devbox
Monodyee
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

springboot-安全认证security+jwt总结_resultutils.writejavascript

作者:Monodyee | 2024-05-06 23:19:45

resultutils.writejavascript

目录

一、背景

二、基本jar依赖引入

三、security模块

1、编写配置类

2、UnauthorizedHandler代码

3、security验证用户名和密码的部分

四、jwt模块

1、jwt原理部分

2、jwt一共需要四个类

五、总结

一、背景

要做一个后台管理系统,会引入多个系统,这就需要做用户认证和权限管理。用户认证通过token来实现,市面上的技术有很多,我这里仅仅来说明一下security+jwt的一种实现过程,没有做页面,需要做页面的同学自行实现。

有些容易入坑的点,我看别的资料没有说太清楚,这里记录下,希望能帮助到跳坑的同学。

二、基本jar依赖引入

  1. <!-- security -->
  2. <dependency>
  3.    <groupId>org.springframework.boot</groupId>
  4.    <artifactId>spring-boot-starter-security</artifactId>
  5. </dependency>
  6.  
  7. <!-- jwt依赖 -->
  8. <dependency>
  9.    <groupId>io.jsonwebtoken</groupId>
  10.    <artifactId>jjwt</artifactId>
  11.    <version>0.9.1</version>
  12. </dependency>

总结:

我看有的帖子也引入了jjwt的API、impl包,我这里没有用到,实现权限控制和token校验两个完全够用

三、security模块

1、编写配置类

  1. @Configuration
  2. @EnableWebSecurity
  3. @EnableGlobalMethodSecurity(prePostEnabled = true)
  4. public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
  5.  
  6.     //操作用户
  7.     @Autowired
  8.     FfUserService ffUserService;
  9.  
  10.     //token校验
  11.     @Autowired
  12.     JwtAuthenPreFilter jwtAuthenPreFilter;
  13.  
  14.     /**
  15.      *token异常
  16.      */
  17.     @Autowired
  18.     UnauthorizedHandler unauthorizedHandler;
  19.  
  20.     //配置放行策略
  21.     @Value("${jwt.security.antMatchers}")
  22.     private String antMatchers;
  23.  
  24.  
  25.     /**
  26.      * 密码加密算法
  27.      *
  28.      * @return
  29.      */
  30.     @Bean
  31.     public PasswordEncoder passwordEncoder() {
  32.         return new BCryptPasswordEncoder(10);
  33.     }
  34.  
  35.     /**
  36.      * 验证用户来源,主要是验证账号和密码
  37.      *
  38.      * @param auth
  39.      * @throws Exception
  40.      */
  41.     @Override
  42.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  43.         auth.userDetailsService(ffUserService).passwordEncoder(passwordEncoder());
  44.     }
  45.  
  46.     /**
  47.      * 忽略策略
  48.      * @param web
  49.      * @throws Exception
  50.      */
  51.     @Override
  52.     public void configure(WebSecurity web) throws Exception {
  53.         web.ignoring().antMatchers(antMatchers.split(","));
  54.     }
  55.  
  56.     /**
  57.      * 用户授权
  58.      * @param http
  59.      * @throws Exception
  60.      */
  61.     @Override
  62.     protected void configure(HttpSecurity http) throws Exception {
  63.         http
  64.                 .authorizeRequests()
  65.                 .anyRequest().authenticated()       // 所有的验证都需要验证
  66.                 .and()
  67.                 .csrf().disable()                      // 禁用 Spring Security 自带的跨域处理              
  68. // 定制我们自己的 session 策略:调整为让 Spring Security 不创建和使用 session
  69. .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
  70.                 .and()
  71.                 .exceptionHandling().authenticationEntryPoint(unauthorizedHandler);
  72.         // 将自定义的过滤器添加在指定过滤器之前
  73.         http.addFilterBefore(jwtAuthenPreFilter, FilterSecurityInterceptor.class);
  74.         // 禁用缓存
  75.         http.headers().cacheControl();
  76.     }
  77.  
  78. }

总结:

  • 需要放行的可以在两个地方配置,第一种如上图;第二种可以在第二个configure中配置。比如:.antMatchers(antMatchers.split(",")).permitAll()
  • 在第二个configure中这里特别注意一下配置的顺序,exceptionHandling().authenticationEntryPoint(myAuthenticationEntryPoint())如果放在前面会导致放行策略不生效。
  • security是通过用户名和密码来实现认证的,不一定能满足实际业务需要,所以要扩展,前后端分离目前常用的做法就是基于usertoken的,即上面的自定义的jwtAuthenPreFilter过滤器
  • addFilterAfter: 将自定义的过滤器添加在指定过滤器之后
  • addFilterBefore:将自定义的过滤器添加在指定过滤器之前
  • addFilter:添加一个过滤器,但必须是Spring Security自身提供的过滤器实例或其子过滤器
  • addFilterAt: 添加一个过滤器在指定过滤器位置

