Spring Boot + Spring Security JWT权限鉴权系统

最新推荐文章于 2025-06-03 16:27:23 发布
原创 最新推荐文章于 2025-06-03 16:27:23 发布 · 915 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #spring boot #java

本文介绍了如何使用Spring Boot结合Spring Security和JWT实现登录认证及动态权限控制。详细阐述了认证流程、项目技术栈、数据库设计、核心类开发以及异常处理,并提供了登录接口的测试示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

安全框架

  • Spring Boot整合Spring Security JWT实现登录认证以及权限认证
Spring Security

  • 简介

    1. SpringSecurity是一个用于Java 企业级应用程序的安全框架(简单说是对访问权限进行控制)
    2. 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)

  • 认证过程

  • Spring Security 的认证过程

    1. (前端)用户使用用户名和密码进行登录。
    2. (后端)Spring Security 将获取到的用户名和密码封装成一个实现了 Authentication 接口的 UsernamePasswordAuthenticationToken。
    3. (后端)将上述产生的 token 对象传递给 AuthenticationManager 进行登录认证。
    4. (后端)AuthenticationManager 认证成功后将会返回一个封装了用户权限等信息的 Authentication 对象。
    5. (后端)通过调用 SecurityContextHolder.getContext().setAuthentication(…) 将 AuthenticationManager 返回的 Authentication 对象赋予给当前的 SecurityContext。

  • 在认证成功后,用户就可以继续操作去访问其它受保护的资源了,但是在访问的时候将会使用保存在 SecurityContext 中的 Authentication 对象进行相关的权限鉴定。

  • 流程展示

  • 登录流程
    在这里插入图片描述

  • 接口验证流程
    在这里插入图片描述

搭建项目
  • 技术栈

数据库: mysql 8.x
连接池: druid
持久层框架: MyBatis-plus
安全框架: Spring Security
安全传输工具: JWT
Json解析: fastjson

  • 新建Spring Boot工程
导入依赖和配置
  1. pom.xml中,引入相关依赖
 <!-- web 依赖-->
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <!--    lombok 依赖-->
    <dependency>
      <groupId>org.projectlombok</groupId>
      <artifactId>lombok</artifactId>
    </dependency>

    <!--    mysql 依赖-->
    <dependency>
      <groupId>mysql</groupId>
      <artifactId>mysql-connector-java</artifactId>
      <scope>runtime</scope>
    </dependency>

    <!--整合mybatis plus https://baomidou.com/-->
    <dependency>
      <groupId>com.baomidou</groupId>
      <artifactId>mybatis-plus-boot-starter</artifactId>
      <version>3.5.1</version>
    </dependency>

    <!-- druid 连接池 -->
    <dependency>
      <groupId>com.alibaba</groupId>
      <artifactId>druid</artifactId>
      <version>1.2.8</version>
    </dependency>

    <!--    hutool 工具类)-->
    <dependency>
      <groupId>cn.hutool</groupId>
      <artifactId>hutool-all</artifactId>
      <version>5.3.3</version>
    </dependency>

    <!-- springboot security -->
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <!--jackson-->
    <dependency>
      <groupId>com.fasterxml.jackson.core</groupId>
      <artifactId>jackson-databind</artifactId>
      <version>2.11.4</version>
    </dependency>

    <!-- jwt -->
    <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.9.1</version>
    </dependency>

    <!--    redis 依赖-->
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-data-redis</artifactId>
    </dependency>

    <dependency>
      <groupId>org.apache.commons</groupId>
      <artifactId>commons-lang3</artifactId>
      <version>3.11</version>
    </dependency>

    <!--    swagger2依赖-->
    <dependency>
      <groupId>io.springfox</groupId>
      <artifactId>springfox-swagger2</artifactId>
      <version>2.7.0</version>
    </dependency>

    <!--    swagger 第三方ui依赖-->
    <dependency>
      <groupId>com.github.xiaoymin</groupId>
      <artifactId>swagger-bootstrap-ui</artifactId>
      <version>1.9.6</version>
    </dependency>

