2. 程式人生 > >SpringBoot 整合SpringSecurity JWT

SpringBoot 整合SpringSecurity JWT

阿新 發佈:2020-08-19
[TOC] ## 1. 簡介 今天[ITDragon](https://www.cnblogs.com/itdragon/)分享一篇在Spring Security 框架中使用JWT,以及對失效Token的處理方法。 ### 1.1 SpringSecurity Spring Security 是Spring提供的安全框架。提供認證、授權和常見的攻擊防護的功能。功能豐富和強大。 >Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. ### 1.2 OAuth2 OAuth(Open Authorization)開放授權是為使用者資源的授權定義一個安全、開放的標準。而OAuth2是OAuth協議的第二個版本。OAuth常用於第三方應用授權登入。在第三方無需知道使用者賬號密碼的情況下,獲取使用者的授權資訊。常見的授權模式有:授權碼模式、簡化模式、密碼模式和客戶端模式。 ### 1.3 JWT JWT(json web token)是一個開放的標準,它可以在各方之間作為JSON物件安全地傳輸資訊。可以通過數字簽名進行驗證和信任。JWT可以解決分散式系統登陸授權、單點登入跨域等問題。 > JSON Web Token (JWT) is an open standard ([RFC 7519](https://tools.ietf.org/html/rfc7519)) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. ## 2. SpringBoot 整合 SpringSecurity SpringBoot 整合Spring Security 非常方便,也是簡單的兩個步驟:導包和配置 ### 2.1 匯入Spring Security 庫 作為Spring的自家專案,只需要匯入spring-boot-starter-security 即可 ```groovy compile('org.springframework.boot:spring-boot-starter-security') ``` ### 2.2 配置Spring Security 第一步:建立Spring Security Web的配置類,並繼承web應用的安全介面卡WebSecurityConfigurerAdapter。 第二步:重寫configure方法,可以新增登入驗證失敗處理器、退出成功處理器、並按照ant風格開啟攔截規則等相關配置。 第三步:配置預設或者自定義的密碼加密邏輯、AuthenticationManager、各種過濾器等,比如JWT過濾器。 配置程式碼如下: ```kotlin package com.itdragon.server.config import com.itdragon.server.security.service.ITDragonJwtAuthenticationEntryPoint import org.springframework.beans.factory.annotation.Autowired import org.springframework.context.annotation.Bean import org.springframework.context.annotation.Configuration import org.springframework.http.HttpMethod import org.springframework.security.config.annotation.web.builders.HttpSecurity import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder import org.springframework.security.crypto.password.PasswordEncoder @Configuration @EnableWebSecurity class ITDragonWebSecurityConfig: WebSecurityConfigurerAdapter() { @Autowired lateinit var authenticationEntryPoint: ITDragonJwtAuthenticationEntryPoint /** * 配置密碼編碼器 */ @Bean fun passwordEncoder(): PasswordEncoder{ return BCryptPasswordEncoder() } override fun configure(http: HttpSecurity) { // 配置異常處理器 http.exceptionHandling().authenticationEntryPoint(authenticationEntryPoint) // 配置登出邏輯 .and().logout() .logoutSuccessHandler(logoutSuccessHandler) // 開啟許可權攔截 .and().authorizeRequests() // 開放不需要攔截的請求 .antMatchers(HttpMethod.POST, "/itdragon/api/v1/user").permitAll() // 允許所有OPTIONS請求 .antMatchers(HttpMethod.OPTIONS, "/**").permitAll() // 允許靜態資源訪問 .antMatchers(HttpMethod.GET, "/", "/*.html", "/favicon.ico", "/**/*.html", "/**/*.css", "/**/*.js" ).permitAll() // 對除了以上路徑的所有請求進行許可權攔截 .antMatchers("/itdragon/api/v1/**").authenticated() // 先暫時關閉跨站請求偽造,它限制除了get以外的大多數方法。 .and().csrf().disable() // 允許跨域請求 .cors().disable() } } ``` 注意: * 1)、csrf防跨站請求偽造的功能是預設開啟,除錯過程中可以先暫時關閉。 * 2)、logout()退出成功後預設跳轉到/login路由上,對於前後端分離的專案並不友好。 * 3)、permitAll()方法修飾的配置建議寫在authenticated()方法的上面。 ## 3. SpringSecurity 配置JWT JWT的優點有很多,使用也很簡單。但是我們[ITDragon](https://www.cnblogs.com/itdragon/)在使用的過程中也需要注意處理JWT的失效問題。 ### 3.1 匯入JWT庫 Spring Security 整合JWT還需要額外引入io.jsonwebtoken:jjwt 庫 ```groovy compile('io.jsonwebtoken:jjwt:0.9.1') ``` ### 3.2 建立JWT工具類 JWT工具類主要負責: * 1)、token的生成。建議使用使用者的登入賬號作為生成token的屬性,這是考慮到賬號的唯一性和可讀性都很高。 * 2)、token的驗證。包括token是否已經自然過期、是否因為人為操作導致失效、資料的格式是否合法等。 