SpringSecurity + JWT(前后端分离)

文章目录

    • 一、先来聊聊 SpringSecurity + JWT
    • 二、简单聊聊SpringSecurity 完整流程
      • 1、认证
      • 2、授权
    • 三、撸代码
      • 1、入门案例
      • 2、认证-前端端分离 Demo
        • 2.1 环境准备
        • 2.2 密码加密存储
        • 2.3 数据库校验存储
        • 2.4 编写自定义登陆接口
        • 2.5 JWT 认证过滤器
        • 2.6 退出登陆
      • 3、授权-前后端分离 Demo
        • 3.1 限制访问资源所需权限
        • 3.2 封装权限信息
        • 3.3 从数据库查询权限信息
      • 4、自定义失败处理
    • 四、其他
      • 1、跨域
      • 2、CSRF

  想必大四的小伙伴们陆陆续续开始写毕业设计了,对于网络安全框架SpringSecurity在网上的资源都是前后端不分离的,这里记录一下小伟的前后端分离版。本文原理就不过度深入讲解啦~
本文Demo代码托管至gitee: SpringSecurity+JWT

一、先来聊聊 SpringSecurity + JWT

什么是 SpringSecurity 呢?

SpringSecurity 是 Spring 家族中的一个安全管理框架。相比另外一个安全框架 Shiro,它提供了更丰富的功能,社区资源也比 Shiro 丰富。

​  一般来说中大型项目都是使用 SpringSecurity 来做安全框架。小项目有 Shiro 的比较多,因为相比SpringSecurity,Shiro的上手更加简单。

​ 一般 Web 应用的需要进行 认证授权

  • 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户
  • 授权:经过认证后判断当前用户是否有权限进行某个操作。

而认证和授权也是SpringSecurity作为安全框架的核心功能。

对于什么是JWT这里就不过多阐述了,大家可以去看看大佬的博客认识JWT


二、简单聊聊SpringSecurity 完整流程

SpringSecurity 的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。
SpringSecurity + JWT(前后端分离)_第1张图片

  • UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请求。
  • ExceptionTranslationFilter:处理过滤器中抛出的任何 AccessDeniedException 和 AuthenticationException。
  • FilterSecurityInterceptor:负责权限校验的过程。

上图只展示了核心过滤器,其他的非核心过滤器并没有在图中展示。

SpringSecurity + JWT(前后端分离)_第2张图片
以上三个核心的过滤器要了解的哟,可以自己debug的方式来加深理解~

1、认证

  认证其实就是验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户。我们在SpringSecurity实现登录验证主要需要实现上图过滤链的橙色方块部分的过滤器——UsernamePasswordAuthenticationFilter。
  这个过滤器的工作原理如下图。注意一开始受SpringSecurity过滤器链的思想影响会觉得下图的这几个类和接口也是过滤器链上的一个过滤器,实际上稍微他们之间的关系(调用、实现、继承)就知道这些都不是过滤器(废话,看名字就知道了,不过现在一定要非常明确这一点,否则在后续可能会感觉很混乱)。因此从过滤器链来看,下面的这些步骤在过滤器链中全部都属于橙色过滤器(UsernamePasswordAuthenticationFilter)这一步骤。
SpringSecurity + JWT(前后端分离)_第3张图片
  以上是默认的认证流程,接下来我们来思考一下如何实现我们需要的认证流程:前端传入用户名密码后查询数据库,认证完毕后生成一个 Tocken 传回前端。
SpringSecurity + JWT(前后端分离)_第4张图片
  自己定义一个登陆接口,用户登陆前端携带username和password访问最定义的登陆接口,在自定义的登陆接口内部中调用 ProviderManager,ProviderManager 会调用 DaoAuthenticationProvider ,在 DaoAuthenticationProvider 中调用我们自定义的 UserDetailsService 对象,在 自定义的 UserDetailsService 对象中去数据库中查询数据,将查询到的数据一路返回至登陆接口。在自定义登陆接口中,进行认证。如果认证通过,使用用户id 生成一个 jwt 返回给前端。
  至于前端如何存储,那是前端的事情,一般我们都是存在localstrage(卑微的小伟也写点前端)。前端每次访问后端接口都要在请求头中携带我们返回的Tocken。
SpringSecurity + JWT(前后端分离)_第5张图片
思考:JWT 认证过滤器中获取了 userId 后呢,如何获取到完整的用户信息呢?

在过滤器中去查询数据库的话效率较低,这时候是不是适合用Redis呢?(看看又是一个项目中使用缓存的地方)。那么我们可以在 自定义登陆接口中 编写以下逻辑:

  • 如果认证通过,用 userId 作为 key,用户信息作为 value 存入缓存 Redis

这样之后的每次请求都可以在 JWT 认证过滤器中去 Redis 缓存中获取完整的用户信息。

简单总结一下
上面小伟叭叭了这么多,大家估计也迷了。给大家简单捋一下吧~

无非就三个功能:登陆、验证、注销
登陆
1、自定义登陆接口

  1. 调用 ProviderManager 的方法进行认证,如果认证通过生成Jwt
  2. 以userId为key,用户信息为value 存入 Redis

2、自定义UserDetailsService
在这个实现类中去查询数据库,通过唯一的用户名去查询对应的用户信息用于密码验证和缓存。

校验
自定义 JWT 认证过滤器

  1. 获取token
  2. 解析token,获取userId
  3. 从缓存中获取用户信息,并存入 SecurityContextHolder

注销
1、编写注销接口

  1. 经过 JWT 认证过滤器 后,SecurityContextHolder存入用户信息
  2. 从 SecurityContextHolder 取出 userId,在缓存中删除对应的 用户信息

