Jwt 如何在 springboot 项目中进行接口访问鉴权

已于 2023-12-21 10:35:04 修改
阅读量434 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Java 文章标签: spring boot java 后端 JWT
于 2023-12-20 17:43:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ppdouble/article/details/130775827
本文详细介绍了如何在SpringBoot项目中使用JWT进行token验证,包括拦截器的使用、JWT的生成与校验、处理错误路径以及自定义token验证流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

结合以下文章:
jwt.io 官网详细介绍

SpringBoot集成JWT实现Token登录验证

SpringBoot项目使用JWT+拦截器实现token验证

spring-boot + JWT实现TOKEN登录接口验证

SpringBoot集成JWT实现token验证

SpringBoot 开发 – JWT 认证教程

1 springboot 框架负责接口的拦截和放行

1.1 原理

使用 HandlerInterceptor (对于 springboot 框架不推荐使用 doFilter)

1.2 思路

白名单思路, 拦截所有接口目录/**, 放行需要的接口

@Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**");
}

1.3 坑: Springboot 访问了错误处理路径 /error

接口程序中有未处理的异常, 报了 Null Pointer Exception, Springboot 调用默认的错误处理接口 /error 企图调用错误处理程序, 第二次触发了 HandlerInterceptor, 由于/error不带 token, 所以被拒绝,最终报 token 校验不通过的错误信息.

这里的解决方法:

1 处理程序中所有异常, 在最外层捕捉不可预见的异常, 返回统一错误信息,服务内部错误
2 自定义 springboot 的 error path 为符合自己程序的路径, 并用 controller 定义处理程序. 当springbot框架本身或者依赖包出现不可预知的错误时,转到这里, 可以返回统一错误信息

其它方法也可以尝试使用 @ControllerAdvice 自定义异常处理类, 处理程序自身不可预知的错误

2 jwt token 负责携带数据和签名的生成及校验

官方库

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.19.4</version>
</dependency>

2.1 初始化

JWTCreator.Builder builder = JWT.create();

2.2 设置 Header

Map<String,Object> headerMap = new HashMap<>();
builder.withHeader(headerMap);

2.3 携带数据 payload

自定义数据

for (Map.Entry<String,String> entry:data.entrySet()) {
    builder.withClaim(entry.getKey(), entry.getValue());
}

设置过期时间

builder.withExpiresAt(expireDate);

Token 放在请求Header的Authorization字段里。Token 携带数据userId

Token 的格式:

header

{
  "kid": "XXXXXXXXXXXXXXXXXX0MDVmLWIyMjEtMjQ1MWU3NWYxXXXXX5",
  "typ": "JWT",
  "alg": "RS256"
}

payload

{
  "exp": 1684829637,
  "userId": "xxxxxxxxxxxx==",
  "iat": 1684829607
}

2.4 签名 sign 后, 生成 token

token = builder.sign(Algorithm.HMAC256(secretKey))

如果使用RSA非对称算法,可以从jwt库的源码看出使用私钥签名

token = builder.sign(Algorithm.RSA256(rsaPrivateKey))

java-jwt-4.0.0-sources.jar!/com/auth0/jwt/algorithm/RSAAlgorithm.java

    @Override
    public byte[] sign(byte[] headerBytes, byte[] payloadBytes) throws SignatureGenerationException {
        try {
            RSAPrivateKey privateKey = keyProvider.getPrivateKey();
            if (privateKey == null) {
                throw new IllegalStateException("The given Private Key is null.");
            }
            return crypto.createSignatureFor(getDescription(), privateKey, headerBytes, payloadBytes);
        } catch (NoSuchAlgorithmException | SignatureException | InvalidKeyException | IllegalStateException e) {
            throw new SignatureGenerationException(this, e);
        }
    }

2.5 校验

配置算法

JWTVerifier verifier = JWT.require(Algorithm.HMAC256(secretKey)).build();

