SpringBoot+Security+JWT验证权限

最新推荐文章于 2025-06-16 16:13:20 发布
原创 最新推荐文章于 2025-06-16 16:13:20 发布 · 940 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Security #JWT

本文详细介绍如何将Spring Security与JWT结合使用,实现基于令牌的身份验证。通过自定义AuthenticationProvider和过滤器,演示了从用户登录到权限控制的完整流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

正文

大家可从我的git上下载源码,可以的话请给个星星,谢谢了。

结构图

在这里插入图片描述

代码

pom文件:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.6.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.security</groupId>
    <artifactId>demo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>demo</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
        <jsonwebtoken.jjwt>0.9.0</jsonwebtoken.jjwt>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>${jsonwebtoken.jjwt}</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

MyAuthenticationProvider

package com.security.demo.config;


import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.stereotype.Component;

/**
 * @author HJH
 * @Description:
 * @date 2019/8/2 17:01
 */
@Component
public class MyAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    private UserDetailsService userDetailsService;

    /**
     * 自定义验证方式
     */
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String username = authentication.getName();
        String password = (String) authentication.getCredentials();
        UserDetails user = userDetailsService.loadUserByUsername(username);
        if (user.getPassword().equals(password)) {
            return new UsernamePasswordAuthenticationToken(username, null, user.getAuthorities());
        }
        return null;
    }

    @Override
    public boolean supports(Class<?> arg0) {
        return true;
    }

}

WebSecurityConfig

package com.security.demo.config;


import com.security.demo.filter.JWTAuthenticationFilter;
import com.security.demo.filter.JWTLoginFilter;
import com.security.demo.util.MyPasswordEncoder;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

import java.util.ArrayList;
import java.util.Collection;

/**
 * @author HJH
 * @Description:Security的权限控制配置项
 * @date 2019/8/2 16:58
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MyAuthenticationProvider provider;// 自定义的AuthenticationProvider

    @Bean
    public PasswordEncoder myPasswordEncoder() {
        return new MyPasswordEncoder();//自定义的加密工具
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin().loginProcessingUrl("/login")
                .and()
                .csrf().disable()
                .addFilter(new JWTLoginFilter(authenticationManager()))
                .addFilter(new JWTAuthenticationFilter(authenticationManager()));
    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(provider);
        auth.userDetailsService(userDetailsService());
    }

    @Bean
    public UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager iud = new InMemoryUserDetailsManager();
        Collection<GrantedAuthority> adminAuth = new ArrayList<>();
        //这里是对用户赋予权限,一般来说,用户的权限需要查权限表,然后遍历添加到adminAuth
        adminAuth.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        iud.createUser(new User("zhangsan", "123456", adminAuth));
        return iud;
    }

}

JWTAuthenticationFilter

package com.security.demo.filter;


import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.List;
import java.util.stream.Collectors;

/**
 * @author HJH
 * @Description:
 * @date 2019/8/2 16:55
 */
public class JWTAuthenticationFilter extends BasicAuthenticationFilter {
    public JWTAuthenticationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }

    /**
     * 在拦截器中获取token并解析,拿到用户信息,放置到SecurityContextHolder,这样便完成了springsecurity和jwt的整合。
     */
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        String header = request.getHeader("Authorization");
        if (header == null || !header.startsWith("Bearer ")) {
            chain.doFilter(request, response);
            return;
        }
        UsernamePasswordAuthenticationToken authentication = getAuthentication(request);
        SecurityContextHolder.getContext().setAuthentication(authentication);
        chain.doFilter(request, response);
    }

    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
        String token = request.getHeader("Authorization");
        if (token != null) {

            Claims claims = Jwts.parser().setSigningKey("MyJwtSecret11").parseClaimsJws(token.replace("Bearer ", ""))
                    .getBody();
            String user = claims.getSubject();
            @SuppressWarnings("unchecked")
            List<String> roles = claims.get("role", List.class);
            List<SimpleGrantedAuthority> auth = roles.stream().map(s -> new SimpleGrantedAuthority(s)).collect(Collectors.toList());

            if (user != null) {
                return new UsernamePasswordAuthenticationToken(user, null, auth);
            }
            return null;
        }
        return null;
    }

}

JWTLoginFilter

package com.security.demo.filter;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.ArrayList;
import java.util.Date;
import java.util.stream.Collectors;

