2. 程式人生 > >Spring Security(一):整合JWT

Spring Security(一):整合JWT

阿新 發佈:2019-01-06

違背的青春

今天寫下Spring Security整合jwt的一個簡單小Demo,目的是登入後實現返回token,其實整個過程很簡單。

匯入依賴 

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency
 
>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
複製程式碼

首先建立一個JwtUser實現UserDetails

org.springframework.security.core.userdetails.UserDetails


先看一下這個介面的原始碼,其實很簡單

public interface UserDetails extends Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    String getPassword();

    String getUsername();

    boolean
 
 isAccountNonExpired();

    boolean isAccountNonLocked();

    boolean isCredentialsNonExpired();

    boolean isEnabled();
}
複製程式碼

這個是Spring Security給我們提供的一個簡單的介面,因為我們需要通過SecurityContextHolder去取得使用者憑證等等資訊,因為這個比較簡單,所以我們實際業務要來加上我們所需要的資訊。

public class JwtUser implements UserDetails {


    private String username;

    private String password;

    private Integer state;

    private Collection<? extends GrantedAuthority> authorities;

    public JwtUser() {
    }

    public JwtUser(String username, String password, Integer state, Collection<? extends GrantedAuthority> authorities) {
        this.username = username;
        this.password = password;
        this.state = state;
        this.authorities = authorities;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @JsonIgnore
    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    //賬戶是否未過期
    @JsonIgnore
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    //賬戶是否未被鎖
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }



    @JsonIgnore
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }


    //是否啟用
    @JsonIgnore
    @Override
    public boolean isEnabled() {
        return true;
    }
}
複製程式碼

我這個其實也很簡單,只是一些使用者名稱,密碼狀態和許可權的集合這些。

編寫一個工具類來生成令牌等… 

@Data
@ConfigurationProperties(prefix = "jwt")
@Component
public class JwtTokenUtil implements Serializable {

    private String secret;

    private Long expiration;

    private String header;

    /**
     * 從資料宣告生成令牌
     *
     * @param claims 資料宣告
     * @return 令牌
     */
    private String generateToken(Map<String, Object> claims) {
        Date expirationDate = new Date(System.currentTimeMillis() + expiration);
        return Jwts.builder().setClaims(claims).setExpiration(expirationDate).signWith(SignatureAlgorithm.HS512, secret).compact();
    }

    /**
     * 從令牌中獲取資料宣告
     *
     * @param token 令牌
     * @return 資料宣告
     */
    private Claims getClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
        } catch (Exception e) {
            claims = null;
        }
        return claims;
    }

    /**
     * 生成令牌
     *
     * @param userDetails 使用者
     * @return 令牌
     */
    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>(2);
        claims.put("sub", userDetails.getUsername());
        claims.put("created"new Date());
        return generateToken(claims);
    }

    /**
     * 從令牌中獲取使用者名稱
     *
     * @param token 令牌
     * @return 使用者名稱
     */
    public String getUsernameFromToken(String token) {
        String username;
        try {
            Claims claims = getClaimsFromToken(token);
            username = claims.getSubject();
        } catch (Exception e) {
            username = null;
        }
        return username;
    }

    /**
     * 判斷令牌是否過期
     *
     * @param token 令牌
     * @return 是否過期
     */
    public Boolean isTokenExpired(String token) {
        try {
            Claims claims = getClaimsFromToken(token);
            Date expiration = claims.getExpiration();
            return expiration.before(new Date());
        } catch (Exception e) {
            return false;
        }
    }

    /**
     * 重新整理令牌
     *
     * @param token 原令牌
     * @return 新令牌
     */
    public String refreshToken(String token) {
        String refreshedToken;
        try {
            Claims claims = getClaimsFromToken(token);
            claims.put("created"new Date());
            refreshedToken = generateToken(claims);
        } catch (Exception e) {
            refreshedToken = null;
        }
        return refreshedToken;
    }

    /**
     * 驗證令牌
     *
     * @param token       令牌
     * @param userDetails 使用者
     * @return 是否有效
     */
    public Boolean validateToken(String token, UserDetails userDetails) {
        JwtUser user = (JwtUser) userDetails;
        String username = getUsernameFromToken(token);
        return (username.equals(user.getUsername()) && !isTokenExpired(token));
    }
}
複製程式碼

這個類就是一些生成令牌,驗證等等一些操作。具體看註釋~

編寫一個Filter 

@Slf4j
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {



    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtTokenUtil jwtTokenUtil;


