快速上手spring-boot+spring-security+jwt

原創 Coder_py 2020-05-14 12:44

快速上手spring-boot+spring-security+jwt

數據庫表設計

三張表:

  • 用戶表 user

  • 角色表 role

  • 用戶角色表 user_roles

圖示:

圖1.png

實體類

用戶類


@Entity
public class User implements UserDetails {

    @Id
    @GeneratedValue
    private Long id;

    private String username;

    private String password;

    // 角色
    @ManyToMany(cascade = {CascadeType.REFRESH},fetch = FetchType.EAGER)
    private List<Role> roles;

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }
    
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> authorities = new ArrayList<>();
        for (Role role : roles) {
            authorities.add( new SimpleGrantedAuthority( role.getName() ) );
        }
        return authorities;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public String getPassword() {
        return password;
    }

}

通過繼承 UserDetails,即可實現 Security 中相關的安全功能。

角色類


@Entity
public class Role {

    @Id
    @GeneratedValue
    private Long id;

    private String name;

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }
}

安全配置


@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserService userService;

    @Bean
    public JwtTokenFilter authenticationTokenFilterBean() throws Exception {
        return new JwtTokenFilter();
    }

    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure( AuthenticationManagerBuilder auth ) throws Exception {
        
        auth.userDetailsService( userService ).passwordEncoder( new BCryptPasswordEncoder() );
    }

    @Override
    protected void configure( HttpSecurity httpSecurity ) throws Exception {

        httpSecurity.csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                .authorizeRequests()
                .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                .antMatchers(HttpMethod.POST, "/authentication/**").permitAll()// 不過濾
                .antMatchers(HttpMethod.POST).authenticated()
                .antMatchers(HttpMethod.PUT).authenticated()
                .antMatchers(HttpMethod.DELETE).authenticated()
                .antMatchers(HttpMethod.GET).authenticated();

        httpSecurity
                .addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
        httpSecurity.headers().cacheControl();
    }

}

針對token的操作

@Component
public class JwtTokenUtil implements Serializable {

    private static final long serialVersionUID = -5625635588908941275L;

    private static final String CLAIM_KEY_USERNAME = "sub";
    private static final String CLAIM_KEY_CREATED = "created";

    public String getUsernameFromToken(String token) {
        String username;
        try {
            final Claims claims = getClaimsFromToken(token);
            username = claims.getSubject();
        } catch (Exception e) {
            username = null;
        }
        return username;
    }

    public Date getCreatedDateFromToken(String token) {
        Date created;
        try {
            final Claims claims = getClaimsFromToken(token);
            created = new Date((Long) claims.get(CLAIM_KEY_CREATED));
        } catch (Exception e) {
            created = null;
        }
        return created;
    }

    public Date getExpirationDateFromToken(String token) {
        Date expiration;
        try {
            final Claims claims = getClaimsFromToken(token);
            expiration = claims.getExpiration();
        } catch (Exception e) {
            expiration = null;
        }
        return expiration;
    }

    private Claims getClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser()
                    .setSigningKey( Const.SECRET )
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            claims = null;
        }
        return claims;
    }

    private Date generateExpirationDate() {
        return new Date(System.currentTimeMillis() + Const.EXPIRATION_TIME * 1000);
    }

    private Boolean isTokenExpired(String token) {
        final Date expiration = getExpirationDateFromToken(token);
        return expiration.before(new Date());
    }

    private Boolean isCreatedBeforeLastPasswordReset(Date created, Date lastPasswordReset) {
        return (lastPasswordReset != null && created.before(lastPasswordReset));
    }


    // 生成token
    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();
        claims.put(CLAIM_KEY_USERNAME, userDetails.getUsername());
        claims.put(CLAIM_KEY_CREATED, new Date());
        return generateToken(claims);
    }

