SpringBoot-JWT+Security权限认证框架

最新推荐文章于 2025-05-06 16:05:06 发布
最新推荐文章于 2025-05-06 16:05:06 发布
阅读量570 收藏
点赞数
分类专栏: SpringBoot-整合 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_52681418/article/details/114648297
版权

文章目录

SpringBoot-JWT+Security权限认证框架

JWT

jwt说白了就是一个字符串生成器+检查器,只不过加密了。

官网:https://jwt.io/introduction

token是一个加密的用户身份钥匙字符串,用户登录时获取它,用户请求时拿着它进行访问。
在这里插入图片描述

token在登录后生成,并返回给客户端,客户端将一直持有它。当客户端进行请求时将token携带,过滤器拦截登录未放行的请求,检查他们是否携带合法token,合法则通过,不合法则拦截。

验证token时jwt可通过token获取里面的信息,并和进行检查,检查token合法即允许通过。(token字符串是加密的串,只要它是合法的就直接允许,因此不用再比对用户密码)

token本身是一个通过base64URL编码加密的字符串:

格式如下:

aaaaaaaaa.bbbbbbbbbbbb.cccccccccccc

令牌由3个部分组成,每个部分都被base64URL加密:

  • Header:头,token的类型、及使用的算法
  • Payload:有效载荷,你添加的信息
  • Signature:签名

密码等信息请不要放进来,容易被解密。

jwt中token在加密前其实就是json文本。

1.创建token

一个token中一般存放用户信息(用户名、权限)、签发时间、过期时间、私钥即可,在创建时指定算法。


    private long key="jjlahjdahglsnaafafasfafwlalahnf";//私钥(尽量长)
    private long times=100000;						   //有效时长
    /**
     * 创建token
     * @param claims 用户信息map
     * @return token字符串
     */
    public String createToken(Map<String, Object> claims) {
        return "Bearer "+Jwts.builder() //Bearer token
                .claim("auth", claims)//claims:存放用户信息(key:auth)
                .setId(UUID.randomUUID().toString())//令牌随机ID
                .setIssuedAt(new Date()) //令牌签发时间
                .setExpiration(new Date((new Date()).getTime() +times))//令牌过期时间
                .compressWith(CompressionCodecs.DEFLATE)
                .signWith(key, SignatureAlgorithm.HS512)     //加密算法
                .compact();
    }

2.其他操作

由于操作根据你的业务需求来,所以只列举几个功能

//获取存储信息部分
Claims claims = Jwts.parser().setSigningKey(私钥key).parseClaimsJws(token).getBody();
 
//验证token中私钥,抛异常则错误
Jwts.parser().setSigningKey(私钥key).parseClaimsJws(token);

//获取权限列表
Collection<? extends GrantedAuthority> authorities = Arrays.stream(claims.get(AUTHORITIES_KEY).toString().split(",")).map(SimpleGrantedAuthority::new).collect(Collectors.toList());

//获取用户账号信息
Map<String,Object> map = (Map<String, Object>) claims.get(AUTHORITIES_KEY);

//获取过期时间
Date expiration = claims.getExpiration();

3.过滤器认证示例

请求时获取完token,你想验证哪些方面就判断哪些方面即可,下面的仅供参考。

/**
 * Description 实现token验证的过滤器
 */
@Component
@Slf4j
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        
        String token = null;
        //获取请求时携带的token全串,Authorization为请求时token的key值
        String bearerToken = request.getHeader("Authorization");

        //请求全token为字符串 且 前缀正确
        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
            //获取jwt令牌串(不带附加串token)
            token = bearerToken.substring("Bearer ".length());
        }


		//下面的jwtTokenUtils是自己写的工具类,参考1、2节创建


        //token为字符串 且 私钥正确
        if (StringUtils.hasText(token) && jwtTokenUtils.validateToken(token)) {

            Authentication authentication = jwtTokenUtils.getAuthentication(token);
            SecurityContextHolder.getContext().setAuthentication(authentication);
            log.debug("set Authentication to security context for '{}', uri: {}", authentication.getName(), requestRri);
        } else {
            log.debug("no valid JWT token found, uri: {}", requestRri);
        }

        /*
         * 通知 Web 容器把请求交给 Filter 链中的下一个 Filter 去处理,
         * 如果当前调用此方法的 Filter 对象是Filter 链中的最后一个 Filter,
         * 那么将把请求交给目标 Servlet 程序去处理。
         */
        filterChain.doFilter(request, response);

