Spring Security+JWT实现认证与授权的实现

下面我就来详细讲解一下“Spring Security+JWT实现认证与授权的实现”的完整攻略。

一、准备工作

在开始讲解实现的过程之前,我们需要先进行一些准备工作:

  1. 在项目的pom.xml文件中引入相应的依赖:
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>
  1. 创建一个自定义的UserDetailsService,用于查询用户信息:
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username)
                .orElseThrow(() -> new UsernameNotFoundException("User Not Found with username: " + username));

        return UserDetailsImpl.build(user);
    }
}
  1. 创建一个JwtUtils工具类,用于生成Token、解析Token等操作:
@Component
public class JwtUtils {

    @Value("${jwt.secret}")
    private String secret;

    @Value("${jwt.expiration}")
    private int expiration;

    public String generateJwtToken(Authentication authentication) {

        UserDetailsImpl userPrincipal = (UserDetailsImpl) authentication.getPrincipal();

        return Jwts.builder()
                .setSubject((userPrincipal.getUsername()))
                .setIssuedAt(new Date())
                .setExpiration(new Date((new Date()).getTime() + expiration * 1000))
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    public String getUsernameFromJwtToken(String token) {
        return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody().getSubject();
    }

    public boolean validateJwtToken(String authToken) {
        try {
            Jwts.parser().setSigningKey(secret).parseClaimsJws(authToken);
            return true;
        } catch (SignatureException e) {
            logger.error("Invalid JWT signature: {}", e.getMessage());
        } catch (MalformedJwtException e) {
            logger.error("Invalid JWT token: {}", e.getMessage());
        } catch (ExpiredJwtException e) {
            logger.error("JWT token is expired: {}", e.getMessage());
        } catch (UnsupportedJwtException e) {
            logger.error("JWT token is unsupported: {}", e.getMessage());
        } catch (IllegalArgumentException e) {
            logger.error("JWT claims string is empty: {}", e.getMessage());
        }

        return false;
    }
}

二、完成认证与授权实现

在完成了上面的准备工作之后,我们可以开始完成认证与授权的实现了。

  1. 创建一个JwtTokenFilter过滤器,用于拦截请求并验证Token:
@Component
public class JwtTokenFilter extends OncePerRequestFilter {

    @Autowired
    private JwtUtils jwtUtils;

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        try {
            String jwt = parseJwt(request);
            if (jwt != null && jwtUtils.validateJwtToken(jwt)) {
                String username = jwtUtils.getUsernameFromJwtToken(jwt);

                UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        } catch (Exception e) {
            logger.error("Cannot set user authentication: {}", e);
        }

        filterChain.doFilter(request, response);
    }

    private String parseJwt(HttpServletRequest request) {
        String headerAuth = request.getHeader("Authorization");

        if (StringUtils.hasText(headerAuth) && headerAuth.startsWith("Bearer ")) {
            return headerAuth.substring(7, headerAuth.length());
        }

        return null;
    }
}
  1. 创建一个JwtAuthEntryPoint,用于处理未经过授权的请求:
@Component
public class JwtAuthEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Error: Unauthorized");
    }
}
  1. 在SecurityConfig中进行配置:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    private JwtAuthEntryPoint unauthorizedHandler;

    @Bean
    public JwtTokenFilter authenticationJwtTokenFilter() {
        return new JwtTokenFilter();
    }

    @Override
    public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
        authenticationManagerBuilder.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable()
                .authorizeRequests()
                .antMatchers("/api/auth/**")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .exceptionHandling()
                .authenticationEntryPoint(unauthorizedHandler)
                .and()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        http.addFilterBefore(authenticationJwtTokenFilter(), UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

三、示例1:实现用户登录

我们来看一个实现用户登录的示例:

  1. 创建一个AuthService用于处理用户登录请求:
@Service
public class AuthService {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private JwtUtils jwtUtils;

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    public JwtResponse authenticateUser(LoginRequest loginRequest) {

        Authentication authentication = authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword()));

        SecurityContextHolder.getContext().setAuthentication(authentication);
        String jwt = jwtUtils.generateJwtToken(authentication);

        UserDetailsImpl userDetails = (UserDetailsImpl) authentication.getPrincipal();
        List<String> roles = userDetails.getAuthorities().stream()
                .map(item -> item.getAuthority())
                .collect(Collectors.toList());

        return new JwtResponse(jwt, userDetails.getId(), userDetails.getUsername(), userDetails.getEmail(), roles);
    }
}
  1. 创建一个Controller,用于处理登录请求:
@RestController
@RequestMapping("/api/auth")
public class AuthController {

    @Autowired
    private AuthService authService;

    @PostMapping("/signin")
    public ResponseEntity<?> authenticateUser(@Validated @RequestBody LoginRequest loginRequest) {

        JwtResponse jwtResponse = authService.authenticateUser(loginRequest);

        return ResponseEntity.ok(jwtResponse);
    }
}

四、示例2:实现角色权限控制

我们来看另一个示例,实现角色权限控制。

  1. 创建一个SecuredController用于测试用户是否具有角色权限:
@RestController
@RequestMapping("/api")
public class SecuredController {