认证的整个流程如下图,咱们接下来再聊聊授权~聊完之后再撸代码

2、授权

授权其实就是经过认证后判断当前用户是否有权限进行某个操作,这样说有点尬。咱来说个实例吧~
  例如 在校园疫情防控管理系统中,管理员账号登陆之后可以看到所有模块(比如说对防疫人员管理、风险人员管理、校园信息管理等),而防疫人员登陆之后可以进行风险人员管理。

​  总结起来就是 不同的角色使用不同的功能,这就是权限系统要去实现的效果。

​  我们不能只依赖前端去判断用户的权限来选择显示哪些菜单哪些按钮。因为如果只是这样,如果有人知道了对应功能的接口地址就可以不通过前端,直接去发送请求来实现相关功能操作。

​  所以我们还需要在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须具有所需权限才能进行相应的操作。

授权的基本流程

​在 SpringSecurity 中,会使用默认的 FilterSecurityInterceptor 来进行权限校验。在 FilterSecurityInterceptor 中会从 SecurityContextHolder 获取其中的 Authentication,然后获取其中的权限信息,判断 当前用户是否拥有访问当前资源所需的权限。

​  所以我们在项目中只需要把用户的权限信息也存入 Authentication,然后设置我们的资源所需要的权限即可。

  1. 在 UserDetailsService 中将用户的权限信息存入 Authentication
  2. 使用注解去指定访问对应的资源所需的权限

对于前端的菜单列表展示

依小伟几个月的工作经验,我一般是这样写的~不提倡在用户认证时返回菜单列表,单独编写一个接口获取用户对应的菜单权限列表,这里给大家串一下校园疫情防控系统的代码吧~
SpringSecurity + JWT(前后端分离)_第6张图片

三、撸代码

1、入门案例

说了这么多,接下来终于可以撸代码啦~咱先编写一个简单的入门案例让大家感受到 SpringSecurity 的强大之处!

前期准备

前期准备一个 SpringBoot 项目,引入web、lombok等启动器依赖。并编写一个用于测试的 Controller。

@RestController
public class HelloController {

    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }
}

接下来引入SpringSecurity依赖即可,开始认证演示吧~

在 pom.xml 文件中引入 SpringSecurity 依赖~

<dependency>
    <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-starter-securityartifactId>
dependency>

引入依赖后我们在访问 hello 接口就会自动跳转到一个 SpringSecurity 的默认登陆页面,默认用户名是 user,密码会输出在 控制台。即:认证

默认的用户是 user,密码会在控制台打印
SpringSecurity + JWT(前后端分离)_第7张图片
完成授权之后即可访问~
在这里插入图片描述
并提供了注销接口,/logout 注销后下次访问需要再次授权。


2、认证-前端端分离 Demo

以上都是SpringSecurity默认的处理逻辑,这当然不是我们想要的啦~我们需要实现前后端分离,从持久层查询用户信息。接下来小伟就给大家实现以上讲述的认证流程吧!

2.1 环境准备

1、创建数据库
首先我们需要创建本次Demo的数据库,这里sql脚本也放在提供的gitee仓库里sql脚本
2、创建项目,导入依赖
创建一个SpringBoot项目,导入需要使用的依赖:


<dependency>
    <groupId>mysqlgroupId>
    <artifactId>mysql-connector-javaartifactId>
dependency>

<dependency>
    <groupId>com.baomidougroupId>
    <artifactId>mybatis-plus-boot-starterartifactId>
    <version>3.4.1version>
dependency>

<dependency>
    <groupId>org.projectlombokgroupId>
    <artifactId>lombokartifactId>
    <optional>trueoptional>
dependency>


<dependency>
    <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-starter-securityartifactId>
dependency>

<dependency>
    <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-starter-data-redisartifactId>
dependency>

<dependency>
    <groupId>com.alibabagroupId>
    <artifactId>fastjsonartifactId>
    <version>1.2.45version>
dependency>

<dependency>
    <groupId>io.jsonwebtokengroupId>
    <artifactId>jjwtartifactId>
    <version>0.7.0version>
dependency>

3、编写配置文件
大家记得改成自己的环境噢~

server:
  port: 8088

spring:
  datasource:
    username: root
    password: hgw6721224
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/springsecurity_db?serverTimezone=Asia/Shanghai&useUnicode=true&characterEncoding=utf-8&zeroDateTimeBehavior=convertToNull&useSSL=false&allowPublicKeyRetrieval=true
  redis:
    host: 124.222.223.222
    port: 6379

mybatis-plus:
    mapper-locations: classpath*:/mapper/**/*.xml

4、导入准备好的工具类
大家可以拉下小伟的项目的复制相关的配置类~
ResponseResult 公共的返回体:

package com.hgw.springsecurityjwtdemo02.common;

import com.fasterxml.jackson.annotation.JsonInclude;

