springboot+springsecurity+jwt前后端分离

最新推荐文章于 2025-06-16 16:13:20 发布
最新推荐文章于 2025-06-16 16:13:20 发布
阅读量810 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: spring boot maven java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43740982/article/details/121109241
本文介绍如何使用 Spring Security 和 JWT 实现一个安全的 Web 应用程序,包括自定义用户详情服务、密码编码器、JWT 工具类、过滤器等组件的实现方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

maven 依赖

selfUserDetails

SelfUserDetailsService

DefaultPasswordEncoder

JwtTokenUtil

MyAccessDenieDHandler

TokenAuthenticationFilter

TokenLoginFilter

UnauthorizedEntryPorint

maven 依赖

 <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
        </dependency>
<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>

文件目录

 

SpringSecurityConfig

public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    DefaultPasswordEncoder defaultPasswordEncoder;
    @Autowired
   SelfUserDetailsService selfUserDetailsService;
   @Autowired
   AppFilterInvocationSecurityMetadataSource appFilterInvocationSecurityMetadataSource;
   @Autowired
   CustomerAccessDecisionManger customerAccessDecisionManger;
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 加入自定义的安全认证
//        auth.authenticationProvider(provider);

        auth.userDetailsService(selfUserDetailsService).passwordEncoder(new BCryptPasswordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .exceptionHandling()

                //未授权处理
                .authenticationEntryPoint(new UnauthorizedEntryPoint())
                .accessDeniedHandler(new MyAccessDeniedHandler())
                .and().authorizeRequests().withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
            @Override
            public <O extends FilterSecurityInterceptor> O postProcess(O o) {
                o.setSecurityMetadataSource(appFilterInvocationSecurityMetadataSource);
                o.setAccessDecisionManager(customerAccessDecisionManger);
                return o;
            }
        })
                .anyRequest().authenticated()
                .and().csrf().disable()
                .logout().logoutUrl("/logout")
                .and()
                //.addLogoutHandler(new TokenLogoutHandler(tokenManager))
                .addFilter(new TokenAuthenticationFilter(authenticationManager()))
                .addFilter(new TokenLoginFilter(authenticationManager())).httpBasic();
    }

    @Bean
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }
@Bean
    public DefaultPasswordEncoder CreateEncoder(){
        return new DefaultPasswordEncoder();
}

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/Account/**","/index**", "/swagger-ui.html/**");
    }

}

selfUserDetails

@Data
@Accessors(chain = true)
public class SelfUserDetails implements UserDetails {
    private Set<? extends GrantedAuthority> authorities;//角色配置类
    private Account account;//用户实体

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.authorities;
    }


    @Override
    public String getPassword() {
        return this.account.getPassword();
    }

    @Override
    public String getUsername() {
        return this.account.getName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
    public void select(String name){
        Account name1 = new Account().selectOne((Wrapper) new MyWrapper().eq("name", name));
        this.account=name1;
    }
}

SelfUserDetailsService

@Component

public class SelfUserDetailsService implements UserDetailsService {
   private String roleName=null;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        SelfUserDetails selfUserDetails = new SelfUserDetails();
        selfUserDetails.select(username);
        if(selfUserDetails.getAccount()==null){
            //仍需要细化处理
            throw new UsernameNotFoundException("该用户不存在");
        }
        Set authoritiesSet = new HashSet();
        // 模拟从数据库中获取用户角色
        Userbyrole userbyrole = new Userbyrole().selectOne((Wrapper) new MyWrapper().eq("userid", selfUserDetails.getAccount().getId()));
        GrantedAuthority authority = new SimpleGrantedAuthority(userbyrole.getRole().toString());
         this.roleName=userbyrole.getRole().toString();
        authoritiesSet.add(authority);
    selfUserDetails.setAuthorities(authoritiesSet);
    return selfUserDetails;
    }
    public String getRoleName(){
        return this.roleName;
    }
}