/**
 * @author HJH
 * @Description: 验证用户名密码正确后,生成一个token,并将token返回给客户端
 * 该类继承自UsernamePasswordAuthenticationFilter,重写了其中的2个方法 ,
 * attemptAuthentication:接收并解析用户凭证。
 * successfulAuthentication:用户成功登录后,这个方法会被调用,我们在这个方法里生成token并返回。
 * @date 2019/8/2 16:53
 */
public class JWTLoginFilter extends UsernamePasswordAuthenticationFilter {

    private AuthenticationManager authenticationManager;

    public JWTLoginFilter(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException {
        String username = request.getParameter("username");
        String password = request.getParameter("password");
        return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password, new ArrayList<>()));

    }

    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
                                            Authentication auth) throws IOException, ServletException {
        Claims claims = Jwts.claims();
        claims.put("role", auth.getAuthorities().stream().map(s -> s.getAuthority()).collect(Collectors.toList()));
        String token = Jwts.builder()
                .setClaims(claims)
                .setSubject(auth.getName())
                .setExpiration(new Date(System.currentTimeMillis() + 60 * 60 * 24 * 1000))
                .signWith(SignatureAlgorithm.HS512, "MyJwtSecret11").compact();
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        String str = "{\"token\":\"" + token + "\"}";
        PrintWriter out;
        try {
            out = response.getWriter();
            out.print(str);
            out.flush();
            out.close();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

MyPasswordEncoder

package com.security.demo.util;


import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @author HJH
 * @Description:
 * @date 2019/8/2 17:01
 */
public class MyPasswordEncoder implements PasswordEncoder {
    @Override
    public String encode(CharSequence charSequence) {
        return charSequence.toString();
    }

    @Override
    public boolean matches(CharSequence charSequence, String s) {
        return s.equals(charSequence.toString());
    }
}

UserController

package com.security.demo.web;


import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * @author HJH
 * @Description:
 * @date 2019/8/2 17:01
 */
@RestController
public class UserController {

    @RequestMapping("/hello")
    public String hello() {
        return "hello";
    }

    @PreAuthorize("hasAuthority('ROLE_USER')")
    @RequestMapping("/test1")
    public String test1() {
        return "test1";
    }

    @PreAuthorize("hasAuthority('ROLE_ADMIN')")
    @RequestMapping("/test2")
    public String test2() {
        return "test2";
    }
}