    <!--    谷歌验证码 kaptcha-->
    <dependency>
      <groupId>com.github.penggle</groupId>
      <artifactId>kaptcha</artifactId>
      <version>2.3.2</version>
    </dependency>
  1. 配置文件 application.yml
# 开发环境配置文件
server:
  port: 9090

spring:
  #  配置数据源
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver  #数据库链接驱动
    url: jdbc:mysql://localhost:3306/base?useUnicode=true&characterEncoding=utf-8&useSSL=false&serverTimezone=Asia/Shanghai #url
    username: root  #用户名
    password: root1234  #密码
    #Druid数据源配置
    type: com.alibaba.druid.pool.DruidDataSource
    druid:
      initial-size: 10 #初始化时建立物理连接的个数
      min-idle: 5 #最小连接池数量
      maxActive: 30 #最大连接池数量
      maxWait: 60000 #获取连接时最大等待时间,单位毫秒

# mybatis-plus 配置
mybatis-plus:
  #  配置mapper映射文件
  mapper-locations: classpath*:/mapper/*Mapper.xml
  type-aliases-package: com.fang.system.entity
  configuration:
    # 自动驼峰命名
    map-underscore-to-camel-case: true

  # mybatis sql打印(方法接口所在的包,不是mapper.xml文件所在的包)
logging:
  level:
    com.example.admin.mapper: debug

# Redis配置
  redis:
    host: 127.0.0.1    #服务器地址
    port: 6379    #服务器端口
    database: 0   #数据库
    password:   #密码
    timeout: 100000ms   #超时时间
    lettuce:
      pool:
        max-active: 1024    #最大连接数
        max-wait: 10000ms   #最大连接阻塞时间 默认-1
        max-idle: 200    #最大空闲连接
        min-idle: 5     #最小空闲连接

# jwt 配置
jwt:
  tokenHeader: Authorization
  tokenHead: Bearer # Token前缀字符
  expiration: 604800 #7天,秒单位
  secret: base-security-secret  # 密匙KEY
动态权限控制
  1. spring security的简单原理

登录验证:

用户登陆,会被AuthenticationProcessingFilter拦截,调用AuthenticationManager的实现,AuthenticationManager会调用ProviderManager来获取用户验证信息(不同的Provider调用的服务不同,因为这些信息可以是在数据库上,可以是在LDAP服务器上,可以是xml配置文件上等);

如果验证通过后会将用户的权限信息封装一个User放到spring的全局缓存SecurityContextHolder中,以备后面访问资源时使用。
访问资源(即授权管理):

访问资源(即授权管理):

访问资源(即授权管理),访问url时,会通过AbstractSecurityInterceptor拦截器拦截,其中会调用FilterInvocationSecurityMetadataSource的方法来获取被拦截url所需的全部权限,在调用授权管理器AccessDecisionManager,这个授权管理器会通过spring的全局缓存SecurityContextHolder获取用户的权限信息,还会获取被拦截的url和被拦截url所需的全部权限,配置权限策略,如果权限足够,则返回,权限不够则报错并调用权限不足页面。

  1. 数据库表设计
    在这里插入图片描述

  2. 权限过滤器 CustomAccessFilter.java

package com.example.admin.filter;

import com.example.admin.entity.Menu;
import com.example.admin.entity.Role;
import com.example.admin.service.IMenuService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityConfig;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;

import java.util.Collection;
import java.util.List;

/**
 * 权限控制
 * @author fangqi174956
 */
@Component
public class CustomAccessFilter implements FilterInvocationSecurityMetadataSource {
   
   
    @Autowired
    private IMenuService menuService;

    private AntPathMatcher antPathMatcher = new AntPathMatcher();

    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
   
   
        // 获取请求的url
        String requestUrl = ((FilterInvocation) object).getRequestUrl();
        List<Menu> menus = menuService.getMenusWithRole();

        for (Menu menu : menus) {
   
   
            // 判断请求url 与菜单角色是否匹配
            if(antPathMatcher.match(menu.getUrl(),requestUrl)){
   
   
                String[] roleList = menu.getRoles().stream().map(Role::getUniqueCode).toArray(String[]::new);
                return SecurityConfig.createList(roleList);
            }
        }
        // 没有匹配上的url 默认角色ROLE_login (即登录即可访问)
        return SecurityConfig.createList("ROLE_login");

