2. 程式人生 > 其它 >JWT+SpringSecurity登入和許可權管理

JWT+SpringSecurity登入和許可權管理

阿新 發佈:2021-07-05

一、什麼是JWT

說起JWT,我們應該來談一談基於token的認證和傳統的session認證的區別。說起JWT,我們應該來談一談基於token的認證和傳統的session認證的區別。

(1)、session所存在的問題

Session: 每個使用者經過我們的應用認證之後,我們的應用都要在服務端做一次記錄,以方便使用者下次請求的鑑別,通常而言session都是儲存在記憶體中,而隨著認證使用者的增多,服務端的開銷會明顯增大。

擴充套件性: 使用者認證之後,服務端做認證記錄,如果認證的記錄被儲存在記憶體中的話,這意味著使用者下次請求還必須要請求在這臺伺服器上,這樣才能拿到授權的資源,這樣在分散式的應用上,相應的限制了負載均衡器的能力。這也意味著限制了應用的擴充套件能力。

CSRF: 因為是基於cookie來進行使用者識別的, cookie如果被截獲,使用者就會很容易受到跨站請求偽造的攻擊。

(2)、Token的鑑權機制

基於token的鑑權機制類似於http協議也是無狀態的,也就是說token認證機制的應用不需要去考慮使用者在哪一臺伺服器登入了。

(3)、認識Token

JWT是由三段資訊構成的,以 點(.) 分割,每部分都有不同的含義(每段都是用 Base64 編碼的)
第一部分為 頭部(Header)
第二部分為 載荷(Payload)
第三部分為 簽證(Signature)

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIxIiwiZXhwIjoxNjI1NDY3MDY5LCJ1c2VyTmFtZSI6IumBlW_mCIsImlhdCI6MTYyNTQ2NTI2OX0.e_uuksv0b8gqX9HUVEiieLQlKFKcLdxCxovJ3xA3wB8

第一部分通過Base64解碼出的結果是

{
"typ":"JWT",
"alg":"HS256"
}

由此可以得知jwt的頭部承載兩部分資訊 型別和加密演算法

第二部分是用來放主要的儲存資訊的(主要資訊中除了自定義資訊還有標準中註冊的宣告

iss: jwt簽發者
sub: jwt所面向的使用者
aud: 接收jwt的一方
exp: jwt的過期時間,這個過期時間必須要大於簽發時間
nbf: 定義在什麼時間之前,該jwt都是不可用的.
iat: jwt的簽發時間
jti: jwt的唯一身份標識,主要用來作為一次性token,從而回避重放攻擊。

當然以上是統一標準而已,並非必須用,建議不強制。

第三部分需要base64加密後的header和base64加密後的payload使用.連線組成的字串,然後通過header中宣告的加密方式進行加鹽secret組合加密,然後就構成了jwt的第三部分。

二、使用JWT

(1)、匯入依賴

<dependency>
	<groupId>com.auth0</groupId>
	<artifactId>java-jwt</artifactId>
	<version>3.10.3</version>
</dependency>

(2)、建立JwtUtils工具類

    @Value("{Jwt.secret}")
    private static String secret;


    /**
     簽發物件:這個使用者的id
     簽發時間:現在
     有效時間:30分鐘
     載荷內容:暫時設計為:這個人的名字,這個人的暱稱
     加密金鑰:這個人的id加上一串字串
     */
    public static String createToken(String userId,String userName) {

        Calendar nowTime = Calendar.getInstance();
        nowTime.add(Calendar.MINUTE,30);
        Date expiresDate = nowTime.getTime();
        //簽發物件
        return JWT.create().withAudience(userId)
                //發行時間
                .withIssuedAt(new Date())
                //有效時間
                .withExpiresAt(expiresDate)
                //載荷,隨便寫幾個都可以,也可以理解為自定義引數
                .withClaim("userName", userName)
                //加密
                .sign(Algorithm.HMAC256(secret+"你隨意寫"));
    }

    /**
     * 檢驗合法性,其中secret引數就應該傳入的是使用者的id
     * @param token
     */
    public static void verifyToken(String token){
        DecodedJWT jwt = null;
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(secret+"WDNMD")).build();
            jwt = verifier.verify(token);
        } catch (Exception e) {
            //效驗失敗
            //這裡丟擲的異常是我自定義的一個異常,你也可以寫成別的

        }
    }

    /**
     * 獲取簽發物件
     */
    public static String getAudience(String token) {
        String audience = null;
        try {
            audience = JWT.decode(token).getAudience().get(0);
        } catch (JWTDecodeException j) {
            //這裡是token解析失敗
            
        }
        return audience;
    }


    /**
     * 通過載荷名字獲取載荷的值
     */
    public static Claim getClaimByName(String token, String name){
        return JWT.decode(token).getClaim(name);
    }