    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        String authHeader = request.getHeader(jwtTokenUtil.getHeader());
        if (authHeader != null && StringUtils.isNotEmpty(authHeader)) {
            String username = jwtTokenUtil.getUsernameFromToken(authHeader);
            log.info(username);
            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
                if (jwtTokenUtil.validateToken(authHeader, userDetails)) {
                    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                    authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            }
        }
        chain.doFilter(request, response);
    }
}
複製程式碼

這個其實就是用來驗證令牌的是否合法,由於今天這個Demo是一個簡單的登入返回token的過程,所以這個預設不會去執行裡面的邏輯。但是以後登陸後的操作就會執行裡面的邏輯了。

JwtUserDetailsServiceImpl

JwtUserDetailsServiceImpl這個實現類是實現了UserDetailsServiceUserDetailsServiceSpring Security進行身份驗證的時候會使用,我們這裡就一個載入使用者資訊的簡單方法,就是得到當前登入使用者的一些使用者名稱、密碼、使用者所擁有的角色等等一些資訊

@Slf4j
@Service
public class JwtUserDetailsServiceImpl implements UserDetailsService {



    @Autowired
    private UserMapper userMapper;
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

        User user = userMapper.selectByUserName(s);
        if(user == null){
            throw new UsernameNotFoundException(String.format("'%s'.這個使用者不存在", s));
        }
        List<SimpleGrantedAuthority> collect = user.getRoles().stream().map(Role::getRolename).map(SimpleGrantedAuthority::new).collect(Collectors.toList());
        return new JwtUser(user.getUsername(), user.getPassword(), user.getState(), collect);
    }
}
複製程式碼

編寫登入的業務實現類 

@Slf4j
@Service
public class UserServiceImpl implements UserService {
    @Autowired
    private UserMapper userMapper;



    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtTokenUtil jwtTokenUtil;


    public User findByUsername(String username) {
        User user = userMapper.selectByUserName(username);
        log.info("userserviceimpl"+user);
        return user;
    }

    public RetResult login(String username, String password) throws AuthenticationException {
        UsernamePasswordAuthenticationToken upToken = new UsernamePasswordAuthenticationToken(username, password);
        final Authentication authentication = authenticationManager.authenticate(upToken);
        SecurityContextHolder.getContext().setAuthentication(authentication);
        UserDetails userDetails = userDetailsService.loadUserByUsername(username);
        return new RetResult(RetCode.SUCCESS.getCode(),jwtTokenUtil.generateToken(userDetails));
    }
}
複製程式碼

從上面可以看到login方法,會根據使用者資訊然後返回一個token給我們。

WebSecurityConfig

這個就是Spring Security的配置類了

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurity extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Autowired
    public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder)throws Exception{
        authenticationManagerBuilder.userDetailsService(this.userDetailsService).passwordEncoder(passwordEncoder());
    }


    @Bean(name = BeanIds.AUTHENTICATION_MANAGER)
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and().authorizeRequests()
                .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                .antMatchers("/auth/**").permitAll()
                .anyRequest().authenticated()
                .and().headers().cacheControl();

        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);


        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = http.authorizeRequests();
        //讓Spring security放行所有preflight request
        registry.requestMatchers(CorsUtils::isPreFlightRequest).permitAll();
    }

    @Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration cors = new CorsConfiguration();
        cors.setAllowCredentials(true);
        cors.addAllowedOrigin("*");
        cors.addAllowedHeader("*");
        cors.addAllowedMethod("*");
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", cors);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }
}
複製程式碼

我們可以在這裡設定自定義的攔截規則,注意在Spring Security5.x中我們要顯式注入AuthenticationManager不然會報錯~

@Bean(name = BeanIds.AUTHENTICATION_MANAGER)
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
複製程式碼

目前基本的都已經完成了剩下的就是一些entity,controller的程式碼了具體可以看我GitHub上的程式碼。
如果有任何見解或者我有寫錯的地方可以聯絡我…我一定改…

下載專案到本地,然後改一下mysql的資料庫資訊,執行就可以看到返回的token資料了。

歡迎大家關注我的個人公眾號~

相關推薦

Spring Security整合JWT

違背的青春 今天寫下Spring Security整合jwt的一個簡單小Demo,目的是登入後實現返回token,其實整個過程很簡單。 匯入依賴 <dependency>    <groupId>io.jsonwe

Spring Security官網嚮導翻譯

原文出自  https://spring.io/guides/topicals/spring-security-architecture Spring Security Architecture      This guide is a primer for Spring

重拾後端之Spring Boot使用JWTSpring Security保護REST API

通常情況下,把API直接暴露出去是風險很大的,不說別的,直接被機器攻擊就喝一壺的。那麼一般來說,對API要劃分出一定的許可權級別,然後做一個使用者的鑑權,依據鑑權結果給予使用者開放對應的API。目前,比較主流的方案有幾種: 使用者名稱和密碼鑑權,使用Session儲存使用

