spring security如何启用jwt身份验证

时间: 2023-08-23 22:08:15 浏览: 160

springboot+jwt实现token登陆权限认证的实现

5星 · 资源好评率100%

Spring Boot + JWT 实现 Token 登录权限认证在本文中，我们将介绍如何使用 Spring Boot 和 JWT 实现 Token 登录权限认证。JWT（JSON Web Token）是一种基于 token 的身份验证机制，能够提供一种简洁、安全的方式来验证用户身份。什么是 JWT JWT 是一种基于 token 的身份验证机制， token 由三部分组成：头部（Header）、负载（Payload）和签名（Signature）。头部包含了令牌的元数据，并且包含签名和或加密算法的类型；负载包含了用户的信息，例如用户名、角色等；签名是对头部和负载的加密，用于验证 token 的合法性。 JWT 的优点 JWT 有多种优点，包括： * 简洁：JWT 可以通过 URL、POST 参数或者在 HTTP 头发送，数据量小，传输速度快。 * 自包含：负载中包含了所有用户所需要的信息，避免多次查询数据库。 * 跨语言支持：因为 Token 是以 JSON 加密的形式保存在客户端的，所以 JWT 是跨语言支持的。 * 不需要在服务端保存会话信息，适用于分布式与微服务。使用 Spring Boot 和 JWT 实现 Token 登录权限认证在本文中，我们将使用 Spring Boot 和 JWT 实现 Token 登录权限认证。我们需要添加依赖项： ```xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <optional>true</optional> </dependency> </dependencies> ``` 接下来，我们需要创建一个 JWT 工具类，用于生成 token、校验 token 和获取用户名： ```java public class JwtUtil { // Token 过期时间 30 分钟 public static final long EXPIRE_TIME = 30 * 60 * 1000; / * 校验 token 是否正确 * * @param token * @param username * @param secret * @return */ public static boolean verify(String token, String username, String secret) { try { // 设置加密算法 Algorithm algorithm = Algorithm.HMAC256(secret); JWTVerifier verifier = JWT.require(algorithm) .withClaim("username", username) .build(); // 效验TOKEN DecodedJWT jwt = verifier.verify(token); return true; } catch (JWTVerificationException e) { return false; } } / * 生成 token * * @param username * @param secret * @return */ public static String generateToken(String username, String secret) { // 设置加密算法 Algorithm algorithm = Algorithm.HMAC256(secret); // 生成 token String token = JWT.create() .withClaim("username", username) .sign(algorithm); return token; } / * 获取用户名 * * @param token * @return */ public static String getUsername(String token) { DecodedJWT jwt = JWT.decode(token); return jwt.getClaim("username").asString(); } } ``` 在上面的代码中，我们定义了三个方法：`verify` 用于校验 token 是否正确，`generateToken` 用于生成 token，`getUsername` 用于获取用户名。使用 JWT 实现登录认证在实现登录认证时，我们可以使用以下步骤： 1. 用户使用账号和密码发出 POST 请求服务器接收到请求后使用私钥创建一个 JWT，这边会生成 token。 2. 服务器返回这个 JWT 给浏览器。 3. 浏览器需要将带有 token 的 JWT 放入请求头每次发送到客户端请求。 4. 服务器验证该 JWT 的 token 验证成功返回响应的资源给浏览器。通过使用 Spring Boot 和 JWT，我们可以实现 Token 登录权限认证，提供一种简洁、安全的方式来验证用户身份。

要在Spring Security中启用JWT身份验证，需要进行以下几个步骤： 1. 添加Spring Security和JWT依赖项在Maven或Gradle构建文件中添加以下依赖项： Maven: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` Gradle: ``` implementation 'org.springframework.boot:spring-boot-starter-security' implementation 'io.jsonwebtoken:jjwt:0.9.1' ``` 2. 创建JWT工具类创建一个JWT工具类，该类负责生成和验证JWT令牌。可以根据需要添加其他功能，例如设置过期时间、设置私钥等。 3. 创建自定义UserDetailsService 创建一个自定义的UserDetailsService，该服务负责从数据库或其他数据源中获取用户的身份验证信息，并将其与JWT令牌中的信息进行比较。 4. 创建自定义AuthenticationFilter 创建一个自定义的AuthenticationFilter，该过滤器负责从请求中提取JWT令牌，并将其传递给Spring Security进行身份验证。 5. 配置Spring Security 在Spring Security配置中启用JWT身份验证，例如： ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private MyUserDetailsService userDetailsService; @Autowired private JwtRequestFilter jwtRequestFilter; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/authenticate").permitAll() .anyRequest().authenticated() .and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 在这个示例中，我们禁用了CSRF保护，并配置了一些URL模式，其中/api/authenticate对于所有用户都是可用的，其他URL需要进行身份验证。我们还设置了会话管理策略为STATELESS，因为JWT令牌是无状态的，不需要在服务器端存储任何会话信息。最后，我们添加了自定义的AuthenticationFilter。以上是启用Spring Security JWT身份验证的基本步骤。实际应用中可能还需要进行其他配置和调整，具体取决于应用的要求和场景。

阅读全文

spring security如何启用jwt身份验证

相关推荐

spring boot3.x结合spring security最新版实现jwt登录验证

springboot 整合security jwt 身份鉴权

spring-security-jwt-csrf：使用Spring Security，Spring Boot和Vue js进行无状态JWT身份验证的演示

jersey-jwt-springsecurity：具有JWT身份验证的REST API的示例，该示例使用Spring Boot，Spring Security，Jersey和Jackson

spring-boot-jwt：使用Spring Boot，Spring Security和MySQL的JWT身份验证服务

Spring Security整合JWT权限验证实战教程

Spring Security使用JWT来验证用户的身份和权限

怎么样在Spring Security中实现JWT身份验证？

spring-security-jwt-guide:从零入门 ！Spring Security With JWT（含权限验证）后端部分代码

spring-security-jwt-integration:带有Spring Security的JWT集成演示应用程序

Spring Boot与Spring Security及JWT的权限验证整合教程

微信小程序使用springsecurity和jwt实现权限验证

springsecurity+jwt

springsecurity 生成Jwt

SpringSecurity+JWT

springsecurity集成jwt

spring security和jwt

vault-plugin-auth-jwt:保险柜插件，可通过JWT（和OIDC）令牌进行身份验证

mobilenet模型-基于人工智能的卷积网络训练识别自驾旅行路标-不含数据集图片-含逐行注释和说明文档.zip

最新推荐

Springboot+SpringSecurity+JWT实现用户登录和权限认证示例

SpringSecurity Jwt Token 自动刷新的实现

SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法

SpringBoot集成SpringSecurity和JWT做登陆鉴权的实现

Spring Security OAuth过期的解决方法

探索数据转换实验平台在设备装置中的应用

管理建模和仿真的文件

ggflags包的国际化问题：多语言标签处理与显示的权威指南

如何使用MATLAB实现电力系统潮流计算中的节点导纳矩阵构建和阻抗矩阵转换，并解释这两种矩阵在潮流计算中的作用和差异？

使用git-log-to-tikz.py将Git日志转换为TIKZ图形

spring-security-jwt-guide:从零入门！Spring Security With JWT（含权限验证）后端部分代码