三、JWT結合SpringSecurity實現登入鑑權以及許可權管理

(1)、思路

登陸成功返回Token,並把Token儲存到Redis中確保單點登入。使用過濾器校驗Token和許可權

(2)、SpringSecurity配置

由於使用Token進行登入鑑權,就不需要Session了,因此需禁用Session

@Component
@EnableWebSecurity
/**
 * 開啟@EnableGlobalMethodSecurity(prePostEnabled = true)註解
 * 在繼承 WebSecurityConfigurerAdapter 這個類的類上面貼上這個註解
 * 並且prePostEnabled設定為true,@PreAuthorize這個註解才能生效
 * SpringSecurity預設是關閉註解功能的.
 */
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    //注入過濾器
    @Resource
    private JwtVerificationFilter jwtVerificationFilter;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //關閉csrf防護 >只有關閉了,才能接受來自表單的請求
        http.csrf().disable()
                .cors()//開啟跨域
                .and()
                //開啟授權請求
                .authorizeRequests()
                //放行介面,因為使用自定義登入頁面所以需要放行
                .antMatchers("/login/**").permitAll()
                //攔截所有請求,所有請求都需要登入認證
                .anyRequest().authenticated()
                .and()
                .addFilterAfter(jwtVerificationFilter, UsernamePasswordAuthenticationFilter.class)
                //前後端分離採用JWT 不需要session(新增後Spring永遠不會建立session)
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
}

(3)、編寫過濾器

/**
 * @author admin
 * 過濾器 發起請求前檢驗Token 實現並在每次請求時只執行一次過濾
 * 在spring中,filter都預設繼承OncePerRequestFilter
 * OncePerRequestFilter顧名思義,他能夠確保在一次請求只通過一次filter,而不需要重複執行
 * 為了相容不同的web container,特意而為之
 *
 * 在servlet2.3中,Filter會經過一切請求,包括伺服器內部使用的forward轉發請求和<%@ include file=”/login.jsp”%>的情況
 *
 * servlet2.4中的Filter預設情況下只過濾外部提交的請求,forward和include這些內部轉發都不會被過濾,
 */
@Component
@Slf4j
public class JwtVerificationFilter extends OncePerRequestFilter {
    @Resource
    private RoleService roleService;
    @Resource
    private PermissionService permissionService;
    @Resource
    private RolePermissionService rolePermissionService;

    /**
     * 過濾器,檢驗Token
     * 發起請求時會呼叫兩次,第二次是展示/favicon.ico
     *
     */
    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, @NotNull HttpServletResponse httpServletResponse, @NotNull FilterChain filterChain) throws ServletException, IOException {
        //獲取Token
        String token = httpServletRequest.getHeader("token");

        //非空校驗
        if (token == null) {
            filterChain.doFilter(httpServletRequest, httpServletResponse);
            return;
        }

        //檢驗Token合法性
        JwtUtils.getAudience(token);
        //比對Redis中儲存的Token
        String redisToken = RedisUtils.get(RedisPrefixKey.LOGIN_TOKEN.keyAppend(JwtUtils.getAudience(token)).getKey())
                .toString();
        if (!redisToken.equals(token)) {
            filterChain.doFilter(httpServletRequest, httpServletResponse);
            return;
        }

        //獲取許可權                                                             根據Token獲取載荷的值
        List<GrantedAuthority> authorityList = this.findAllAuthority(Long.valueOf(JwtUtils.getAudience(token)));

        //安全上下文,儲存認證授權的相關資訊,實際上就是儲存"當前使用者"賬號資訊和相關許可權
        SecurityContextHolder
                .getContext()
                .setAuthentication(new UsernamePasswordAuthenticationToken(null,null,authorityList));


        //將請求轉發給過濾器鏈下一個filter
        filterChain.doFilter(httpServletRequest, httpServletResponse);
    }

    /**
     * 查詢許可權
     */
    private List<GrantedAuthority> findAllAuthority(Long userId){
        //1、拿到使用者的角色和許可權
        //2、返回的許可權
        List<GrantedAuthority> authorityList = new ArrayList<>();
        //3、查出許可權列表迴圈放入  authorityList  中
        for (許可權實體類 url : 許可權集合) {
            SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(許可權的url);
            authorityList.add(simpleGrantedAuthority);
        }
        return authorityList;
    }
}
迷途者尋影而行

相關推薦

JWT+SpringSecurity登入許可權管理

一、什麼是JWT 說起JWT,我們應該來談一談基於token的認證傳統的session認證的區別。說起JWT,我們應該來談一談基於token的認證傳統的session認證的區別。