    }
}

4.springboot中的依赖

可能是版本原因,私钥得设置超长,否则会报错

        <!-- jwt -->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-api</artifactId>
            <version>0.10.6</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-impl</artifactId>
            <version>0.10.6</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-jackson</artifactId>
            <version>0.10.6</version>
        </dependency>
springboot整合securityjwt
08-05
springboot2.0整合securityjwt, 还整合了redis,与swagger-ui
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
通过Spring Boot的便捷性,Spring Security的安全性,JWT的无状态认证,MyBatis-Plus的高效数据操作,以及MySQL的稳定存储,实现了用户登录、角色分配、权限验证等功能,为开发人员提供了一个可参考的权限管理解决...
Spring Boot 整合Shiro安全认证框架
qq_41426326的博客
04-16 8904
Apache Shiro是一个开源的轻量级的java安全框架,它提供身份验证,授权,密码管理以及会话管理功能等。相对于SpringSecurity,Shiro框架跟家直观,易用,同时也能提供健壮的安全性,在传统SSM框架中,手动配置Shiro的步骤还是比较多的,针对Springboot,shiro官方提供了shiro-spring-boot-web-starter 的使用步骤。 整合Shiro ...
SpringBootJWT详解,底层原理及生成验证实例。
最新发布
equila的博客
05-06 986
JWT (JSON Web Token) 是一种开放标准 (RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。它通常用于身份验证和信息交换。
JWT
m0_46487331的博客
12-14 1008
Author:Allen_Huang Version:1.0.0 一. JWT简介 什么是JWTJWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 为什么使用JWT? 随着技术的发展,分布式web应用的普.
springboot+security+jwt
yuzheh521的博客
02-04 501
1.创建项目 2.项目创建成功以后,如何查看security已经在项目中生效呢? 启动项目,并在打开浏览器,输入:http://localhost:8080/login 就会出现security默认的登陆页面 用户名是user,密码在我们的控制台已经输出 ...
Spring Boot认证框架
2301_77741809的博客
12-20 1047
需要从数据库读取用户信息进行身份认证,需要新建类实现UserDetailService接口并重写loadUserByUsername方法,该方法的参数是登录时的用户名,通过该用户名去数据库查找用户,如果不存在就抛出不存在的异常,如果查到了用户,就会将用户及角色信息返回。在实际开发中,用户和角色是保存在数据库中的,本例为了方便演示,创建两个存放于内存的用户和角色。基于数据库的认证 在前面的案例中,用户登录系统的用户名、密码定义在内存中,在实际开发中,用户的基本信息及角色都是通过查询数据库进行认证和授权。
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
springboot + jwt + websocket + 拦截
09-02
6. **权限控制**:通过Interceptor,我们可以检查JWT中的权限信息,控制用户对WebSocket端点的访问权限,实现细粒度的访问控制。 这样的架构可以提供一个高效、安全的实时交互系统,适用于需要实时数据同步和认证...
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring SecurityJWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
Spring Boot整合JWT
10-16
一个学习Spring Boot整合JWT的demo,使用的IDE是idea。
实战篇:Security+JWT组合拳 | 附源码
程序IT圈
07-03 557
之前我们已经说过用Shiro和JWT来实现身份认证和用户授权,今天我们再来说一下「SecurityJWT」的组合拳。简介先赘述一下身份认证和用户授权:用户认证(Authenticatio...
SpringBoot整合SpringSecurity+JWT实现web应用中的认证和授权
weixin_61779644的博客
05-09 1499
Spring Security 是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更 丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作。
spring boot验证框架
绅士jiejie的博客
01-20 907
在平时开发中,前端一般都会做参数的正确化校验,但是单单前端做校验是不够保险的,所以后端也需要加上相关的参数校验,防止有人绕过前端直接调用接口。 而spring boot就提供有这样的验证框架,默认实现用的是Hibernate validator。我们只需要将@Validated注解标注在方法参数上,spring boot就可以对参数进行校验,同时把校验结果放在BindingResult对象里。 ...
SpringBoot项目中使用SpringSecurity权限认证框架
dusuanyun的博客
12-21 9637
SpringBoot中配置使用SpringSecurity,以及常见问题处理.
SpringBoot集成SpringSecurity
学不死就往死里学
08-14 823
SpringSecurity 安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应
SpringBoot整合Spring Security + JWT实现用户认证
leveretz的博客
07-13 2064
SpringBoot整合Spring Security + JWT实现用户认证
SpringBoot整合SpringSecurityJWT
hello,word!
03-03 6831
SpringBoot整合SpringSecurityJWT,SpringSecurity提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限
掌握SpringBootJWT+MyBatis+JPA权限控制实践
该demo的标题是“springboot+Security+jWT+JPA+MyBatis”,描述中提到该demo基于springboot 2.0版本构建,并集成了一系列的技术栈,包括Spring SecurityJWT(Json Web Token)、JPA(Java Persistence API)以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值