程式碼如下: ```kotlin package com.itdragon.server.security.utils import com.itdragon.server.security.service.JwtUser import io.jsonwebtoken.Claims import io.jsonwebtoken.Jwts import io.jsonwebtoken.SignatureAlgorithm import org.springframework.beans.factory.annotation.Value import org.springframework.security.core.userdetails.UserDetails import org.springframework.stereotype.Component import java.util.* private const val CLAIM_KEY_USERNAME = "itdragon" @Component class JwtTokenUtil { @Value("\${itdragon.jwt.secret}") private val secret: String = "ITDragon" @Value("\${itdragon.jwt.expiration}") private val expiration: Long = 24 * 60 * 60 /** * 生成令牌Token * 1. 建議使用唯一、可讀性高的欄位作為生成令牌的引數 */ fun generateToken(username: String): String { return try { val claims = HashMap() claims[CLAIM_KEY_USERNAME] = username generateJWT(claims) } catch (e: Exception) { "" } } /** * 校驗token * 1. 判斷使用者名稱和token包含的屬性一致 * 2. 判斷token是否失效 */ fun validateToken(token: String, userDetails: UserDetails): Boolean { userDetails as JwtUser return getUsernameFromToken(token) == userDetails.username && !isInvalid(token, userDetails.model.tokenInvalidDate) } /** * token 失效判斷,依據如下: * 1. 關鍵欄位被修改後token失效,包括密碼修改、使用者退出登入等 * 2. token 過期失效 */ private fun isInvalid(token: String, tokenInvalidDate: Date?): Boolean { return try { val claims = parseJWT(token) claims!!.issuedAt.before(tokenInvalidDate) && isExpired(token) } catch (e: Exception) { false } } /** * token 過期判斷,常見邏輯有幾種: * 1. 基於本地記憶體,問題是重啟服務失效 * 2. 基於資料庫,常用的有Redis資料庫,但是頻繁請求也是不小的開支 * 3. 用jwt的過期時間和當前時間做比較(推薦) */ private fun isExpired(token: String): Boolean { return try { val claims = parseJWT(token) claims!!.expiration.before(Date()) } catch (e: Exception) { false } } /** * 從token 中獲取使用者名稱 */ fun getUsernameFromToken(token: String): String { return try { val claims = parseJWT(token) claims!![CLAIM_KEY_USERNAME].toString() } catch (e: Exception) { "" } } /** * 生成jwt方法 */ fun generateJWT(claims: Map): String { return Jwts.builder() .setClaims(claims) // 定義屬性 .設計如下:(Date()) // 設定發行時間 .setExpiration(Date(System.currentTimeMillis() + expiration * 1000)) // 設定令牌有效期 .signWith(SignatureAlgorithm.HS512, secret) // 使用指定的演算法和金鑰對jwt進行簽名 .compact() // 壓縮字串 } /** * 解析jwt方法 */ private fun parseJWT(token: String): Claims? { return try { Jwts.parser() .setSigningKey(secret) // 設定金鑰 .parseClaimsJws(token) // 解析token .body } catch (e: Exception) { null } } } ``` ### 3.3 新增JWT過濾器 新增的JWT過濾器需要實現以下幾個功能: * 1)、自定義的JWT過濾器要在Spring Security 提供的使用者名稱密碼過濾器之前執行 * 2)、要保證需要攔截的請求都必須帶上token資訊 * 3)、判斷傳入的token是否有效 程式碼如下: ```kotlin package com.itdragon.server.security.service import com.itdragon.server.security.utils.JwtTokenUtil import org.springframework.beans.factory.annotation.Autowired import org.springframework.beans.factory.annotation.Value import org.springframework.security.authentication.UsernamePasswordAuthenticationToken import org.springframework.security.core.context.SecurityContextHolder import org.springframework.security.core.userdetails.UserDetailsService import org.springframework.security.web.authentication.WebAuthenticationDetailsSource import org.springframework.stereotype.Component import org.springframework.web.filter.OncePerRequestFilter import javax.servlet.FilterChain import javax.servlet.http.HttpServletRequest import javax.servlet.http.HttpServletResponse @Component class