在springboot框架下,结合security、jwt写一套登录、认证、鉴权
时间: 2023-12-10 10:02:15 浏览: 30
好的,下面介绍一下如何使用Spring Boot、Spring Security和JWT实现登录、认证和鉴权。
1. 添加依赖
在 `pom.xml` 文件中添加以下依赖:
```xml
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-api</artifactId>
<version>0.11.2</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-impl</artifactId>
<version>0.11.2</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-jackson</artifactId>
<version>0.11.2</version>
<scope>runtime</scope>
</dependency>
```
2. 配置Spring Security
在 `application.yml` 文件中配置 Spring Security:
```yaml
spring:
security:
user:
name: admin
password: admin
```
这里定义了一个用户名为 admin,密码为 admin 的用户。
3. 实现Controller
实现一个简单的Controller,用于演示登录、认证和鉴权:
```java
@RestController
public class HelloWorldController {
@GetMapping("/hello")
public String hello() {
return "Hello World";
}
@GetMapping("/admin")
public String admin() {
return "Hello Admin";
}
}
```
其中,`/hello` 是一个公共的接口,不需要鉴权;`/admin` 是需要鉴权的接口,只有管理员才能访问。
4. 实现认证和鉴权逻辑
在 `SecurityConfig` 类中,实现认证和鉴权逻辑:
```java
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Autowired
private JwtTokenProvider jwtTokenProvider;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/hello").permitAll()
.antMatchers("/admin").hasRole("ADMIN")
.and()
.apply(new JwtConfigurer(jwtTokenProvider));
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(12);
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
}
}
```
其中,`JwtTokenProvider` 是一个自定义的类,用于生成和验证 JWT。
5. 实现JWT逻辑
在 `JwtTokenProvider` 类中,实现JWT逻辑:
```java
@Component
public class JwtTokenProvider {
private static final String SECRET_KEY = "mySecretKey";
private static final long EXPIRATION_TIME = 864_000_000; // 10 days
public String createToken(String username, List<String> roles) {
Claims claims = Jwts.claims().setSubject(username);
claims.put("roles", roles);
Date now = new Date();
Date expiration = new Date(now.getTime() + EXPIRATION_TIME);
return Jwts.builder()
.setClaims(claims)
.setIssuedAt(now)
.setExpiration(expiration)
.signWith(SignatureAlgorithm.HS256, SECRET_KEY)
.compact();
}
public boolean validateToken(String token) {
try {
Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token);
return true;
} catch (JwtException | IllegalArgumentException e) {
throw new JwtAuthenticationException("JWT token is invalid or expired", e);
}
}
public Authentication getAuthentication(String token) {
UserDetails userDetails = User.builder()
.username(getUsername(token))
.password("")
.authorities(getRoles(token).stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList()))
.build();
return new UsernamePasswordAuthenticationToken(userDetails, "", userDetails.getAuthorities());
}
private String getUsername(String token) {
return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getSubject();
}
private List<String> getRoles(String token) {
return (List<String>) Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().get("roles");
}
}
```
6. 实现认证逻辑
在 `UserDetailsServiceImpl` 类中,实现认证逻辑:
```java
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
if (username.equals("admin")) {
return User.builder()
.username("admin")
.password("$2a$12$EIlCPMzjwB2s2sG1c8yvIuVpT0X1OgW3T8ZvTJjqc5wU1bh6q3K6C")