/**
 * Description: 返回体
 * Data time:2022/9/1 11:08
 * Author:TQ-3038-HuangGongWei
 */
@JsonInclude(JsonInclude.Include.NON_NULL)
public class ResponseResult<T> {
    /**
     * 状态码
     */
    private Integer code;
    /**
     * 提示信息,如果有错误时,前端可以获取该字段进行提示
     */
    private String msg;
    /**
     * 查询到的结果数据,
     */
    private T data;

    public ResponseResult(Integer code, String msg) {
        this.code = code;
        this.msg = msg;
    }

    public ResponseResult(Integer code, T data) {
        this.code = code;
        this.data = data;
    }

    public Integer getCode() {
        return code;
    }

    public void setCode(Integer code) {
        this.code = code;
    }

    public String getMsg() {
        return msg;
    }

    public void setMsg(String msg) {
        this.msg = msg;
    }

    public T getData() {
        return data;
    }

    public void setData(T data) {
        this.data = data;
    }

    public ResponseResult(Integer code, String msg, T data) {
        this.code = code;
        this.msg = msg;
        this.data = data;
    }
}

RedisConfig 缓存配置类

package com.hgw.springsecurityjwtdemo02.config;

import com.hgw.springsecurityjwtdemo02.utils.FastJsonRedisSerializer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.serializer.StringRedisSerializer;

/**
 * Description:
 * Data time:2022/9/1 11:07
 * Author:TQ-3038-HuangGongWei
 */
@Configuration
public class RedisConfig {

    @Bean
    @SuppressWarnings(value = { "unchecked", "rawtypes" })
    public RedisTemplate<Object, Object> redisTemplate(RedisConnectionFactory connectionFactory)
    {
        RedisTemplate<Object, Object> template = new RedisTemplate<>();
        template.setConnectionFactory(connectionFactory);

        FastJsonRedisSerializer serializer = new FastJsonRedisSerializer(Object.class);

        // 使用StringRedisSerializer来序列化和反序列化redis的key值
        template.setKeySerializer(new StringRedisSerializer());
        template.setValueSerializer(serializer);

        // Hash的key也采用StringRedisSerializer的序列化方式
        template.setHashKeySerializer(new StringRedisSerializer());
        template.setHashValueSerializer(serializer);

        template.afterPropertiesSet();
        return template;
    }
}

相关的工具类:

package com.hgw.springsecurityjwtdemo02.utils;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.serializer.SerializerFeature;
import com.fasterxml.jackson.databind.JavaType;
import com.fasterxml.jackson.databind.type.TypeFactory;
import org.springframework.data.redis.serializer.RedisSerializer;
import org.springframework.data.redis.serializer.SerializationException;
import com.alibaba.fastjson.parser.ParserConfig;
import java.nio.charset.Charset;

/**
 * Description: Redis使用FastJson序列化
 * Data time:2022/9/1 11:05
 * Author:TQ-3038-HuangGongWei
 */
public class FastJsonRedisSerializer<T> implements RedisSerializer<T>
{

    public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8");

    private Class<T> clazz;

    static
    {
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
    }

    public FastJsonRedisSerializer(Class<T> clazz)
    {
        super();
        this.clazz = clazz;
    }

    @Override
    public byte[] serialize(T t) throws SerializationException
    {
        if (t == null)
        {
            return new byte[0];
        }
        return JSON.toJSONString(t, SerializerFeature.WriteClassName).getBytes(DEFAULT_CHARSET);
    }

    @Override
    public T deserialize(byte[] bytes) throws SerializationException
    {
        if (bytes == null || bytes.length <= 0)
        {
            return null;
        }
        String str = new String(bytes, DEFAULT_CHARSET);

        return JSON.parseObject(str, clazz);
    }


    protected JavaType getJavaType(Class<?> clazz)
    {
        return TypeFactory.defaultInstance().constructType(clazz);
    }
}
package com.hgw.springsecurityjwtdemo02.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;
import java.util.Date;
import java.util.UUID;


/**
 * Description: JWT工具类
 * Data time:2022/9/1 11:09
 * Author:TQ-3038-HuangGongWei
 */
public class JwtUtil {

    //有效期为
    public static final Long JWT_TTL = 60 * 60 *1000L;// 60 * 60 *1000  一个小时
    //设置秘钥明文
    public static final String JWT_KEY = "sangeng";

    public static String getUUID(){
        String token = UUID.randomUUID().toString().replaceAll("-", "");
        return token;
    }

    /**
     * 生成jtw
     * @param subject token中要存放的数据(json格式)
     * @return
     */
    public static String createJWT(String subject) {
        JwtBuilder builder = getJwtBuilder(subject, null, getUUID());// 设置过期时间
        return builder.compact();
    }

    /**
     * 生成jtw
     * @param subject token中要存放的数据(json格式)
     * @param ttlMillis token超时时间
     * @return
     */
    public static String createJWT(String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, getUUID());// 设置过期时间
        return builder.compact();
    }

    private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        SecretKey secretKey = generalKey();
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        if(ttlMillis==null){
            ttlMillis=JwtUtil.JWT_TTL;
        }
        long expMillis = nowMillis + ttlMillis;
        Date expDate = new Date(expMillis);
        return Jwts.builder()
                .setId(uuid)              //唯一的ID
                .setSubject(subject)   // 主题  可以是JSON数据
                .setIssuer("sg")     // 签发者
                .setIssuedAt(now)      // 签发时间
                .signWith(signatureAlgorithm, secretKey) //使用HS256对称加密算法签名, 第二个参数为秘钥
                .setExpiration(expDate);
    }