2、UnauthorizedHandler代码

  1. @Component
  2. @Slf4j
  3. public class UnauthorizedHandler implements AuthenticationEntryPoint {
  4.     @Override
  5.     public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
  6.         //用户登录时身份认证未通过
  7.         if(e instanceof BadCredentialsException){
  8.             //用户登录时身份认证失败
  9.             ResultUtil.writeJavaScript(httpServletResponse, ErrorCodeEnum.TOKEN_INVALID.getCode(), e.getMessage());
  10.         }else if (e instanceof InsufficientAuthenticationException){
  11.             //缺少请求头参数,Authorization传递是token值,所以是参数是必须的
  12.             ResultUtil.writeJavaScript(httpServletResponse, ErrorCodeEnum.NO_TOKEN.getCode(), ErrorCodeEnum.NO_TOKEN.getMessage());
  13.         }else{
  14.             //用户token无效
  15.             ResultUtil.writeJavaScript(httpServletResponse, ErrorCodeEnum.TOKEN_INVALID.getCode(), ErrorCodeEnum.TOKEN_INVALID.getMessage());
  16.         }
  17.     }
  18. }

注意:

  • 接口中的逻辑异常要捕获,不然会被拦截报token异常就不美观了,也可以完善这个类。
  • 也可以扩展单独的异常处理模块做统一处理,但是业务异常我还是推荐根据业务场景来单独处理,一味的追求统一处理不见得都是好事。