Springboot+SpringSecurity+JWT實現使用者登入許可權認證示例

如今,網際網路專案對於安全的要求越來越嚴格,這就是對後端開發提出了更多的要求,目前比較成熟的幾種大家比較熟悉的模式,像RBAC 基於角色許可權的驗證,shiro框架專門用於處理許可權方面的,另一個比較流行的後端

Springboot+springsecurity+jwt實現認證授權許可權管理

技術標籤:jwtjavaspring boot 原文: https://blog.csdn.net/ech13an/article/details/80779973 思路:

SpringBoot基於SpringSecurity表單登入許可權驗證的示例

一、簡介 上篇介紹了一個自己做的管理系統,最近空閒的時間自己在繼續做,把之前登入時候自定義的攔截器過濾器換成了基於SpringSecurity來做,其中遇到了很多坑,總結下,大家有遇到類似問題的話就當是為大家閉坑吧。

MySQL使用者賬戶管理許可權管理深入講解

前言 MySQL 的許可權表在資料庫啟動的時候就載入記憶體,當用戶通過身份認證後,就在記憶體中進行相應許可權的存取,這樣,此使用者就可以在資料庫中做許可權範圍內的各種操作了。

MySQL建立使用者許可權管理的方法

一、如何建立使用者密碼 1.進入到mysql資料庫下 mysql> use mysql Database changed 2.對新使用者增刪改

Linux系統中(CentOS 7)的使用者許可權管理

目錄使用者組使用者資訊檔案使用者密碼資訊相關命令使用者管理管理密碼管理許可權管理檔案的詳細資訊檔案許可權相關命令

6.使用者組許可權管理-案例分析

1.建立使用者gentoo,附加組為binroot,預設shell為/bin/csh,註釋資訊為"Gentoo Distribution"

Linux基礎-20組管理許可權管理(重難)

尚矽谷韓順平(推薦):https://www.bilibili.com/video/BV1dW411M7xL?from=search&seid=8072051292168114337

Linux賬戶許可權管理

這裡寫目錄標題 前言一:使用者賬號組賬號概述1.1:使用者賬號概述1.2:組賬號概述1.3:UID號GID號1.4:使用者賬號檔案1.4.1:使用者賬號檔案/etc/passwd1.4.2:使用者賬號檔案/etc/shadow1.5:組賬號

MongoDB資料庫使用者角色許可權管理詳解

檢視資料庫 使用終端命令列輸入 mongo 登陸 mongodb 之後切換到 admin 庫,並認證後可檢視所有資料庫,操作如下所示:

4.Linux使用者組許可權管理

第一部分 使用者組 1.建立使用者gentoo,附加組為binroot,預設shell為/bin/csh,註釋資訊為“Gentoo Distribution”

MySQL使用者許可權管理

在MySQL 5.7中,關於使用者及使用者許可權的相關資訊,都儲存在了mysql庫中的user表中,可以將user表中大致分為使用者列、許可權列、安全列、資源控制列這幾種。

linux組管理許可權管理

組介紹 在linux中每個使用者必須屬於一個組,不能獨立於組外。在linux中每個檔案有所有者、所在組、其他組的概念。

Linux使用者組許可權管理

Linux使用者組許可權管理 1、linux安全模型 1、使用者 Linux中每個使用者是通過UID(UserId)來標識的

第10章 實踐篇 組管理許可權管理

技術標籤:筆記組管理許可權管理linux 目錄 第10章 實踐篇 組管理許可權管理10.1 Linux組基本介紹10.2 檔案/目錄 所有者檢視檔案的所有者修改檔案所有者

位運算許可權管理系統

在Linux檔案系統中,使用者對檔案或目錄有:讀、寫、執行三種許可權,分別使用數字:4、2、1三個數字。三者之間可任意組合,如:使用者擁有所有許可權,則用數字7表示(4+2+1=7);使用者擁有讀、寫許可權則用數字6表

單點登入許可權認證

1、登入認證 1、Session-Cookie認證 傳統認證圖 ​ 基於Session-Cookie機制的認證是比較原始的一種認證方式,由於HTTP協議是純文字,無狀態的傳輸協議,那麼在一些需要記錄狀態的場景就很麻煩,如淘寶的購物車,不

賬號許可權管理

賬號許可權管理 一.管理使用者賬號組賬號 二.管理目錄檔案的屬性 三.總結

oracle 使用者的建立許可權管理、檢視、索引、增刪改

使用者的建立和許可權管理、檢視、索引、增刪改 檢視 什麼是檢視? 檢視是一張虛表,不佔用實體記憶體,是一個相對的概念。實際在,視圖裡面存的是邏輯程式碼,每次使用的時候都會取執行SQL程式碼。相當於我們定義的