Spring Boot + SpringSecurity + JWT 实现简单的 restful Api 权限控制

最新推荐文章于 2021-08-20 12:15:06 发布
最新推荐文章于 2021-08-20 12:15:06 发布
阅读量1.6w 收藏 15
点赞数 2
CC 4.0 BY-SA版权
分类专栏: springsecurity 入门到实战高手 文章标签: springsecurity进行restful api权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhangcongyi420/article/details/90146402
本文介绍了如何使用Spring Boot、Spring Security和JWT实现RESTful API的权限控制。通过设置过滤器,实现了用户注册、登录、JWT token的生成与验证,确保接口的安全访问。在Spring Security配置中,添加了自定义的JWTLoginFilter和JwtAuthenticationFilter,以完成登录认证和授权验证。JWT的无状态特性使其适用于分布式系统。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

对于前后端分离的项目,后端对于接口访问的权限控制是必须要做的,也就是需要根据用户的权限进行控制,这样才能对我们的接口资源进行一定程度的保护,在一个web项目中,我们的通常做法是,允许登录后的用户进行接口资源的访问,否则就需要进行拦截,比较成熟也比较流行的做法如下图所示,
在这里插入图片描述

我们大致梳理一下这个认证的流程如下,
1、用户访问后端某个接口,或者是需要操作web页面某个功能,如果没有认证,需要进行页面跳转,这里假设跳转到登录页面;
2、用户执行登录,登录成功,服务端将token返回给客户端;
3、用户继续请求后端接口或者功能时候需要携带这个token;

其实整个步骤就这么简单,但如果做得更完美点儿,里面需要注意的细节比较多,下面我们使用
Spring Boot + Spring Security + JWT来实现一下上面的流程,

关于这三个组件,由于篇幅原因不做过多介绍了,有兴趣的伙伴可以深入研究一下关于SpringSecurity 的知识,里面的内容有点多,这个整合里面,SpringSecurity 是核心,它内置的相关组件帮我们实现用户的登录认证,token管理,下面直接上代码,

