(五)Spring Boot学习——spring security +jwt使用(前后端分离模式)

已于 2025-02-19 16:16:01 修改
阅读量1.9k 收藏 26
点赞数 7
CC 4.0 BY-SA版权
文章标签: spring spring boot 学习 spring security
于 2025-02-10 15:51:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35418250/article/details/145550697

一定要熟悉spring security原理和jwt无状态原理,理解了才知道代码作用。

Spring Security + JWT 认证流程中,通常的做法是:

  1. 用户提交用户名和密码
  2. Spring Security 认证管理器 (AuthenticationManager) 进行认证
  3. 如果认证成功,生成 JWT Token 并返回给用户

更详细一点

  1. 用户首次登录

    • 发送 POST /login 请求,携带 用户名 + 密码
    • authenticationManager.authenticate() 认证成功后,返回 JWT
    • 前端存储 JWT(通常是 localStoragesessionStorage

  2. 用户访问受保护接口

    • 前端在 Authorization 头中附带 Bearer Token
    • 过滤器 JWTFilter 解析 JWT,从 数据库 加载 UserDetails
    • SecurityContextHolder.setAuthentication() 认证成功,继续访问资源。

参考链接有:

spring security 超详细使用教程(接入springboot、前后端分离) - 小程xy - 博客园

SpringSecurity+jwt实现权限认证功能_spring security + jwt-CSDN博客

1.引入相关依赖。我使用的是springboot3.3.5   springsecurity是6.x的  jwt 0.12.6

<dependencies>
     <!--用于数据加密,默认启用-->
     <dependency>
          <groupId>org.springframework.boot</groupId>
          <artifactId>spring-boot-starter-security</artifactId>
     </dependency>
     <dependency>
          <groupId>org.springframework.security</groupId>
          <artifactId>spring-security-crypto</artifactId>
     </dependency>
</dependencies>

<!--依赖集中管理-->
    <dependencyManagement>
        <dependencies>
            <!-- 使用jwt进行token验证,包括了三个依赖--> 
            <dependency> 
                <groupId>io.jsonwebtoken</groupId> 
                <artifactId>jjwt</artifactId> 
                <version>0.12.6</version> 
            </dependency> 
            <dependency> 
                <groupId>io.jsonwebtoken</groupId> 
                <artifactId>jjwt-impl</artifactId> 
                <version>0.12.6</version> 
                <scope>runtime</scope> 
            </dependency> 
            <dependency> 
                <groupId>io.jsonwebtoken</groupId> 
                <artifactId>jjwt-jackson</artifactId> 
                <version>0.12.6</version> 
                <scope>runtime</scope> 
            </dependency>
         <dependencies>
   </dependencyManagement>

2.配置SecurityConfig.java

package com.x.x.x.config;

import com.x.x.x.filter.CustomFilter;
import com.x.x.x.filter.JwtAuthenticationTokenFilter;
import com.x.x.x.security.service.impl.UserDetailsServiceImpl;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.SessionManagementConfigurer;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
public class SecurityConfig {
    //customfilter是直接引入使用,jwt过滤器使用了@Compent自动注册为bean了要引入
    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
    /**
     * 用户名和密码也可以在application.properties中设置。
     * @return
     */
    @Bean
    public UserDetailsService userDetailsService() {
        // 创建基于内存的用户信息管理器
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        // 创建UserDetails对象,用于管理用户名、用户密码、用户角色、用户权限等内容
        manager.createUser(
                User.withUsername("admin").password("yourpassword").roles("ADMIN").build()
        );
        return manager;
    }
    /**
     * 认证管理。     jwt的用户验证
     * @param authConfig
     * @return
     * @throws Exception
     */
    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration authConfig) throws Exception {
        return authConfig.getAuthenticationManager();
    }
    
    /**
     * 密码加码
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        // 也可用有参构造,取值范围是 4 到 31,默认值为 10。数值越大,加密计算越复杂
        return new BCryptPasswordEncoder();
    }
    /**
     * 配置过滤链
     * 配置自
最低0.47元/天 解锁文章