如果使用RSA非对称算法,可以从jwt库的源码看出使用公钥校验

JWTVerifier verifier = JWT.require(Algorithm.RSA256(rsaPublicKey)).build();

java-jwt-4.0.0-sources.jar!/com/auth0/jwt/algorithm/RSAAlgorithm.java

    @Override
    public void verify(DecodedJWT jwt) throws SignatureVerificationException {
        try {
            byte[] signatureBytes = Base64.getUrlDecoder().decode(jwt.getSignature());
            RSAPublicKey publicKey = keyProvider.getPublicKeyById(jwt.getKeyId());
            if (publicKey == null) {
                throw new IllegalStateException("The given Public Key is null.");
            }
            boolean valid = crypto.verifySignatureFor(
                    getDescription(), publicKey, jwt.getHeader(), jwt.getPayload(), signatureBytes);
            if (!valid) {
                throw new SignatureVerificationException(this);
            }
        } catch (NoSuchAlgorithmException | SignatureException | InvalidKeyException
                | IllegalArgumentException | IllegalStateException e) {
            throw new SignatureVerificationException(this, e);
        }
    }

校验

DecodedJWT decodedJWT  = verifier.verify(token);

校验的方法是再生成一遍进行比较

2.6 获取信息

两种方法

  • 第一种方法: 在 HandlerInterceptor 里的 PreHandle 校验通过后, 立即解析 token, 拿到数据. 把解析结果放入 threadlocal 变量, 这样在整个请求的主线程里, 可以使用该变量, 并且该变量对其它线程不可见, 在请求结束的 afterCompletion() 方法里把 threadlocal 变量注销释放.
  • 第二种方法: 在需要获取信息的时候, 先获取该severlet请求的上下文 RequestContextHolder, 进而拿到请求Request中的 header, 进而拿到 token, 重新解析 token, 获取数据. 由于接口进来时, 已经通过校验, 可以不通过校验的方式获取解析后的token, 直接调用解析方法进行解析即可.

2.7 字段说明

nbf 可用于多机部署时, 服务器之间时间的微小差异

3 拦截器代码

Springboot 建议使用HandlerInterceptor进行拦截

定义 annotation, 对这个annotation 修饰的接口进行拦截


@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface AccessWithoutToken {
    boolean required() default true;
}


@Slf4j
public class AuthenticationInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        log.info("Request from {} to URI: {}, URL: {}", HttpClientUtil.getRemoteIp(request), request.getRequestURI(), request.getRequestURL().toString());
        // 如果不是映射到方法直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }

        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        log.info("Method {}, {}", method.getName(), method.getDeclaredAnnotations());
        if (method.isAnnotationPresent(AccessWithoutToken.class)) {
            AccessWithoutToken accessWithoutToken = method.getAnnotation(AccessWithoutToken.class);
            if (accessWithoutToken.required()) {
                return true;
            }
        }

        // Authorization: Bearer <token>
        String authorization = request.getHeader("Authorization");

        // TODO check token
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        if (!org.apache.commons.lang3.StringUtils.isBlank(authorization)) {

            String[] authorizationStr= StringUtils.split(authorization, SPACE);
            if (2 == authorizationStr.length) {
                String authType = authorizationStr[0];
                String token = authorizationStr[1];

                if (authType.equals("Bearer") && !org.apache.commons.lang3.StringUtils.isBlank(token)) {

                    DecodedJWT decodedJWT = JwtUtil.verifyToken(token);
                    if (null != decodedJWT) {
                        // TODO 校验通过获取信息
                        log.info("token: {}......, 校验通过, 签发时间{}, userId{}", token.substring(0, 32), decodedJWT.getIssuedAt().getTime(), decodedJWT.getClaim("userId"));
                        return true;
                    }
                } else {
                    log.error("Token 校验失败, auth prefix={}, token={}", authType, token);
                }
            } else {
                log.error("Token 校验失败, http header 中解析 Authorization 字段错误, authorization={}", authorization);
            }

        } else {
            log.error("Token 校验失败, http header 中没有 Authorization 字段, authorization={}", authorization);
        }
        try (PrintWriter writer = response.getWriter()) {
            writer.print(RestResponse.fail(RestCode.USER_VALIDATE_FAIL_JWT_TOKEN));
        } catch (Exception e) {
            log.error("登录 JWT Token 校验失败 未知错误 error=", e);
        }

        return false;
    }
}

扩展阅读

OWASP Top Ten 2021 : Related Cheat Sheets

okta What-is-the-lifetime-of-the-JWT-tokens

其它

关于springboot 默认 error path

customize springboot default error path
ErrorMvcAutoConfiguration.java
get-started-with-custom-error-handling-in-spring-boot-java/
spring-boot-custom-error-page
how-to-fix-spring-boot-customize-http-error-response-in-java
howto.actuator.customize-whitelabel-error-page
boot-features-error-handling

