SpringSecurity+jwt+captcha登录认证授权总结

最新推荐文章于 2025-06-09 17:47:44 发布
最新推荐文章于 2025-06-09 17:47:44 发布
阅读量1k 收藏 24
点赞数 17
CC 4.0 BY-SA版权
分类专栏: java 文章标签: java 认证 RBAC 验证 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/magic_guo/article/details/143779155

SpringSecurity+jwt+captcha登录认证授权总结

版本信息:

springboot 3.2.0、springSecurity 6.2.0、mybatis-plus 3.5.5

认证授权思路和流程:
未携带token,访问登录接口:

1、用户登录携带账号密码

2、请求到达自定义Filter,自定义Filter(如JwtAuthenticationTokenFilter)继承OncePerRequestFilter(此Filter只会进行一次过滤,在请求返回时,不会再进行调用),在SecurityConfig中配置,将自定义Filter添加到过滤器链中并加在UsernamePasswordAuthenticationFilter过滤器之前

3、自定义Filter逻辑

3.1、查询到用户未携带token,直接放行,进入到后面认证流程

3.2、将用户信息封装成Authentication对象,调用authticate()方法进行验证,一直到DaoAuthenticationProvider中,会调用UserDetailService的loadUserByUserName()方法;自定义UserDetailServiceImpl继承UserDetailService接口;重写其loadUserByUserName()方法;查到用户后,封装成UserDetail对象返回

4、调用passwordEncoder的验证方法进行用户信息的认证(一般使用BCryptPasswordEncoder,创建此Bean并放入容器中)

5、认证通过后,使用JWT创建token并放到redis中;返回token到前端

携带token访问:

1、请求到达自定义Filter中,获取token,先验证token的正确性,从token中获取到userId,根据userId从redis中获取用户信息,将用户信息封装成Authentication对象,放进SecurityContextHolder中,后面的过滤器会在SecurityContextHolder中获取用户的信息

2、请求到达FilterSecurityInterceptor,在springSecurity中默认使用FilterSecurityInterceptor来进行权限校验;FilterSecurityInterceptor会从SecurityContextHolder中获取Authentication,然后获取其中的权限信息,判断当前用户是否拥有当前资源的访问权限;

3、通过权限判断,获取资源返回给前端;

登录认证流程图:

在这里插入图片描述

基于RBAC的授权控制:
RBAC概念:

Role-Based Access Control,中文意思是:基于角色(Role)的访问控制。这是一种广泛应用于计算机系统和网络安全领域的访问控制模型。

简单来说,就是通过将权限分配给角色,再将角色分配给用户,来实现对系统资源的访问控制。一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般是多对多的关系

模型:

在这里插入图片描述

在数据库中主要体现用户表角色表菜单表用户角色关联表角色菜单关联表五个模型:

CREATE TABLE "mySchema"."t_user"
(
"id" INT IDENTITY(1, 1) NOT NULL,
"username" VARCHAR(100) NOT NULL,
"password" VARCHAR(100) NOT NULL,
"email" VARCHAR(100) NOT NULL,
"phone" VARCHAR(100),
UNIQUE("id"),
UNIQUE("username"),
UNIQUE("email"),
UNIQUE("phone"),
NOT CLUSTER PRIMARY KEY("id")) STORAGE(ON "MAIN", CLUSTERBTR) ;

COMMENT ON TABLE "mySchema"."t_user" IS '用户表';
COMMENT ON COLUMN "mySchema"."t_user"."id" IS '用户id';
COMMENT ON COLUMN "mySchema"."t_user"."username" IS '用户名';
COMMENT ON COLUMN "mySchema"."t_user"."password" IS '密码';
COMMENT ON COLUMN "mySchema"."t_user"."email" IS '用户邮箱';
COMMENT ON COLUMN "mySchema"."t_user"."phone" IS '电话';