DefaultPasswordEncoder


@Slf4j
public class DefaultPasswordEncoder extends BCryptPasswordEncoder {
    @Override
    public String encode(CharSequence rawPassword) {
        return rawPassword.toString();
    }

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        if (rawPassword == null) {
            throw new IllegalArgumentException("rawPassword cannot be null");
        }
        if (encodedPassword == null || encodedPassword.length() == 0) {
            log.error("Empty encoded password");
            throw new IllegalArgumentException("encodedPassword is null");
        }
        return encodedPassword.equals(rawPassword);
    }
}

JwtTokenUtil

public class JwtTokenUtil {
    private static long tokenExpiration = 24 * 60 * 60 * 1000;
    private static String tokenSignKey = "123456";
    private static String userRoleKey = "userRole";

    public String createToken(String userName) {
        String token = Jwts.builder().setSubject(userName)
                .setExpiration(new Date(System.currentTimeMillis() + tokenExpiration))
                .signWith(SignatureAlgorithm.HS512, tokenSignKey).compressWith(CompressionCodecs.GZIP).compact();
        return token;
    }

    public static String createToken(String userName, String role) {
        String token = Jwts.builder().setSubject(userName)
                .claim(userRoleKey, role)
                .setExpiration(new Date(System.currentTimeMillis() + tokenExpiration))
                .signWith(SignatureAlgorithm.HS512, tokenSignKey).compressWith(CompressionCodecs.GZIP).compact();
        return token;
    }

    public static String getUserNameFromToken(String token) {
        String userName = Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token).getBody().getSubject();
        return userName;
    }

    public static String getUserRoleFromToken(String token) {
        Claims claims = Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token).getBody();
        return claims.get(userRoleKey).toString();
    }


}

MyAccessDenieDHandler

public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
      response.setStatus(403);
        ResponseUtil.out(response, Result.failed("权限不足"));
    }
}

TokenAuthenticationFilter

public class TokenAuthenticationFilter extends BasicAuthenticationFilter {




    public TokenAuthenticationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }


    private void  PassUp(HttpServletRequest request, HttpServletResponse response, FilterChain chain, String... url) throws IOException, ServletException {
        for (int i = 0; i < url.length; i++) {
            if(request.getRequestURL().indexOf(url[i])!=-1)
                chain.doFilter(request,response);
        }
    }

    private void NotAllowed(HttpServletRequest request, HttpServletResponse response, FilterChain chain){
        if(!request.getMethod().contains("POST")){//必须是POST请求
            try{
                ResponseUtil.out(response, Result.failed("不是POST!"));

                chain.doFilter(request,response);
            }catch (Exception e) {
                logger.debug(e.getMessage());
            }
        }
    }


   private void TokenVerify(HttpServletRequest request, HttpServletResponse response, FilterChain chain){
       UsernamePasswordAuthenticationToken authenticationToken=null;
       try{
           authenticationToken=getAuthentication(request);//或取请求中的Token信息
           if (authenticationToken != null) {//Token令牌为null
               SecurityContextHolder.getContext().setAuthentication(authenticationToken);
           } else {
               ResponseUtil.out(response, Result.failed("鉴权失败"));
           }

       }catch (Exception e){
           e.printStackTrace();
           ResponseUtil.out(response, Result.failed(e.getMessage()));
       }
       try{
           chain.doFilter(request, response);
       }catch (Exception e){
           logger.debug(e.getMessage());
       }
   }
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {

         logger.info("==========================="+request.getRequestURL());
         PassUp(request,response,chain,"index");
         NotAllowed(request,response,chain);
        TokenVerify(request,response,chain);