Springboot接口简单方式
qq_29998003的博客
12-28 8432
Springboot接口简单方式 今天遇到需要给springboot单独的模块需要做接口的机制,因为我们是多模块开发的项目。为了接口安全,实现方式为: 对称加密 白名单 这种方式就从软件和网络二个方面进行了安全保障。 拦截器 类似于jwt那种方式,header中添加对称加密之后的sign,客户端请求中,需携带这个请求接口。服务器端拦截器中,获取该sign,如果解密成功,说明合法请求。 pu...
Spring Boot实现接口时间戳
weixin_43833540的博客
06-06 621
Spring Boot接口时间戳方案通过请求头传递签名(X-Signature)和时间戳(X-Timestamp)。签名算法使用MD5,基于密钥、URL路径和时间戳生成。实现流程包括:创建拦截器校验时间戳有效性和签名一致性,配置拦截路径,并支持自定义时间窗口。客户端需在请求头中添加上述参数,服务端通过拦截器自动完成,保障接口安全性。该方案适用于需要时效性和防篡改的API场景。
SpringBoot接口
这里没有简介
02-01 3276
HandlerInterceptorAdapter抽象类进行接口。有的时候,我们要对接口进行管理,避免敏感信息,然后就有了如下案例。处理类(这里仅仅是判定UA长度进行判定,请自行替换)若接口不满意还可以选择如下接口
Jwt使用
苍穹尘的博客
05-24 2000
Jwtspringboot项目中的使用示例代码: 1、引入pom依赖 <!--引入JWT依赖,由于是基于Java,所以需要的是java-jwt--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> ...
api 请求 fail_基于Spring Boot以及Redis使用Aop来实现Api接口签名验证
weixin_39664560的博客
01-31 364
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。Api接口签名验证主要防御措施为以下几个:请求发起时间得在限制范围内请求的用户是否真实存在是否存在重复请求请求参数是否被篡改实现思路:我们按照主要防御措施先后顺序来实现,首先已知我们得到以下四个参数:// 供应商的id,验证用户的真实性 String appid = request.getHeader("a...
基于springboot+oauth2.0+jwtToken认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
使用JWT双令牌机制进行接口请求
北海之灵的博客
07-19 1465
1.JWT的使用 2.双令牌模式 3.无感刷新 token
Springboot集成JWT token实现限验证
abfwaaf的博客
04-14 1976
解释上面的过程,用户在登陆之前还没有token,登录之后,通过调用TokenUtils来生成token,并且返回给前端,至此,该用户就有了token,在之后的请求中首先会被Interceptor-Config类拦截下来,然后进入JwtInterceptor类进行token的校验,成功后才会进入controller层,否则就会抛出401的异常(这里的异常是自己手动设置的),然后就会返回给前端,前端就会发生页面跳转,跳转到login页面。这里只提供一个例子,其他的地方都是一样的。
SpringBoot集成JWT和Redis实现登录功能
jike11231的博客
12-14 1217
目前市面上有许多框架,原理大同小异,本文简单介绍下利用JWT和Redis实现功能,算是抛砖引玉吧。主要原理就是“
SpringBoot中的SpringSecurity进行屏蔽(解决token不存在/token is null等报错)
Olozee的博客
09-21 1516
最近在做一个使用大疆平台的项目时,遇到了对当前用户进行的问题,如果是不通过用户登录想要直接在后端调用一些接口的功能,会碰到token is null的报错。因为以前自己写项目都没有在用户上做过,所以对不太了解。开始想到的解决方法是固定一个曾经的用户token,后面发现这个方法:1.有时候会牵扯到其他的一些报错;2.不太合理(直接破坏了整个项目的结构和规则)。
Java Spring Boot 解析
呱牛 Just do IT
03-11 1243
在现代软件开发中,系统安全至关重要。Spring Boot 作为 Java 领域热门的微服务框架,提供了强大且便捷的机制。对于初学者而言,理解 Spring Boot原理与实现方式,是迈向专业 Java 开发者的关键一步。本文将深入浅出地讲解 Spring Boot机制,助力各位初学者快速掌握核心要点。
基于Springboot集成security、oauth2实现认证、资源管理源码
04-22
基于Springboot集成security、oauth2实现认证、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
SpringBoot使用token简单的具体实现方法
08-25
主要介绍了SpringBoot使用token简单的具体实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Boot整合Spring Security实现认证
weixin_57392053的博客
06-24 3055
Spring Security是一个基于Spring框架的安全性框架,可以为Web应用程序提供身份验证(Authentication)、授(Authorization)、攻击防御等安全功能。Spring Security框架提供了一整套的身份验证、授、ACL(访问控制列表)等模块和类库,还提供了一系列的安全过滤器、安全标签等,可以方便地实现常见的安全性控制。
