github源码:
https://github.com/gyb123456/spring-security5-jwt,最烦那些写文档只截图一半还不给源码的人,要不你就截全图,要不就给源码!
前言:
需要研究spring-security和jwt技术,搞了几天,现把成果记录下
环境
Springboot:2.1.3.RELEASE
spring-security:5.1.4.RELEASE
前后端分离
所需依赖3个,具体pom见源码
org.springframework.boot
spring-boot-starter-security
io.jsonwebtoken
jjwt
0.9.0
org.projectlombok
lombok
true
spring-security原理
从网上的各种不同方法综合一下形成了这一套完整框架,源码里每个类各司其职,很清晰知道是干什么的,现在讲一下spring-security原理及工作流程
图片中各个类的作用:
1 JwtUser类:实现Springsecurity的UserDetails类,此类必须有三个属性
private String username;
private String password;
//权限,类如ROLE_ADMIN
private Collection extends GrantedAuthority> authorities;
2 JwtUtils:jwt工具类
3 MD5Util:密码加密工具类
4 MyAccessDeniedHandler:实现Springsecurity的AccessDeniedHandler,Spring security权限不足处理类
5 MyAuthenticationException:实现Springsecurity的AuthenticationEntryPoint,Spring security其他异常处理类,比如请求路径不存在等
6 MyAuthenticationFailHandler: 实现Springsecurity的AuthenticationFailureHandler,Spring security登录失败处理类
7 MyAuthenticationSuccessHandler:实现Springsecurity的AuthenticationSuccessHandler,Spring security登录成功处理类
8 MyJwtTokenFilter: 继承Springsecurity的OncePerRequestFilter,token 过滤器,在这里解析token,拿到该用户角色,设置到springsecurity的上下文环境中,让springsecurity自动判断权限
9 MyUserDetailsService:实现Springsecurity的UserDetailsService,根据用户名获取数据库该用户信息,spring security在登录时自动调用
10 WebSecurityConfig: Spring security的总配置类,配置密码验证规则、拦截的url、登录接口地址、登录成功与失败后的处理器、各种异常处理器
总结:
spring-security工作流程就是
1自动识别登录接口路径(你配置的),自动进入账户密码判断方法,判断规则可自定义,密码验证通过后会进入spring security提供的MyAuthenticationSuccessHandler类,在这里重写方法,用HttpServletResponse自定义返回给前端内容,可以返回接口也可以返回html,随你,我这里返回jwt。验证失败同理。
这里说下 Spring security的账户密码判断逻辑,WebSecurityConfig继承WebSecurityConfigurerAdapter,注入configureAuthentication方法,重写matches方法自定义密码验证规则,返回boolean
@Autowired
public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
authenticationManagerBuilder
// 设置UserDetailsService 获取user对象
.userDetailsService(this.userDetailsService)
// 自定义密码验证方法
.passwordEncoder(new PasswordEncoder() {
//这个方法没用
@Override
public String encode(CharSequence charSequence) {
return "";
}
//自定义密码验证方法,charSequence:用户输入的密码,s:我们查出来的数据库密码
@Override
public boolean matches(CharSequence charSequence, String s) {
String pass = MD5Util.string2MD5(charSequence.toString());
System.out.println("用户输入密码:" + charSequence + "与数据库相同?" + s.equals(pass));
return s.equals(pass);
}
});
}
2登录成功后,前端携带jwt的token来访问接口,首先会进入我们配置的MyJwtTokenFilter 类继承自OncePerRequestFilter,这个OncePerRequestFilter就厉害了,可以说是所有filter的基类,所以最先执行,在这里我们写验证jwt的逻辑,验证通过后要告诉springsecurity,我们获取到的用户的权限,并把权限设置到springsecurity的上下文环境中,让它来给我们做权限的判断,这点最重要!!!!是springsecurity和jwt的整合纽带,主要代码如下:
if(JwtUtils.isTokenExpired(Claims)){//token过期
System.out.println("token过期" + authToken);
}else{
System.out.println("token没过期,放行" + authToken);
UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(UserDetails, null, UserDetails.getAuthorities());
authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpServletRequest));
logger.info(String.format("Authenticated userDetail %s, setting security context", username));
SecurityContextHolder.getContext().setAuthentication(authentication);
}
3springsecurity自动验证权限后,如果权限不足,会进入到我们配置的权限不足捕获异常类MyAccessDeniedHandler,其他错误的话进入另一个异常捕获类MyAuthenticationException,都可以自定义返回值
如何使用
具体见源码的-- 说明.txt
本项目是Spring security5+Jwt的基础实例
功能:
1:验证用户登录账号密码是否正确,登录地址可以自定义配置,密码验证规则也是自定义,我这里只要是123456就行,验证成功与失败分别有不同的类来处理,登录成功后生成JWT返回
测试方法:http://localhost:8080/user/login?username=adm&password=123456
2:配置拦截除了"/test/**"以外的所有请求,登录地址配置好以后Spring security会自动设置为不拦截
3:配置了各种拦截器,具体看代码
使用方法
1登录获取jwt token(在Response Header里),POST http://localhost:8080/user/login?username=adm&password=123456
2根据token 调用ROLE_ADMIN权限接口, GET http://localhost:8080/role/aaa ,返回权限不足,,MyUserDetailsService默认给用户加了ROLE_USER权限
根据token 调用无权限注解的接口, GET http://localhost:8080/role/bbb ,返回正常结果
根据token 调用ROLE_USER权限接口, GET http://localhost:8080/role/ccc ,返回正常结果
3调用不存在的接口,返回捕获异常http://localhost:8080/tessssst/error
欢迎大家讨论点赞우박
附:
JWT通用类 https://blog.csdn.net/qq_37636695/article/details/79265711
坑
跨域问题,postman能拿到值,前端页面拿不到
1//解决spring security 跨域问题
https://blog.csdn.net/qq_35494808/article/details/82998135
2//解决X-Frame-Options: DENY问题,jwt过期时,自定义返回值时,前端拿不到返回值,postman可以看到有的
在configure(HttpSecurity httpSecurity)里加上
.and().headers().frameOptions().disable();
3 在异常处理类的HttpServletResponse里加Header
public static void httpHandle(int stats ,HttpServletRequest httpServletRequest, HttpServletResponse response, String str) throws
IOException {
/**
* 注意这里加上跨域的配置
*/
response.setHeader("Access-Control-Allow-Origin",httpServletRequest.getHeader("Origin"));
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
response.setStatus(stats);
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
PrintWriter printWriter = response.getWriter();
response.getWriter().write(str);
printWriter.flush();
}