3、security验证用户名和密码的部分

  • 网上资料很多,大家自己补充

四、jwt模块

1、jwt原理部分

  • 网上资料很多,大家自己补充

2、jwt一共需要四个类

  • JwtAuthenPreFilter:token校验和有关业务,这部分可以根据自己项目来实现
  1. @Component
  2. @Slf4j
  3. public class JwtAuthenPreFilter extends OncePerRequestFilter {
  4.  
  5.     @Autowired
  6.     private JwtTokenUtil jwtTokenUtil;
  7.     //@Autowired
  8.     //private RedisUtil redisUtil;
  9.     /**
  10.      * 防止filter被执行两次
  11.      */
  12.     private static final String FILTER_APPLIED = "__spring_security_JwtAuthenPreFilter_filterApplied";
  13.  
  14.     @Value("${jwt.header:Authorization}")
  15.     private String tokenHeader;
  16.  
  17.     @Value("${jwt.tokenHead:Bearer}")
  18.     private String tokenHead;
  19.     /**
  20.      * 距离快过期多久刷新令牌
  21.      */
  22.     @Value("${jwt.token.subRefresh:#{10*60}}")
  23.     private Long subRefresh;
  24.     // 不需要认证的接口
  25.     @Value("${jwt.security.antMatchers}")
  26.     private String antMatchers;
  27.     @Autowired
  28.     private FfUserService ffUserService ;
  29.  
  30.     public JwtAuthenPreFilter() {
  31.     }
  32.  
  33.     @Override
  34.     protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
  35.  
  36.         if (httpServletRequest.getAttribute(FILTER_APPLIED) != null) {
  37.             filterChain.doFilter(httpServletRequest, httpServletResponse);
  38.             return;
  39.         }
  40.         httpServletRequest.setAttribute(FILTER_APPLIED, true);
  41.  
  42.         //过滤掉不需要token验证的url
  43.         SkipPathAntMatcher skipPathRequestMatcher = new SkipPathAntMatcher(Arrays.asList(antMatchers.split(",")));
  44.         if (skipPathRequestMatcher.matches(httpServletRequest)) {
  45.             filterChain.doFilter(httpServletRequest, httpServletResponse);
  46.         } else {
  47.             try {
  48.                 //1.判断是否有效 2.判断是否过期 3.如果未过期的,且过期时间小于10分钟的延长过期时间,并在当前response返回新的header,客户端需替换此令牌
  49.                 String authHeader = httpServletRequest.getHeader(this.tokenHeader);
  50.                 if (authHeader != null && authHeader.startsWith(tokenHead)) {
  51.                     final String authToken = authHeader.substring(tokenHead.length());
  52.                     JWTUserDetail userDetail = jwtTokenUtil.getUserFromToken(authToken);
  53.                     if (ObjectUtils.isEmpty(userDetail)) {
  54.                         log.info("令牌非法,解析失败{}!", authToken);
  55.                         throw new BadCredentialsException(ErrorCodeEnum.TOKEN_INVALID.getMessage());
  56.                     }
  57.                     if (jwtTokenUtil.isTokenExpired(authToken)) {
  58.                         log.info("令牌已失效!{}", authToken);
  59.                         throw new BadCredentialsException(ErrorCodeEnum.TOKEN_INVALID.getMessage());
  60.                     }
  61.  
  62.                     //令牌快过期生成新的令牌并设置到返回头中,客户端在每次的restful请求如果发现有就替换原值
  63.                     if (new Date(System.currentTimeMillis() - subRefresh).after(jwtTokenUtil.getExpirationDateFromToken(authToken))) {
  64.                         String resAuthToken = jwtTokenUtil.generateToken(userDetail);
  65.                         httpServletResponse.setHeader(tokenHeader, tokenHead + resAuthToken);
  66.                     }
  67.                     JwtTokenUtil.LOCAL_USER.set(userDetail);
  68.                     UserDetails userDetails = ffUserService.loadUserByUsername(userDetail.getLoginName());
  69.                     UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
  70.                     authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpServletRequest));
  71.                     SecurityContextHolder.getContext().setAuthentication(authentication);
  72.                 } else {
  73.                     //需要校验却无用户token
  74.                     log.info("无header请求-->" + httpServletRequest.getRequestURI());
  75.                     throw new InsufficientAuthenticationException(ErrorCodeEnum.NO_TOKEN.getMessage());
  76.                 }
  77.             } catch (Exception e) {
  78.                 //log.info("令牌解析失败!", e);
  79.                 throw new BadCredentialsException(ErrorCodeEnum.TOKEN_INVALID.getMessage());
  80.             }
  81.             filterChain.doFilter(httpServletRequest, httpServletResponse);
  82.             //调用完成后清除
  83.             JwtTokenUtil.LOCAL_USER.remove();
  84.         }
  85.     }
  86. }
  • JWTUserDetail:token转换成user类
  1. @Data
  2. public class JWTUserDetail implements Serializable {
  3.     /**
  4.      * 登陆用户编号
  5.      */
  6.     private long userId;
  7.     /**
  8.      * 登陆用户账户名称(可能为手机号邮箱或者名称用户维度唯一)
  9.      */
  10.     private String loginName;
  11.     /**
  12.      * 登陆用户类型
  13.      */
  14.     private UserType userType;
  15.     /**
  16.      * 登陆用户凭证
  17.      */
  18.     private String jwtToken;
  19.     /**
  20.      * 登陆时间
  21.      */
  22.     private Date loginTime;
  23.  
  24.     private static ObjectMapper mapper = new ObjectMapper();
  25.     public enum UserType {
  26.         User("USER", 1),
  27.         Operator("OPT", 2),
  28.         Erp("ERP", 3);
  29.  
  30.         private String name;
  31.         private int index;
  32.  
  33.         private UserType(String name, int index) {
  34.             this.name = name;
  35.             this.index = index;
  36.         }
  37.         @Override
  38.         public String toString() {
  39.             return this.name;
  40.         }
  41.  
  42.         public static String getName(int index) {
  43.             for (UserType c : UserType.values()) {
  44.                 if (c.getIndex() == index) {
  45.                     return c.getName();
  46.                 }
  47.             }
