安装JWT后如何启用API的身份验证？

时间: 2024-12-19 13:23:19 浏览: 5

SpringBoot Security整合JWT授权RestAPI的实现

在本文中，我们将深入探讨如何将SpringBoot Security与JWT（JSON Web Token）相结合，以便为RESTful API提供安全授权。JWT是一种轻量级的身份验证和授权机制，它允许我们在客户端和服务器之间安全地传递信息，而无需在每次请求时都进行身份验证。我们的基础环境是Java 1.8+ 和 SpringBoot 2.x.x，同时使用Spring Security 5.x 和 JWT 0.9.0。为了开始项目，我们使用Maven的`mvn archetype:generate`命令创建一个基本的Spring Boot项目，并在`pom.xml`中添加所需的依赖，包括Spring Boot的web和security模块，以及JWT库jjwt。 ```xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <version>${dependency.springboot2.common.version}</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>${dependency.springboot2.common.version}</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>${dependency.jwt.version}</version> </dependency>  <dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-databind</artifactId> <version>${dependency.jackson.version}</version> </dependency> </dependencies> ``` 接下来，我们需要配置Spring Security，使其支持JWT。这通常涉及到创建一个自定义的`WebSecurityConfigurerAdapter`，在其中定义认证和授权规则。例如，我们可以创建一个过滤器链，包含JWT的解析和验证，确保只有持有有效JWT的请求才能访问受保护的资源。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/authenticate").permitAll() // 允许未认证用户访问登录接口 .anyRequest().authenticated() // 所有其他请求需要认证 .and() .addFilterBefore(jwtTokenAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); // 添加JWT过滤器 } @Bean public JwtTokenAuthenticationFilter jwtTokenAuthenticationFilter() { return new JwtTokenAuthenticationFilter(); // 自定义过滤器实现 } } ``` 在`JwtTokenAuthenticationFilter`中，我们需要实现对JWT的解析、验证和用户信息提取。通常，JWT包含了用户的唯一标识（如用户名）和其他权限信息。当请求到达时，过滤器会检查请求头中的JWT，并使用预先定义的密钥进行解码。如果解码成功且JWT未过期，过滤器将创建一个`Authentication`对象，并将其放入Spring Security的安全上下文，从而完成认证过程。 ```java @Component public class JwtTokenAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtUtils jwtUtils; @Autowired private UserDetailsService userDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { // 获取JWT并验证 String jwt = getToken(request); if (jwt != null && jwtUtils.validateJwtToken(jwt)) { String username = jwtUtils.getUsernameFromJwtToken(jwt); UserDetails userDetails = userDetailsService.loadUserByUsername(username); UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); SecurityContextHolder.getContext().setAuthentication(authentication); } chain.doFilter(request, response); } private String getToken(HttpServletRequest request) { // 从请求头中获取JWT } } ``` 这里，`JwtUtils`类用于创建和验证JWT，`UserDetailsService`则用于从数据库或其他数据源获取用户信息。当用户首次登录时，服务器会生成一个JWT并返回给客户端，客户端将其存储在本地（例如，cookie或localStorage），并在后续请求中附带此JWT。为了创建JWT，我们需要定义一个密钥，并使用jjwt库的`Jwts.builder()`方法构建JWT。同时，我们还需要定义JWT的过期时间和签发时间。 ```java public class JwtUtils { private static final String SECRET_KEY = "your_secret_key"; private static final long EXPIRATION_TIME = 864_000_000; // 10 days in milliseconds public String generateToken(UserDetails userDetails) { return Jwts.builder() .setSubject(userDetails.getUsername()) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } // 其他JWT相关的方法，如验证、提取信息等 } ``` 通过这种方式，我们可以实现基于JWT的授权，为SpringBoot Security集成RESTful API提供安全保护。用户每次发起请求时，只需附带有效的JWT，服务器就会自动处理认证和授权，从而简化了身份验证流程，同时也提高了系统的安全性。

在安装并配置好JWT之后，为了在API中启用JWT的身份验证，你需要在视图函数中检查请求是否携带有效的JWT token。在Django Rest Framework中，可以这样做： 1. 首先，在需要保护的视图上添加权限装饰器，如`@permission_classes([AllowAny])`来允许未授权访问，然后使用`@api_view`或`@action`装饰器： ```python from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response from rest_framework.views import APIView class ProtectedEndpoint(APIView): permission_classes = [IsAuthenticated] # 或者使用 AllowAny 来仅做验证，不做权限控制 def get(self, request): # 检查用户是否已通过JWT登录 if not request.user.is_authenticated(): return Response({"detail": "Unauthorized"}, status=status.HTTP_401_UNAUTHORIZED) # 进行你的业务操作... ``` 2. 当请求到达时，`IsAuthenticated`中间件会自动检查JWT。如果请求头(`Authorization`)包含有效的JWT（`Bearer your_token`格式），用户将被视为已登录。 3. 如果在处理请求时，你想要从JWT中获取用户信息，可以在`request.user`中找到。注意，这是基于JWT认证后的用户数据，而不是常规的Django User模型。

阅读全文

安装JWT后如何启用API的身份验证？

相关推荐

Pyramid框架下的JWT身份验证实现方法

构建数据API服务：使用FastAPI和API密钥身份验证

fastapi-jwt：通过使用JSON Web令牌（JWT）启用身份验证来保护FastAPI应用程序

.Net WebAPi JWT身份验证

api_aspnetcore_jwt_token：.NET中带有JWT身份验证的Api的一个小示例

LaravelJWT一个该软件包为Laravel提供基于JWT的开箱即用的API身份验证

pyramid_jwt:金字塔的JWT身份验证

angular-jwt:Angular -jwt 身份验证概念证明

RESTAPI身份验证

SymfonyRESTAPI的JWT身份验证

wp-api-jwt-auth:一个简单的插件，可将JSON Web令牌（JWT）身份验证添加到WP REST API

webapi 身份验证DEMO

custom-wp-rest-api-helper:[WIP] WordPress REST API不仅仅是默认的EndpointsRou​​tes集合。 但是您想使用JWT身份验证将自己的自定义EndpointsRou​​tes添加到WP REST API吗？ 极好的！ 让我们开始使用这个插件

cookie中的JWT身份验证

Asp.net-Core-3.1-JWT-身份验证

使用Tungsten在Express.js中实现JWT身份验证

spring security如何启用jwt身份验证

怎样在Streamlit应用中实现简单的身份验证？

springboot api jwt

最新推荐

Springboot+SpringSecurity+JWT实现用户登录和权限认证示例

java+sql server项目之科帮网计算机配件报价系统源代码.zip

JavaScript实现的高效pomodoro时钟教程

管理建模和仿真的文件

【WebLogic客户端兼容性提升秘籍】：一站式解决方案与实战案例

使用jupyter读取文件“近5年考试人数.csv”，绘制近5年高考及考研人数发展趋势图，数据如下（单位：万人）。

CMake 3.25.3版本发布：程序员必备构建工具

"互动学习：行动中的多样性与论文攻读经历"

数字信号处理全攻略：掌握15个关键技巧，提升你的处理效率

给定不超过6的正整数A，考虑从A开始的连续4个数字。请输出所有由它们组成的无重复数字的3位数。编写一个C语言程序

custom-wp-rest-api-helper:[WIP] WordPress REST API不仅仅是默认的EndpointsRoutes集合。但是您想使用JWT身份验证将自己的自定义EndpointsRoutes添加到WP REST API吗？极好的！让我们开始使用这个插件