SpringBoot中使用Spring-AOP实现接口
qq_42582773的博客
09-27 1863
Spring AOP实现接口
接口--JWT
12-11 207
参考   一,传统和现在的接口测试的定义及接口的类型   二,认识URL   三,认识HTTP协议   四,接口认证方式:Bearer Token
Spring Boot 项目的 4 种方式
终码一生
01-14 435
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! 文章介绍spring-boot中实现通用auth的四种方式 包括传统AOP、拦截器、参数解析器和过滤器,并提供了对应的实例代码,最后简单总结他们的执行顺序。 1、传统AOP 对于这种需求,首先想到的当然是 Spring-boot 提供的 AOP 接口,只需要在 Controller 方法前添加切点,然后再对切点进行处理即可。 实现 其使用步骤如下: 使用 @Aspect 声明一下切面类.
SpringBoot学习:接口JWT
大小鱼鱼鱼鱼鱼
06-13 6489
import static org.apache.commons.lang3.StringUtils.defaultIfBlank; import static org.apache.commons.lang3.math.NumberUtils.toInt; import static org.apache.commons.lang3.math.NumberUtils.toLong; /** ...
4 种 SpringBoot 项目方式
java_atguigu的博客
04-07 3898
传统 AOP 对于这种需求,首先想到的当然是 Spring-boot 提供的 AOP 接口,只需要在 Controller 方法前添加切点,然后再对切点进行处理即可。 实现 其使用步骤如下: 使用 @Aspect 声明一下切面类 WhitelistAspect; 在切面类内添加一个切点 whitelistPointcut(),为了实现此切点灵活可装配的能力,这里不使用 execution 全部拦截,而是添加一个注解 @Whitelist,被注解的方法才会校验白名单。 在切面类中使用 spring
springboot实现针对外部接口访问本系统认证
最新发布
06-21
<think>首先,用户的问题是:“我想了解如何在SpringBoot中实现对外部接口访问本系统的认证请问springboot实现外部接口访问时的认证机制”。所以,我需要专注于如何在SpringBoot中处理外部接口访问时的认证。用户提到了“外部接口访问本系统”,意思是外部系统或客户端访问我的SpringBoot应用的接口时,如何进行认证。这涉及API安全,常见于微服务或WebAPI场景。关键点是:实现认证机制,确保只有授的客户端才能访问API。现在,回顾系统级指令:1.所有行内数学表达式用`$...$`格式。但在这个上下文中,可能没有数学表达式,所以我可以忽略。2.独立公式用`$$...$$`,但同样,可能不适用。3.LaTeX语法正确:确保任何数学表达正确。4.使用中文回答:整个回答用中文。5.生成相关问题:在回答结束后,添加相关问题部分。6.回答中引用的段落末尾自然地添加引用标识,如`[^1]`。引用的内容来自提供的引用。提供的引用:-[^1]:关于SpringBoot实现用户认证和授的基础知识。-[^2]:SpringBoot整合SpringSecurity的具体步骤。-[^3]:SpringSecurity的注解如`@PreAuthorize`,`@AuthenticationPrincipal`的使用。-[^4]:使用SpringBootGateway跳过某些服务,涉及过滤器。用户的问题是关于外部接口访问,所以引用[^2]和[^3]尤其相关,因为它们直接讨论SpringSecurity。引用[^4]涉及网关,可能用于API网关场景。核心机制:在SpringBoot中,实现API通常使用SpringSecurity。常见方式包括:-**基本认证(BasicAuthentication)**:用户名和密码通过HTTP头传递。-**JWT(JSONWebTokens)**:Token-based认证,客户端在请求头中包含Token。-**OAuth2**:用于授,支持客户端凭据流(clientcredentialsflow)适合外部系统。用户说“外部接口访问”,可能指其他服务或应用程序访问本系统,所以OAuth2客户端凭据或API密钥可能合适。在回答中,我需要结构清晰,逐步解决问题:1.**介绍机制**:解释什么是认证,为什么重要。2.**选择合适的方式**:基于SpringSecurity,讨论选项如基本认证、JWT、OAuth2。3.**实现步骤**:提供代码示例或关键配置。4.**引用支持**:在相关部分添加引用标识。最后,生成相关问题。结构化回答:-**引言**:简要解释问题。-**主要机制**:讨论SpringSecurity如何实现。-**具体实现**:提供示例代码或配置。-**总结**:强调最佳实践。-**相关问题**:添加2-3个相关问题。确保回答真实可靠:基于SpringBootSpringSecurity的官方文档或常见实践。使用引用:例如,当提到整合SpringSecurity时,引用[^2];当讨论注解时,引用[^3]。代码示例:如果需要,提供简单的代码片段,但用户问题可能不需要完整代码,除非指定。用户提到“外部接口访问”,所以焦点在API安全。可能的机制:1.**API密钥**:客户端在请求头中包含API密钥。2.**JWT**:客户端提供JWTtoken。3.**OAuth2客户端凭据**:客户端使用client_id和client_secret获取token。在SpringBoot中使用SpringSecurity实现。