ITDragonJwtAuthenticationTokenFilter: OncePerRequestFilter() { @Value("\${itdragon.jwt.header}") lateinit var tokenHeader: String @Value("\${itdragon.jwt.tokenHead}") lateinit var tokenHead: String @Autowired lateinit var userDetailsService: UserDetailsService @Autowired lateinit var jwtTokenUtil: JwtTokenUtil /** * 過濾器驗證步驟 * 第一步:從請求頭中獲取token * 第二步:從token中獲取使用者資訊,判斷token資料是否合法 * 第三步:校驗token是否有效,包括token是否過期、token是否已經重新整理 * 第四步:檢驗成功後將使用者資訊存放到SecurityContextHolder Context中 */ override fun doFilterInternal(request: HttpServletRequest, response: HttpServletResponse, filterChain: FilterChain) { // 從請求頭中獲取token val authHeader = request.getHeader(this.tokenHeader) if (authHeader != null && authHeader.startsWith(tokenHead)) { val authToken = authHeader.substring(tokenHead.length) // 從token中獲取使用者資訊 val username = jwtTokenUtil.getUsernameFromToken(authToken) if (username.isBlank()) { response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized: Auth token is illegal") return } if (null != SecurityContextHolder.getContext().authentication) { val tempUser = SecurityContextHolder.getContext().authentication.principal tempUser as JwtUser println("SecurityContextHolder : ${tempUser.username}") } // 驗證token是否有效 val userDetails = this.userDetailsService.loadUserByUsername(username) if (jwtTokenUtil.validateToken(authToken, userDetails)) { // 將使用者資訊新增到SecurityContextHolder 的Context val authentication = UsernamePasswordAuthenticationToken(userDetails, userDetails.password, userDetails.authorities) authentication.details = WebAuthenticationDetailsSource().buildDetails(request) SecurityContextHolder.getContext().authentication = authentication } } filterChain.doFilter(request, response) } } ``` 將JWT過濾器新增到UsernamePasswordAuthenticationFilter 過濾器之前 ```kotlin http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter::class.java) ``` 完整的ITDragonWebSecurityConfig類的程式碼如下: ```kotlin package com.itdragon.server.config import com.itdragon.server.security.service.ITDragonJwtAuthenticationEntryPoint import com.itdragon.server.security.service.ITDragonJwtAuthenticationTokenFilter import com.itdragon.server.security.service.ITDragonLogoutSuccessHandler import org.springframework.beans.factory.annotation.Autowired import org.springframework.context.annotation.Bean import org.springframework.context.annotation.Configuration import org.springframework.http.HttpMethod import org.springframework.security.authentication.AuthenticationManager import org.springframework.security.config.annotation.web.builders.HttpSecurity import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder import org.springframework.security.crypto.password.PasswordEncoder import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter @Configuration @EnableWebSecurity class ITDragonWebSecurityConfig: WebSecurityConfigurerAdapter() { @Autowired lateinit var jwtAuthenticationTokenFilter: ITDragonJwtAuthenticationTokenFilter @Autowired lateinit var authenticationEntryPoint: ITDragonJwtAuthenticationEntryPoint @Autowired lateinit var logoutSuccessHandler: ITDragonLogoutSuccessHandler @Bean fun passwordEncoder(): PasswordEncoder{ return BCryptPasswordEncoder() } @Bean fun itdragonAuthenticationManager(): AuthenticationManager { return authenticationManager() } /** * 第一步:將JWT過濾器新增到預設的賬號密碼過濾器之前,表示token驗證成功後無需登入 * 第二步:配置異常處理器和登出處理器 * 第三步:開啟許可權攔截,對所有請求進行攔截 * 第四步:開放不需要攔截的請求,比如使用者註冊、OPTIONS請求和靜態資源等 * 第五步:允許OPTIONS請求,為跨域配置做準備 * 第六步:允許訪問靜態資源,訪問swagger時需要 */ override fun configure(http: HttpSecurity) { // 新增jwt過濾器 http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter::class.java) // 配置異常處理器 .exceptionHandling().authenticationEntryPoint(authenticationEntryPoint) // 配置登出邏輯 .and().logout() .logoutSuccessHandler(logoutSuccessHandler) // 開啟許可權攔截 .and().authorizeRequests() // 開放不需要攔截的請求 .antMatchers(HttpMethod.POST, "/itdragon/api/v1/user").permitAll() // 允許所有OPTIONS請求 .antMatchers(HttpMethod.OPTIONS, "/**").permitAll() // 允許靜態資源訪問 .antMatchers(HttpMethod.GET, "/", "/*.html", "/favicon.ico", "/**/*.html", "/**/*.css", "/**/*.js" ).permitAll() // 對除了以上路徑的所有請求進行許可權攔截 .antMatchers("/itdragon/api/v1/**").authenticated() // 先暫時關閉跨站請求偽造,它限制除了get以外的大多數方法。 .and().csrf().disable() // 允許跨域請求 .cors().disable() } } ``` ### 3.4 登入驗證 程式碼如下: ```kotlin package com.itdragon.server.security.service import com.itdragon.server.security.utils.JwtTokenUtil import org.springframework.beans.factory.annotation.Autowired import org.springframework.security.authentication.AuthenticationManager import org.springframework.security.authentication.UsernamePasswordAuthenticationToken import org.springframework.security.core.context.SecurityContextHolder import org.springframework.security.core.userdetails.UserDetailsService import org.springframework.stereotype.Service @Service class ITDragonAuthService { @Autowired lateinit var authenticationManager: AuthenticationManager @Autowired lateinit var userDetailsService: UserDetailsService @Autowired lateinit var jwtTokenUtil: JwtTokenUtil fun login(username: String, password: String): String { // 初始化UsernamePasswordAuthenticationToken物件 val upAuthenticationToken = UsernamePasswordAuthenticationToken(username, password) // 身份驗證 val authentication = authenticationManager.authenticate(upAuthenticationToken) // 驗證成功後回將使用者資訊存放到 securityContextHolder的Context中 SecurityContextHolder.getContext().authentication = authentication // 生成token並返回 val userDetails = userDetailsService.loadUserByUsername(username) return jwtTokenUtil.generateToken(userDetails.username) } } ``` ### 3.5 關於JWT失效處理 Token的失效包括常見的過期失效、重新整理失效、修改密碼失效還有就是使用者登出失效(有的場景不需要) [ITDragon](https://www.cnblogs.com/itdragon/)是以JWT自帶的建立時間和到期時間、與傳入的時間做判斷。來判斷token是否失效,這樣可以減少和資料庫的互動。 解決自然過期的token失效設計如下: * 1)、生成token時,設定setExpiration屬性 * 1)、校驗token時,通過獲取expiration屬性,並和當前時間做比較,若在當前時間之前則說明token已經過期 解決人為操作上的token失效設計如下: * 1)、生成token時,設定setIssuedAt屬性 * 2)、使用者表新增tokenInvalidDate欄位。在重新整理token、修改使用者密碼等操作時,更新這個欄位 * 3)、校驗token時,通過獲取issuedAt屬性,並和tokenInvalidDate時間做比較,若在tokenInvalidDate時間之前則說明token已經失效 程式碼如下: ```kotlin /** * token 失效判斷,依據如下: * 1. 關鍵欄位被修改後token失效,包括密碼修改、使用者退出登入等 * 2. token 過期失效 */ private fun isInvalid(token: String, tokenInvalidDate: Date?): Boolean { return try { val claims = parseJWT(token) claims!!.issuedAt.before(tokenInvalidDate) && isExpired(token) } catch (e: Exception) { false } } /** * token 過期判斷,常見邏輯有幾種: * 1. 基於本地記憶體,問題是系統重啟後失效 * 2. 基於資料庫,常用的有Redis資料庫,但是頻繁請求也是不小的開支 * 3. 用jwt的過期時間和當前時間做比較(推薦) */ private fun isExpired(token: String): Boolean { return try { val claims = parseJWT(token) claims!!.expiration.before(Date()) } catch (e: Exception) { false } } ``` 文章到這裡就結束了,感謝各位看官!!