    }
    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
        // 获取Token字符串,token 置于 header 里
        String token = request.getHeader("token");
        if (!StringUtils.hasText(token)) {
            token = request.getParameter("token");
        }
        if (token != null && !"".equals(token.trim())) {
            // 从Token中解密获取用户名
            String userName = JwtTokenUtil.getUserNameFromToken(token);

            if (userName != null) {
                // 从Token中解密获取用户角色
                String role = JwtTokenUtil.getUserRoleFromToken(token);
                // 将ROLE_XXX,ROLE_YYY格式的角色字符串转换为数组
                String[] roles = role.split(",");
                Collection<SimpleGrantedAuthority> authorities = new ArrayList<>();
                for (String s : roles) {
                    authorities.add(new SimpleGrantedAuthority(s));
                }
                return new UsernamePasswordAuthenticationToken(userName, token, authorities);
            }
            return null;
        }
        return null;
    }
}

TokenLoginFilter

@Slf4j
public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {
    private AuthenticationManager authenticationManager;
    private AuthenticationException authentication;
    public TokenLoginFilter(AuthenticationManager authenticationManager) {
        this.authenticationManager =authenticationManager;
    }

    @SneakyThrows
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        try {


            String username = request.getParameter("username");

            String password = request.getParameter("password");

            username = username != null ? username.trim() : "";
            password = password != null ? password : "";
            return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password, new ArrayList<>()));
        } catch (Exception e) {

            new RuntimeException(e);

            this.unsuccessfulAuthentication(request,response, (AuthenticationException) authentication);
            return null;
        }

    }
    /**
     * 登录成功
     */
    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication auth) throws IOException, ServletException {

        SelfUserDetails user= (SelfUserDetails) auth.getPrincipal();
        Account account = user.getAccount();
        String authrorities = user.getAuthorities().size() > 0 ? user.getAuthorities().toString().replaceAll("(?:\\[|null|\\]| +)", "") : user.getAuthorities().toString();
        String token=JwtTokenUtil.createToken(account.getName(),authrorities);
        HashMap<Object, Object> map = new HashMap<>();
        map.put("token", token);
        map.put("user",account);

        ResponseUtil.out(response, Result.successWithData(map));
    }
    /**
     * 登录失败
     */
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
        logger.debug("登录失败!");
        ResponseUtil.out(response, Result.failed("登录失败"));
    }
}

UnauthorizedEntryPorint

public class UnauthorizedEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
         ResponseUtil.out(httpServletResponse, Result.failed("未授权统一处理"));
    }
}