    // 生成token
    String generateToken(Map<String, Object> claims) {
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate())
                .signWith(SignatureAlgorithm.HS512, Const.SECRET )
                .compact();
    }

    public Boolean canTokenBeRefreshed(String token) {
        return !isTokenExpired(token);
    }


    // 更新token
    public String refreshToken(String token) {
        String refreshedToken;
        try {
            final Claims claims = getClaimsFromToken(token);
            claims.put(CLAIM_KEY_CREATED, new Date());
            refreshedToken = generateToken(claims);
        } catch (Exception e) {
            refreshedToken = null;
        }
        return refreshedToken;
    }

    // 驗證token
    public Boolean validateToken(String token, UserDetails userDetails) {
        User user = (User) userDetails;
        final String username = getUsernameFromToken(token);
        return (
                username.equals(user.getUsername())
                        && !isTokenExpired(token)
                        );
    }
}

過濾器

@Component
public class JwtTokenFilter extends OncePerRequestFilter {

    @Autowired
    private UserDetailsService userDetailsService;


    // 注入 jwt工具類
    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    @Override
    protected void doFilterInternal ( HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {

        // request請求頭中是否有 Authorization 認證請求
        String authHeader = request.getHeader( Const.HEADER_STRING );

        if (authHeader != null && authHeader.startsWith( Const.TOKEN_PREFIX )) {

            // 存在 進行 截取 把string類型的 token取出來
            final String authToken = authHeader.substring( Const.TOKEN_PREFIX.length() );
            // 通過token 把 對應的用戶名 取出來
            String username = jwtTokenUtil.getUsernameFromToken(authToken);


            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
                	if (jwtTokenUtil.validateToken(authToken, userDetails)) {
                        UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
                                userDetails, null, userDetails.getAuthorities());
                        authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(
                                request));
                        SecurityContextHolder.getContext().setAuthentication(authentication);
                    }
            }
        }
        chain.doFilter(request, response);
    }
}

流程:

圖2.png

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

go-kit學習指南 - 中間件

原文:https://blog.fengjx.com/pages/d6f092 介紹 go-kit的分層設計可以看成是一個洋蔥,有許多層。這些層可以劃分爲我們的三個領域。 Service: 最內部的服務領域是基於你特定服務定義的,也是

原創 2024-05-14 12:17:31

Higress 全新 Wasm 運行時,性能大幅提升

本文作者: 澄潭,阿里雲 API 網關軟件工程師,Higress 開源項目主要貢獻者 何良,Intel Web Platform Engineering 軟件工程師,WAMR 開源項目主要貢獻者 本文介紹 Higress 將 Wasm 插件

原創 2024-04-15 21:12:23

雲原生最佳實踐系列 6:MSE 雲原生網關使用 JWT 進行認證鑑權

方案概述 MSE 網關可以爲後端服務提供轉發路由能力,在此基礎上,一些敏感的後端服務需要特定認證授權的用戶才能夠訪問。MSE 雲原生網關致力於提供給雲上用戶體系化的安全解決方案,其中 JWT 認證能力是在 Json Web Token 這種

原創 2024-04-01 21:12:23

雲原生最佳實踐系列 7:基於 OSS Object FC 實現非結構化文件實時處理

方案概述 現在絕大多數客戶都有很多非結構化的數據存在 OSS 中,以圖片,視頻,音頻居多。舉一個圖片處理的場景,現在各種終端種類繁多,不同的終端對圖片的格式、分辨率要求也不同,所以一張圖片往往會有很多張衍生圖,那如果所有的衍生圖都存在 OS

原創 2024-04-01 21:12:15

百萬併發,API 網關抗住了亞運會流量高峯

1.背景 2023 年杭州亞運會給大家留下了美好的回憶,當時各種線上線下的活動和賽事也將如火如荼地展開,與亞運會相關的應用和服務迎來流量高峯。作爲亞運會所有核心流量的入口,阿里雲 API 網關的重要性不言而喻。爲了確保 API 網關能夠穩

原創 2024-02-23 00:45:31

Java 21 虛擬線程如何限流控制吞吐量

虛擬線程(Virtual Threads)是 Java 21 所有新特性中最爲吸引人的內容,它可以大大來簡化和增強Java應用的併發性。但是,隨着這些變化而來的是如何最好地管理此吞吐量的問題。本文,就讓我們看一下開發人員在使用虛擬線程時,應

原創 2024-02-20 21:55:41

敲敲雲與JeecgBoot、明道雲、簡道雲 等低代碼平臺對比,那個更好用?