    /**
     * 创建token
     * @param id
     * @param subject
     * @param ttlMillis
     * @return
     */
    public static String createJWT(String id, String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, id);// 设置过期时间
        return builder.compact();
    }

    public static void main(String[] args) throws Exception {
        String token = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJjYWM2ZDVhZi1mNjVlLTQ0MDAtYjcxMi0zYWEwOGIyOTIwYjQiLCJzdWIiOiJzZyIsImlzcyI6InNnIiwiaWF0IjoxNjM4MTA2NzEyLCJleHAiOjE2MzgxMTAzMTJ9.JVsSbkP94wuczb4QryQbAke3ysBDIL5ou8fWsbt_ebg";
        Claims claims = parseJWT(token);
        System.out.println(claims);
    }

    /**
     * 生成加密后的秘钥 secretKey
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

    /**
     * 解析
     *
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }


}
package com.hgw.springsecurityjwtdemo02.utils;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.BoundSetOperations;
import org.springframework.data.redis.core.HashOperations;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.stereotype.Component;

import java.util.*;
import java.util.concurrent.TimeUnit;

/**
 * Description: Redis缓存
 * Data time:2022/9/1 11:10
 * Author:TQ-3038-HuangGongWei
 */
@Component
public class RedisCache {
    @Autowired
    public RedisTemplate redisTemplate;

    /**
     * 缓存基本的对象,Integer、String、实体类等
     *
     * @param key   缓存的键值
     * @param value 缓存的值
     */
    public <T> void setCacheObject(final String key, final T value) {
        redisTemplate.opsForValue().set(key, value);
    }

    /**
     * 缓存基本的对象,Integer、String、实体类等
     *
     * @param key      缓存的键值
     * @param value    缓存的值
     * @param timeout  时间
     * @param timeUnit 时间颗粒度
     */
    public <T> void setCacheObject(final String key, final T value, final Integer timeout, final TimeUnit timeUnit) {
        redisTemplate.opsForValue().set(key, value, timeout, timeUnit);
    }

    /**
     * 设置有效时间
     *
     * @param key     Redis键
     * @param timeout 超时时间
     * @return true=设置成功;false=设置失败
     */
    public boolean expire(final String key, final long timeout) {
        return expire(key, timeout, TimeUnit.SECONDS);
    }

    /**
     * 设置有效时间
     *
     * @param key     Redis键
     * @param timeout 超时时间
     * @param unit    时间单位
     * @return true=设置成功;false=设置失败
     */
    public boolean expire(final String key, final long timeout, final TimeUnit unit) {
        return redisTemplate.expire(key, timeout, unit);
    }

    /**
     * 获得缓存的基本对象。
     *
     * @param key 缓存键值
     * @return 缓存键值对应的数据
     */
    public <T> T getCacheObject(final String key) {
        ValueOperations<String, T> operation = redisTemplate.opsForValue();
        return operation.get(key);
    }

    /**
     * 删除单个对象
     *
     * @param key
     */
    public boolean deleteObject(final String key) {
        return redisTemplate.delete(key);
    }

    /**
     * 删除集合对象
     *
     * @param collection 多个对象
     * @return
     */
    public long deleteObject(final Collection collection) {
        return redisTemplate.delete(collection);
    }

    /**
     * 缓存List数据
     *
     * @param key      缓存的键值
     * @param dataList 待缓存的List数据
     * @return 缓存的对象
     */
    public <T> long setCacheList(final String key, final List<T> dataList) {
        Long count = redisTemplate.opsForList().rightPushAll(key, dataList);
        return count == null ? 0 : count;
    }

    /**
     * 获得缓存的list对象
     *
     * @param key 缓存的键值
     * @return 缓存键值对应的数据
     */
    public <T> List<T> getCacheList(final String key) {
        return redisTemplate.opsForList().range(key, 0, -1);
    }

    /**
     * 缓存Set
     *
     * @param key     缓存键值
     * @param dataSet 缓存的数据
     * @return 缓存数据的对象
     */
    public <T> BoundSetOperations<String, T> setCacheSet(final String key, final Set<T> dataSet) {
        BoundSetOperations<String, T> setOperation = redisTemplate.boundSetOps(key);
        Iterator<T> it = dataSet.iterator();
        while (it.hasNext()) {
            setOperation.add(it.next());
        }
        return setOperation;
    }

    /**
     * 获得缓存的set
     *
     * @param key
     * @return
     */
    public <T> Set<T> getCacheSet(final String key) {
        return redisTemplate.opsForSet().members(key);
    }

    /**
     * 缓存Map
     *
     * @param key
     * @param dataMap
     */
    public <T> void setCacheMap(final String key, final Map<String, T> dataMap) {
        if (dataMap != null) {
            redisTemplate.opsForHash().putAll(key, dataMap);
        }
    }

    /**
     * 获得缓存的Map
     *
     * @param key
     * @return
     */
    public <T> Map<String, T> getCacheMap(final String key) {
        return redisTemplate.opsForHash().entries(key);
    }

    /**
     * 往Hash中存入数据
     *
     * @param key   Redis键
     * @param hKey  Hash键
     * @param value 值
     */
    public <T> void setCacheMapValue(final String key, final String hKey, final T value) {
        redisTemplate.opsForHash().put(key, hKey, value);
    }

