Spring security 入门 - 04 整合 jwt
Spring security 系列博客目录
- Spring Security 入门 - 01 将 Spring security 引入到工程
- Spring security 入门 - 02 自定义用户登录页面和登录处理逻辑
- Spring security 入门 - 03 自定义登录成功后的处理逻辑
- Spring security 入门 - 04整合 jwt
对应源代码
- Spring Security 01- 将 Spring security 引入到工程
- Spring security 02-自定义用户登录页面和登录处理逻辑
- Spring security 03-自定义登录成功后的处理逻辑
- Spring security 04-整合 jwt
预备知识
阅读本文之前,首先要了解 Spring security 的相关内容,最起码需要将我之前的系列文章看完。其次需要学习 jwt 的相关知识。关于 jwt(全称JSON Web Token) ,推荐参考阮一峰大神的 JSON Web Token 入门教程,也可翻看其他相关资料。
需求分析
业务需求:后台的一些接口需要用户登录(比如获取用户列表:user/list)时,才有权限访问。
业务实现:客户端访问 user/list 接口时,需要在请求头携带 token,然后后台通过判断 token 的有效性去选择放行还是拦截请求。
业务难点:token 的有效性如何判断?
难点攻破:token的有效性借助 jwt,所以需要充分理解 jwt 的相关知识。
业务流程:当访问 user/list 接口时,后台通过一个过滤器拦截,从请求头中获取token信息,然后通过 jwt工具类校验token的有效性。
创建工程
我自己是将上一篇文章中的工程复制了一份,然后做了些改动,这次改动的东西比较多(增加和删除了一些类,增加了一些配置),当然我会尽量讲清楚做了哪些改动,所以大家自行选择新建工程还是复制一份。
引入 pom 依赖
较之上一篇的内容,本次只新增了 jwt 的依赖包
org.springframework.boot
spring-boot-starter-security
org.springframework.boot
spring-boot-starter-web
io.jsonwebtoken
jjwt
0.9.0
修改 springboot 的 yml 配置文件
这里可以简单看一下,根据 jwt 相关知识以及看后面的代码会明白他们的意义。
jwt:
tokenHeader: Authorization # JWT存储的请求头
secret: mySecret # JWT加解密使用的密钥
expiration: 604800 # JWT的超期限时间(60*60*24)
tokenHead: Bearer # JWT负载中拿到开头
准备几个公共类
只是图个自己方便,从别处 copy 的工具类,需要大家简单看下。三个类合在一起的作用就是一个 json 格式的响应数据的工具。代码放在 common 包下面。
- CommonResult 响应工具类, 返回 json 数据给客户端。例如:{code:200, message:“登录成功”,data:null}
- IErrorCode 接口,定义了两个方法
- ResultCode 枚举类 实现了 IErrorCode 接口,定义响应返回结果
封装一个 jwt 的工具类
从别处拷贝了一个 JwtTokenUtil 类,里面封装了一些方法,诸如:生成token,判断token的有效性等。不用纠结方法是如何实现的,只管拿来用(除非出现问题),方法见名知意。
定义登录接口
在 UserController 类里面定义一个登录方法,如下所示。
-
需要调用UserDetailService 的loadUserByUsername方法,如果看过我之前的文章,这里应该清楚这个方法主要做用户校验的。
-
调用 security 的 api, SecurityContextHolder.getContext().setAuthentication(authentication),可以理解为security认证用户登录成功
-
生成 token 信息返回给客户端,这个 token 是供客户端调用其他接口(需要用户登录才能调用的接口)时使用的。
/** * 用户登录接口 * @param username 用户名 * @param password 密码 * @return * */ @PostMapping("/login") public Object login(@RequestParam("username") String username, @RequestParam("password") String password) { try { // 校验用户信息 UserDetails userDetails = userDetailsService.loadUserByUsername(username); // 保存用户登录态 UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); SecurityContextHolder.getContext().setAuthentication(authentication);// 进行到这一步,security 才会认为你登陆成功 // 根据用户信息生成 token String token = jwtTokenUtil.generateToken(userDetails); return CommonResult.success(token);// 到这里, 从我们的业务角度来说登陆成功了 } catch (AuthenticationException e) { System.out.println("登录异常: " + e.getMessage()); return CommonResult.failed("登录失败"); }}
定义一个过滤器
过滤器的功能就是用来拦截请求的 url ,然后校验 token 的有效性。
