SpringBoot 使用 JWT 保护 Rest Api 接口

用 spring-boot 开发 RESTful API 非常的方便,在生产环境中,对发布的 API 增加授权保护是非常必要的。现在我们来看如何利用 JWT 技术为 API 增加授权保护,保证只有获得授权的用户才能够访问 API。

一、Jwt 介绍

  JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,
用于作为 JSON 对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
Jwt 主要应用场景:授权
  Authorization (授权) : 这是使用 JWT 的最常见场景。一旦用户登录,后续每个请求都将包含 JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的 JWT 的
一个特性,因为它的开销很小,并且可以轻松地跨域使用。
  在认证的时候,当用户用他们的凭证成功登录以后,一个 JSON Web Token 将会被返回。此后,token 就是用户凭证了。为什么不用 session:因为做了完全的前后端分离,前段页面每次发出 Ajax 请求都会建立一个新的回话请求,没办法通过 session 来记录跟踪用户回话状态。所以采用 JWT,来完成回话跟踪、身份验证。Session 是在服务器端的,而 JWT 是在客户端的。

JWT 使用流程:

  • 用户携带用户名和密码请求访问
  • 服务器校验用户凭据
  • 应用提供一个 token 给客户端
  • 客户端存储 token,并且在随后的每一次请求中都带着它
  • 服务器校验 token 并返回数据

二、搭建基础 SpringBoot 工程

2.1、新建一个 SpringBoot 工程,引入所需依赖包

<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> 
</dependency> 

2.2、编写测试 Controller HelloController


package com.offcn.controller; 
import org.springframework.web.bind.annotation.RequestMapping; 
import org.springframework.web.bind.annotation.RestController; 
@RestController 
public class HelloController { @RequestMapping("/hello") public String hello(){ return "hello"; } 
}

2.3、编写应用主启动类

package com.offcn; 
import org.springframework.boot.SpringApplication; 
import org.springframework.boot.autoconfigure.SpringBootApplication; 
import org.springframework.context.annotation.Bean; 
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; 
@SpringBootApplication 
public class SpringbootSecurityJwtApplication {
public static void main(String[] args) { SpringApplication.run(SpringbootSecurityJwtApplication.class, args); } 
}

2.4、测试应用
  访问地址:http://localhost:8080/hello
  至此,我们的接口就开发完成了。但是这个接口没有任何授权防护,任何人都可以访问,这
样是不安全的,下面我们开始加入授权机制。

三、增加用户注册功能

3.1、导入数据库所需依赖包

<!-- spring-data-jpa --> 
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jpa</artifactId> 
</dependency> 
<!-- mysql --> 
<dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> 
<version>5.1.30</version> 
</dependency> 
<dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> 
</dependency>

3.2、修改配置文件 application.yml 配置数据库连接

spring: datasource: url: jdbc:mysql://localhost:3306/springboot-security?serverTimezone=GMT%2B8 username: root password: 123 driver-class-name: com.mysql.jdbc.Driver jpa:hibernate: ddl-auto: update show-sql: true application: name: demo1 #配置应用名称 

3.3、新建一个实体类 User


@Entity 
@Table(name = "tb_user") 
@Data 
@NoArgsConstructor 
@AllArgsConstructor 
public class User { 
@Id 
@GeneratedValue private  Long id; private String username; private String password; 
}

3.4、新建一个 dao 实现 JpaRepository 接口

package com.offcn.dao; 
import com.offcn.po.User; 
import org.springframework.data.jpa.repository.JpaRepository;
public interface UserDao extends JpaRepository<User,Long> { User findByUsername(String username); 
}

3.5、新建 UserController 类中增加注册方法,实现用户注册的接口


package com.offcn.controller; 
import com.offcn.dao.UserDao; 
import com.offcn.po.User; 
import org.springframework.beans.factory.annotation.Autowired; 
import org.springframework.stereotype.Controller; 
import org.springframework.web.bind.annotation.PostMapping; 
import org.springframework.web.bind.annotation.RequestBody; 
import org.springframework.web.bind.annotation.RequestMapping; 
import org.springframework.web.bind.annotation.ResponseBody; 
@Controller 
@RequestMapping("/users") 
public class UserController { @Autowired private UserDao userDao; /*** 该方法是注册用户的方法,默认放开访问控制 * @param user */@PostMapping("/signup") @ResponseBody public String signUp(@RequestBody User user) { user.setPassword(user.getPassword()); try {userDao.save(user); return "success"; } catch (Exception e) { e.printStackTrace(); return "error";} } 
}