    /**
     * 获取Hash中的数据
     *
     * @param key  Redis键
     * @param hKey Hash键
     * @return Hash中的对象
     */
    public <T> T getCacheMapValue(final String key, final String hKey) {
        HashOperations<String, String, T> opsForHash = redisTemplate.opsForHash();
        return opsForHash.get(key, hKey);
    }

    /**
     * 删除Hash中的数据
     *
     * @param key
     * @param hkey
     */
    public void delCacheMapValue(final String key, final String hkey) {
        HashOperations hashOperations = redisTemplate.opsForHash();
        hashOperations.delete(key, hkey);
    }

    /**
     * 获取多个Hash中的数据
     *
     * @param key   Redis键
     * @param hKeys Hash键集合
     * @return Hash对象集合
     */
    public <T> List<T> getMultiCacheMapValue(final String key, final Collection<Object> hKeys) {
        return redisTemplate.opsForHash().multiGet(key, hKeys);
    }

    /**
     * 获得缓存的基本对象列表
     *
     * @param pattern 字符串前缀
     * @return 对象列表
     */
    public Collection<String> keys(final String pattern) {
        return redisTemplate.keys(pattern);
    }
}
package com.hgw.springsecurityjwtdemo02.utils;

import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * Description: Web工具类
 * Data time:2022/9/1 11:11
 * Author:TQ-3038-HuangGongWei
 */
public class WebUtils
{
    /**
     * 将字符串渲染到客户端
     *
     * @param response 渲染对象
     * @param string 待渲染的字符串
     * @return null
     */
    public static String renderString(HttpServletResponse response, String string) {
        try
        {
            response.setStatus(200);
            response.setContentType("application/json");
            response.setCharacterEncoding("utf-8");
            response.getWriter().print(string);
        }
        catch (IOException e)
        {
            e.printStackTrace();
        }
        return null;
    }
}

上面例出这么多配置、工具类会导致文章阅读感不强,望大家见谅!

2.2 密码加密存储

实际项目中我们不会把密码明文存储在数据库中。

​  默认使用的 PasswordEncoder 要求数据库中的密码格式为:{id}password。它会根据id去判断密码的加密方式。但是我们一般不会采用这种模式。所以就需要替换 PasswordEncoder。

  我们一般使用SpringSecurity为我们提供的BCryptPasswordEncoder。我们只需要使用把BCryptPasswordEncoder对象注入Spring容器中,SpringSecurity就会使用该PasswordEncoder来进行密码校验。

  接下来我们定义一个SpringSecurity的配置类,SpringSecurity要求这个配置类要继承WebSecurityConfigurerAdapter。

package com.hgw.springsecurityjwtdemo02.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * Description: 密码加密存储配置类
 * Data time:2022/9/1 14:20
 * Author:TQ-3038-HuangGongWei
 */
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

}

2.3 数据库校验存储

自定义 UserDetailsService 在这个实现类中去查询数据库~

第一步、编写用户表的实体类

@Data
@AllArgsConstructor
@NoArgsConstructor
@TableName("sys_user")
public class User implements Serializable {
    private static final long serialVersionUID = -40356785423868312L;

    /**
     * 主键
     */
    @TableId
    private Long id;
    /**
     * 用户名
     */
    private String userName;
    /**
     * 昵称
     */
    private String nickName;
    /**
     * 密码
     */
    private String password;
    /**
     * 账号状态(0正常 1停用)
     */
    private String status;
    /**
     * 邮箱
     */
    private String email;
    /**
     * 手机号
     */
    private String phonenumber;
    /**
     * 用户性别(0男,1女,2未知)
     */
    private String sex;
    /**
     * 头像
     */
    private String avatar;
    /**
     * 用户类型(0管理员,1普通用户)
     */
    private String userType;
    /**
     * 创建人的用户id
     */
    private Long createBy;
    /**
     * 创建时间
     */
    private Date createTime;
    /**
     * 更新人
     */
    private Long updateBy;
    /**
     * 更新时间
     */
    private Date updateTime;
    /**
     * 删除标志(0代表未删除,1代表已删除)
     */
    private Integer delFlag;
}

第二步、定义Mapper接口

@Mapper
public interface UserMapper extends BaseMapper<User> {
}

第三步、在主启动类上配置Mapper扫描

@SpringBootApplication
@MapperScan("com.hgw.springsecurityjwtdemo02.mapper")
public class Springsecurityjwtdemo02Application {

    public static void main(String[] args) {
        SpringApplication.run(Springsecurityjwtdemo02Application.class, args);
    }

}

第四步、编写在自定义的 UserDetailsService 实现类 ,并编写数据库校验存储逻辑

public interface UserService {
    UserDetails loadUserByUsername(String userName);
}
@Service
public class UserServiceImpl implements UserService, UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
        // 查询用户信息
        LambdaQueryWrapper<User> queryWrapper = new QueryWrapper<User>()
                .lambda()
                .eq(User::getUserName, userName);
        User user = userMapper.selectOne(queryWrapper);
        if (Objects.isNull(user)) {
            // 如果没有查询到用户则抛出异常
            throw new RuntimeException("用户名或者密码错误!");
        }
        // TODO 查询对应的权限信息