200万优质内容无限畅学
SpringBoot+SpringSecurity改造为前后端分离+Jwt的权限认证系统,Token过期刷新问题
zzzgd_666的博客
07-18 1万+
前言 一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。 但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了 SpringSecurity默认的是采用Session来判断请求的用户是否登录的,但是不方便分布式...
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 5606
SpringSecurity+JWT快速入门
Spring Security 超详细整合 JWT,能否拿下看你自己!
08-31 1万+
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT 的认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
Spring Boot 安全登录系统:前后端分离实现
最新发布
BUG糕手的博客
07-13 1551
本文介绍了基于Spring Boot和Vue实现的安全登录系统,采用JWT进行身份验证,结合Shiro/Spring Security进行权限管理。主要内容包括: 前后端分离架构设计,后端使用Spring Boot提供REST API,前端采用Vue框架; 使用JWT生成Token实现无状态认证,并配置拦截器验证Token有效性; 提供完整的MySQL用户表设计及CRUD操作; 前端Vue页面与Axios请求示例,实现登录交互和Token存储; 跨域配置和权限验证机制实现。
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
小威的博客
04-22 2万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
SpringSecurityJWT整合
热门推荐
BLU_111的博客
12-06 18万+
SpringSecurityJWT整合 数据库基于:SpringSecurity从数据库中获取用户信息进行验证 依赖: <dependencies> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <ver
JWT详细解析
m0_65224643的博客
07-30 1万+
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
springBoot整合spring security+JWT实现单点登录与权限管理前后端分离--筑基中期
qq_43788185的博客
09-05 1854
写在前面 在前一篇文章当中,我们介绍了springBoot整合spring security单体应用版,在这篇文章当中,我将介绍springBoot整合spring secury+JWT实现单点登录与权限管理。 本文涉及的权限管理模型是基于资源的动态权限管理。数据库设计的表有 user 、role、user_role、permission、role_permission。 单点登录当中,关于访问者信息的存储有多种解决方案。如将其以key-value的形式存储于redis数据库中,访问者令牌中存放key。校验
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统
04-30
基于当前流行技术组合的前后端分离商城系统:SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含商城、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券...
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目...
Spring Security + JWT
weixin_44612246的博客
03-10 794
SpringSecurity + Jwt实现方案
Spring Security集成JWT
m0_73837751的博客
12-04 2244
JWT(JSON Web Token)是一种用于在不同系统之间安全地传递信息的无状态令牌。它通常用于 身份验证 和 授权,尤其在现代Web应用和API中非常常见。JWT是通过对传输的数据进行编码和签名来确保其完整性和安全性。JWT的特点:JWT由三个部分组成,每一部分都是用Base64Url编码的,并通过"."(点)连接起来,格式如下: (1) Header(头部) Header包含两部分内容:示例: 这里,"alg" 表示签名算法(HMAC SHA256),"typ" 表示JWT的类型。Pa
Spring boot+Spring security+JWT实现前后端分离登录认证及权限控制
李哈zzz的博客
03-30 2万+
借鉴文章: Springboot + Spring Security 实现前后端分离登录认证及权限控制_I_am_Rick_Hu的博客-CSDN博客_springsecurity前后端分离登录认证 最近一段时间,公司给我安排了一个公司子系统的后台管理系统,让我实现权限管理。此时我就考虑到Spring全家桶的Spring security来权限管理。Spring security大致分为认证和授权两个功能,底层也是通过JavaWeb的Filter过滤器来实现,在Spring security中维护了一个.
spring boot + spring security + Jwt
qq_36722687的博客
06-30 832
spring boot + spring security + Jwt主要依赖标题新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 主要依赖 <dependency> <grou
Spring Security 整合 JWT
Switch
10-08 3223
*** 指定用户登录的访问地址*/@Override// 解析提交的 JSON 数据// 判断用户名、密码是否为空throw new UsernameOrPasswordNullException("用户名或密码不能为空");// 将用户名、密码封装到 Token 中此过滤器继承了 AbstractAuthenticationProcessingFilter ,用于处理 JWT(JSON Web Token)的用户身份验证过程。
SpringSecurity + JWT前后端分离
HGW的博客
09-30 6077
想必大四的小伙伴们陆陆续续开始写毕业设计了,对于网络安全框架SpringSecurity在网上的资源都是前后端分离的,这里记录一下小伟的前后端分离版。
SpringSecurity + JWT 实现登录认证
xaiobit_hl的博客
07-17 2367
Component@Override// 1.获取 JWT 令牌if (!// 2.判断 JWT 令牌正确性// 3.获取用户信息,存储 Security 中= null= null) {// 4.创建用户对象null,// 绑定 request 对象。
前后端分离Spring BootSpring Security的应用示例
在进行Spring BootSpring Security结合以实现前后端分离的演示项目(Demo)中,我们会关注以下几个关键知识点: ### Spring Boot **1. 概念和特点** Spring Boot是一个开源的Java基础框架,旨在简化Spring应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值