SpringSecurity+JWT实现前后端分离认证和授权,具体如何实现

最新推荐文章于 2025-04-13 14:51:31 发布
最新推荐文章于 2025-04-13 14:51:31 发布
阅读量399 收藏 1
点赞数 7
CC 4.0 BY-SA版权
分类专栏: # Spring Security 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45428910/article/details/142907801

在前后端分离的项目中,Spring Security 与 JWT(JSON Web Token) 是常用的组合,用于实现认证和授权。通过 JWT,服务器无需保存用户的会话状态,前端在每次请求时携带 Token,服务器根据 Token 验证用户身份。以下是一个实现步骤:

项目结构

src
├── main
│   ├── java
│   │   └── com
│   │       └── example
│   │           └── jwtsecurity
│   │               ├── config           # 配置文件
│   │               │   ├── SecurityConfig.java        # Spring Security 配置
│   │               │   └── JwtAuthenticationEntryPoint.java # 未授权请求处理
│   │               ├── controller       # 控制器
│   │               │   └── AuthController.java        # 用户登录、注册等控制器
│   │               ├── dto              # 数据传输对象
│   │               │   └── AuthRequest.java           # 认证请求数据结构
│   │               ├── model            # 数据模型
│   │               │   └── User.java                    # 用户实体
│   │               ├── repository       # 数据库操作接口
│   │               │   └── UserRepository.java         # 用户数据仓库
│   │               ├── security         # 安全性相关的类
│   │               │   ├── JwtTokenProvider.java      # JWT 令牌生成与验证
│   │               │   ├── JwtTokenFilter.java        # JWT 过滤器
│   │               │   └── CustomUserDetailsService.java # 用户信息加载服务
│   │               ├── service          # 业务逻辑服务
│   │               │   └── AuthService.java           # 认证服务
│   │               └── JwtSecurityApplication.java     # 启动类
│   └── resources
│       └── application.properties        # 应用配置文件
└── test                                  # 测试文件

1. 添加依赖

首先,在 pom.xml 中添加 Spring Security 和 JWT 相关的依赖。

xml

<dependencies>
    <!-- Spring Security -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <!-- JWT 依赖 -->
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.9.1</version>
    </dependency>

    <!-- Spring Web -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
</dependencies>

2. 编写 JWT 工具类

JwtTokenUtil 类用于生成、解析和验证 JWT Token。

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.function.Function;

@Component
public class JwtTokenUtil {

    private static final String SECRET_KEY = "your_secret_key";
    private static final long EXPIRATION_TIME = 1000 * 60 * 60 * 10; // Token有效期10小时

    // 生成 Token
    public String generateToken(String username) {
        Map<String, Object> claims = new HashMap<>();
        return createToken(claims, username);
    }

    // 从 Token 中获取用户名
    public String extractUsername(String token) {
        return extractClaim(token, Claims::getSubject);
    }

    // 验证 Token 是否过期
    public Boolean isTokenExpired(String token) {
        return extractExpiration(token).before(new Date());
    }

    private Claims extractAllClaims(String token) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
    }

    private Date extractExpiration(String token) {
        return extractClaim(token, Claims::getExpiration);
    }

    private <T> T extractClaim(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = extractAllClaims(token);
        return claimsResolver.apply(claims);
    }

    private String createToken(Map<String, Object> claims, String subject) {
        return Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }
}

3. 创建 UserDetailsService 实现类

UserDetailsService 用于加载用户的详细信息。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class MyUserDetailsService implements UserDetailsService {

    @Autowired
    private UserRepository userRepository; // 假设有一个用户数据库

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found");
        }
        return new MyUserDetails(user);
    }
}

4. 创建 JwtRequestFilter 过滤器

过滤器负责拦截每个请求,检查其中的 JWT 是否有效。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;
import io.jsonwebtoken.ExpiredJwtException;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {

        final String authorizationHeader = request.getHeader("Authorization");

        String username = null;
        String jwt = null;

        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            jwt = authorizationHeader.substring(7);
            try {
                username = jwtTokenUtil.extractUsername(jwt);
            } catch (ExpiredJwtException e) {
                // 处理 Token 过期情况
            }
        }

        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

            if (jwtTokenUtil.validateToken(jwt, userDetails)) {
                // 设置认证
                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken =
                        new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                usernamePasswordAuthenticationToken.setDetails(
                        new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        chain.doFilter(request, response);
    }
}

5. 配置 Spring Security

配置 Spring Security 以使其使用 JWT 进行认证。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MyUserDetailsService myUserDetailsService;

    @Autowired
    private JwtRequestFilter jwtRequestFilter;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailsService).passwordEncoder(passwordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests().antMatchers("/authenticate").permitAll()
            .anyRequest().authenticated()
            .and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

6. 生成和验证 JWT

在控制器中创建 authenticate 接口,生成 JWT Token。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.web.bind.annotation.*;

@RestController
public class AuthenticationController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    @Autowired
    private MyUserDetailsService userDetailsService;

    @PostMapping("/authenticate")
    public String createAuthenticationToken(@RequestBody AuthenticationRequest authenticationRequest) throws Exception {
        try {
            Authentication authenticate = authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(authenticationRequest.getUsername(), authenticationRequest.getPassword())
            );
        } catch (AuthenticationException e) {
            throw new Exception("Incorrect username or password", e);
        }

        final UserDetails userDetails = userDetailsService.loadUserByUsername(authenticationRequest.getUsername());
        final String jwt = jwtTokenUtil.generateToken(userDetails.getUsername());

        return jwt;
    }
}

总结

前端登录后,向后端发送用户名和密码,后端验证通过后生成 JWT 返回给前端。
前端将 JWT 保存在 localStorage 或 sessionStorage 中,在每次请求时,将其添加到 Authorization 请求头中。
后端通过过滤器解析 JWT,验证其合法性,并根据 Token 提取用户信息。

