
                .antMatchers("/sayHello").hasAnyAuthority("user:add")
                .antMatchers("/del").hasAnyAuthority("user:del")
                .antMatchers("/admin/say").hasRole("ADMIN")
                .antMatchers("/say").hasRole("SALE_ADMIN")
                .anyRequest().authenticated().and()
                .addFilter(new JWTLoginFilter(authenticationManager(),jwtUtil))
                .addFilter(new JwtTokenInterceptor(authenticationManager(),jwtUtil))
                .csrf().disable();
                //用于权限不足位置
        http.exceptionHandling().accessDeniedHandler(customAccessDeniedHandler());

    }
}

这里是做最后的配置,需要注意的是

.addFilter(new JWTLoginFilter(authenticationManager(),jwtUtil))
.addFilter(new JwtTokenInterceptor(authenticationManager(),jwtUtil))

这两个filter一个是加载登录位置,一个是权限认证位置

这样整体就写完了我们来测试一下,接下一篇

SpringSecuritySpringSecurity+JWT实现登录
Infinity的博客
12-16 1440
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是为Java应用程序设计的,特别是那些基于Spring的应用程序。Spring Security是一个社区驱动的开源项目,它提供了全面的安全性解决方案,包括防止常见的安全漏洞如CSRF、点击劫持、会话固定等。:Spring Security可以处理用户的身份验证过程,即确认用户是否是他们声称的人。它可以使用多种机制来进行身份验证,例如表单登录、HTTP基本认证、OAuth2、JWT等。
(五)Spring Boot学习——spring security +jwt使用(前后端分离模式)
朝屯暮蒙vi的博客
02-10 2088
2.不带token则在控制器中对用户密码进行验证,因为在loadUserByUsername方法中设置了对用户名密码的验证,所以使用UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginName, password);验证结果是true的。我使用的是springboot3.3.5 springsecurity是6.x的 jwt 0.12.6。
SpringBoot 3 + Spring Security 6 + JWT 打造企业级权限系统,拿走即用!!
最新发布
jike007gt的博客
09-23 1030
咱花了这么多时间搭的这个系统,到底能满足企业级需求吗?必须能!安全可靠:密码 BCrypt 加密,JWT 签名防篡改,权限控制细到方法级别,防 CSRF、XSS;分布式友好:无状态认证,支持多服务器部署,不用考虑 Session 共享问题;易扩展:可以轻松加 OAuth2.0、RBAC 细粒度权限(比如用户 - 角色 - 菜单)、验证码登录;拿来就用:代码完整,配置清晰,你只要改改数据库连接和密钥,就能放到项目里用。
springboot整合securityjwt
08-05
springboot2.0整合securityjwt, 还整合了redis,与swagger-ui
spring security配合jjwt完成权限管理01
liuyuncd的博客
05-27 499
项目需要需要使用jwt token来完成用户状态管理以及使用spring security完成用户权限管理,所以需要将二者配合使用 基础思路: 1:spring security关闭自带的session管理,不需要服务器错处用户信息 2:登录时调用security的用户认证模块 3:security认证成功后通过jwt生成token返回给客户,并且在token中存储其他信息(例如权限信息,也可以存储在redis中) 4:用户操作时通过jwt确认用户是否登录状态(token验证)、获取token携带的权限信息
SpringSecurity+JWT
Ycy的博客
09-17 998
前端将用户名密码发送给后端,后端核对成功后根据用户信息生成一个JWT(Token),后端将JWT作为登陆成功返回结果给前端,前端保存在本地localStorage或sessionStorage上(退出登录时前端删除保存的JWT即可),前端之后每次请求时将JWT放入HTTP Header中,后端校验JWT有效性,如签名是否正确、Token是否过期、检查Token的接收方是否是自己等,后端验证成功后使用JWT中的用户信息完成相关请求操作。默认的登录请求url是"/login",并且只允许POST方式的请求。
精选资源
spring security+jjwt
05-27
- Spring SecurityJWT的结合允许开发者灵活地添加自定义逻辑,比如实现权限控制、会话管理、登录失败处理等。 - 可以与其他Spring生态组件无缝集成,如Spring BootSpring Cloud等。 通过了解这些核心概念,您...
精选资源
spring-boot-webflux-jjwt:示例Spring Boot和带有Spring SecurityJWT的WebFlux(响应式Web),用于令牌认证和授权
01-30
