web-security第五期:使用Spring Security+JWT實現基於令牌的訪問

原創 秋.凝 2020-06-16 01:41

源碼地址:鏈接 (Spring-Security)

前兩期分別分析了Spring Security Authentication 和 JWT,這一節組合這兩個技術,完成 記住我的功能

1.令牌工具類

使用上一期的知識,很容易寫一個下面的令牌操作工具類:

/**
 * 登錄令牌操作
 *
 * @author swing
 */
public class JwtService {
    /**
     * 令牌有效期(30分鐘)
     */
    private static final int EXPIRE_TIME = 1000 * 60 * 30;
    /**
     * 攜帶令牌信息的頭
     */
    private static final String TOKEN_HEADER = "Authorization";
    /**
     * 令牌前綴
     */
    private static final String TOKEN_PREFIX = "Bearer ";
    /**
     * 密鑰
     */
    private static final SecretKey SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256);

    /**
     * 創建令牌
     *
     * @param userDO 用戶信息
     * @return 令牌
     */
    public static String createToken(UserDO userDO) {
        //設置令牌存儲的信息內容
        Map<String, Object> claims = new HashMap<>(2);
        claims.put("username", userDO.getUsername());
        claims.put("password", userDO.getPassword());
        //創建令牌
        return Jwts
                .builder()
                .setClaims(claims)
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE_TIME))
                .signWith(SECRET_KEY)
                .compact();
    }

    /**
     * 解析token
     *
     * @param request 請求
     * @return token中的信息
     */
    public static Map<String, Object> resolverToken(HttpServletRequest request) {
        String token = request.getHeader(TOKEN_HEADER);
        if (token != null && token.startsWith(TOKEN_PREFIX)) {
            token = token.replace(TOKEN_PREFIX, "");
            //解析token
            return Jwts.parserBuilder()
                    .setSigningKey(SECRET_KEY)
                    .build()
                    .parseClaimsJws(token)
                    .getBody();
        }
        return null;
    }
}

2.登錄

public class LoginService {
    @Resource
    private AuthenticationManager authenticationManager;

    /**
     * 登錄認證
     *
     * @param userDO 用戶信息
     * @return token
     */
    public String login(UserDO userDO) {
        Authentication authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(userDO.getUsername(), userDO.getPassword()));
        return JwtService.createToken(userDO);
    }
}
/**
     * 驗證登錄信息
     *
     * @return 登錄結果
     */
    @PostMapping
    @ResponseBody
    RestResponse loginIn(@Validated @RequestBody UserDO userDO) {
        String token = loginService.login(userDO);
        Map<String, Object> body = new HashMap<>(1);
        body.put("token", token);
        return new RestResponse(HttpStatus.OK.value(), "認證成功!", body);
    }

我們將登錄成功的用戶信息(用戶名和密碼)存儲在token內(這是入門例子,正式開發不建議這麼做)

登錄成功響應結果如下:

{
  "status": 200,
  "msg": "認證成功!",
  "body": {
    "token": "eyJhbGciOiJIUzI1NiJ9.eyJwYXNzd29yZCI6IjEyMzQ1NiIsInVzZXJuYW1lIjoic3dpbmciLCJleHAiOjE1OTE4NzEzNjl9.zVXr258NxQfS6KhYbnhA1pQHTn6fSNPmUaIV9K_ej9w"
  }
}

3.記住我

在第三期的內容中,我們知道用戶名和密碼的驗證實在 UsernamePasswordAuthenticationFilter  過濾器開始的,認證的結果是向SecurityContextHolder中填充值(Authorities) 的過程,如果SecurityContextHolder中被填充了Authorities,那麼此次請求就是被認證的請求,所以實現記住我的方法也很簡單,我們只需要在 UsernamePasswordAuthenticationFilter 之前自定義一個過濾器進行token的驗證,讓後完成和UsernamePasswordAuthenticationFilter 同樣的操作即可

過濾器代碼如下:

/**
 * 驗證該用戶是否認證
 *
 * @author swing
 */
@Component
public class AuthenticationFilter extends OncePerRequestFilter {
    @Resource
    private AuthenticationManager authenticationManager;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //清除之前遺留的認證信息
        SecurityContextHolder.clearContext();
        //獲取token中的信息
        Map<String, Object> claims = JwtService.resolverToken(request);
        if (claims != null) {
            Authentication authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(claims.get("username"), claims.get("password")));
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }
        filterChain.doFilter(request, response);
    }
}

然後在SecurityConfig中配置即可

protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                .authorizeRequests()
                //允許匿名訪問的api,其他的需要驗證
                .antMatchers("/login", "/login/page").permitAll()
                // 除上面外的所有請求全部需要鑑權認證
                .anyRequest().authenticated();
        //將認證設置在UsernamePasswordAuthenticationFilter之前
        http.addFilterBefore(authenticationFilter, UsernamePasswordAuthenticationFilter.class);
    }

下次請求的時候帶上我們生產的token,如下例:

GET http://localhost:8080/file/3
Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJwYXNzd29yZCI6IjEyMzQ1NiIsInVzZXJuYW1lIjoic3dpbmciLCJleHAiOjE1OTE4NzE4ODJ9.aUUz3hKle8FYNDW_aPlzHyeLIyO_JUfn27i2srORR9o

