2. 程式人生 > >SpringBoot使用SpringSecurity搭建基於非對稱加密的JWT及前後端分離的搭建

SpringBoot使用SpringSecurity搭建基於非對稱加密的JWT及前後端分離的搭建

阿新 發佈:2019-01-09

安全問題是一個比較複雜的問題,之前使用過Shiro這個安全框架,確實挺簡單的,後來使用SpringSecurity,SpringSecurity更細粒度可控,現在做專案基本都使用前後端分離的,很少再使用Thymeleaf這類模板引擎,而基於前後端分離的許可權問題,則需要使用JWT(json web token)
本次搭建基於JWT的SpringSecurity,並搭建前後端分離的安全許可權的開發環境,希望讀者有一點springsecurity的基礎
程式碼放在GitHub上

https://github.com/lhc0512/springsecurity-jwt

在pom.xml引入jar包

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.7.0</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId
 
>
            <artifactId>spring-security-jwt</artifactId>
        </dependency>
                <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency
 
>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.47</version>
        </dependency>

寫一個繼承於WebSecurityConfigurerAdapter的配置類,在重寫帶參httpsecurity,注入自定義的各種返回json的Handler


@Configuration
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private AjaxLogoutSuccessHandler logoutSuccessHandler;

    @Autowired
    private AjaxAuthenticationEntryPoint authenticationEntryPoint;

    @Autowired
    private AjaxAccessDeniedHandler accessDeniedHandler;

    @Autowired
    private AjaxAuthenticationFailureHandler authenticationFailureHandler;

    @Autowired
    private AjaxAuthenticationSuccessHandler authenticationSuccessHandler;

    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;


    @Override
    protected void configure(HttpSecurity http) throws Exception {

           //取消session
        http
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
           .httpBasic().authenticationEntryPoint(authenticationEntryPoint)
            .and()
            .authorizeRequests()
            .anyRequest()
            //使用rbac 角色繫結資源的方式
            .access("@rbacauthorityservice.hasPermission(request,authentication)")
           //.authenticated()
            .and()
            //該url比較特殊,需要和login.html的form的action的的url一致
            .formLogin().loginPage("/login").successHandler(authenticationSuccessHandler).failureHandler(authenticationFailureHandler).permitAll()
            .and()
            .logout().logoutSuccessHandler(logoutSuccessHandler).permitAll()
            .and()
            .csrf().disable();
        http.rememberMe().rememberMeParameter("remember-me")
           .userDetailsService(myUserDetailsService).tokenValiditySeconds(300);
        http.exceptionHandling().accessDeniedHandler(accessDeniedHandler);
        //使用jwt的Authentication
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 禁用headers快取
       http.headers().cacheControl();

    }
}

這些handler的寫法基本一樣,你需要先寫一個返回json的類
包含狀態碼,狀態資訊,返回物件,以及token


@Component
public class AjaxResponseBody implements Serializable {
    private String status;
    private String msg;
    private Object result;
    private String jwtToken;

以登陸的處理為例,你需要配置好返回的json,使用fastjson進行轉換為json,最後返回給前端


@Component
public class AjaxAuthenticationSuccessHandler implements AuthenticationSuccessHandler {


    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
           AjaxResponseBody responseBody = new AjaxResponseBody();

        responseBody.setStatus("00");
        responseBody.setMsg("Login Success!");

        MyUserDetails myUserDetails = (MyUserDetails) authentication.getPrincipal();


        String jwtToken = JwtTokenUtil.generateToken(myUserDetails.getUsername(), 300);
        responseBody.setJwtToken(jwtToken);

        response.getWriter().write(JSON.toJSONString(responseBody));
    }
}

接下來在springsecurity的核心配置類中新增和資料庫及密碼加密的相關配置,注入自定義userDetailsService
使用BCryptPasswordEncoder進行加密

    @Autowired
    private MyUserDetailsService myUserDetailsService;


  @Override
        protected void configure (AuthenticationManagerBuilder auth) throws Exception {

            //使用資料庫
            auth.userDetailsService(myUserDetailsService).passwordEncoder(new BCryptPasswordEncoder());
        }

自定義一個UserDetails類,

@Component
public class MyUserDetails implements UserDetails ,Serializable {
    private String username;
    private String password;
    private Collection<? extends GrantedAuthority> authorities;

自定義一個UserDitailsService,為了方便起見,我就不使用mybatis了,在程式碼中模擬從加密的資料庫中查詢使用者資訊,你註冊使用者資訊的時候就該作如下加密