</think>### Spring Boot 实现外部接口访问认证机制 在 Spring Boot 中,实现外部接口访问认证机制是确保系统安全的关键一环。外部接口访问通常指其他系统、服务或客户端(如第三方应用、微服务)通过 API 调用您的 Spring Boot 应用时,需要进行身份验证和授。核心目标是防止未授访问,保护敏感数据Spring Boot 结合 Spring Security 提供了灵活的解决方案,支持多种认证方式,如 API 密钥、JWT(JSON Web Tokens)和 OAuth2。下面我将逐步解释机制、选择方案和实现步骤,确保内容结构清晰、真实可靠。 #### 1. **认证机制概述** - **为什么重要**:外部接口访问涉及跨系统交互,未经验证的请求可能导致数据泄露或攻击。认证通过验证客户端身份(认证)和检查访问限(授)来保障安全[^1]。 - **核心组件**: - **认证 (Authentication)**:确认客户端身份,例如通过 API 密钥或 Token。 - **授 (Authorization)**:检查客户端是否有执行操作,例如基于角色或范围。 - **常见方式**: - **API 密钥**:客户端在 HTTP 头(如 `X-API-KEY`)中传递密钥,简单易用,适用于低安全需求场景。 - **JWT**:使用 Token-based 认证,客户端提供由服务器签发的 JWT Token,支持无状态和分布式系统。 - **OAuth2 客户端凭据流**:适合机器间通信(如微服务),客户端使用 `client_id` 和 `client_secret` 获取 Token,然后访问资源。 Spring Security 是 Spring Boot 的官方安全框架,可轻松集成这些机制[^2]。 #### 2. **选择适合的方案** 根据安全需求和场景,推荐以下方案: - **简单场景(如内部工具)**:使用 API 密钥或基本认证(Basic Auth),配置快速。 - **中等安全需求(如外部 API 调用)**:JWT 更佳,支持 Token 过期和签名验证。 - **高安全需求(如云服务或开放平台)**:OAuth2 客户端凭据流,提供标准化授流程。 引用[^3] 强调了 Spring Security 的注解(如 `@PreAuthorize`)在授中的重要性,确保业务方法的安全。 #### 3. **实现步骤与示例代码** 以 **JWT 机制**为例,这是外部接口访问的常见选择,因为它无状态、可扩展。以下是基于 Spring BootSpring Security 的实现步骤。完整代码可参考官方文档或示例项目。 **步骤 1: 添加依赖** 在 `pom.xml` 中添加 Spring Security 和 JWT 相关依赖: ```xml <dependencies> <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- JWT 支持 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.5</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.5</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.5</version> <scope>runtime</scope> </dependency> </dependencies> ``` 这一步确保框架支持安全功能和 JWT 处理[^2]。 **步骤 2: 配置 Spring Security** 创建安全配置类,定义认证和授规则。使用 `@EnableWebSecurity` 启用安全功能,并配置 JWT 过滤器: ```java import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter; @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() // 禁用 CSRF,适合 API 场景 .authorizeRequests() .antMatchers("/api/public/**").permitAll() // 公共接口无需认证 .anyRequest().authenticated() // 其他接口需要认证 .and() .addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); // 添加 JWT 过滤器 } // 自定义 JWT 过滤器 public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(); } } ``` 这里,`antMatchers` 用于定义 URL 路径的访问规则,`.authenticated()` 要求所有外部接口访问必须认证[^3]。 **步骤 3: 实现 JWT 认证过滤器** 创建过滤器类,用于验证请求头中的 JWT Token: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.context.SecurityContextHolder; import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.Collections; public class JwtAuthenticationFilter extends OncePerRequestFilter { private final String SECRET_KEY = "your-secret-key"; // 替换为实际密钥 @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { String token = request.getHeader("Authorization"); // 