(五)Spring Boot学习——spring security +jwt使用(前后端分离模式)
朝屯暮蒙vi的博客
02-10 1906
2.不带token则在控制器中对用户密码进行验证,因为在loadUserByUsername方法中设置了对用户名密码的验证,所以使用UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginName, password);验证结果是true的。我使用的是springboot3.3.5 springsecurity是6.x的 jwt 0.12.6。
SpringBoot+SpringSecurity改造为前后端分离+Jwt的权限认证系统,Token过期刷新问题
zzzgd_666的博客
07-18 1万+
前言 一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。 但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了 SpringSecurity默认的是采用Session来判断请求的用户是否登录的,但是不方便分布式...
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
Springboot使用SpringSecurity+Jwt前后端分离认证
qq_37924768的博客
04-26 1229
Springboot使用SpringSecurity+Jwt前后端分离认证 springsecurity是一个权限管理框架,由多个过滤器链组成,本次主要使用springsecurity结合jwt生成token进行前后端分离的权限校验。 权限这块使用了传统的RBAC权限控制,由五张表组成。 引入依赖: <dependency> <groupId>io.jsonwebtoken</groupId> <artifactI
Spring BootSpring Security 实现 JWT 认证
最新发布
weixin_43833540的博客
06-16 1847
Spring Security 中,UsernamePasswordAuthenticationToken 的 authorities 参数用于注入当前用户的​​权限集合​​(Collection<?JWT 是一种开放标准(RFC 7519),用于在网络应用间安全传递 JSON 格式的声明信息。JWT 在微服务、跨域单点登录(SSO)场景中优势显著。JWT 由三部分组成,以点号。
SpringSecurity前后端分离
热门推荐
X_lsod的博客
02-13 2万+
SpringSecurity前后端分离 一、认证流程讲解 1、原始认证流程 原始认证流程通常会配合Session一起使用,但前后端分离后就用不到Session了 SpringSecurity默认的认证流程如下图(该图是B站UP主“三更草堂”讲SpringSecurity课程的图) DaoAuthenticationProvider继承AbstractUserDetailsAuthenticationProvider抽象类,而AbstractUserDetailsAuthenticationProvi
【深入浅出 Spring Security(十三)】使用 JWT 进行前后端分离认证(附源码)
qq_63691275的博客
07-07 4836
使用JWT进行前后端分离认证实现,其后端主要实现其实就是分为俩步(在已经封装好JWT生成和验证工具类的基础上),第一步就是登录认证成功后如何将生成的 jwt 响应给前端?——在AuthenticationSuccessHandler中进行实现;第二步就是前端携带该 jwt 向服务器端发送请求后,如何去认证该请求?——去重写BasicAuthenticationFilter中的doFilterInternal方法,在此方法中进行认证即可...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统
04-30
基于当前流行技术组合的前后端分离商城系统:SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含商城、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券...
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip
07-02
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+...
Springboot+Vue+SpringSecurity+JWT图书商城在线购书系统前后端分离项目源码购物java web
09-17
技术栈为Springboot+Vue、Mysql、Mybatis、Druid、SpringSecurityJWT、Redis的项目。它包括了管理员和普通用户两类人员的功能。 对于管理员,他们可以进行图书管理,包括添加、删除、修改、查看图书,并且可以对...
JWT详细解析
m0_65224643的博客
07-30 1万+
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j,密码:123。用户、角色、及菜单权限都是代码中指定的,未实现查询数据库相关数据。正常开发需要和现有系统数据库结合,这里只是简单说明整体用户认证、授权流程逻辑说明。 仓库地址:https://gitee.com/JakeRhino/spring-security-jwt-demo
springBoot整合spring security+JWT实现单点登录与权限管理前后端分离--筑基中期
qq_43788185的博客
09-05 1846
写在前面 在前一篇文章当中,我们介绍了springBoot整合spring security单体应用版,在这篇文章当中,我将介绍springBoot整合spring secury+JWT实现单点登录与权限管理。 本文涉及的权限管理模型是基于资源的动态权限管理。数据库设计的表有 user 、role、user_role、permission、role_permission。 单点登录当中,关于访问者信息的存储有多种解决方案。如将其以key-value的形式存储于redis数据库中,访问者令牌中存放key。校验
SpringBoot+SpringSecurity+JWT前后端分离(一)
m0_49844045的博客
09-15 580
1、引入坐标 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2、实现UserDetails接口实体 /* * @description: 用户信息封装 */ @Data public class SecurityUs
SpringSecurity+JWT实现前后端分离认证和授权 第二部分:测试+流程分析
Eriksen的博客
07-18 1272
SpringSecurity+JWT
Spring Security 前后端分离
Markix的博客
11-14 3572
前后端分离指的就是前后端分离部署,前端 调用后端API,后端 返回 JSON格式数据,页面是由前端渲染并展示到浏览器中。Spring Security 涉及到的扩展点: 登录成功处理:AuthenticationSuccessHandler 登录失败处理:AuthenticationFailureHandler 登出成功处理:LogoutSuccessHandler 未登录处理:AuthenticationEntryPoint 鉴权失败处理:AccessDeniedHandler
Springboot + Spring Security 实现前后端分离
03-11
### 如何使用Spring BootSpring Security实现前后端分离 在现代Web开发中,前后端分离是一种常见的架构模式。为了确保应用程序的安全性和功能性,采用Spring BootSpring Security相结合的方式能够提供强大的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值