Spring Boot Hello World(基礎篇)

我用的Eclipse 裝的springboot 的外掛,有的Eclipse 不支援springboot 換個新的就好了。據說IDE支援比較好,但是本人用習慣了Eclipse了,所有裝了一個Eclipse-photon版本,Eclipse的安裝就不介紹了,大家自行百度學習一下吧。 1.Ec

SpringBoot學習整合myBaits

.net nbsp glin llc 數據庫表 逆向 del 情況下 rac ##本章節包含springboot項目創建,mybatis自動生成代碼及配置項,以及兩者整合。##開發環境:IDEA2018.2.6 ,JDK1.8 ,mysql5.7 (window10)第一步

spring整理元件整合

Spring       簡單來說,Spring 框架是一個分層架構,由 7 個定義良好的模組組成的輕量級開源框架。Spring模組構建在核心容器之上,核心容器定義了建立、配置和管理 bean 的方式,它是一個基於IOC/DI和

白話Spring原始碼怎麼閱讀原始碼

跟大家分享Spring原始碼前我想先聊聊: 為什麼要閱讀原始碼? 怎麼閱讀原始碼? 希望大家在學習某個新的知識前多問幾個為什麼,好奇心是我們學習的一大動力。 一、為什麼要閱讀原始碼 剛入行時,我們會接觸很多框架:spirng,Struts,Hibernate,mybatis等等,

Spring Boot整合Redis和使用Redis實現快取共享

Redis(REmote DIctionary Server)是一個key-value儲存系統,是當下網際網路公司最常用的NoSQL資料庫之一。支援儲存的value型別有string、list、set、zset(sorted set --有序集合)和hash。Redis的資料

Spring Cloud使用Eureka進行服務註冊與發現

作為分散式架構開發的一種選擇,Spring Cloud利用Spring Boot的開發便利性巧妙地簡化了分散式系統基礎設施的開發,如服務發現註冊、配置中心、訊息匯流排、負載均衡、斷路器、資料監控等,都可以用Spring Boot的開發風格做到一鍵啟動和部署。Spring Cl

Spring Boot概述1——起源、歷史、背景等

版權宣告:本文為博主原創文章,未經博主允許不得轉載。 https://blog.csdn.net/lsxf_xin/article/details/79448037 概述:         Spring Boot為開發者帶來了更好的開發體驗,但寫完程式碼只是萬里長征路上的

Spring Security2.2 History

Spring Security began in late 2003 as "The Acegi Security System for Spring". A question was posed on the Spring Developers' mailing list asking whether th

Spring Security2.1 Introduction What is Spring Security?

Spring Security provides comprehensive security services for Java EE-based enterprise software applications. There is a particular emphasis on supporting p

Spring Security2.4 Getting Spring Security

You can get hold of Spring Security in several ways. You can download a packaged distribution from the main Spring Security page, download indivi

Spring Security2.4.4 Checking out the Source檢查來源

Since Spring Security is an Open Source project, we’d strongly encourage you to check out the source code using git. This will give you full access to all

Spring Security2.4.3 Project Modules

In Spring Security 3.0, the codebase has been sub-divided into separate jars which more clearly separate different functionality areas and third-party depe

springboot微服務搭建整合mybatis配置第一種方式

現在看網上springboot整合mybatis有兩種方式:第一種是使用maven的mybatis的依賴,填寫配置檔案;第二種是採用spring-mybatis的配置。 第一種,在已有的springboot專案的pom檔案中加入 <dependency>

Spring-Boot使用自定義json解析器

Spring-Boot是基於Spring框架的,它並不是對Spring框架的功能增強,而是對Spring的一種快速構建的方式。Spring-boot應用程式提供了預設的json轉換器,為Jackson。示例:pom.xml中dependency配置:<project x

許可權管理之Spring Security

本文只是我對security的一些簡單看法,如有錯誤,敬請指正。 從最簡單的demo說起 一個最簡單的springboot+security的demo到底可以簡單到什麼程度?請看以下程式碼: null   如果說maven引入jar包不算程式碼的話,那麼最簡單的啟用

Spring Security入門

1、新建maven專案,匯入依賴 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apac

Spring AOP概述

AOP:    AOP面向切面程式設計,相對於OOP面向物件程式設計。    AOP存在的目的是為了解耦。讓一組類共享相同的行為,在OOP中只能通過繼承類和實現介面,使得程式碼的耦合度增強,且類繼承只能為單繼承,阻礙更多行為新增到一組類上,AOP彌補了OOP的不足。Sprin