代码结构,

了解本专栏 订阅专栏 解锁全文 超级会员免费看
SpringBoot框架完整学习指南
weixin_51040479的博客
07-08 1405
SpringBoot 是一个基于 Spring 框架的快速开发工具,通过"约定优于配置"理念简化了 Spring 应用的初始搭建和开发过程。本文档全面介绍了 SpringBoot 的核心特性、开发实践和高级功能,包括: 核心特性:起步依赖简化依赖管理,自动配置根据类路径自动配置组件,内嵌服务器支持独立运行。 开发实践: Web 开发:控制器开发、静态资源处理、模板引擎 数据访问:JPA、MyBatis、Redis 等集成 安全:Spring Security 集成和 JWT 认证 缓存:
基于Spring Boot 3 + Spring Security6 + JWT + Redis实现登录、token身份认证
最新发布
ekskef_sef的博客
01-24 851
基于Spring Boot3实现Spring Security6 + JWT + Redis实现登录、token身份认证。系列文章指路??项目源码??
SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法
08-26
主要介绍了SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Boot+Spring Security+JWT 实现 RESTful Api 认证 (一)
热门推荐
https://gitee.com/micai-code
09-13 9万+
摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的。现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能够访问API。 一:开发一个简单API 在IDEA开发工具中新建一个maven工程,添加对应的依赖如下: <dependency> <gro...
轻松上手SpringBoot+SpringSecurity+JWTRESTfulAPI权限控制实战
daTou
08-20 1008
前言 我们知道在项目开发中,后台开发权限认证是非常重要的,springboot 中常用熟悉的权限认证框架有,shiro,还有就是springboot 全家桶的 security当然他们各有各的好处,但是我比较喜欢springboot自带的权限认证框架 <!--springboot 权限认证--> <dependency> <groupId>org.springframework.boot</groupId>
SpringBoot简单实现JWT
mzjmc123的博客
10-24 717
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 JWT官网: https://jwt.io JWT的主要应用场景 身份认证在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的
SpringBoot Security整合JWT授权RestAPI
qianmoQ - 关注云计算,关注大数据
11-26 413
本教程主要详细讲解SpringBoot Security整合JWT授权RestAPI。 基础环境 技术 版本 Java 1.8+ SpringBoot 2.x.x Security 5.x JWT 0.9.0 创建项目 初始化项目 mvn archetype:generate -DgroupId=com.edurt.sli.slisj -DartifactI...
新一代基于Spring Boot+Spring Security+JWT实现RestApi增加权限和认证控制的项目
05-21
本项目“新一代基于Spring Boot+Spring Security+JWT实现RestApi增加权限和认证控制”正是针对这一需求而设计的。以下是关于这个项目及其相关技术的详细说明。 **Spring Boot** Spring Boot简化了Spring应用的...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring SecurityJWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
Spring Boot通过注解实现Restful接口权限控制
Happywzy~的博客
10-29 3455
创建一个注解AuthToken,所有使用这个注解的方法,均要通过权限验证才能访问。 @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface AuthToken { /** * 是否只能管理员权限才能访问,默认所有用户都可以访问 */ ...
springBoot+springSecurity 动态管理Restful风格权限(三)
哎幽的成长
02-15 5万+
上一篇博客 springBoot+springSecurity 数据库动态管理用户、角色、权限(二) 只是实现了用户、角色、权限的动态管理,但是其权限管理是有缺陷的,他不支持restful风格的接口权限管理,因为他无法区分客户端的请求方式。本片博客是为了弥补此缺陷的,本篇博客将在 springBoot+springSecurity 数据库动态管理用户、角色、权限(二) 的基础上进行修改使其
Restful风格服务端应用的Spring Boot + Spring Security配置
06-08
NULL 博文链接:https://357029540.iteye.com/blog/2329730
spring security+jwt 实现 restful api格式.
09-20
本案例采用jpa 持久化,/auth/login 获取token登入信息,把token 前添加Bearer 注意Bearer 后有个空格,放到headers 请求中.可访问其他信息
jwt + spring security 登陆验证和权限管理
04-19
一个Spring Security+JWT认证和授权的demo,此demo为Spring安全性与OAuth(1a)和OAuth2结合使用提供了支持。它提供了在Spring安全编程模型和配置下实现分布式无状态授权
springboot-springsecurity权限控制的万能后台管理系统
09-26
项目是由maven管理,springboot架构,springsecurity权限管理组成的万能的系统管理后台模板。希望对大家有帮助,谢谢!
springboot+security restful权限控制官方推荐(五)
哎幽的成长
03-03 3万+
继前几篇博客将用户、角色、权限信息都存在数据,实现管理权限到请求方法级别。感觉那种实现方式比较鸡肋,不太实用。所以今天说一下,官方推荐的注解方式控制权限到请求方法级别的实现。官方推荐的方法是将用户、角色信息存在数据库,而角色和权限的对应关系,通过注解的方式写死在controller上。废话不多说,上代码;本文代码是基于博客 springboot+mybatis+SpringSecurity 实现
Spring Security 访问控制-实现 RESTful API
pomer_huang的博客
09-09 1万+
要想实现 Spring Security 返回 JSON 格式串,只需重写以下几个处理器(JavaConfig) http.exceptionHandling().accessDeniedHandler() http.exceptionHandling().authenticationEntryPoint() http.formLogin().successHandler() http.for...
SpringSecurity 开发安全的RESTful服务(持续更新)
暗余的博客
12-26 2635
导航:SpringSecurity 开发安全的Rest服务一. 初入Restful1.1 本章导航1.2 使用SpringMVC 编写Restful API1.3 REST成熟度模型1.4 常用注解 SpringSecurity 开发安全的Rest服务 一. 初入Restful 1.1 本章导航 使用Spring MVC编写Restful API 使用Spring MVC处理其他web应用常...
Spring+Boot+Spring+Security+JWT+实现+RESTful+Api+认证+(一)
09-20
Spring BootSpring Security可以很好地结合使用来实现RESTful API的认证。而JWT(JSON Web Token)是一种用于认证和授权的安全传输方式。 要在Spring Boot实现JWT认证,可以遵循以下步骤: 1. 添加依赖:在`pom.xml`文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 创建JWT工具类:创建一个JWT工具类来生成和解析JWT。可以使用JJWT库来简化这个过程。 3. 创建认证过滤器:创建一个继承自`OncePerRequestFilter`的认证过滤器,在该过滤器中检查请求中的JWT,并进行认证。 4. 配置Spring Security:将认证过滤器添加到Spring Security的配置中,以便在每个请求到达之前进行JWT认证。 5. 创建登录接口:创建一个登录接口,用于验证用户的身份并生成JWT。 这是一个简单的示例代码,说明如何在Spring Boot实现JWT认证: ```java // JWT工具类 public class JwtUtils { private static final String SECRET_KEY = "your-secret-key"; private static final long EXPIRATION_TIME = 864_000_000; // 10天 public static String generateToken(Authentication authentication) { UserDetailsImpl userPrincipal = (UserDetailsImpl) authentication.getPrincipal(); Date expirationDate = new Date(System.currentTimeMillis() + EXPIRATION_TIME); return Jwts.builder() .setSubject(userPrincipal.getUsername()) .setIssuedAt(new Date()) .setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public static String getUsernameFromToken(String token) { return Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody() .getSubject(); } public static boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (SignatureException | MalformedJwtException | ExpiredJwtException | UnsupportedJwtException | IllegalArgumentException e) { return false; } } } // 认证过滤器 public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtUtils jwtUtils; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String authorizationHeader = request.getHeader("Authorization"); if (StringUtils.hasText(authorizationHeader) && authorizationHeader.startsWith("Bearer ")) { String token = authorizationHeader.substring(7); if (jwtUtils.validateToken(token)) { String username = jwtUtils.getUsernameFromToken(token); UserDetails userDetails = userDetailsService.loadUserByUsername(username); UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } filterChain.doFilter(request, response); } } // Spring Security配置类 @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtAuthenticationFilter jwtAuthenticationFilter; @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class); } } // 登录接口 @RestController public class AuthController { @Autowired private AuthenticationManager authenticationManager; @PostMapping("/login") public ResponseEntity<?> authenticateUser(@RequestBody LoginRequest loginRequest) { Authentication authentication = authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword()) ); SecurityContextHolder.getContext().setAuthentication(authentication); String token = JwtUtils.generateToken(authentication); return ResponseEntity.ok(new JwtResponse(token)); } } // 登录请求DTO public class LoginRequest { private String username; private String password; // getters and setters } // JWT响应DTO public class JwtResponse { private String token; // constructor and getter } // 用户详情实现类 @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("User Not Found with username: " + username)); return UserDetailsImpl.build(user); } } ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小码农叔叔

谢谢鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值