  48.             return null;
  49.         }
  50.  
  51.         public String getName() {
  52.             return name;
  53.         }
  54.  
  55.         public int getIndex() {
  56.             return index;
  57.         }
  58.     }
  59.     public static JWTUserDetail fromJson(String json) throws JsonProcessingException {
  60.         return mapper.readValue(json,JWTUserDetail.class);//JSONObject.parseObject(json, JWTUserDetail.class);
  61.     }
  62.     public String toJson() throws JsonProcessingException {
  63.         return mapper.writeValueAsString(this);//.toJSONString(this);
  64.     }
  65. }
  • JwtTokenUtil:token工具
  1. @Component
  2. public class JwtTokenUtil implements Serializable {
  3.     private static final long serialVersionUID = -5883980282405596071L;
  4.  
  5.     public static final ThreadLocal<JWTUserDetail> LOCAL_USER = new ThreadLocal<>();
  6.  
  7.     public final static String JWT_TOKEN_PREFIX = "jwt:%s:%d";
  8.  
  9.  
  10.     private final String JWT_LOGIN_NAME = "JWT_LOGIN_NAME";
  11.     private final String JWT_LOGIN_TIME = "JWT_LOGIN_TIME";
  12.     private final String JWT_LOGIN_USERID = "JWT_LOGIN_USERID";
  13.     private final String JWT_LOGIN_USERTYPE = "JWT_LOGIN_USERTYPE";
  14.     //签名方式
  15.     private final SignatureAlgorithm SIGNATURE_ALGORITHM = SignatureAlgorithm.HS256;
  16.     //密匙
  17.     @Value("${jwt.security.secret}")
  18.     private String secret;
  19.  
  20.     @Value("${jwt.access_token:#{30*24*60*60}}")
  21.     private Long access_token_expiration;
  22.  
  23.     public String getLoginNameFromToken(String token) {
  24.         return getClaimsFromToken(token).getSubject();
  25.     }
  26.  
  27.     /**
  28.      * 根据token 获取用户信息
  29.      */
  30.     public JWTUserDetail getUserFromToken(String token) {
  31.         JWTUserDetail jwtUserDetails = new JWTUserDetail();
  32.         Claims claims = getClaimsFromToken(token);
  33.         jwtUserDetails.setUserId(claims.get(JWT_LOGIN_USERID, Long.class));
  34.         jwtUserDetails.setLoginName(claims.get(JWT_LOGIN_NAME, String.class));
  35.         jwtUserDetails.setUserType(Enum.valueOf(JWTUserDetail.UserType.class, (String) claims.get(JWT_LOGIN_USERTYPE)));
  36.         jwtUserDetails.setLoginTime(new Date(claims.get(JWT_LOGIN_TIME, Long.class)));
  37.         jwtUserDetails.setJwtToken(token);
  38.         return jwtUserDetails;
  39.     }
  40.  
  41.     /**
  42.      * 根据用户信息生成token
  43.      *
  44.      * @param user
  45.      * @return
  46.      */
  47.     public String generateToken(JWTUserDetail user) {
  48.         Map<String, Object> claims = new HashMap<>();
  49.         claims.put(JWT_LOGIN_NAME, user.getLoginName());
  50.         claims.put(JWT_LOGIN_TIME, user.getLoginTime());
  51.         claims.put(JWT_LOGIN_USERID, user.getUserId());
  52.         claims.put(JWT_LOGIN_USERTYPE, user.getUserType());
  53.         return Jwts.builder()
  54.                 //一个map 可以资源存放东西进去
  55.                 .setClaims(claims)
  56.                 //  用户名写入标题
  57.                 .setSubject(user.getLoginName())
  58.                 .setId(UUID.randomUUID().toString())
  59.                 .setIssuedAt(new Date())
  60.                 //过期时间
  61.                 .setExpiration(new Date(System.currentTimeMillis() + access_token_expiration * 1000))
  62.                 //数字签名
  63.                 .signWith(SIGNATURE_ALGORITHM, secret)
  64.                 .compact();
  65.     }
  66.     /**
  67.      * 根据token 获取生成时间
  68.      */
  69.     public Date getCreatedDateFromToken(String token) {
  70.         return getClaimsFromToken(token).getIssuedAt();
  71.     }
  72.  
  73.     /**
  74.      * 根据token 获取过期时间
  75.      */
  76.     public Date getExpirationDateFromToken(String token) {
  77.         return getClaimsFromToken(token).getExpiration();
  78.     }
  79.  
  80.     /**
  81.      * token 是否过期
  82.      */
  83.     public Boolean isTokenExpired(String token) {
  84.         return getExpirationDateFromToken(token).before(new Date());
  85.     }
  86.  
  87.     /***
  88.      * 解析token 信息
  89.      * @param token
  90.      * @return
  91.      */
  92.     private Claims getClaimsFromToken(String token) {
  93.         return Jwts.parser()
  94.                 //签名的key
  95.                 .setSigningKey(secret)
  96.                 // 签名token
  97.                 .parseClaimsJws(token)
  98.                 .getBody();
  99.     }
  100.  
  101. }
  • SkipPathAntMatcher:token校验的放行策略
  1. @Slf4j
  2. public class SkipPathAntMatcher implements RequestMatcher {
  3.     private List<String> pathsToSkip;
  4.  
  5.     public SkipPathAntMatcher(List<String> pathsToSkip) {
  6.         this.pathsToSkip = pathsToSkip;
  7.     }
  8.  
  9.     @Override
  10.     public boolean matches(HttpServletRequest request) {
  11.         if (!ObjectUtils.isEmpty(pathsToSkip)) {
  12.             for (String s : pathsToSkip) {
  13.                 AntPathRequestMatcher antPathRequestMatcher = new AntPathRequestMatcher(s);
  14.                 if (antPathRequestMatcher.matches(request)) {
  15.                     return true;
  16.                 }
  17.             }
  18.         }
  19.         return false;
  20.     }
  21. }

五、总结

  • 放行策略有两个地方一定要都配置,1.security要配置,2.token的过滤器也要配置。
  • security是校验URL是否有权限访问或者直接放行,我这里没有写用户角色和权限,是因为后面我计划给不同的角色返回不同的菜单,通过菜单来区分。如果你的业务需要可以单独设置
  • token过滤器是配置这次请求是否token有效。security放行的,token也要放行。比如登录和注册页面,这时用户没有任何权限的,所以都放行。

最后,欢迎大家关注我的个人公众号,我会把经历分享出来,助你了解圈内圈外事。

同时也欢迎大家添加个人微信【shishuai860505】,我拉大家进我的读者交流群。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Monodyee/article/detail/546377
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号