相關推薦

SpringBoot 整合SpringSecurity JWT

[TOC] ## 1. 簡介 今天[ITDragon](https://www.cnblogs.com/itdragon/)分享一篇在Spring Security 框架中使用JWT,以及對失效Token的處理方法。 ### 1.1 SpringSecurity Spring Security 是

springboot整合springsecurity遇到的問題

首頁 move close success 分享 沒有 pass ons url 在整合springsecurity時遇到好幾個問題,自動配置登錄,下線,註銷用戶的操作,數據基於mybatis,模版引擎用的thymeleaf+bootstrap。 一、認證時密碼的加密(p

SpringBoot 結合SpringSecurity+Jwt實現許可權認證

首先建立RBAC 許可權系統表 /* MySQL Backup Database: test Backup Time: 2018-09-12 11:53:20 */ SET FOREIGN_KEY_CHECKS=0; DROP TABLE IF EXISTS `test`

springboot 整合springsecurity

序:  本文使用springboot+mybatis+SpringSecurity 實現資料庫動態的管理使用者、角色、許可權管理 本文細分角色和許可權,並將使用者、角色、許可權和資源均採用資料庫儲存,並且自定義濾器,代替原有的FilterSecurityIntercepto

Springboot整合autho0-jwt框架解析token

下面是通過使用框架中整個的jwt外掛實現token解析並獲取token中的使用者名稱的使用者id的程式碼: 首先是util層: package ai.huarui.mes.plan.util; import com.auth0.jwt.JWT; import com.a

SpringSecurity系列】SpringBoot整合SpringSecurity新增驗證碼登入

上一篇博文已經介紹過了SpringSecurity的表單登入,這裡我們基於上一篇的基礎上,新增一個驗證碼進行登入,登入頁面效果圖,如圖所示: 首先我們需要建立驗證碼的生成規則,首先建立一個驗證碼的實體: public class ImageCode { /** 驗證碼 */

SpringSecurity系列】SpringBoot整合SpringSecurity的表單登入

在如今的專案開發中,登入和許可權管理是一個專案最基本的需求,對於這個需求SpringSecurity一個很好的架構,這一系列博文是我自己學習SpringSecurity的一些總結和自己踩過的坑和從零開始搭接一個完整的基於SpringSecurity的登入(包括第三方的登入)和許可權管理的專案。

SpringBoot整合SpringSecurity(附帶原始碼)

SpringBoot整合SpringSecurity 配置環境 配置idea 配置thymeleaf 配置JPA 配置資料庫 配置包目錄 配置dao層 配置Entity關係 SpringSec