敲敲雲、JeecgBoot、明道雲和簡道雲都是目前市場上比較受歡迎的產品,它們都提供了一些相似的功能,但也有一些不同之處。下面將對這四款產品進行對比。 功能特點 敲敲雲 敲敲雲是一款雲端APaaS零代碼平臺,幫助企業快速搭建個性化業務應

原創 2023-11-02 01:59:58

Github Star 36.2K的開源低代碼平臺推薦—JeecgBoot

一、什麼是低代碼開發平臺呢? 低代碼的含義是少寫代碼並不是不寫代碼,面向的用戶羣體還是編程人員,傳統的快速開發平臺、在線開發平臺、OA辦公系統 都可以稱爲低代碼平臺,那他是怎麼幫助你少寫代碼的呢,往下看! 低代碼有哪些節省代碼的技巧 1、在

原創 2023-10-31 01:16:31

2023年度,最受人歡迎的低代碼開發平臺大盤點

什麼是低代碼? 現在很多產品都叫低代碼,實質上並不是低代碼產品,這給大家造成了很大誤區! 我覺得低代碼產品必須擁有完善的工作流模塊、流程設計引擎、表單設計引擎、大屏設計引擎、報表設計器、儀表盤設計、門戶設計、APP設計等低代碼組件。可以通過

原創 2023-10-13 01:06:41

springboot2.7+security+jwt 不使用UserDetailsService

 描述:         網上代碼大部分都使用實體類實現 UserDetails,同時實現 UserDetailsService,對於不熟悉 security 的開發人員在開發登錄接口時不清楚需要實現這兩個接口,對於在配置權限時,需要重構登

原創 2023-08-18 09:21:34

Solon2 簡單的單點登錄SSO實現

簡單的單點登錄,目前可以基於 solon.sessionstate.jwt 插件實現。假定場景是多個管理後臺,使用二級域名分別爲: a.demo.org b.demo.org c.demo.org 各個管理後臺,在一個導航頁面上。在導航

原創 2023-04-10 09:13:51

Dragonfly 最新版本 v2.0.9 發佈

Dragonfly 最新正式版本 v2.0.9 已經發布!感謝 Dragonfly 的貢獻者們,同時也感謝默默支持 Dragonfly 項目的各個公有云團隊。歡迎訪問 d7y.io[1] 網站來了解詳情,下面具體介紹 v2.0.9 版

原創 2023-03-24 23:31:45

gRPC請求超時和異常處理

1. 請求超時 在 HTTP 請求中,我們發送請求的時候,可以設置一個請求超時時間-connectTimeout,即在指定的時間內,如果請求沒有到達服務端,爲了避免客戶端一直進行不必要的等待,就會拋出一個請求超時異常。 但是在微服務系統中,

原創 2023-03-10 00:42:35

代碼審查,異步調用的常見問題剖析

先來看一段代碼,就是一小段而已:  export function loginWithWx() {     wx.showLoading({ title: "登錄中..." });     wx.login({         succe

原創 2022-04-30 12:10:07

Umi v3 & Ant Design Pro v5 從零開始實戰視頻教程(34 個視頻)

Umi v3 & Ant Design Pro v5 從零開始實戰視頻教程(34 個視頻) Umi v3 & Ant Design Pro v5 視頻教程,從零開始學習,搭建一個完整的後臺。Umi 更新了,Ant Design Pro 也更

原創 2021-12-25 21:48:13