devbox
菜鸟追梦旅行
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

Springboot集成token认证

作者:菜鸟追梦旅行 | 2024-04-04 10:47:16

Springboot集成token认证

一、引出session问题以及token、鉴权

  1. session都是保存在内存中,认证用户增多,服务端开销明显增大。
  2. 若是认证的记录保存在某台服务器内存中时,意味着用户的下次请求只能够在该服务器内存中进行认证。
  3. CSRF跨站攻击

token的鉴权机制:http协议也是无状态的,不需要在服务端去保留用户的认证信息或者会话信息。这也就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录

鉴权流程:简单来说就是服务器根据前端传来的用户名与密码生成token并返回前端,前端之后的请求都会携带该cookie来进行执行操作认证。

  1. 用户使用用户名密码来请求服务器。
  2. 服务器进行验证用户的信息。
  3. 服务器通过验证生成token发送给用户一个token。
  4. 客户端存储token,并在每次请求时附送上这个token值。
  5. 服务端验证token值,并返回数据。

这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 另外,服务端要支持CORS

二、认识JWT(三部分详细构成)

JWT(JSON WEB TOKEN)是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串.

  • 第一部分:头部(header)。
  • 第二部分:载荷(payload),携带的信息。
  • 第三部分:签证(signature)。

三、Spring Security 

Spring Security

是一个强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的实际标准。Spring Security是一个可以为Java应用程序提供全面安全服务的框架。同时,它也可以轻松扩展以满足自定义需求。 

主要功能
Authentication (认证),就是用户登录
Authorization (授权):一旦身份验证成功,判断用户拥有什么权限,可以访问什么资源
防止跨站请求伪造(CSRF):Spring Security提供了内置的防护机制,可以防止跨站请求伪造攻击。
密码存储:Spring Security提供了多种密码存储格式,包括明文、加密和哈希。
集成其他安全框架:Spring Security可以与其他安全框架如OAuth2、JWT等进行集成,以提供更全面的安全解决方案。

SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。

SecurityContextPersistenceFilter:每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContextHolder 中。
LogoutFilter:用于处理退出登录。
UsernamePasswordAuthenticationFilter:用于处理基于表单的登录请求,从表单中获取用户名和密码。
BasicAuthenticationFilter:检测和处理 http basic 认证。
ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException 。
FilterSecurityInterceptor:负责权限校验的过滤器,可以看做过滤器链的出口。

2. JWT校验登录的校验流程

首先前端一样是把登录信息发送给后端,后端查询数据库校验用户的账号和密码是否正确,正确的话则使用jwt生成token,并且返回给前端。以后前端每次请求时,都需要携带token,后端获取token后,使用jwt进行验证用户的token是否无效或过期,验证成功后才去做相应的逻辑。

四、Spring Boot整合Redis、SpringSecurity、JWT

 

  1. 添加依赖项在 pom.xml 文件中添加以下依赖项:
  1.    <dependencies>
  2.     <dependency>
  3.         <groupId>org.springframework.boot</groupId>
  4.         <artifactId>spring-boot-starter-data-redis</artifactId>
  5.     </dependency>
  6.     <dependency>
  7.         <groupId>org.springframework.boot</groupId>
  8.         <artifactId>spring-boot-starter-security</artifactId>
  9.     </dependency>
  10.     <dependency>
  11.         <groupId>io.jsonwebtoken</groupId>
  12.         <artifactId>jjwt</artifactId>
  13.         <version>0.9.1</version>
  14.     </dependency>
  15. </dependencies>

 创建Redis配置类

  1. @Configuration
  2. public class RedisConfig {
  3.  
  4.     @Value("${spring.redis.host}")
  5.     private String host;
  6.  
  7.     @Value("${spring.redis.port}")
  8.     private int port;
  9.  
  10.     @Bean
  11.     public JedisConnectionFactory jedisConnectionFactory() {
  12.         return new JedisConnectionFactory(new RedisStandaloneConfiguration(host, port));
  13.     }
  14.  
  15.     @Bean
  16.     public RedisTemplate<String, Object> redisTemplate() {
  17.         final RedisTemplate<String, Object> template = new RedisTemplate<>();
  18.         template.setConnectionFactory(jedisConnectionFactory());
  19.         return template;
  20.     }
  21. }