SpringBoot整合SpringSecurity

先說下專案結構 ​ ​ ​ ​ 解決thymeleaf報錯問題 在pom檔案中加 ​ ​ 正文​ ​ 1 引入SpringSecurity ​ ​​ 2 編寫配置類​ ​ 官網描述 ​

SpringBoot整合Springsecurity實現資料庫登入以及許可權控制

我們今天使用SpringBoot來整合SpringSecurity,來吧,不多BB 首先呢,是一個SpringBoot 專案,連線資料庫,這裡我使用的是mybaties.mysql, 下面是資料庫的表 DROP TABLE IF EXISTS `xy_role`; CR

SpringBoot整合SpringSecurity簡單實現登入登出從零搭建

1 . 新建一個spring-security-login的maven專案 ,pom.xml新增基本依賴 : <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0"

SpringBoot 整合 JWT 驗證+解決域名問題

什麼是JWT JSON Web Token(JWT)是一個開放的標準(RFC 7519),它定義了一個緊湊且自包含的方式,用於在各方之間以JSON物件安全地傳輸資訊。這些資訊可以通過數字簽名進行驗證和信任。可以使用祕密(使用HMAC演算法)或使用RSA的公鑰/私鑰對來對JWT

SpringBoot整合Shiro、JWT 進行請求認證和鑑權

什麼是JWT? JSON Web Token(JWT)是一個開放標準(RFC 7519),它定義了一種緊湊且獨立的方式,可以在各方之間作為JSON物件安全地傳輸資訊。此資訊可以通過數字簽名進行驗證和信任。JWT可以使用祕密(使用HMAC演算法)或使用RSA或ECDSA的公鑰/私鑰對進

Springboot整合JWT做登入攔截

為什麼需要JWT 在傳統的 session 驗證中,服務端必須儲存 session ID,用於與使用者傳過來的 cookie 驗證。而在一開始儲存 session ID 時, 只會儲存在一臺伺服

SpringBoot使用SpringSecurity搭建基於非對稱加密的JWT及前後端分離的搭建

安全問題是一個比較複雜的問題,之前使用過Shiro這個安全框架,確實挺簡單的,後來使用SpringSecurity,SpringSecurity更細粒度可控,現在做專案基本都使用前後端分離的,很少再使用Thymeleaf這類模板引擎,而基於前後端分離的許可權問題

SpringBoot+SpringSecurity+JWT實RESTfulAPI許可權控制

工具類JwtTokenUtil:package org.security.util; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import or

基於springboot+bootstrap+mysql+redis搭建一套完整的許可權架構【二】【整合springSecurity

        若需要整合我們的springSecurity,一種是直接使用springSecurity自帶的許可權架構,另外一種是使用我們自己設計的資料架構,本文所闡述的就是使用自己設計的RBAC許可權架構,因此我們要事先設計好使用者許可權架構的PDM如下圖所示,並建立我

SpringBootSpringSecurity整合的初使用

ans manage arr ESS ini oca ngs bcrypt meta SpringBoot與SpringSecurity整合的初使用 1.背景:   最近的一個項目中,需要做web頁面的管理後臺,需要對不同角色進行不同的管理,特此研究了一下SpringS

(七) SpringBoot起飛之路-整合SpringSecurity(Mybatis、JDBC、記憶體)

![](http://image.ideal-20.cn/SpringBoot/18-01-07-000.png) 興趣的朋友可以去了解一下前五篇,你的贊就是對我最大的支援,感謝大家! (一) SpringBoot起飛之路-HelloWorld (二) SpringBoot起飛之路-入門原理分析 (三

springBoot整合spring security+JWT實現單點登入與許可權管理前後端分離--築基中期

## 寫在前面 在前一篇文章當中,我們介紹了springBoot整合spring security單體應用版,在這篇文章當中,我將介紹springBoot整合spring secury+JWT實現單點登入與許可權管理。 本文涉及的許可權管理模型是**基於資源的動態許可權管理**。資料庫設計的表有 user