从请求头获取 Token if (token != null && token.startsWith("Bearer ")) { token = token.substring(7); // 去掉 "Bearer " 前缀 try { Claims claims = Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody(); // 解析 Token String clientId = claims.getSubject(); // 获取客户端 ID // 创建认证对象 UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken( clientId, null, Collections.emptyList()); SecurityContextHolder.getContext().setAuthentication(auth); // 设置认证上下文 } catch (Exception e) { response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Invalid token"); return; } } chain.doFilter(request, response); // 继续过滤器链 } } ``` 此过滤器检查 `Authorization` 头中的 Token,验证其有效性。无效 Token 返回 401 错误[^3]。 **步骤 4: 生成和颁发 JWT Token** 为外部客户端提供获取 Token 的接口。例如,创建一个控制器用于 Token 颁发: ```java import io.jsonwebtoken.Jwts; import io.jsonwebtoken.security.Keys; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestParam; import org.springframework.web.bind.annotation.RestController; import java.security.Key; import java.util.Date; @RestController public class AuthController { private final Key SECRET_KEY = Keys.hmacShaKeyFor("your-secret-key".getBytes()); // 与过滤器密钥一致 @PostMapping("/api/token") public String generateToken(@RequestParam String clientId) { long expirationTime = 3600000; // Token 有效期为 1 小时 return Jwts.builder() .setSubject(clientId) // 客户端标识 .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + expirationTime)) .signWith(SECRET_KEY) .compact(); // 生成 Token } } ``` 外部客户端先调用此接口获取 Token(需提供 `clientId`),然后在后续请求头中加入 `Authorization: Bearer <token>`。 **步骤 5: 授检查** 在业务接口上使用 Spring Security 注解进行细粒度授: ```java import org.springframework.security.access.prepost.PreAuthorize; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; @RestController public class ExternalApiController { @GetMapping("/api/external/data") @PreAuthorize("hasAuthority('READ_DATA')") // 检查客户端是否有 READ_DATA 限 public String getData() { return "Protected data for external client"; } } ``` 使用 `@PreAuthorize` 确保只有授客户端才能访问特定资源[^3]。 #### 4. **最佳实践和注意事项** - **安全增强**:使用 HTTPS 加密通信,避免 Token 泄露;定期轮换密钥。 - **性能考虑**:JWT 的无状态特性适合高并发,但 Token 验证会增加少量开销。 - **错误处理**:返回标准 HTTP 状态码,如 401(未认证)或 403(未授)。 - **测试**:使用 Postman 或单元测试验证认证流程。 引用[^4] 提到网关过滤器的使用,如果系统涉及 API 网关(如 Spring Cloud Gateway),可以在网关层统一处理,跳过某些路径,但这通常用于内部优化。对于纯外部访问,直接在 Spring Boot 应用层实现更安全可靠。 #### 5. **总结** 在 Spring Boot 中实现外部接口访问认证,核心是结合 Spring Security 的灵活机制,通过 JWT、OAuth2 或 API 密钥验证客户端身份。本文以 JWT 为例,详细展示了配置、过滤器和授注解的实现步骤,确保系统安全性和可靠性。实际部署时,建议结合具体需求选择方案,并参考 Spring 官方文档进行扩展。通过这种方式,您可以高效保护 API 免受未授访问[^1][^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值