@Component
public class MyUserDetailsService implements UserDetailsService,Serializable {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        MyUserDetails myUserDetails = new MyUserDetails();
        myUserDetails.setUsername(username);
        //模擬從資料庫取出的密碼
        myUserDetails.setPassword(new BCryptPasswordEncoder().encode("12345"));

        //模擬從資料庫取出的許可權
        HashSet<SimpleGrantedAuthority> set = new HashSet<>();
      //  set.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        set.add(new SimpleGrantedAuthority("ROLE_USER"));
        myUserDetails.setAuthorities(set);
        return myUserDetails;
    }
}

這個BCryptPasswordEncoder很強大,每次加密產生的密碼都不一樣,而認證的使用它又能識別出來,也是現在較為主流的加密演算法,像MD5和SHA256等演算法都被淘汰了

在springsecurity的核心配置有jwtAuthenticationTokenFilter,其配置如下,作用就是把傳過來的token解析為username,再從資料庫中查詢使用者資訊放在authentication中

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired
    MyUserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {

        //請求頭為 Authorization
        //請求體為 Bearer token

        String authHeader = request.getHeader("Authorization");

        if (authHeader != null && authHeader.startsWith("Bearer ")) {

            final String authToken = authHeader.substring("Bearer ".length());

            String username = JwtTokenUtil.parseToken(authToken);
            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                if (userDetails != null) {

                    UsernamePasswordAuthenticationToken authentication =
                            new UsernamePasswordAuthenticationToken(userDetails, userDetails.getPassword(), userDetails.getAuthorities());
                    authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            }
        }
        chain.doFilter(request, response);
    }
}

注意UsernamePasswordAuthenticationToken的第一個引數有兩種方式,建議傳使用者的整個資訊,因為現在比較流行使用RBAC角色繫結資源的細粒度許可權控制,該方式較為靈活,而不是硬編碼在程式碼中,而使用該方式需要用到使用者的許可權資訊

前面的配置有.access(“@rbacauthorityservice.hasPermission(request,authentication)”)

下面介紹如何使用RBAC

@Component("rbacauthorityservice")
public class RbacAuthorityService {
    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {

        //得到的principal的資訊是使用者名稱還是整個使用者資訊取決於在自定義的authenticationProvider中傳參的方式
        Object userInfo = authentication.getPrincipal();

        boolean hasPermission = false;

        if (userInfo instanceof UserDetails) {

            String username = ((UserDetails) userInfo).getUsername();

            Collection<? extends GrantedAuthority> authorities = ((UserDetails) userInfo).getAuthorities();
            Iterator<? extends GrantedAuthority> iterator = authorities.iterator();
            for (GrantedAuthority authority : authorities) {
                if (authority.getAuthority().equals("ROLE_ADMIN")) {

                    //admin 可以訪問的資源
                    Set<String> urls = new HashSet();
                    urls.add("/sys/**");
                    urls.add("/test/**");
                    AntPathMatcher antPathMatcher = new AntPathMatcher();
                    for (String url : urls) {
                        if (antPathMatcher.match(url, request.getRequestURI())) {
                            hasPermission = true;
                            break;
                        }
                    }
                }
            }
            //user可以訪問的資源
            Set<String> urls = new HashSet();
            urls.add("/test/**");
            AntPathMatcher antPathMatcher = new AntPathMatcher();
            for (String url : urls) {
                if (antPathMatcher.match(url, request.getRequestURI())) {
                    hasPermission = true;
                    break;
                }
            }
            return hasPermission;
        } else {
            return false;
        }
    }
}

接下來說說非對稱加密的token怎樣產生和解析的,你可以使用jdk自帶的keytool工具,注意配置好JAVA_HOME,
輸入,如下內容

keytool -genkey -alias jwt -keyalg  RSA -keysize 1024 -validity 365 -keystore jwt.jks

意思是使用keytool生成金鑰,別名為jwt,演算法為RSA,有效期為365天,檔名為jwt,jks,把檔案儲存在當前開啟cmd的路徑下,它提示輸入密碼,我就輸入lhc123吧
接下的輸入可以忽略,回車pass
把生成的檔案複製到resources目錄下,寫一個JwtTokenUtil 的生成和解析兩個方法

public class JwtTokenUtil {
    //載入jwt.jks檔案
    private static InputStream inputStream = Thread.currentThread().getContextClassLoader().getResourceAsStream("jwt.jks");
    private static PrivateKey privateKey = null;
    private static PublicKey publicKey = null;