CREATE TABLE "mySchema"."sys_role"
(
"id" BIGINT IDENTITY(1, 1
最低0.47元/天 解锁文章

200万优质内容无限畅学
SpringSecurity + JWT 实现登录认证
xaiobit_hl的博客
07-17 2341
Component@Override// 1.获取 JWT 令牌if (!// 2.判断 JWT 令牌正确性// 3.获取用户信息,存储 Security 中= null= null) {// 4.创建用户对象null,// 绑定 request 对象。
SpringSecurity+jwt实现权限认证功能
qq_45440103的博客
11-16 1359
前面我们已经通过使用springboot框架获得了管理数据的基本能力,但是一个系统不或缺的功能是安全登录。这里我们以springsecurity+jwt方案实现登录以及权限控制。本文对jwt登录校验,权限管理的原理简单描述,并且提供了实现方案。
SpringSecurity权限管理框架系列(九)-SpringSecurit结合JWT完成用户登录认证
最爱嫣夜来
03-28 1161
1、实现思路 用户发起登录认证请求 服务端接收用户请求参数,获取登录账号密码,通过spring security进行登录认证 登录认证失败,则抛异常信息 登录认证成功, 则创建用户唯一key,将用户信息及权限信息保存到redis数据库缓存; 再调用JWT工具生成token, 返回给用户端 用户端之后的请求都在请求头携带该token 在spring security的自定义配配置中添加一个JWT的token校验过滤器Filter, 请求过来先校验请求的token,如果token不存在,token验证错误。
【安全篇】金刚不坏之身:整合 Spring Security + JWT 实现无状态认证授权
最新发布
程序员阿超的博客
06-09 1557
本文是《Spring Boot 实战派》系列的第四篇。我们将直面所有 Web 应用都无法回避的核心问题:安全。文章将详细阐述**认证(Authentication)** 与**授权(Authorization**的核心概念,对比传统 Session-Cookie 与现代 JWT(JSON Web Token)的优劣。 我们将从零开始,一步步整合强大的 **Spring Security** 框架,并结合 **JWT** 实现一套**无状态(Stateless)**、适用于前后端分离架构的认证授权体系。读者
Spring security+jwt服务鉴权完整代码.zip
09-09
Spring security+jwt服务鉴权完整代码.实现服务鉴权访问, 携带token访问服务, 缺失或无效都提示401
springSecurity+jwt实现分布式鉴权认证
qq_37824570的博客
03-09 4068
springSecurity+jwt实现分布式鉴权认证
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
热门推荐
qq_44709990的博客
02-23 4万+
登录用户认证是一个网站最基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Spring Security + JWT实现登录及用户认证
Spring Boot 3 集成 Spring Security + JWT
Harry的博客
12-03 1128
在本文中,我们将一步步学习如何使用 Spring Boot 3 Spring Security 来保护我们的应用程序。我们将从简单的入门开始,然后逐渐引入数据库,并最终使用 JWT 实现前后端分离。
Spring+Security+JWT+MyBatisPlus
白玉梁的专栏
09-17 1397
数据库: Sql: create table jwttest.permissions ( id int auto_increment primary key, path varchar(255) null, role_ids varchar(255) default '1' null, description varchar(255) null ); create t.
spring security6+springboot3+jwt实现权限控制
hepeike001的博客
05-12 3769
最近在学习spring security,看到网上的都是比较老的版本,所以从github上找了一个开源的最新的spring security6 的demo借鉴,然后结合官网文档自己鼓捣了一个demo出来,做个笔记方便以后忘记怎么搞了来看看,哈哈哈OVO。(本项目用的是jdk17,有些表达式jdk8是无法编译的,所以要跑起来的话记得安装17哦,反正现在也免费了)
Spring Security集成JWT
m0_73837751的博客
12-04 2155