        // 把数据封装成 UserDetails 返回
        return new LoginUser(user);
    }

}

因为UserDetailsService方法的返回值是UserDetails类型,所以需要定义一个类,实现该接口,把用户信息封装在其中。

@Data
@AllArgsConstructor
@NoArgsConstructor
public class LoginUser implements UserDetails {

    private User user;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUserName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

2.4 编写自定义登陆接口

接下来我们需要自定义登陆接口,然后让 SpringSecurity 对这个接口放行,让用户访问这个接口的时候不用登陆也能访问。

  在接口中我们通过AuthenticationManager的authenticate方法来进行用户认证,所以需要在SecurityConfig中配置把AuthenticationManager注入容器。

  认证成功的话要生成一个 jwt,放入响应体中返回。并且为了让用户下回请求时能通过jwt识别出具体的是那个用户,我们需要把用户信息存入redis,可以把用户id作为key。

@RestController
@RequestMapping("auth")
public class AuthController {

    @Autowired
    private AuthService authService;

    @PostMapping("/login")
    public ResponseResult login(@RequestBody User user) {
        if (Objects.isNull(user) || Objects.isNull(user.getUserName()) || Objects.isNull(user.getPassword())) {
            return new ResponseResult(300, "用户密码不能为空");
        }
        return authService.login(user);
    }
}

具体的实现逻辑在 AuthService 实现类中:

@Service
public class AuthServiceImpl implements AuthService {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private RedisCache redisCache;

    /**
     * 用户登陆
     * @param user
     * @return
     */
    @Override
    public ResponseResult login(User user) {
        // 1. 进行用户认证
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(user.getUserName(), user.getPassword());
        Authentication authenticate = authenticationManager.authenticate(authenticationToken);

        if (Objects.isNull(authenticate)) {
            // 2. 如果认证没通过,给出对应的提示
            throw new RuntimeException("登陆失败");
        }
        // 3. 如果认证通过了,使用 userId 生成一个 jwt,jwt 存入 返回体 返回
        LoginUser loginUser = (LoginUser) authenticate.getPrincipal();
        String userId = loginUser.getUser().getId().toString();
        String jwt = JwtUtil.createJWT(userId);
        HashMap<String, String> authToken = new HashMap<>();
        authToken.put("auth",jwt);
        // 4. 以 userId 为key,用户信息为 value 放入缓存
        redisCache.setCacheObject("token:"+userId, loginUser.getUser());

        return new ResponseResult(200,"登陆成功", authToken);
    }
}

登陆接口编写一下我们的配置类,将 /auth/login 接口放行掉~

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //关闭csrf
                .csrf().disable()
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 对于登录接口 允许匿名访问
                .antMatchers("/auth/login").anonymous()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

自此我们的自定义登陆接口就编写完毕啦,接下来让我们测试一下接口获取Token吧~
使用postman自测以上接口:

缓存中对应的用户信息:
SpringSecurity + JWT(前后端分离)_第8张图片

2.5 JWT 认证过滤器

Token已经获取到啦,接下来每次调用接口都需要进行认证。让我们来编写JWT认证过滤器实现上述的逻辑吧~
再次捋一捋过滤器的逻辑哈:

  1. 获取token
  2. 解析token,获取userId
  3. 从缓存中获取用户信息,并存入 SecurityContextHolder

okk,撸代码~

编写认证过滤器

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private RedisCache redisCache;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 1. 获取token
        String token = request.getHeader("auth");
        if (StringUtils.hasText(token)) {
            // 放行,接下来是做token解析工作,放行给后面的处理器进行异常抛出
            filterChain.doFilter(request,response);
            return;
        }
        // 2. 解析token
        String userId;
        try {
            Claims claims = JwtUtil.parseJWT(token);
            userId = claims.getSubject();
        } catch (Exception e) {
            e.printStackTrace();
            throw new RemoteException("token非法");
        }
        // 3. 从缓存中获取用户信息
        String redisKey = "login:" + userId;
        LoginUser loginUser = redisCache.getCacheObject(redisKey);
        if (Objects.isNull(loginUser)) {
            throw new RemoteException("用户未登陆");
        }
        // 4. 存入 SecurityContextHolder,为了做授权使用 FilterSecurityInterceptor
        // TODO 获取权限信息封装到 Authentication 中
        UsernamePasswordAuthenticationToken authenticationToken
                = new UsernamePasswordAuthenticationToken(loginUser, null, null);
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        // 5.放行
        filterChain.doFilter(request,response);
    }

}

配置认证过滤器

需要在 SpringSecurity 配置类中配置我们的过滤器才能生效哟!
SpringSecurity + JWT(前后端分离)_第9张图片

2.6 退出登陆

以上基于 SpringSecurity + JWT(前后端分离分离版)就编写完毕啦,美中不足还需要一个注销登录。逻辑很简单:我们只需要定义一个注销接口,然后获取 SecurityContextHolder 中的认证信息,删除 redid 中对应的数据即可。

  1. 经过 JWT 认证过滤器 后,SecurityContextHolder存入用户信息
  2. 从 SecurityContextHolder 取出 userId,在缓存中删除对应的 用户信息

注销接口:

@RestController
@RequestMapping("auth")
public class AuthController {

    @Autowired
    private AuthService authService;
  
		// ....
  