    static {
        try {
            KeyStore keyStore = KeyStore.getInstance("JKS");
            keyStore.load(inputStream, "lhc123".toCharArray());
            privateKey = (PrivateKey) keyStore.getKey("jwt", "lhc123".toCharArray());
            publicKey = keyStore.getCertificate("jwt").getPublicKey();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public static String generateToken(String subject, int expirationSeconds) {
        return Jwts.builder()
                .setClaims(null)
                .setSubject(subject)
                .setExpiration(new Date(System.currentTimeMillis() + expirationSeconds * 1000))
                .signWith(SignatureAlgorithm.RS256, privateKey)
                .compact();
    }

    public static String parseToken(String token) {
        String subject = null;
        try {
            Claims claims = Jwts.parser()
                    .setSigningKey(publicKey)
                    .parseClaimsJws(token).getBody();
            subject = claims.getSubject();
        } catch (Exception e) {
        }
        return subject;
    }
}

好了專案搭建完畢,內容比較多,我也儘可能減少篇幅,但給大家一個清晰的思路,需要注意的是,每次請求後臺,後臺都需要重新整理token,上名設定的token的有效期是5分鐘,5分鐘不做任何操作就需要重新登入,最標準的做法是把token儲存到redis中,並且設定其有效時間

相關推薦

SpringBoot使用SpringSecurity搭建基於對稱加密JWT前後分離搭建

安全問題是一個比較複雜的問題,之前使用過Shiro這個安全框架,確實挺簡單的,後來使用SpringSecurity,SpringSecurity更細粒度可控,現在做專案基本都使用前後端分離的,很少再使用Thymeleaf這類模板引擎,而基於前後端分離的許可權問題

laravel使用者認證 JWT-Auth 前後分離

本章主要介紹前後端徹底分離時,如何使用laravel實現API認證,(laravel5.5) 首先,你得有一個laravel專案,拉取新框架命令:composer create-project laravel/laravel 專案名稱 --prefer-dist “5.5.*” Be

Shrio使用Jwt達到前後分離

概述 前後端分離之後,因為HTTP本身是無狀態的,Session就沒法用了。專案採用jwt的方案後,請求的主要流程如下:使用者登入成功之後,服務端會建立一個jwt的token(jwt的這個token中記錄了當前的操作賬號),並將這個token返回給前端,前端每次請求服務端的資料時,都會將令牌放入Header或

go-admin基於Gin + Vue + Element UI的前後分離許可權管理系統

## ✨ 特性 - 遵循 RESTful API 設計規範 - 基於 GIN WEB API 框架,提供了豐富的中介軟體支援(使用者認證、跨域、訪問日誌、追蹤ID等) - 基於Casbin的 RBAC 訪問控制模型 - JWT 認證 - 支援 Swagger 文件(基於swaggo) - 基於 G

和安全有關的那些事 對稱加密 數字摘要 數字簽名 數字證書 SSL HTTPS其他

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

對稱加密對稱加密

什麼是對稱加密技術? 對稱加密採用了對稱密碼編碼技術,它的特點是檔案加密和解密使用相同的金鑰加密 也就是金鑰也可以用作解密金鑰,這種方法在密碼學中叫做對稱加密演算法,對稱加密演算法使用起來簡單快捷,金鑰較短,且破譯困難,除了資料加密標準(DES),另一個對稱金鑰加密系統是國際資料加密演算

對稱加密過程詳解(基於RSA對稱加密演算法實現)

1、非對稱加密過程:         假如現實世界中存在A和B進行通訊,為了實現在非安全的通訊通道上實現資訊的保密性、完整性、可用性(即資訊保安的三個性質),A和B約定使用非對稱加密通道進行通訊,具體過程如下:   說明:         國內目前使用雙證書體系,即

和安全有關的那些事(對稱加密、數字摘要、數字簽名、數字證書、SSL、HTTPS其他)

本文原文連線:http://blog.csdn.net/bluishglc/article/details/7585965 對於一般的開發人員來說,很少需要對安全領域內的基礎技術進行深入的研究,但是鑑於日常系統開發中遇到的各種安全相關的問題,熟悉和了解這些安全技術的基本原理和使用場景還是非常必要的。本文將對

網路安全之 (對稱加密、數字摘要、數字簽名、數字證書、SSL、HTTPS其他)

對於一般的開發人員來說,很少需要對安全領域內的基礎技術進行深入的研究,但是鑑於日常系統開發中遇到的各種安全相關的問題,熟悉和了解這些安全技術的基本原理和使用場景還是非常必要的。本文將對非對稱加密、數字摘要、數字簽名、數字證書、SSL、HTTPS等這些安全領域內的技術進行一