3.6 测试用户注册
  请求地址:http://localhost:8080/users/signup

四、添加 JWT 认证

  用户填入用户名密码后,与数据库里存储的用户信息进行比对,如果通过,则认证成功。传统的方法是在认证通过后,创建 sesstion,并给客户端返回 cookie。现在我们采用 JWT 来处理用户名密码的认证。区别在于,认证通过后,服务器生成一个 token,将 token 返回给客户端,客户端以后的所有请求都需要在 http 头中指定该 token。服务器接收的请求后,会对
token 的合法性进行验证。验证的内容包括:内容是一个正确的 JWT 格式 、检查签名 、检查 claims 、检查权限。

4.1、导入 JWT 及 SpringSecurity 所需依赖包


<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> 
</dependency> 
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.7.0</version> 
</dependency> 

4.2、编写登录处理过滤器类 JWTLoginFilter
核心功能是在验证用户名密码正确后,生成一个 token,并将 token 返回给客户端 该类继承自 UsernamePasswordAuthenticationFilter,重写了其中的 2 个方法:

  • attemptAuthentication :接收并解析用户凭证。
  • successfulAuthentication :用户成功登录后,这个方法会被调用,我们在这个方法里生成 token。
/**
* 验证用户名密码正确后,生成一个 token,并将 token 返回给客户端
* 
该类继承自 UsernamePasswordAuthenticationFilter,重写了其中的 2 个方法 
* 
attemptAuthentication :接收并解析用户凭证。 
* successfulAuthentication :用户成功登录后,这个方法会被调用,我们在这个方法里生成 
token。 
*
*/
public class JWTLoginFilter extends UsernamePasswordAuthenticationFilter 
{ private AuthenticationManager authenticationManager; public JWTLoginFilter(AuthenticationManager authenticationManager) { this.authenticationManager = authenticationManager; }// 接收并解析用户凭证 @Override public Authentication attemptAuthentication(HttpServletRequest req, HttpServletResponse res) throws AuthenticationException { try {User user = new ObjectMapper() .readValue(req.getInputStream(), User.class); return authenticationManager.authenticate( new UsernamePasswordAuthenticationToken( user.getUsername(), user.getPassword(), new ArrayList<>()) ); } catch (IOException e) { throw new RuntimeException(e); } 
}
// 用户成功登录后,这个方法会被调用,我们在这个方法里生成 token 
@Override 
protected void successfulAuthentication(HttpServletRequest req, HttpServletResponse res, FilterChain chain, Authentication auth) throws IOException, ServletException {String token = Jwts.builder() .setSubject(((org.springframework.security.core.userdetails.User) auth.getPrincipal()).getUsername()) .setExpiration(new Date(System.currentTimeMillis() + 60 * 60 * 24 * 1000)) .signWith(SignatureAlgorithm.HS512, "MyJwtSecret") .compact(); res.addHeader("Authorization", "Bearer " + token); } 
}

4.3、编写 Token 校验过滤器类 JWTAuthenticationFilter
用户一旦登录成功后,会拿到 token,后续的请求都会带着这个 token,服务端会验证 token的合法性。该类继承自 BasicAuthenticationFilter,在 doFilterInternal 方法中,从 http 头的 Authorization 项读取 token 数据,然后用 Jwts 包提供的方法校验 token 的合法性。如果校验通过,就认为这是一个取得授权的合法请求。


/**
* 
token 的校验 
* 
该类继承自 BasicAuthenticationFilter,在 doFilterInternal 方法中, 
* 
从 http 头的 Authorization 项读取 token 数据,然后用 Jwts 包提供的方法校验 token 的合 
法性。
* 如果校验通过,就认为这是一个取得授权的合法请求 
*
*/
public class JWTAuthenticationFilter extends BasicAuthenticationFilter { public JWTAuthenticationFilter(AuthenticationManager authenticationManager) { super(authenticationManager); }@Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain 
chain) throws IOException, ServletException { String header = request.getHeader("Authorization");if (header == null || !header.startsWith("Bearer ")) { chain.doFilter(request, response); return; }UsernamePasswordAuthenticationToken authentication = getAuthentication(request); SecurityContextHolder.getContext().setAuthentication(authentication); chain.doFilter(request, response); }private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {String token = request.getHeader("Authorization"); if (token != null) { // parse the token. String user = Jwts.parser() .setSigningKey("MyJwtSecret") .parseClaimsJws(token.replace("Bearer ", "")) .getBody() .getSubject(); if (user != null) { return new UsernamePasswordAuthenticationToken(user, null, new ArrayList<>()); }return null; }return null; } 
}