    @RequestMapping("/logout")
    public ResponseResult logout() {
        return authService.logout();
    }
}

具体的实现逻辑:从 SecurityContextHolder 中获取 userId,删除 redid 中对应用户信息。

/**
 * 注销登陆
 * @return
 */
@Override
public ResponseResult logout() {
    // 获取 SecurityContextHolder 中的用户 id
    UsernamePasswordAuthenticationToken authentication =
            (UsernamePasswordAuthenticationToken) SecurityContextHolder.getContext().getAuthentication();
    LoginUser loginUser = (LoginUser) authentication.getPrincipal();
    Long userId = loginUser.getUser().getId();
    // 删除 redis 中的值
    redisCache.deleteObject("token:"+userId);
    return new ResponseResult(200, "注销成功");
}

SpringSecurity 的精髓需要大家自行调试才能了解到,一定要自己调试一步一步的去看执行步骤哟!不然就成为了只会使用的小垃圾

3、授权-前后端分离 Demo

授权就比较简单啦,SpringSecurity 为我们提供了基于注解的权限控制方案,这也是我们项目中主要采用的方式。我们可以使用注解去指定访问对应的资源所需的权限。
​ 首先 需要现在Security配置类上开启相关配置

@EnableGlobalMethodSecurity(prePostEnabled = true)

SpringSecurity + JWT(前后端分离)_第10张图片

3.1 限制访问资源所需权限

然后就可以使用对应的注解:@PreAuthorize

@RestController
public class HelloController {

    @RequestMapping("/hello")
    @PreAuthorize("hasAuthority('test')")
    public String hello() {
        return "HelloWorld!";
    }
}

hasAuthority() 原理探究~

  我们使用 @PreAuthorize() 注解,然后在其中使用的 hasAuthority 方法进行校验。SpringSecurity 还未我们提供了其他方法。例如:hasAnyAuthority、hasRole、hasAnyRole 等。

  hasAuthority 方法实际是调用 SecurityExpressionRoothasAnyAuthority,在 该方法中获取用户所具有的权限封装在 set 中,遍历需要的权限 用户是否具有。

SpringSecurity + JWT(前后端分离)_第11张图片

其他方法:

  • hasAnyAuthority 方法可以传入多个权限,只有用户有其中任意一个权限都可以访问对应的资源。
  • hasRole 要求有对应的角色才可以访问,但是它内部会把我们传入的参数前拼接上 ROLE_ 前缀后再去比较。
  • hasAnyRole 有任意的角色就可以访问, 但是它内部会把我们传入的参数前拼接上 ROLE_ 前缀后再去比较。

自定义权限方法

我们也可以定义自己的权限方法,在 @PreAuthorize() 注解中使用我们的方法。

@Component("ex")
public class CustomizeExpressionRoot {

    public final boolean hasAuthority(String authority) {
        // 获取用户的权限
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        List<String> permissions = loginUser.getPermissions();
        Set<String> roleSet = permissions.stream().collect(Collectors.toSet());
        // 判断用户权限集合中是否存在 authority
        if (roleSet.contains(authority)) {
            return true;
        }
        return false;
    }

}

在SPEL表达式中使用 @ex 相当于获取容器中 bean 的名字未 ex 的对象,然后再调用这个对象的 hasAuthority 方法。

SpringSecurity + JWT(前后端分离)_第12张图片

3.2 封装权限信息

  以上简单的编写了如何去实现某个接口需要某个权限,接下来我们来从数据库中查询用户对应的权限信息,查询之前首先得封装用户对应的权限信息
  我们前面在写 UserDetailsServiceImpl 的时候说过,在查询出用户后还要获取对应的权限信息,封装到 userDetails 中返回。我们之前定义了 UserDetails 的实现类 LoginUser,想要让其能封装权限信息就要对其进行修改。

这里先把权限信息写死封装到 UserDetails中进行测试,角色权限为 “admin”、“test”
SpringSecurity + JWT(前后端分离)_第13张图片
在JWT认证过滤器中指定权限信息:
SpringSecurity + JWT(前后端分离)_第14张图片

3.3 从数据库查询权限信息

以上我们在 登陆Service实现方法中将用户权限写死的,接下来我们通过查询数据库的方式附上其对应的权限信息。首先我们需要了解一下 RBAC~

RBAC 权限模型

RBAC 权限模型(Role-Based Access Control)即:基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。


这里造了测试假数据,SQL在gitee仓库中:springsecurity_db.sql

  • 两个权限:后台展示、前台展示

  • 两个角色

    • Admin:管理员具有 后台、前台 的权限
    • Visitor:访客具有 前台 的权限
  • 两个用户

    • 2022112117:管理员
    • 2022112118:访客

撸代码

我们只需要根据 userId 去查询到其所对应的权限信息即可。
第一步、导入 菜单表的 实体类

@TableName(value="sys_menu")
@Data
@AllArgsConstructor
@NoArgsConstructor
@JsonInclude(JsonInclude.Include.NON_NULL)
public class Menu implements Serializable {
    private static final long serialVersionUID = -54979041104113736L;

    @TableId
    private Long id;
    /**
     * 菜单名
     */
    private String menuName;
    /**
     * 路由地址
     */
    private String path;
    /**
     * 组件路径
     */
    private String component;
    /**
     * 菜单状态(0显示 1隐藏)
     */
    private String visible;
    /**
     * 菜单状态(0正常 1停用)
     */
    private String status;
    /**
     * 权限标识
     */
    private String perms;
    /**
     * 菜单图标
     */
    private String icon;

    private Long createBy;

    private Date createTime;

    private Long updateBy;

    private Date updateTime;
    /**
     * 是否删除(0未删除 1已删除)
     */
    private Integer delFlag;
    /**
     * 备注
     */
    private String remark;
}