(五)Spring Boot学习——spring security +jwt使用(前后端分离模式)
朝屯暮蒙vi的博客
02-10 1906
2.不带token则在控制器中对用户密码进行验证,因为在loadUserByUsername方法中设置了对用户名密码的验证,所以使用UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginName, password);验证结果是true的。我使用的是springboot3.3.5 springsecurity是6.x的 jwt 0.12.6。
Spring Security+JWT+Redis实现项目前后端分离认证授权
weixin_71894495的博客
02-22 1552
本文介绍了一种前后端分离架构下,基于Spring security框架进行用户认证授权的方法,其中包括登录、登出、认证授权、密码加密、jwt等知识点
SpringSecurity详细解释
m0_59208630的博客
11-02 241
Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证授权认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证授权也是SpringSecurity作为安全框架的核心功能。
SpringSecurity6+JWT实现前后端分离
Huonzy的博客
09-17 4706
本文使用mybatis-plus作为ORM框架,然后使用springsecurity6作为安全框架,采用JWT作为权限确认的方式。其实我现在就刚入门这个springsecurity6而已,有许多都没有摸清它的使用,写下这篇文章只是想记录一下,下次想用的时候来看看。
SpringSecurity
weixin_71974012的博客
05-10 1458
SpringSecurity从入门到精通
springsecurity+jwt实现前后端分离认证授权
qq_30166465的博客
09-20 1098
Spring Security 中文文档Spring Security是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。Spring Security基于过滤器链的概念,可以轻松地集成到任何基于Spring的应用程序中。它支持多种身份验证选项授权策略,开发人员可以根据需要选择适合的方式。此外,Spring Security还提供了一些附加功能,如集成第三方身份验证提供商单点登录,以及会话管理密码编码等。
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
Spring boot+Spring security+JWT实现前后端分离登录认证及权限控制
m0_54849806的博客
08-02 6291
基本上没讲什么底层实现,这篇是使用篇,后续会出SpringSecurity的底层源码讲解,并且如果本帖有问题的有疑问的读者可以在评论区留言,本人会积极处理。您的支持是我最大的动力,本人一直在努力的更新各种框架的使用框架的源码解读~!先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。httpshttpshttps。...
使用JWTSpringSecurity实现前后端分离
qq_59099003的博客
07-30 1252
JWT前后端分离SpringSecurity
Spring Boot2 + Spring Security + JWT 实现项目前后端分离认证授权
lovelichao12的专栏
03-14 6517
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架 Shiro,它提供了更丰富的功能,扩展性更好,社区资源也比 Shiro 丰富。
Spring Security+JWT实现项目前端分离认证授权
qq_44862692的博客
06-27 1054
SpringSecurity从入门到精通 0. 简介 ​ Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。 ​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。 ​ 一般Web应用的需要进行认证授权。 ​ 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户
SpringBoot+SpringSecurity前后端分离+Jwt的权限认证(改造记录)
程序员闪充宝
09-07 665
来源:blog.csdn.net/zzzgd_666/article/details/96444829前言一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thy...
JWT详细解析
热门推荐
m0_65224643的博客
07-30 1万+
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
一文带你搞定Spring Security + JWT实现前后端分离下的认证授权【转载】
ytgytg28的博客
10-16 309
项目实践】一文带你搞定SessionJWT项目实践】一文带你搞定页面权限、按钮权限以及数据权限在这两篇文章中我们没有使用安全框架就搞定了认证授权功能,并理解了其核心原理。R在之前就说过,核心原理掌握了,无论什么安全框架使用起来都会非常容易!那么本文就讲解如何使用主流的安全框架Spring Security实现认证授权功能。当然,本文并不只是对框架的使用方法进行讲解,还会剖析Spring Security的源码,看到最后你就会发现你掌握了使用方法的同时,还对框架有了深度的理解!
SpringSecurity——前后端分离登录认证
gege_0606的博客
03-21 1145
Spring Security 中,退出操作(logout)的设计逻辑与登录有所不同。登录过程涉及用户凭证验证、状态检查密码匹配等环节,这些都有可能失败,所以需要提供失败处理器(如登录失败处理器)。前后端分离:Nginx 【Vue】 <----jwt----> Tomcat 【 (controller、sucurity) 】三个里面有任何一个不同,都是跨域,跨域是浏览器不允许的,浏览器是为了安全,不允许你跨域访问。从数据库中加载用户信息,返回一个包含用户状态权限信息的。service实现类。
Spring Security + JWT 实现前后端分离权限控制实战教程
最新发布
zru_9602的博客
04-13 1167
Autowired@Autowiredtry {return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("用户名或密码错误");JWTSpring Security 的结合,可以帮助你构建一个无状态、安全、高效的前后端分离权限系统。它简化了登录状态的管理流程,提高了系统的伸缩性与并发处理能力。
SpringSecurity+JWT实现前后端分离认证授权
hupengfei_shenyang的博客
07-03 1060
SpringSecurity + JWT 认证授权
SpringSecurity + JWT 2025最新版 SpringSecurity角色权限控制 SpringSecurity6
commandblock的博客
09-01 1666
本文尽量使用官方提供的方法尽量简略的实现SpringSecurity+JWT角色权限控制,身份验证
Spring Security+jwt前后端分离
02-13
### Spring Security JWT前后端分离架构中的身份验证与授权 在现代 Web 应用程序开发中,采用前后端分离架构变得越来越普遍。为了在这种架构下实现安全的身份验证授权机制,通常会选择结合使用 Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值