    @GetMapping("/test")
    @PreAuthorize("hasRole('USER')")
    public String userAccess() {
        return "User Content.";
    }

    @GetMapping("/admin")
    @PreAuthorize("hasRole('ADMIN')")
    public String adminAccess() {
        return "Admin Board.";
    }
}
  1. 在RoleEnum中定义角色:
public enum RoleEnum {

    ROLE_USER,
    ROLE_ADMIN
}
  1. 在UserDetailsImpl中重写getAuthorities方法:
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
    return roles.stream().map(role -> new SimpleGrantedAuthority(role.getName().name())).collect(Collectors.toList());
}

五、总结

通过上面的几个步骤,我们实现了基于Spring Security和JWT的认证与授权实现,并且还给出了两个示例来演示如何实现用户登录和角色权限控制。希望这篇文章能够对你有所帮助。

本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:Spring Security+JWT实现认证与授权的实现 - Python技术站

(0)
上一篇 2023年5月20日
下一篇 2023年5月20日

相关文章

  • Java Spring框架的注解式开发你了解吗

    Java Spring框架的注解式开发,是一种基于注解的Java web开发方式。相较于传统的XML配置方式,注解式开发更加简洁、易于理解和维护。下面,将从注解、Spring框架注解、实例示范和常见问题四个方面,为大家详细讲解Java Spring框架的注解式开发攻略。 注解 注解是Java8中最重要的新特性之一,也是Java Spring框架的核心元素之一…

    Java 2023年6月2日
    00
  • Spring Boot实现登录验证码功能的案例详解

    Spring Boot实现登录验证码功能的案例详解 简介 最近,我在开发一个基于Spring Boot的Web应用程序时,需要实现一个登录验证码功能,以确保用户输入有效并防止暴力破解。在研究后,我发现可以通过添加一些依赖项和编写一些代码来轻松地实现此功能。在本文中,我将与您分享实现登录验证码功能的详细步骤。 步骤 步骤1:添加依赖 为了实现登录验证码功能,我…

    Java 2023年5月20日
    00
  • 浅谈java监听器的作用

    浅谈Java监听器的作用 什么是监听器 在Java中,监听器是一种常见的设计模式,它可以让我们在某个事件发生时,自动触发执行一些操作。 监听器的作用 Java监听器的作用主要有以下几点: 可以在特定的事件发生时,自动触发一些操作。 可以对代码的业务逻辑和程序的功能进行解耦,提高代码的复用性。 可以使代码更加灵活和可控,方便维护。 监听器的相关类 Java中提…

    Java 2023年6月15日
    00
  • Spring与Struts整合之使用自动装配操作示例

    让我为您详细讲解一下“Spring与Struts整合之使用自动装配操作示例”的完整攻略。 一、整合准备 首先,我们需要准备好Spring和Struts的环境。其中,Spring的版本我使用的是5.2.2,Struts的版本是2.5.22。 接着,我们需要在Spring的配置文件中进行以下配置: <!– 开启自动扫描 –> <contex…

    Java 2023年5月20日
    00
  • 浅谈SpringMVC对RESTfull的支持

    浅谈SpringMVC对RESTful的支持 什么是RESTful RESTful是一种基于HTTP协议的Web服务架构风格,它是一种轻量级、简单易用的架构风格,可以用于构建分布式系统。RESTful架构风格的核心是资源,每个资源都有一个唯一的URI,通过HTTP协议的GET、POST、PUT、DELETE等方法对资源进行操作。 SpringMVC对REST…

    Java 2023年5月17日
    00
  • 教你如何使用Java多线程编程LockSupport工具类

    教你如何使用Java多线程编程LockSupport工具类 什么是LockSupport LockSupport是JavaSE 5引入的一个工具类,用于线程的阻塞和唤醒。它可以在任何时刻,让一个正在运行的线程阻塞或者唤醒它。 LockSupport的使用 park()方法 LockSupport类下的park方法可以阻塞线程,直到调用它的unpark方法或者…

    Java 2023年5月18日
    00
  • Spring MVC整合Kaptcha的具体使用

    下面是Spring MVC整合Kaptcha的具体使用的攻略: 准备工作 在Spring MVC项目中使用Kaptcha,需要先导入Kaptcha的依赖。可以在maven项目的pom.xml中添加以下代码: <dependency> <groupId>com.google.code.kaptcha</groupId> &l…

    Java 2023年6月16日
    00
  • Java用递归方法解决汉诺塔问题详解

    Java用递归方法解决汉诺塔问题详解 问题描述 汉诺塔问题的经典描述是:在有三根柱子的情况下,有三个大小不同的盘子从下往上按从大到小的顺序放在柱子A上,要将这三个盘子移动到柱子C上,要求每次只能移动一个盘子,且大盘子不能放在小盘子上面。 解题思路 汉诺塔问题是递归问题的典型,使用递归可以比较简单地解决该问题。 我们可以将解决汉诺塔问题的方法抽象为三个步骤: …

    Java 2023年5月19日
    00
合作推广
合作推广
分享本页
返回顶部