当前位置:   article > 正文

Springboot集成token认证_springboot接口token认证

springboot接口token认证

一、引出session问题以及token、鉴权

  1. session都是保存在内存中,认证用户增多,服务端开销明显增大。
  2. 若是认证的记录保存在某台服务器内存中时,意味着用户的下次请求只能够在该服务器内存中进行认证。
  3. CSRF跨站攻击

token的鉴权机制http协议也是无状态的,不需要在服务端去保留用户的认证信息或者会话信息。这也就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录

鉴权流程:简单来说就是服务器根据前端传来的用户名与密码生成token并返回前端,前端之后的请求都会携带该cookie来进行执行操作认证。

  1. 用户使用用户名密码来请求服务器。
  2. 服务器进行验证用户的信息。
  3. 服务器通过验证生成token发送给用户一个token。
  4. 客户端存储token,并在每次请求时附送上这个token值。
  5. 服务端验证token值,并返回数据。

这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 另外,服务端要支持CORS

二、认识JWT(三部分详细构成)

JWT(JSON WEB TOKEN)是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串.

  • 第一部分:头部(header)。
  • 第二部分:载荷(payload),携带的信息。
  • 第三部分:签证(signature)。

三、Spring Security 

Spring Security

是一个强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的实际标准。Spring Security是一个可以为Java应用程序提供全面安全服务的框架。同时,它也可以轻松扩展以满足自定义需求。 

主要功能
Authentication (认证),就是用户登录
Authorization (授权):一旦身份验证成功,判断用户拥有什么权限,可以访问什么资源
防止跨站请求伪造(CSRF):Spring Security提供了内置的防护机制,可以防止跨站请求伪造攻击。
密码存储:Spring Security提供了多种密码存储格式,包括明文、加密和哈希。
集成其他安全框架:Spring Security可以与其他安全框架如OAuth2、JWT等进行集成,以提供更全面的安全解决方案。

SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。

SecurityContextPersistenceFilter:每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContextHolder 中。
LogoutFilter:用于处理退出登录。
UsernamePasswordAuthenticationFilter:用于处理基于表单的登录请求,从表单中获取用户名和密码。
BasicAuthenticationFilter:检测和处理 http basic 认证。
ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException 。
FilterSecurityInterceptor:负责权限校验的过滤器,可以看做过滤器链的出口。

2. JWT校验登录的校验流程

首先前端一样是把登录信息发送给后端,后端查询数据库校验用户的账号和密码是否正确,正确的话则使用jwt生成token,并且返回给前端。以后前端每次请求时,都需要携带token,后端获取token后,使用jwt进行验证用户的token是否无效或过期,验证成功后才去做相应的逻辑。

四、Spring Boot整合Redis、SpringSecurity、JWT

 

  1. 添加依赖项在 pom.xml 文件中添加以下依赖项:
  1. <dependencies>
  2. <dependency>
  3. <groupId>org.springframework.boot</groupId>
  4. <artifactId>spring-boot-starter-data-redis</artifactId>
  5. </dependency>
  6. <dependency>
  7. <groupId>org.springframework.boot</groupId>
  8. <artifactId>spring-boot-starter-security</artifactId>
  9. </dependency>
  10. <dependency>
  11. <groupId>io.jsonwebtoken</groupId>
  12. <artifactId>jjwt</artifactId>
  13. <version>0.9.1</version>
  14. </dependency>
  15. </dependencies>

 创建Redis配置类

  1. @Configuration
  2. public class RedisConfig {
  3. @Value("${spring.redis.host}")
  4. private String host;
  5. @Value("${spring.redis.port}")
  6. private int port;
  7. @Bean
  8. public JedisConnectionFactory jedisConnectionFactory() {
  9. return new JedisConnectionFactory(new RedisStandaloneConfiguration(host, port));
  10. }
  11. @Bean
  12. public RedisTemplate<String, Object> redisTemplate() {
  13. final RedisTemplate<String, Object> template = new RedisTemplate<>();
  14. template.setConnectionFactory(jedisConnectionFactory());
  15. return template;
  16. }
  17. }