JWT(JSON Web Token)是一种用于在不同系统之间安全地传递信息的无状态令牌。它通常用于 身份验证 授权,尤其在现代Web应用API中非常常见。JWT是通过对传输的数据进行编码签名来确保其完整性安全性。JWT的特点:JWT由三个部分组成,每一部分都是用Base64Url编码的,并通过"."(点)连接起来,格式如下: (1) Header(头部) Header包含两部分内容:示例: 这里,"alg" 表示签名算法(HMAC SHA256),"typ" 表示JWT的类型。Pa
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有adminuser角色的用户可以访问 文章地址:https://blog.youkuaiyun.com/fuu123f/article/details/108233463
【Spring Security系列】Spring Security整合JWT:构建安全的Web应用
小威的博客
04-22 2万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
SpringBoot集成Spring Security+jwt+kaptcha验证(简单实现,可根据实际修改逻辑)
pedro程序时刻的博客
12-08 1201
super(msg);实现数据库查询用户信息权限接口,这里配合了mybatis-plus用户信息权限是分开查询了,建议重新封装@Service@Autowired/*** 根据名称获取用户信息* @return*/@Override/*** 根据id获取用户权限* @return*/@OverrideUserMapper@Mapper。
Spring Security+JWT简述
姜守威的博客
06-03 2万+
目录一. 什么是Spring Security1. 登陆校验的流程2. SpringSecurity基础案例二. Spring Security原理流程 一. 什么是Spring Security Spring Security是Spring家族的一个安全管理框架, 相比于另一个安全框架Shiro, 它具有更丰富的功能。一般中大型项目都是使用SpringSecurity做安全框架, 而Shiro上手比较简单 spring security 的核心功能: 认证(你是谁): 只有你的用户名或密码正确才能
Spring Security 6 系列之九 - 集成JWT
代码让AI扣
12-26 1740
1)不清楚的可以回顾lesson03子模块,这里做了一些小改动2) 在entity包下新增LoginUserDetails类,自定义类为了能够Redis序列化,之前使用Security默认的User,在Redis反序列化会报错@Data@Override@Override@Override@Override@Override@Override@Override3)定义entity包下的TUser对应mapper包下的TUserMapper@Data。
SpringBoot安全三剑客:Security+JWT+OAuth2全流程实现
梵心白莲的博客
03-11 1823
在当今的Web应用开发中,安全性是至关重要的一环。Spring Boot作为一款广泛使用的开发框架,为开发者提供了便捷的开发体验。而Spring Security、JWT(JSON Web Token)OAuth2这三个技术,被称为Spring Boot安全三剑客,它们结合起来可以为Spring Boot应用提供全面、高效且安全的认证授权解决方案。本文将详细介绍如何在Spring Boot应用中全流程实现这三个技术的整合。
SpringBoot中注解@ConfigurationProperties的作用
会者定离,一期一祈
10-08 2061
作用 @ConfigurationProperties的作用:可以读取配置文件中的信息,并自动封装成实体类,该实体类的名称,默认是类名的首字母小写。 比如,在application.yml中有这样的内容: # 安全配置 security: # 验证captcha: enabled: true type: math 代码演示 package com.ruoyi.gateway.config.properties; import org.springframework.boot.
Spring Security认证授权
weixin_55010563的博客
04-20 545
对于系统来说,同一时间会有多个用户正在使用,那么如何确认哪个用户正在请求登录接口是登录认证的核心目的.Spring Security提出了:当前登录用户/当前认证用户,Spring Security中使用Authentication来存储认证信息,表示当前用户。是指某个用户是否有权限执行某个操作.在同一系统中,不同用户所具有的权限是不同的.如对某一文件,有些用户只能读不能修改,而有些用户既可读也可以修改.某个角色都有一系列的权限
springsecurity jwt多用户
03-08
### 实现Spring Security与JWT集成以支持多用户认证授权 为了在Spring Security中使用JSON Web Token (JWT)来实现多用户的认证授权,可以遵循以下方法: #### 配置依赖项 确保项目中的`pom.xml`或者`build....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值