HTTPS對稱加密

非對稱加密:公鑰加密,只有私鑰能解密。私鑰加密,只有公鑰能解密。A首先生成一對公鑰和私鑰,然後將公鑰公開給別人加密,別人使用公鑰加密報文傳送給A,A使用私鑰解密。反之相同。(傳送給某人,用某人的公鑰加密。證明自己的身份,用自己的私鑰加密) 摘要演算法:輸出用於校驗資料的長度固定的資料指紋。 數字簽名:防止資

對稱加密、數字摘要、數字簽名、數字證書、SSL、HTTPS其他

一、 對稱加密和非對稱加密         對於一份資料,通過一種演算法,基於傳入的金鑰(一串由數字或字元組成的字串,也稱“key”),將明文資料轉換成了不可閱讀的密文,這是眾所周知的“加密”,同樣的,密文到達目的地後,需要再以相應的演算法,配合一個金鑰,將密文再解密

DH、RSA與ElGamal對稱加密演算法實現應用

1.對稱加密與非對稱加密概述 關於對稱加密與非對稱加密的概念這裡不再多說,感興趣可以看下我之前的幾篇文章,下面說一說兩者的主要區別。 對稱加密演算法資料安全,金鑰管理複雜,金鑰傳遞過程複雜,存在金鑰洩露問題。 非對稱加密演算法強度複雜、安全性依賴於演算法與金鑰。但是由於演算法複雜,使得非對稱演算法加解密速度沒

對稱加密

數據加密 bytes codebase 私鑰 .get comm x509 公鑰 except   非對稱加密為數據的加密與解密提供了一個非常安全的方法,它使用了一對密鑰,公鑰(public key)和私鑰(private key)。私鑰只能由一方安全保管,不能外泄,而公鑰

java加密算法入門(三)-對稱加密詳解

共享數據 net clas 實例 查看 安全性 自己的 generator mir 1、簡單介紹 這幾天一直在看非對稱的加密,相比之前的兩篇內容,這次看了兩倍多的時間還雲裏霧裏的,所以這篇文章相對之前的兩篇,概念性的東西多了些,另外是代碼的每一步我都做了介紹,方便自己以後

對稱加密對稱加密

通過 lan pan 消息加密 ack 屬於 加密算法 效率 構建 1.對稱加密 對稱加密(也叫私鑰加密)指加密和解密使用相同密鑰的加密算法。有時又叫傳統密碼算法,就是加密密鑰能夠從解密密鑰中推算出來,同時解密密鑰也可以從加密密鑰中推算出來。而在大多數的對稱算法中,加密密

如何使用gpg工具實現公鑰加密對稱加密對稱加密)?

gpg工具 對稱加密 公鑰加密 非對稱加密 使用gpg實現公鑰加密【對稱加密】1、 對稱加密file文件gpg -c filels file.gpg------------------------對稱加密過程------------------------輸入口令,兩次,例如centos再查看

對稱加密 - SSH, HTTPS

none 知乎 ext question 使用 soft 對稱 table sim 你想用實際生活中的例子懂"非對稱加密"嗎, 請點擊知乎優秀解答"非對稱加密", 一看就懂!!!看完上面形象的解釋後, 再看這個總結性的概括https://www.zhihu.com/ques

Java加密與解密筆記(三) 對稱加密

arr 內容 phy 資料 密碼 load esp uid user 非對稱的特點是加密和解密時使用的是不同的鑰匙。密鑰分為公鑰和私鑰,用公鑰加密的數據只能用私鑰進行解密,反之亦然。 另外,密鑰還可以用於數字簽名。數字簽名跟上文說的消息摘要是一個道理,通過一定方法對數據內容

對稱加密技術- RSA算法數學原理分析

這樣的 另一個 href 使用 兩個 對稱 基礎 大於 深入淺出 非對稱加密技術,在現在網絡中,有非常廣泛應用。加密技術更是數字貨幣的基礎。 所謂非對稱,就是指該算法需要一對密鑰,使用其中一個(公鑰)加密,則需要用另一個(私鑰)才能解密。 但是對於其原理大部分同學應該都是一

[svc]對稱加密/對稱加密細枝末節-如何做到數據傳輸的authentication/data integrity/confidentiality(私密)

ecc 數據完整性 安全 post 數字簽名 .html 模式 數字證書 大量 對稱/非對稱/混合加密的冷知識 數據在互聯網上傳輸,要考慮安全性. 講到安全,要從三方面考慮: 1、authentication 每一個IP包的認證,確保合法源的數據 2、data integ