 创建 JwtTokenUtil 类,用于生成和验证JWT令牌。

  1. @Component
  2. public class JwtTokenUtil implements Serializable {
  3. private static final long serialVersionUID = -2550185165626007488L;
  4. private static final String secret = "mySecret";
  5. public String getUsernameFromToken(String token) {
  6. return getClaimFromToken(token, Claims::getSubject);
  7. }
  8. public Date getExpirationDateFromToken(String token) {
  9. return getClaimFromToken(token, Claims::getExpiration);
  10. }
  11. public <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) {
  12. final Claims claims = getAllClaimsFromToken(token);
  13. return claimsResolver.apply(claims);
  14. }
  15. private Claims getAllClaimsFromToken(String token) {
  16. return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
  17. }
  18. private Boolean isTokenExpired(String token) {
  19. final Date expiration = getExpirationDateFromToken(token);
  20. return expiration.before(new Date());
  21. }
  22. public String generateToken(UserDetails userDetails) {
  23. Map<String, Object> claims = new HashMap<>();
  24. return doGenerateToken(claims, userDetails.getUsername());
  25. }
  26. private String doGenerateToken(Map<String, Object> claims, String subject) {
  27. return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(new Date(System.currentTimeMillis()))
  28. .setExpiration(new Date(System.currentTimeMillis() + 5 * 60 * 60 * 1000))
  29. .signWith(SignatureAlgorithm.HS512, secret).compact();
  30. }
  31. public Boolean validateToken(String token, UserDetails userDetails) {
  32. final String username = getUsernameFromToken(token);
  33. return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
  34. }
  35. }

 创建 JwtAuthenticationEntryPoint 类,用于处理未经授权的请求。

  1. @Component
  2. public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint, Serializable {
  3. private static final long serialVersionUID = -7858869558953243875L;
  4. @Override
  5. public void commence(HttpServletRequest request, HttpServletResponse response,
  6. AuthenticationException authException) throws IOException {
  7. response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
  8. }
  9. }

 创建 JwtRequestFilter 类,用于解析和验证JWT令牌。

  1. @Component
  2. public class JwtRequestFilter extends OncePerRequestFilter {
  3. @Autowired
  4. private MyUserDetailsService myUserDetailsService;
  5. @Autowired
  6. private JwtTokenUtil jwtTokenUtil;
  7. @Override
  8. protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
  9. throws ServletException, IOException {
  10. final String requestTokenHeader = request.getHeader("Authorization");
  11. String username = null;
  12. String jwtToken = null;
  13. if (requestTokenHeader != null && requestTokenHeader.startsWith("Bearer ")) {
  14. jwtToken = requestTokenHeader.substring(7);
  15. try {
  16. username = jwtTokenUtil.getUsernameFromToken(jwtToken);
  17. } catch (IllegalArgumentException e) {
  18. System.out.println("Unable to get JWT Token");
  19. } catch (ExpiredJwtException e) {
  20. System.out.println("JWT Token has expired");
  21. }
  22. } else {
  23. logger.warn("JWT Token does not begin with Bearer String");
  24. }
  25. if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
  26. UserDetails userDetails = this.myUserDetailsService.loadUserByUsername(username);
  27. if (jwtTokenUtil.validateToken(jwtToken, userDetails)) {
  28. UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
  29. userDetails, null, userDetails.getAuthorities());
  30. usernamePasswordAuthenticationToken
  31. .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
  32. SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
  33. }
  34. }
  35. chain.doFilter(request, response);
  36. }
  37. }

 配置Spring Security

  1. @Configuration
  2. @EnableWebSecurity
  3. public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
  4. @Autowired
  5. private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;
  6. @Autowired
  7. private UserDetailsService jwtUserDetailsService;
  8. @Autowired
  9. private JwtRequestFilter jwtRequestFilter;
  10. @Autowired
  11. public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
  12. auth.userDetailsService(jwtUserDetailsService).passwordEncoder(passwordEncoder());
  13. }
  14. @Bean
  15. public PasswordEncoder passwordEncoder() {
  16. return new BCryptPasswordEncoder();
  17. }
  18. @Bean
  19. @Override
  20. public AuthenticationManager authenticationManagerBean() throws Exception {
  21. return super.authenticationManagerBean();
  22. }
  23. @Override
  24. protected void configure(HttpSecurity httpSecurity) throws Exception {
  25. httpSecurity.csrf().disable()
  26. .authorizeRequests().antMatchers("/authenticate").permitAll().
  27. anyRequest().authenticated().and().
  28. exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and().sessionManagement()
  29. .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
  30. httpSecurity.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
  31. }
  32. }

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Gausst松鼠会/article/detail/389640
推荐阅读
相关标签
  

闽ICP备14008679号