溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇文章將講述Spring Security 簡單整合JWT 處理認證授權
有關JWT不了解的可以看下官網文檔:https://jwt.io/introduction/
<!-- jwt依賴: https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>jwt生成令牌代碼如下:
// 生成jwt訪問令牌
String jwtToken = Jwts.builder()
// 用戶角色
.claim("ROLE_LOGIN", "ADMIN")
// 主題 - 存用戶名
.setSubject("張三")
// 過期時間 - 30分鐘
.setExpiration(new Date(System.currentTimeMillis() + 30 * 60 * 1000))
// 加密算法和密鑰
.signWith(SignatureAlgorithm.HS512, "helloworld")
.compact();這里貼出小編文末案例demo源碼中關于登錄認證處理中的使用
@Component
public class AdminAuthenticationProvider implements AuthenticationProvider {
@Autowired
UserDetailsServiceImpl userDetailsService;
@Autowired
private UserMapper userMapper;
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
// 獲取前端表單中輸入后返回的用戶名、密碼
String userName = (String) authentication.getPrincipal();
String password = (String) authentication.getCredentials();
SecurityUser userInfo = (SecurityUser) userDetailsService.loadUserByUsername(userName);
boolean isValid = PasswordUtils.isValidPassword(password, userInfo.getPassword(), userInfo.getCurrentUserInfo().getSalt());
// 驗證密碼
if (!isValid) {
throw new BadCredentialsException("密碼錯誤!");
}
// 前后端分離情況下 處理邏輯...
// 更新登錄令牌
// 當前用戶所擁有角色代碼
String roleCodes = userInfo.getRoleCodes();
// 生成jwt訪問令牌
String jwt = Jwts.builder()
// 用戶角色
.claim(Constants.ROLE_LOGIN, roleCodes)
// 主題 - 存用戶名
.setSubject(authentication.getName())
// 過期時間 - 30分鐘
.setExpiration(new Date(System.currentTimeMillis() + 30 * 60 * 1000))
// 加密算法和密鑰
.signWith(SignatureAlgorithm.HS512, Constants.SALT)
.compact();
User user = userMapper.selectById(userInfo.getCurrentUserInfo().getId());
user.setToken(jwt);
userMapper.updateById(user);
userInfo.getCurrentUserInfo().setToken(jwt);
return new UsernamePasswordAuthenticationToken(userInfo, password, userInfo.getAuthorities());
}
@Override
public boolean supports(Class<?> aClass) {
return true;
}
}前端頁面保存的jwt令牌格式如下:
我們在訪問每一個url請求的時候,在統一認證的地方獲取jwt中我們需要的信息然后認證即可,【注: Claims 中存放著我們需要的信息】
例如: 我們可以將用戶名、密碼存放jwt中,然后在認證的時候讀取到其中的用戶信息,然后查詢數據庫認證用戶,如果滿足條件即成功訪問,如果不滿足條件即拋出異常處理
溫馨小提示:如果jwt令牌過期,會拋出
ExpiredJwtException異常,我們需要攔截到,然后交給認證失敗處理器中處理,然后返回給前端,這里根據個人業務實際處理即可~
// 獲取jwt中的信息
Claims claims = Jwts.parser().setSigningKey("helloworld").parseClaimsJws(jwtToken.replace("Bearer", "")).getBody();
// 獲取當前登錄用戶名
System.out.println("獲取當前登錄用戶名: " + claims.getSubject());小編項目中認證過濾器中的使用如下:
@Slf4j
@Component
public class MyAuthenticationFilter extends OncePerRequestFilter {
@Autowired
AdminAuthenticationEntryPoint authenticationEntryPoint;
private final UserDetailsServiceImpl userDetailsService;
protected MyAuthenticationFilter(UserDetailsServiceImpl userDetailsService) {
this.userDetailsService = userDetailsService;
}
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
MultiReadHttpServletRequest wrappedRequest = new MultiReadHttpServletRequest(request);
MultiReadHttpServletResponse wrappedResponse = new MultiReadHttpServletResponse(response);
StopWatch stopWatch = new StopWatch();
try {
stopWatch.start();
// 前后端分離情況下,前端登錄后將token儲存在cookie中,每次訪問接口時通過token去拿用戶權限
String jwtToken = wrappedRequest.getHeader(Constants.REQUEST_HEADER);
log.debug("后臺檢查令牌:{}", jwtToken);
if (StringUtils.isNotBlank(jwtToken)) {
// JWT相關start ===========================================
// 獲取jwt中的信息
Claims claims = Jwts.parser().setSigningKey(Constants.SALT).parseClaimsJws(jwtToken.replace("Bearer", "")).getBody();
// 獲取當前登錄用戶名
System.out.println("獲取當前登錄用戶名: " + claims.getSubject());
// TODO 如需使用jwt特性在此做處理~
// JWT相關end ===========================================
// 檢查token
SecurityUser securityUser = userDetailsService.getUserByToken(jwtToken);
if (securityUser == null || securityUser.getCurrentUserInfo() == null) {
throw new BadCredentialsException("TOKEN已過期,請重新登錄!");
}
UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(securityUser, null, securityUser.getAuthorities());
// 全局注入角色權限信息和登錄用戶基本信息
SecurityContextHolder.getContext().setAuthentication(authentication);
}
filterChain.doFilter(wrappedRequest, wrappedResponse);
} catch (ExpiredJwtException e) {
// jwt令牌過期
SecurityContextHolder.clearContext();
this.authenticationEntryPoint.commence(wrappedRequest, response, null);
} catch (AuthenticationException e) {
SecurityContextHolder.clearContext();
this.authenticationEntryPoint.commence(wrappedRequest, response, e);
} finally {
stopWatch.stop();
}
}
}簡單的入門使用就是這樣了
jwt依賴生成jwt令牌返回給前端保存到瀏覽器請求頭中用戶信息然后做認證處理,如果滿足條件成功訪問,如果不滿足交給認證失敗處理器返回指定內容給前端https://gitee.com/zhengqingya/java-workspace
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