该项目是关于如何在Spring Boot应用中集成Spring SecurityJWT(JSON Web Tokens)来实现响应式Web(WebFlux)的认证和授权。Spring Boot简化了Java应用的开发,而Spring Security则提供了强大的安全框架,JWT则是...
精选资源
spring boot3.x结合spring security最新版实现jwt登录验证
09-02
Spring Boot简化了Spring应用的初始搭建以及开发过程,而Spring Security则为应用程序提供了全面的安全管理解决方案。本教程将详细讲解如何在Spring Boot 3.x版本中结合Spring Security的最新版实现JWT(JSON Web ...
关于SpringBoot2.x集成SpringSecurity+JJWT(0.7.0-->0.11.5)生成Token登录鉴权的问题
eternally_zh128@sina.com的博客
10-12 802
The signing key's size is 24 bits which is not secure enough for the HS512 algorithm. The JWT JWA Specification (RFC 7518, Section 3.2) states that keys used with HS512 MUST have a size >= 512 bits (the key size must be greater than or equal to the hash o
精选资源
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
03-05
本示例项目“基于SpringBoot+SpringSecurity+jwt实现的基于token的权限管理demo”提供了一个很好的起点,帮助新手理解如何在SpringBoot框架中集成SpringSecurityJWT(JSON Web Token)来实现代理认证和授权。...
SpringSecurityJWT(笔记)
weixin_46949627的博客
09-07 1171
SpringSecurityOauth2与JWT
SpringSecurity学习笔记之 入门 十六 ( 基于JJWT 无状态会话管理的【前后端分离】)
m0_49194578的博客
08-26 2590
之前的项目都是基于session的会话,用户的信息数据储存在session中; 但是有两个弊端,1.session不是很安全,2.在分布式项目中session的管理是个问题; 所以尝试使用jjwt来解决问题 由于security原生支持的是session。所以改jwt我们就需要手动完成框架自动完成的部分; 手动加入过滤器,拦截请求进行token认证; 手动调用登录请求调用loadUser,进行登录认证; 手动完成用户Conext的创建,并设进线程域对象; 至于用户信息的管理: 直接在载荷里存入用户信息
Spring Security JWT学习 (七)
给自己一个smile
03-30 1110
目录 一、JWT简介 1. 什么是JWT 2. JWT组成 二、JJWT简介 1. 什么是JJWT 2. 快速入门 Spring Security 学习专栏 1. Spring Security 入门学习(一) 2. Spring Security 自定义认证管理器和讲解 (二) 3. Spring Security 接口详解 (三) 4. Spring Security 工作原理 (四) 5. Spring Security 查询数据库(五) 5. Spring Security
SpringSecurity】【JJWTJJWT踩坑LocalDateTime
Confused_的博客
05-12 874
JJWT生成JWT错误~ LocalDateTime序列化问题....
SpringSecurityJWT
SADADADG的博客
04-10 8081
1.不做任何配置 引入了依赖之后,就会自动生效,会自动跳转的自带的登录页面 账号:user 密码:控制台输出(随机生成) 2.自定义登录逻辑 (1)UserDetailsService——通过用户名得到数据库数据 1.会加载用户名,把信息从数据库中取出来,返回一个UserDetails 2.会进行比较用户名和密码 public interface UserDetailsService { UserDetails loadUserByUsername(String username) throw
Spring Security集成JWT
m0_73837751的博客
12-04 2491
JWT(JSON Web Token)是一种用于在不同系统之间安全地传递信息的无状态令牌。它通常用于 身份验证 和 授权,尤其在现代Web应用和API中非常常见。JWT是通过对传输的数据进行编码和签名来确保其完整性和安全性。JWT的特点:JWT由三个部分组成,每一部分都是用Base64Url编码的,并通过"."(点)连接起来,格式如下: (1) Header(头部) Header包含两部分内容:示例: 这里,"alg" 表示签名算法(HMAC SHA256),"typ" 表示JWT的类型。Pa
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 5678
SpringSecurity+JWT快速入门
Spring Security + JWT
GZXGYZ的博客
11-15 126
先赘述一下用户认证和用户授权:用户认证(Authentication):系统通过校验用户提供的用户名和密码来验证该用户是否为系统中的合法主体,即是否可以访问该系统。用户授权(Authorization):系统为用户分配不同的角色,以获取对应的权限,即验证该用户是否有权限执行该操作。Web应用的安全性包括用户认证和用户授权两个部分,而Spring Security(以下简称Security)基于Spring框架,正好可以完整解决该问题。它的真正强大之处在于它可以轻松扩展以满足自定义要求。/**
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值