java spring mvc jwt 鉴权

时间: 2023-06-28 11:11:49 浏览: 178

spring boot + security + jwt 制作用户登录，角色鉴权

在本文中，我们将深入探讨如何使用Spring Boot、Spring Security以及JSON Web Tokens (JWT) 创建一个用户登录系统，并实现角色鉴权。Spring Boot以其简洁的配置和强大的功能在现代Java开发中占据重要地位，而Spring Security则提供了强大的安全框架，帮助我们处理认证和授权问题。JWT是一种轻量级的身份验证机制，它允许我们在客户端和服务器之间安全地传输信息。我们需要在项目中集成Spring Boot和Spring Security。这可以通过在`build.gradle`文件中添加相应的依赖来实现。例如： ```groovy dependencies { implementation 'org.springframework.boot:spring-boot-starter-web' implementation 'org.springframework.boot:spring-boot-starter-security' implementation 'io.jsonwebtoken:jjwt:0.9.1' // 添加JWT依赖 } ``` 接下来，我们需要配置Spring Security，使其支持自定义的登录接口路径。默认情况下，Spring Security使用`/login`作为登录接口，但我们可以重写`WebSecurityConfigurerAdapter`类并覆盖`configure(HttpSecurity http)`方法来自定义： ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/custom-login").permitAll() // 定义自定义登录接口 .anyRequest().authenticated() // 其他所有请求需要身份验证 .and() .formLogin().loginPage("/custom-login") // 指定登录页面 .and() .logout().logoutSuccessUrl("/"); // 设置登出成功后的跳转URL } } ``` 为了自定义开放接口和接口访问权限，我们需要在`configure(HttpSecurity http)`方法中使用`antMatchers()`或`regexMatchers()`来指定哪些URL需要被保护，哪些可以公开访问。例如： ```java http.authorizeRequests() .antMatchers("/public").permitAll() // 公开接口 .antMatchers("/admin/**").hasRole("ADMIN") // 需要"ADMIN"角色的接口 .anyRequest().authenticated(); // 其他所有请求需要身份验证 ``` 在用户登录成功后，我们可以生成一个JWT并返回给客户端。JWT包含三个部分：Header、Payload（负载）和Signature。Payload部分可以存储用户的ID和角色等信息。生成JWT的方法可以如下： ```java private String generateToken(UserDetails userDetails) { // 使用JWT工具类生成JWT return Jwts.builder() .setSubject(userDetails.getUsername()) .claim("roles", userDetails.getAuthorities().stream().map(GrantedAuthority::getAuthority).collect(Collectors.toList())) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) // 设置过期时间 .signWith(SignatureAlgorithm.HS512, SECRET_KEY) // 使用密钥签名 .compact(); } ``` 客户端在每次请求时需要将JWT放在Authorization头中发送。在服务器端，我们需要创建一个过滤器来解析JWT，并进行权限校验： ```java @Component public class JwtRequestFilter extends OncePerRequestFilter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtUtil jwtUtil; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { final String authorizationHeader = request.getHeader("Authorization"); String username = null; String jwt = null; if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) { jwt = authorizationHeader.substring(7); username = jwtUtil.getUsernameFromToken(jwt); } if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = this.userDetailsService.loadUserByUsername(username); if (jwtUtil.validateToken(jwt, userDetails)) { UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } chain.doFilter(request, response); } } ``` 关于“用户任意关联角色”，在数据库中，我们可以设置一个用户角色关联表，用于存储用户ID和角色ID的对应关系。在用户注册或编辑用户信息时，可以动态添加或删除角色。在查询用户信息时，可以同时获取到该用户的角色信息。通过以上步骤，我们已经创建了一个基于Spring Boot、Spring Security和JWT的用户登录与鉴权系统，实现了自定义登录接口、开放接口、接口访问权限控制以及用户角色的灵活关联。这个系统确保了应用程序的安全性和可扩展性。

在Java Spring MVC中进行JWT鉴权，可以遵循以下步骤： 1. 添加依赖项：首先需要添加以下依赖项到Maven或Gradle项目中： ``` <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.10.5</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.10.5</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.10.5</version> <scope>runtime</scope> </dependency> ``` 2. 创建JWT工具类：创建一个JWT工具类，负责生成、验证和解析JWT令牌。可以使用JJWT库来实现此功能。 3. 创建拦截器：创建一个拦截器，在请求到达控制器之前验证JWT令牌。如果令牌无效，则拦截请求并返回错误响应。 4. 配置Spring Security：使用Spring Security来保护端点，只允许具有有效JWT令牌的用户访问。 5. 创建控制器：创建控制器，用于处理受保护的端点请求。以上是一般的步骤，具体实现过程会根据具体的需求和环境有所不同。

阅读全文

java spring mvc jwt 鉴权

相关推荐

java spring mvc

详解用JWT对SpringCloud进行认证和鉴权

spring security http接口鉴权使用示范项目

java的实现权限控制shiro jwt.docx

springboot + jwt + websocket + 拦截

确保rest-api-spring-security：Spring Boot 2.2.x + Spring 5.2.x Rest Api安全示例

spring boot blog

tut-spring-security-and-angular-js：Spring Security和Angular ：：关于如何在具有各种后端体系结构的单页应用程序中使用Spring Security的教程，范围从简单的单个服务器到具有OAuth2身份验证的API网关

测试开发【Mock平台】04实战：前后端项目初始化与登录鉴权实现.doc

使用spring构建RESTful的Web服务

【Java毕业设计】基于微信小程序购物商城app设计带Java后端接口毕业源码案例设计.zip

基于Spring Boot和Vue2开发的前后端分离的后台管理系统.zip

java项目源码之SaaS OA协同办公软件 v2.0的实现.rar

Spring Boot框架构建的Guns后台管理系统详细介绍

Spring RESTful API设计精要：构建可扩展Web服务的黄金法则

springboot鉴权，前端同一个页面中难免会使用到不同的controller的接口，后端项目的鉴权又实际上是需要根据页面来鉴权，这样就会出现有些接口会没有权限的 情况，这种一般怎么解决

koa配合jwt实现鉴权

springmvc用于方法鉴权的注解拦截器的解决方案代码

C#ASP.NET网络进销存管理系统源码数据库 SQL2008源码类型 WebForm

最新推荐

详解用JWT对SpringCloud进行认证和鉴权

Java中使用JWT生成Token进行接口鉴权实现方法

SpringBoot集成SpringSecurity和JWT做登陆鉴权的实现

SpringSecurity Jwt Token 自动刷新的实现

基于Java验证jwt token代码实例

Java集合ArrayList实现字符串管理及效果展示

管理建模和仿真的文件

【MATLAB信号处理优化】：算法实现与问题解决的实战指南

在西门子S120驱动系统中，更换SMI20编码器时应如何确保数据的正确备份和配置？

实现2D3D相机拾取射线的关键技术

springboot鉴权，前端同一个页面中难免会使用到不同的controller的接口，后端项目的鉴权又实际上是需要根据页面来鉴权，这样就会出现有些接口会没有权限的情况，这种一般怎么解决