SpringSecurity整合jwt
时间: 2023-11-28 15:05:35 浏览: 70
Spring Security和JWT(JSON Web Token)可以很好地结合使用,以提供安全的身份验证和授权机制。
首先,你需要在你的Spring项目中添加Spring Security和JWT的依赖。例如,在Maven项目中,你可以在pom.xml文件中添加以下依赖:
```xml
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
```
接下来,在Spring Security的配置类中,你可以定义一个JwtTokenProvider类,该类负责生成JWT并进行验证。
```java
@Component
public class JwtTokenProvider {
private static final String SECRET_KEY = "your-secret-key";
private static final long EXPIRATION_TIME = 86400000; // 24 hours
public String generateToken(Authentication authentication) {
UserDetails userDetails = (UserDetails) authentication.getPrincipal();
Date now = new Date();
Date expiryDate = new Date(now.getTime() + EXPIRATION_TIME);
return Jwts.builder()
.setSubject(userDetails.getUsername())
.setIssuedAt(now)
.setExpiration(expiryDate)
.signWith(SignatureAlgorithm.HS512, SECRET_KEY)
.compact();
}
public boolean validateToken(String token) {
try {
Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token);
return true;
} catch (SignatureException ex) {
System.out.println("Invalid JWT signature");
} catch (MalformedJwtException ex) {
System.out.println("Invalid JWT token");
} catch (ExpiredJwtException ex) {
System.out.println("Expired JWT token");
} catch (UnsupportedJwtException ex) {
System.out.println("Unsupported JWT token");
} catch (IllegalArgumentException ex) {
System.out.println("JWT claims string is empty");
}
return false;
}
public String getUsernameFromToken(String token) {
Claims claims = Jwts.parser()
.setSigningKey(SECRET_KEY)
.parseClaimsJws(token)
.getBody();
return claims.getSubject();
}
}
```
在上述代码中,SECRET_KEY是用来签署和验证JWT的密钥,EXPIRATION_TIME表示JWT的有效期。
然后,在Spring Security的配置类中,你可以继承WebSecurityConfigurerAdapter类,并重写configure(HttpSecurity http)方法来配置安全规则和JWT的使用。
```java
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private JwtTokenProvider jwtTokenProvider;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/api/auth/**").permitAll()
.anyRequest().authenticated()
.and()
.apply(new JwtConfigurer(jwtTokenProvider));
}
}
```
上述代码中,我们对`/api/auth/**`路径下的请求进行了放行,其他请求需要进行身份验证。JwtConfigurer类用于配置JWT的过滤器。
最后,你可以创建一个控制器来处理用户身份验证和生成JWT的请求。
```java
@RestController
@RequestMapping("/api/auth")
public class AuthController {
@Autowired
private JwtTokenProvider jwtTokenProvider;
@Autowired
private AuthenticationManager authenticationManager;
@PostMapping("/login")
public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) {
Authentication authentication = authenticationManager.authenticate(
new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())
);
SecurityContextHolder.getContext().setAuthentication(authentication);
String token = jwtTokenProvider.generateToken(authentication);
return ResponseEntity.ok(new JwtAuthenticationResponse(token));
}
}
```
在上述代码中,我们使用AuthenticationManager来验证用户的用户名和密码,并生成JWT。JwtAuthenticationResponse类可以用来返回JWT给客户端。
以上就是Spring Security和JWT整合的简单示例。你可以根据自己的需求进行修改和扩展。希望对你有所帮助!如果你还有其他问题,请随时提问。
阅读全文