.roles("ADMIN")
.build();
} else {
throw new UsernameNotFoundException("User not found");
}
}
}
```
这里返回一个用户名为 admin,密码为 admin(经过 BCrypt 加密)的用户。
7. 实现JWT过滤器
在 `JwtTokenFilter` 类中,实现JWT过滤器:
```java
public class JwtTokenFilter extends OncePerRequestFilter {
@Autowired
private JwtTokenProvider jwtTokenProvider;
@Override
protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
String token = getToken(httpServletRequest);
if (token != null && jwtTokenProvider.validateToken(token)) {
Authentication auth = jwtTokenProvider.getAuthentication(token);
SecurityContextHolder.getContext().setAuthentication(auth);
}
filterChain.doFilter(httpServletRequest, httpServletResponse);
}
private String getToken(HttpServletRequest request) {
String authHeader = request.getHeader("Authorization");
if (authHeader != null && authHeader.startsWith("Bearer ")) {
return authHeader.substring(7);
}
return null;
}
}
```
8. 实现JWT配置类
最后,在 `JwtConfigurer` 类中,实现JWT配置类:
```java
public class JwtConfigurer extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {
private JwtTokenProvider jwtTokenProvider;
public JwtConfigurer(JwtTokenProvider jwtTokenProvider) {
this.jwtTokenProvider = jwtTokenProvider;
}
@Override
public void configure(HttpSecurity http) {
JwtTokenFilter customFilter = new JwtTokenFilter();
http.addFilterBefore(customFilter, UsernamePasswordAuthenticationFilter.class);
}
}
```
9. 测试
使用 Postman 分别测试 `/hello` 和 `/admin` 接口,可以发现:
- 访问 `/hello` 接口时,不需要鉴权,返回结果为 `Hello World`;
- 访问 `/admin` 接口时,需要鉴权,如果使用正确的用户名和密码(admin/admin),返回结果为 `Hello Admin`;否则,返回 401 Unauthorized 错误。
至此,登录、认证和鉴权的实现就完成了。
相关推荐
最新推荐
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot集成SpringSecurity和JWT做登陆鉴权的实现
主要介绍了SpringBoot集成SpringSecurity和JWT做登陆鉴权的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Vue+Jwt+SpringBoot+Ldap完成登录认证的示例代码
本篇文章主要介绍了Vue+Jwt+SpringBoot+Ldap完成登录认证的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解用JWT对SpringCloud进行认证和鉴权
主要介绍了详解用JWT对SpringCloud进行认证和鉴权,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法
主要介绍了SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
zigbee-cluster-library-specification
最新的zigbee-cluster-library-specification说明文档。
管理建模和仿真的文件
管理Boualem Benatallah引用此版本:布阿利姆·贝纳塔拉。管理建模和仿真。约瑟夫-傅立叶大学-格勒诺布尔第一大学,1996年。法语。NNT:电话:00345357HAL ID:电话:00345357https://theses.hal.science/tel-003453572008年12月9日提交HAL是一个多学科的开放存取档案馆,用于存放和传播科学研究论文,无论它们是否被公开。论文可以来自法国或国外的教学和研究机构,也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaire
实现实时数据湖架构:Kafka与Hive集成
# 1. 实时数据湖架构概述**
实时数据湖是一种现代数据管理架构,它允许企业以低延迟的方式收集、存储和处理大量数据。与传统数据仓库不同,实时数据湖不依赖于预先定义的模式,而是采用灵活的架构,可以处理各种数据类型和格式。这种架构为企业提供了以下优势:
- **实时洞察:**实时数据湖允许企业访问最新的数据,从而做出更明智的决策。
- **数据民主化:**实时数据湖使各种利益相关者都可
2. 通过python绘制y=e-xsin(2πx)图像
可以使用matplotlib库来绘制这个函数的图像。以下是一段示例代码:
```python
import numpy as np
import matplotlib.pyplot as plt
def func(x):
return np.exp(-x) * np.sin(2 * np.pi * x)
x = np.linspace(0, 5, 500)
y = func(x)
plt.plot(x, y)
plt.xlabel('x')
plt.ylabel('y')
plt.title('y = e^{-x} sin(2πx)')
plt.show()
```
运行这段
JSBSim Reference Manual
JSBSim参考手册,其中包含JSBSim简介,JSBSim配置文件xml的编写语法,编程手册以及一些应用实例等。其中有部分内容还没有写完,估计有生之年很难看到完整版了,但是内容还是很有参考价值的。