 创建 JwtTokenUtil 类,用于生成和验证JWT令牌。

  1. @Component
  2. public class JwtTokenUtil implements Serializable {
  3.  
  4.     private static final long serialVersionUID = -2550185165626007488L;
  5.  
  6.     private static final String secret = "mySecret";
  7.  
  8.     public String getUsernameFromToken(String token) {
  9.         return getClaimFromToken(token, Claims::getSubject);
  10.     }
  11.  
  12.     public Date getExpirationDateFromToken(String token) {
  13.         return getClaimFromToken(token, Claims::getExpiration);
  14.     }
  15.  
  16.     public <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) {
  17.         final Claims claims = getAllClaimsFromToken(token);
  18.         return claimsResolver.apply(claims);
  19.     }
  20.  
  21.     private Claims getAllClaimsFromToken(String token) {
  22.         return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
  23.     }
  24.  
  25.     private Boolean isTokenExpired(String token) {
  26.         final Date expiration = getExpirationDateFromToken(token);
  27.         return expiration.before(new Date());
  28.     }
  29.  
  30.     public String generateToken(UserDetails userDetails) {
  31.         Map<String, Object> claims = new HashMap<>();
  32.         return doGenerateToken(claims, userDetails.getUsername());
  33.     }
  34.  
  35.     private String doGenerateToken(Map<String, Object> claims, String subject) {
  36.         return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(new Date(System.currentTimeMillis()))
  37.                 .setExpiration(new Date(System.currentTimeMillis() + 5 * 60 * 60 * 1000))
  38.                 .signWith(SignatureAlgorithm.HS512, secret).compact();
  39.     }
  40.  
  41.     public Boolean validateToken(String token, UserDetails userDetails) {
  42.         final String username = getUsernameFromToken(token);
  43.         return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
  44.     }
  45. }

 创建 JwtAuthenticationEntryPoint 类,用于处理未经授权的请求。

  1. @Component
  2. public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint, Serializable {
  3.  
  4.     private static final long serialVersionUID = -7858869558953243875L;
  5.  
  6.     @Override
  7.     public void commence(HttpServletRequest request, HttpServletResponse response,
  8.                          AuthenticationException authException) throws IOException {
  9.  
  10.         response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
  11.     }
  12. }

 创建 JwtRequestFilter 类,用于解析和验证JWT令牌。

  1. @Component
  2. public class JwtRequestFilter extends OncePerRequestFilter {
  3.  
  4.     @Autowired
  5.     private MyUserDetailsService myUserDetailsService;
  6.  
  7.     @Autowired
  8.     private JwtTokenUtil jwtTokenUtil;
  9.  
  10.     @Override
  11.     protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
  12.             throws ServletException, IOException {
  13.  
  14.         final String requestTokenHeader = request.getHeader("Authorization");
  15.  
  16.         String username = null;
  17.         String jwtToken = null;
  18.  
  19.         if (requestTokenHeader != null && requestTokenHeader.startsWith("Bearer ")) {
  20.             jwtToken = requestTokenHeader.substring(7);
  21.             try {
  22.                 username = jwtTokenUtil.getUsernameFromToken(jwtToken);
  23.             } catch (IllegalArgumentException e) {
  24.                 System.out.println("Unable to get JWT Token");
  25.             } catch (ExpiredJwtException e) {
  26.                 System.out.println("JWT Token has expired");
  27.             }
  28.         } else {
  29.             logger.warn("JWT Token does not begin with Bearer String");
  30.         }
  31.  
  32.         if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
  33.  
  34.             UserDetails userDetails = this.myUserDetailsService.loadUserByUsername(username);
  35.  
  36.             if (jwtTokenUtil.validateToken(jwtToken, userDetails)) {
  37.  
  38.                 UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
  39.                         userDetails, null, userDetails.getAuthorities());
  40.                 usernamePasswordAuthenticationToken
  41.                         .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
  42.  
  43.                 SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
  44.             }
  45.         }
  46.         chain.doFilter(request, response);
  47.     }
  48. }

 配置Spring Security

  1. @Configuration
  2. @EnableWebSecurity
  3. public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
  4.  
  5.     @Autowired
  6.     private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;
  7.  
  8.     @Autowired
  9.     private UserDetailsService jwtUserDetailsService;
  10.  
  11.     @Autowired
  12.     private JwtRequestFilter jwtRequestFilter;
  13.  
  14.     @Autowired
  15.     public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
  16.         auth.userDetailsService(jwtUserDetailsService).passwordEncoder(passwordEncoder());
  17.     }
  18.  
  19.     @Bean
  20.     public PasswordEncoder passwordEncoder() {
  21.         return new BCryptPasswordEncoder();
  22.     }
  23.  
  24.     @Bean
  25.     @Override
  26.     public AuthenticationManager authenticationManagerBean() throws Exception {
  27.         return super.authenticationManagerBean();
  28.     }
  29.  
  30.     @Override
  31.     protected void configure(HttpSecurity httpSecurity) throws Exception {
  32.         httpSecurity.csrf().disable()
  33.                 .authorizeRequests().antMatchers("/authenticate").permitAll().
  34.                         anyRequest().authenticated().and().
  35.                         exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and().sessionManagement()
  36.                 .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
  37.  
  38.         httpSecurity.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
  39.     }
  40. }

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/菜鸟追梦旅行/article/detail/358154
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号