另外token是有過期時間點的,我們在創建令牌的時候聲明瞭它,當 jjwt 在解析令牌的時候,會根據當前系統的時間來判斷令牌是否過期,如果過期,則會拋出一個ExpiredJwtException,然後在web 層使用ExceptionHandler捕獲即可

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

(二)java版spring boot 社交電子商務平臺-security簡單使用

security的簡單原理: 使用衆多的攔截器對url攔截,以此來管理權限。但是這麼多攔截器,不可能對其一一來講,主要講裏面核心流程的兩個。 首先,權限管理離不開登陸驗證的,所以登陸驗證攔截器AuthenticationProcessing

原創 2023-10-10 11:05:06

idea 創建簡單的Spring boot項目

1、 2、 3、 4、 5、 6、 7、運行 HelloWorld 啓動後內置的Tomcat服務器也同時啓動起來了,然後在瀏覽器中輸入  localhost:8080/hello 

原創 2023-02-25 00:27:09

微服務的簡單介紹

1、單體應用的缺點 1)部署效率低下 2)協作開發成本高 3)系統高可用性能差 4)線上發佈變慢 2、微服務的簡單介紹 2.1)將一個單一應用程序,按照業務拆分呢爲一組小型服務. 2.2)每個服務只做一件事,每個服務運行在自己的進程中 2.

原創 2021-09-10 21:35:15

springboot集成swagger,並掃描多個包路徑

1、引入依賴 <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>

原創 2021-09-10 21:35:14

springboot微服務的開發利器

一、微服務和微服務架構 1.1)什麼是微服務         把一個單一的應用程序劃分爲一組小 的服務,每個小的服務都會運行在自己的進程中,服務之間通過輕量級的通信機制(http的rest api)進行通信,那麼 一個個的小服務就是微服務。

原創 2021-09-10 21:35:12

WebSocket實現羣發和單聊--Springboot實現

一:WebSocket原理 1、要談WebSocket就不得不提起HTTP連接     WebSocket是HTML5出的東西(協議,就是大家一起約定好的東西),也就是說HTTP協議沒有變化,或者說沒關係,但HTTP是不支持持久連接的(

原創 2021-07-03 21:23:33

線程池參數原理及應用

線程池原理     Java創建一個線程很方便,只需new Thread()就可以, 但是當有多個任務需要進行進行處理時,頻繁的進行創建和啓用線程同樣需要系統開銷,也不利於管理,於是同mysql的連接池一樣,自然有對線程的管理池即線程池。

原創 2021-07-03 21:23:32

springboot 系列教程四:springboot thymeleaf配置

thymeleaf介紹 thymeleaf 是新一代的模板引擎,在spring4.0中推薦使用thymeleaf來做前端模版引擎。簡單說是一個跟 Velocity、FreeMarker 類似的模板引擎,它可以完全替代 JSP 。相較與其他的

原創 2021-01-30 10:25:33

springboot 系列教程一:基礎項目搭建

使用 spring boot 有什麼好處 其實就是簡單、快速、方便!平時如果我們需要搭建一個 spring web 項目的時候需要怎麼做呢? 配置 web.xml,加載 spring 和 spring mvc 配置數據庫連接、配置 sp

原創 2021-01-30 10:25:32

spring5.x編譯遇到的坑

問題一、 Error:(28, 0) No such property: values for class: org.gradle.api.internal.tasks.DefaultTaskDependency Possible solu

原創 2021-01-30 10:08:31

Spring cloud 使用 Ribbon 來實現客戶端負載均衡

@[toc] Spring cloud 使用 Ribbon 來實現客戶端負載均衡 前言 在Spring cloud 中當統一類型多個服務開始註冊到服務註冊中心中,次數服務即是集羣 消費端(客戶端)消費的時候需要進行選擇調用服務。 服務註冊

原創 2021-01-30 09:26:51

Spring cloud eureka 高可用集羣配置

Spring cloud eureka 高可用集羣配置 前言 eureka 註冊中心單機模式,容災性低,註冊服務多,單個節點性能低,容易發生故障,甚至崩潰等。 生產中我採用集羣模式,也就是eureka的高可用。 如何搭建高可用集羣配置 僅僅

原創 2021-01-30 09:26:50

Spring cloud中使用 Hystrix 請求熔斷服務降級

Spring cloud中使用 Hystrix 前言 Hystrix 在Spring Cloud中使用了Netflix開發的Hystrix來實現熔斷器。可以稍微通過幾個簡單的代碼示例,學習Hystrix 導入依賴 <!-- 整合hy

原創 2021-01-30 09:26:50

擴展Ribbon支持基於元數據的版本管理

一個微服務在線上可能多版本共存,例如: 服務提供者有兩個版本:v1、v2 服務消費者也有兩個版本:v1、v2 v1/v2是不兼容的。 1、服務消費者v1只能調用服務提供者v1;消費者v2只能調用提供者v2。 2、優先調用同集羣下的實例。

qq_22796957 2020-07-08 11:40:11

基於註解配置的聲明式事務控制

文章目錄基於註解配置的聲明式事務控制1. 配置事務管理器2. 註解事務支持``3. `@Transaction`註解標註事務示例 基於註解配置的聲明式事務控制 要使用註解,就要導入xmlns:context的名稱空間,以及配置包掃

丨QAQ丨凸 2020-07-08 11:21:02