    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
   
   
        return null;
    }

    @Override
    public boolean supports(Class<?> aClass
最低0.47元/天 解锁文章

200万优质内容无限畅学
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
后端使用SpringBoot框架进行业务逻辑开发,利用Spring Security实现权限控制。数据库采用MySQL进行数据存储,使用MyBatis进行数据访问。 权限控制模块设计包括用户、角色和权限三个主要模块。用户模块用于管理用户...
基于springboot+oauth2.0+jwtToken认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
springboot集成security
m0_54355172的博客
12-09 651
spring security
[特殊字符]SpringBoot安全终极指南:整合JWT+Shiro实现动态权限控制
最新发布
小筱在线博客
06-03 687
Apache Shiro是一个功能强大且易于使用的Java安全框架,负责身份验证、授、加密和会话管理。相较于Spring Security,Shiro设计更为简单直观,学习曲线平缓,特别适合中小型项目的安全需求。
Spring Boot整合Spring Security(九)简单的
时雨吹雪的博客
02-12 740
使用Spring Security 6.0进行权限校验
使用springsecurity搭建统一环境
wocaizhale的博客
06-07 183
Spring Boot 访问安全之认证和
热门推荐
布道
07-04 1万+
在web应用中有大量场景需要对用户进行安全校,一般人的做法就是硬编码的方式直接埋到到业务代码中,但可曾想过这样做法会导致代码不够简洁(大量重复代码)、有个性化时难维护(每个业务逻辑访问控制策略都不相同甚至差异很大)、容易发生安全泄露(有些业务可能不需要当前登录信息,但被访问的数据可能是敏感数据由于遗忘而没有受到保护)。为了更安全、更方便的进行访问安全控制,我们可以想到的就是使用springmvc的...
springboot+security+mybatis+redis+jwt框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
springboot教程之整合SpringSecurity+JWT 2万字超详细系统讲解
竹林幽深
12-01 487
原创康东伟西瓜阵地2021-05-24 23:04 收录于话题 #springboot15个内容 #mybatis-plus5个内容 #springsecurity2个内容 #jwt2个内容 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependen...
基于Springboot集成security、oauth2实现认证、资源管理源码
04-22
基于Springboot集成security、oauth2实现认证、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole(&#39;ADMIN&#39;,&#39;USER&#39;)"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole(&#39;ADMIN&#39;) and hasRole(&#39;USER&#39;)"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot整合SpringSecurity+JWT实现用户验证和
qq_42109746的博客
05-28 2326
前言 之前一直都是用shiro在做用户的验证和,最近在SpringSecurity上也踩了不少坑。对于SpringSecurity比较官方的解释是:Spring SecuritySpring提供的一个安全框架,提供认证和授功能,最主要的是它提供了简单的使用方式,同时又有很高的灵活性,简单,灵活,强大。但在使用的时候,却没有说的那样轻松,明明作为一个框架,应该是又简单又方便使用,配合上JWT,那就是双倍的快乐。 技术栈 SpringBootSpringSecurityJWTSpring D
Spring bootspring Security 结合JWT实现动态权限管理
qq_36528022的博客
10-17 3580
Spring bootspring Security 结合JWT实现动态权限管理 spring bootspring security 结合jwt实现动态权限管理 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些...
Springboot+Spring security +jwt认证+动态授
程序员一博
05-11 418
RBAC是基于角色的访问控制。一般分为用户(user), 角色(role),权限(permission)三个实体,角色(role)和权限(permission)是多对多的关系,用户(user)和角色(role)也是多对多的关系。用户(user)和权限(permission) 之间没有直接的关系,都是通过角色作为代理,才能获取到用户(user)拥有的权限。一般情况下, 使用5张表就够了 https://www.bilibili.com/video/BV15a411A7kP?p=17&t=87 .
springboot security 权限不足_在SpringBoot中使用Spring Security处理
weixin_39656513的博客
11-20 847
往期文章「快学SpringBoot」配置文件的加载顺序和配置项默认值设置「快学springbootSpringBoot多环境配置文件「快学springboot」使用springboot实现发送邮件功能源码获取点击最下方的链接可以到GitHub获取本文源码Spring Security介绍Spring SecuritySpring全家桶中的处理身份和权限问题的一员。Spring Security...
SpringBoot + SpringSecurity + JWT 权限管理系统新手Demo
资源摘要信息: "本资源为基于Spring Boot框架、结合Spring Security安全框架和JSON Web Tokens (JWT) 实现的简单token权限管理的演示项目,非常适合初学者学习和理解如何构建一个基于token的身份认证系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值