第二步、定义mapper,其中提供一个方法可以根据 userId 查询权限信息。

SpringSecurity + JWT(前后端分离)_第15张图片
因为一个用户可能对应着多个角色,多个角色可能具有相同的权限,故需要去重~

SELECT
    DISTINCT m.perms
FROM
    sys_user_role ur
        LEFT JOIN sys_role r on ur.role_id = r.id
        LEFT JOIN sys_role_menu rm on ur.role_id = rm.role_id
        LEFT JOIN sys_menu m on rm.menu_id = m.id
WHERE
    ur.user_id = #{userId}
  AND
    r.`status` = 0
  AND
    m.`status` = 0;

配置mapper扫描位置:

mybatis-plus:
    mapper-locations: classpath*:/mapper/**/*.xml

将之前 权限信息写死封装到 UserDetails中 的地方进行修改成从库中查找:
SpringSecurity + JWT(前后端分离)_第16张图片
编写权限测试接口进行测试:

@RestController
@RequestMapping("test")
public class AuthorizationTestController {

    @RequestMapping("/background")
    @PreAuthorize("hasAnyAuthority('system:background:list')")
    public String background() {
        return "后台管理系统";
    }

    @RequestMapping("/foreground")
    @PreAuthorize("hasAnyAuthority('system:foreground:list')")
    public String foreground() {
        return "前台";
    }
}

4、自定义失败处理

我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理(大前端小姐姐感动哭了)。要实现这个功能我们需要知道SpringSecurity的异常处理机制。

​  在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。

了解知识

1、如果是认证过程中出现的异常会被封装成AuthenticationException然后调用AuthenticationEntryPoint对象的方法去进行异常处理。

2、如果是授权过程中出现的异常会被封装成AccessDeniedException然后调用AccessDeniedHandler对象的方法去进行异常处理。

所以如果我们需要自定义异常处理,我们只需要自定义AuthenticationEntryPoint和AccessDeniedHandler然后配置给SpringSecurity即可。

撸代码

第一步、编写异常处理类
自定义认证异常处理器

@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        ResponseResult result = new ResponseResult(HttpStatus.UNAUTHORIZED.value(),"用户认证失败,请重新登陆!");
        String jsonString = JSON.toJSONString(result);
        // 处理异常
        WebUtils.renderString(response, jsonString);
    }

}

自定义授权异常处理器

@Component
public class AccessDeniedHandlerImpl implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        ResponseResult result = new ResponseResult(HttpStatus.FORBIDDEN.value(),"您的权限不足!");
        String jsonString = JSON.toJSONString(result);
        // 处理异常
        WebUtils.renderString(response, jsonString);
    }
}

第二步、配置异常处理器
在 SecurityConfig 类的 configure 方法中配置:
SpringSecurity + JWT(前后端分离)_第17张图片
接下来我们使用访客角色去访问后台管理接口,看看会不会返回我们想要的提示呢~


四、其他

1、跨域

什么是跨域呢?

  浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是跨域的HTTP请求,默认情况下是被禁止的。 同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。

  然而前后端分离项目,前端项目和后端项目一般都不是同源的,所以肯定会存在跨域请求的问题。所以我们就要处理一下,让前端能进行跨域请求。

第一步、首先先对SpringBoot配置,运行跨域请求

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        // 设置允许跨域的路径
        registry.addMapping("/**")
                // 设置允许跨域请求的域名
                .allowedOriginPatterns("*")
                // 是否允许cookie
                .allowCredentials(true)
                // 设置允许的请求方式
                .allowedMethods("GET", "POST", "DELETE", "PUT")
                // 设置允许的header属性
                .allowedHeaders("*")
                // 跨域允许时间
                .maxAge(3600);
    }
}

第二步、开启SpringSecurity的跨域访问,由于我们的资源都会收到SpringSecurity的保护,所以想要跨域访问还要让SpringSecurity运行跨域访问。
SpringSecurity + JWT(前后端分离)_第18张图片

2、CSRF

  CSRF 是指跨站请求伪造(Cross-site request forgery),是 web 常见的攻击之一。

​  SpringSecurity 去防止 CSRF 攻击的方式就是通过 csrf_token。后端会生成一个 csrf_token,前端发起请求的时候需要携带 csrf_token,后端会有过滤器进行校验,如果没有携带或者是伪造的就不允许访问。

​  我们可以发现 CSRF 攻击依靠的是 cookie 中所携带的认证信息。但是在前后端分离的项目中我们的认证信息其实是 token,而 token 并不是存储在 cookie 中,并且需要前端代码去把 token 设置到请求头中才可以,所以 CSRF 攻击也就不用担心了。

小伟有话说~
  好啦,SpringSecurity + JWT 的分享就到这里啦~
  小伟会在晚些时候将校园疫情防控系统gitee仓库共享出来,该项目使用的就是SpringSecurity + JWT 做的用户认证与授权,让我们尽情期待吧!(若偷偷拿去做毕设要给小伟说一声哟)

你可能感兴趣的:(微服务治理框架,java,安全架构,SpringSecurity,前后端分离)