结语

这次的Demo是比较简单的,主要就是上Security+JWT的一个验证过程,各位根据实际的业务需求去调整代码。

最后祝大家开开心心每一天

Springboot+Spring-Security+JWT实现登录和权限校验
liangshitian的博客
10-12 3616
JWT 请查阅这篇文章介绍:https://blog.youkuaiyun.com/qq_33612228/article/details/108853525 Spring Security Spring SecuritySpring 全家桶中一个功能强大且高度可定制的身份验证和访问控制框架。与所有 Spring 项目一样,我们可以轻松扩展 Spring Security 以满足自定义要求。由于 Spring Security 功能十分强大,相比于其他技术来说很难上手,很多刚接触 Spring Securi
实现动态权限控制及用户身份认证的SpringBoot+SpringSecurity+Jwt整合项目
欢迎来到「小菠萝」的博客
02-27 2565
目录 1. 前提概要 2. 数据库表结构 3. 项目结构 4. 编写实体类 4. 核心配置类SecurityConfig 5. 登录认证 6. 验证token过滤器 7. 获取请求路径所需角色过滤器 8. 用户权限验证 9. UserService 10. HelloController 9. 流程解析 10. 接口测试 10.1 登录测试 10.2 访问有权限的接口...
SpringBoot+SpringSecurity改造为前后端分离+Jwt权限认证系统,Token过期刷新问题
zzzgd_666的博客
07-18 1万+
前言 一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。 但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了 SpringSecurity默认的是采用Session来判断请求的用户是否登录的,但是不方便分布式...
Spring Boot 和 Spring Security 实现 JWT 认证
最新发布
weixin_43833540的博客
06-16 1905
Spring Security 中,UsernamePasswordAuthenticationToken 的 authorities 参数用于注入当前用户的​​权限集合​​(Collection<?JWT 是一种开放标准(RFC 7519),用于在网络应用间安全传递 JSON 格式的声明信息。JWT 在微服务、跨域单点登录(SSO)场景中优势显著。JWT 由三部分组成,以点号。
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.youkuaiyun.com/fuu123f/article/details/108233463
Springboot整合SpringSecurityjwt权限认证流程实现
小爽帅到拖网速的博客
05-28 1488
Springboot整合SpringSecurityjwt权限认证流程实现 1、springsecurity的流程图架构 注:高亮的部分都需要我们去实现 流程说明 1、我们在整合进springsecurity的jar包之后,客户端发起的每一个请求,都会进入Security过滤器链 2、当用户请求进入过滤器链中首先会在logoutFilter判断是否是登录出操作,如果是则跳转进logoutHandler的登出处理器,如果登出成功则会进入LogoutSuccessHandler,同时会帮我们删除用户通过s
SpringBoot + SpringSecurity+jwt 实现验证
热门推荐
南归客的博客
09-17 1万+
SpringBoot + SpringSecurity+jwt 实现验证 记录一下使用springSecurity实现jwt的授权方法,这方法可以实现权限的基本认证。当然这个案例还有许多的问题,不过还是先记录一下。其他功能以后在补充。 建议工程创建流程 创建 JwtTokenUtils 创建 jwtAccessDeniedHandler 和 JwtAuthenticationEntryPoint 创建 UserDetailsServiceImpl 创建 JwtAuthenticationFilter
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
通过Spring Boot的便捷性,Spring Security的安全性,JWT的无状态认证,MyBatis-Plus的高效数据操作,以及MySQL的稳定存储,实现了用户登录、角色分配、权限验证等功能,为开发人员提供了一个可参考的权限管理解决...
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色权限三个主要模块。用户模块用于管理用户...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
总的来说,Spring Boot + Spring Security + JWT的组合提供了一个强大且可扩展的用户认证和权限管理系统,适用于各种现代Web应用。在实际开发中,根据项目需求,可能还需要考虑如密码加密、刷新令牌、多因素认证等...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,Spring Security会被配置为使用JWT进行身份验证。首先,我们需要创建一个自定义的`AuthenticationProvider`,负责验证用户的凭证。接着,当用户成功登录后,我们将在`AuthenticationSuccessHandler`中...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,请自行导入mysql中。 运行SpringBootMainClass启动后,请在地址栏访问http://ip:port,在页面中登录,成功后会跳转至下一个页面,此时需要后退到刚才的页面,点击各个超链接来试验用户的授权情况。未登录时点击任何链接都会跳回首页。 一共提供了4个用户: 1.admin:可以访问所有请求 2.user1:只能访问user1Call请求 3.user2:只能访问user2Call请求 4.user3:只能访问user3Call请求 具体代码配置逻辑和说明,详见代码的注释
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
spring-boot-security-jwt:使用Spring Boot + Security + JWT用于REST端点的项目
01-30
Spring启动安全性 使用Spring Boot + Security + JWT进行REST端点身份验证/授权的项目。 关于例子 Spring Boot 1.5.4。发布 Sprign Framework 4.3.9。发布 Spring Security 4.2.3。发布 Tomcat嵌入8.5.15 乔达日期时间2.9.9 登录 您可以使用两种方式登录: 1-在LoginController中调用端点/ login 格式:JSON { "username" : "user" "password" : "test123" } 2-调用SpringSecurity提供的端点/ loginForm并在WebSecurityConfig类中进行配置。 格式:x-www-form-urlencoded(例如,表单提交) 成功响应如下: eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJiaHIiLCJyb2xlIjoiQURNSU4iLCJleHAiOjE1MDcxMDg3MjJ9.-fkoAQ-u8zHQBE4OgayRtJOpSTaEEyaL1bbPR
Spring-本地调试如何跳过Spring Security权限校验
努力搬砖,顶峰相见
05-21 1688
项目中使用安全框架,例如使用Spring Security进行安全校验。但是在日常开发中,本地接口调试还要拿取token才能进行接口访问,并且token还会过期,总不能每次都去登录拿取token才能调试吧,那也太麻烦了,所以最好是找方法跳过安全校验这个步骤。下面就是如何暂时规避掉安全校验,方便我们的本地测试。
SpringBoot+SpringSecurity+JWT整合
seeyouagain_的博客
01-04 1万+
SpringSecurity入门简单案例适合新手学习
Springboot集成SecurityJWT
qq1016499728博客
11-28 1493
Springboot版本2.3.3 pom依赖 <!--security+JWT--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <gro
(五)Spring Boot学习——spring security +jwt使用(前后端分离模式)
朝屯暮蒙vi的博客
02-10 1914
2.不带token则在控制器中对用户密码进行验证,因为在loadUserByUsername方法中设置了对用户名密码的验证,所以使用UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginName, password);验证结果是true的。我使用的是springboot3.3.5 springsecurity是6.x的 jwt 0.12.6。
SpringBoot整合SpringSecurity+JWT
qq_43975645的博客
07-18 830
注意:SIGNATURE是生成token的公钥,当外部token进来时需要公钥解密。
SpringBoot+SpringSecurity+JWT权限管理Demo教程
总结来说,基于springboot+springSecurity+jwt实现权限管理系统Demo,为Java初学者提供了一个实践平台,通过这个平台,可以全面了解和掌握Spring Boot应用开发中的安全性问题处理和权限控制方法。通过学习该Demo,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值