SecurityContextHolder.getContext().setAuthentication(authentication); 这段代码着重说一下,我们可以简单理解为 SecurityContextHolder.getContext() 为 Security 提供的一个保存已登录用户信息的一个容器,通过调用它的 setAuthentication 以及getAuthentication方法,可以将用户信息存入容器和从容器中取出。
/**
* JWT登录授权过滤器
*/
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
@Autowired
private UserDetailsService userDetailsService;
@Autowired
private JwtTokenUtil jwtTokenUtil;
@Value("${jwt.tokenHeader}")
private String tokenHeader;
@Value("${jwt.tokenHead}")
private String tokenHead;
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain chain) throws ServletException, IOException {
// 1. 从请求头中取出 token ,key随便定义,我这里定义在了配置文件中
String authHeader = request.getHeader(this.tokenHeader);
// 2. 判断是否为空,以及是否以 "Bearer " 开头 ps :固定格式
if (authHeader != null && authHeader.startsWith(this.tokenHead)) {
String authToken = authHeader.substring(this.tokenHead.length());// 必须以 "Bearer " 开头
// 3. 从 token 里获取用户名
String username = jwtTokenUtil.getUserNameFromToken(authToken);
// 4. 只要 token 没过期,就让用户保持登录状态 jwt 令牌只是辅助登录, 真正是否登录要看 authentication 是否有效
if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
// 下面这段代码就是为了让 security 保持用户登录状态, 在UserController 里你也可以看到
UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
if (jwtTokenUtil.validateToken(authToken, userDetails)) {
UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
// 核心代码
SecurityContextHolder.getContext().setAuthentication(authentication);
}
}
}
chain.doFilter(request, response);
}
}
将 JwtFilter 添加到 Spring Security 中
在 WebSecurityConfig 配置类的configure方法中的最后一行加上如下代码。该方法中的其他代码的含义,不懂得可以参考前几篇博客。
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();// 必须有, 不然会 403 forbidden
/*http.formLogin()
.loginPage("/loginPage.html")// 自定义登录页
.loginProcessingUrl("/form/login")// 自定义登录 action, 名字随便起
.successHandler(successHandler)// 自定义登录成功处理类
.failureHandler(failureHandler);// 自定义登录失败处理类*/
// 访问 "/form/login", "/loginPage.html" 放行
http.authorizeRequests().antMatchers("/user/userInfo", "/user/login", "/form/login", "/loginPage.html").permitAll()
.antMatchers("/hello").hasRole("superadmin") // 只有superadmin 角色的用户才能访问
.anyRequest().authenticated();
/*http.exceptionHandling()
.accessDeniedHandler(accessDeniedHandler)// 用户没有访问权限处理器
.authenticationEntryPoint(entryPoint);// 用户没有登录处理器*/
// 这里是新增的代码
http.addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);
}
总结
至此,Sprng Securiy 系列博客更新完毕。这里可能需要声明一下, 我的一系列文章可能没讲 Spring Security 的工作流程,或者底层原理,全程在将如何使用 Spring Security。比如下面这段凭空而来的代码,只是讲了这段代码的逻辑含义,没有讲清楚为什么这样用。这些是我以后要努力完成的方向。只是希望帮助到需要的人,也欢迎大家给出意见和批评。
UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
if (jwtTokenUtil.validateToken(authToken, userDetails)) {
UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(authentication);
}