SpringBoot+SpringSecurity+jwt集成实战与初次体验
版权申诉
94 浏览量
更新于2024-09-11
1
收藏 124KB PDF 举报
"本文将详细介绍如何在SpringBoot项目中整合SpringSecurity和JWT(JSON Web Tokens)的功能,并提供初学者的实践经验和参考。作者之前使用Shiro作为安全框架,但这次选择SpringSecurity来探索其功能,同时利用JWT进行安全信息的客户端管理。
首先,确保在项目中引入了Spring Boot的security starter和JWT库。通过添加以下Maven依赖:
```xml
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
```
在`application.yml`配置文件中,设置JWT相关的参数,如密钥、有效期和token前缀:
```yaml
jwt:
secret: secret
expiration: 7200000
token: Authorization
```
接下来是关键的`SecurityConfig`类的配置,继承自`WebSecurityConfigurerAdapter`:
```java
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) // 开启方法级安全控制
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;
@Autowired
private JwtUserDetailsService jwtUserDetailsService;
@Autowired
private JwtAuthorizationTokenFilter jwtAuthorizationTokenFilter;
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
// 定义权限规则
.antMatchers("/api/").authenticated()
.anyRequest().permitAll() // 其他URL允许匿名访问
.and()
// JWT验证
.csrf().disable() // 关闭CSRF保护,因为JWT提供自己的令牌验证
.exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint)
.and()
.addFilterBefore(jwtAuthorizationTokenFilter, UsernamePasswordAuthenticationFilter.class);
}
@Bean
public JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint() {
return new JwtAuthenticationEntryPoint();
}
@Bean
public JwtUserDetailsService jwtUserDetailsService() {
return new JwtUserDetailsService(); // 自定义用户服务实现,用于解析JWT中的用户信息
}
@Bean
public JwtAuthorizationTokenFilter jwtAuthorizationTokenFilter() throws Exception {
return new JwtAuthorizationTokenFilter(jwtUserDetailsService, jwtProperties());
}
private JwtProperties jwtProperties() {
// 根据application.yml中的配置获取JWT相关参数
// ...
}
}
```
在这个配置中,我们设置了基本的权限策略,启用JWT验证并自定义异常处理。`JwtAuthorizationTokenFilter`负责在HTTP请求头中检查JWT,并调用`JwtUserDetailsService`解析用户信息。
文章还将涉及如何处理JWT认证错误、用户注册和登录流程,以及如何处理JWT的刷新等问题。这是一篇适合初学者理解SpringBoot、SpringSecurity和JWT集成的实用教程,有助于构建一个安全且易于扩展的Web应用架构。"
2019-08-07 上传
2020-08-25 上传
2023-09-19 上传
2023-12-20 上传
2023-05-26 上传
2023-11-23 上传
2023-05-16 上传
2023-03-22 上传
weixin_38740397
- 粉丝: 6
- 资源: 854
最新资源
- C++标准程序库:权威指南
- Java解惑:奇数判断误区与改进方法
- C++编程必读:20种设计模式详解与实战
- LM3S8962微控制器数据手册
- 51单片机C语言实战教程:从入门到精通
- Spring3.0权威指南:JavaEE6实战
- Win32多线程程序设计详解
- Lucene2.9.1开发全攻略:从环境配置到索引创建
- 内存虚拟硬盘技术:提升电脑速度的秘密武器
- Java操作数据库:保存与显示图片到数据库及页面
- ISO14001:2004环境管理体系要求详解
- ShopExV4.8二次开发详解
- 企业形象与产品推广一站式网站建设技术方案揭秘
- Shopex二次开发:触发器与控制器重定向技术详解
- FPGA开发实战指南:创新设计与进阶技巧
- ShopExV4.8二次开发入门:解决升级问题与功能扩展