五、SpringSecurity 配置集成 JWT 认证

5.1、编写 SpringSecurity 用户及权限验证类UserDetailServiceImpl


@Service("userDetailServiceImpl") 
public class UserDetailServiceImpl implements UserDetailsService { 
@Autowired 
private UserDao userDao; 
@Override 
public UserDetails loadUserByUsername(String username) throws 
UsernameNotFoundException { 
//根据用户名查询用户信息 
com.offcn.po.User user = userDao.findByUsername(username); 
//为用户授权(暂时未验证权限) 
List<GrantedAuthority> grantedAuthorityList=new ArrayList<>(); 
grantedAuthorityList.add(new SimpleGrantedAuthority("ROLE_USER")); 
return new User(username,user.getPassword(),grantedAuthorityList); 
} 
}

5.2、修改程序主启动类,增加密码加密生成器配置

@SpringBootApplication 
public class SpringbootSecurityJwtApplication { 
public static void main(String[] args) { 
SpringApplication.run(SpringbootSecurityJwtApplication.class, args); 
}
@Bean 
public BCryptPasswordEncoder bCryptPasswordEncoder() { 
return new BCryptPasswordEncoder(); 
} 
}

5.3、编写 SpringSecurity 配置类 WebSecurityConfig
  通过 SpringSecurity 的配置,将上面的 JWT 过滤器类组合在一起。


/**
* 
SpringSecurity 的配置 
* 
通过 SpringSecurity 的配置,将 JWTLoginFilter,JWTAuthenticationFilter 组合在一起 
*
*/
@Configuration 
@Order(SecurityProperties.DEFAULT_FILTER_ORDER) 
public class WebSecurityConfig 
extends WebSecurityConfigurerAdapter { 
@Autowired 
private UserDetailsService 
userDetailServiceImpl; 
@Autowired 
private BCryptPasswordEncoder bCryptPasswordEncoder; 
@Override 
protected void configure(HttpSecurity http) throws Exception { 
http.cors().and().csrf().disable().authorizeRequests() 
.antMatchers(HttpMethod.POST, "/users/signup").permitAll() 
.anyRequest().authenticated() 
.and() 
.addFilter(new 
JWTLoginFilter(authenticationManager())) 
.addFilter(new 
JWTAuthenticationFilter(authenticationManager())); 
}
@Override 
public void configure(AuthenticationManagerBuilder auth) throws Exception { 
auth.userDetailsService(userDetailServiceImpl).passwordEncoder(bCryptPasswordEncod 
er);
} 
}

5.4、修改 UserController 类 增加注册加密密码


@Controller 
@RequestMapping("/users") 
public class UserController { 
@Autowired 
private BCryptPasswordEncoder bCryptPasswordEncoder; 
@Autowired 
private UserDao userDao; 
/**
* 
该方法是注册用户的方法,默认放开访问控制 
* 
@param user 
*/
@PostMapping("/signup") 
@ResponseBody 
public String signUp(@RequestBody User user) { 
user.setPassword(bCryptPasswordEncoder.encode(user.getPassword())); 
try {
userDao.save(user); 
return "success"; 
} catch (Exception e) { 
e.printStackTrace(); 
return "error"; 
} } }

六、测试 Token

6.1、测试请求 hello 接口
请求地址:http://localhost:8080/hello

6.2、重新注册一个账号
清空数据表
重新注册一个账号:
请求地址:http://localhost:8080/users/signup

查看数据库

6.3、测试登录
请求地址:http://localhost:8080/login
发 post 请求

响应的请求头 Authorization 的值就是 token
Bearer
eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ0ZXN0IiwiZXhwIjoxNTY1MjY0OTQxfQ.CW-QwtE1Q2
Z69NNUnH_wPIaJjJpTFnh8eR3z03ujw-hb3aMO61yuir6w-T0X0FdV9k2WQrj903J9VDz6ijPJt
Q
6.4、用登录后的 token 再次请求 hello 接口
注意:在请求头中携带 token
请求头名称:Authorization
携带对应的 token 值。
可以看到正常响应结果。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/695386.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

五种多目标优化算法(NSWOA、MOJS、MOAHA、MOPSO、NSGA2)性能对比(提供MATLAB代码)

一、5种多目标优化算法简介 1.1NSWOA 1.2MOJS 1.3MOAHA 1.4MOPSO 1.5NSGA2 二、5种多目标优化算法性能对比 为了测试5种算法的性能将其求解9个多目标测试函数&#xff08;zdt1、zdt2 、zdt3、 zdt4、 zdt6 、Schaffer、 Kursawe 、Viennet2、 Viennet3&#xff09;&#xff0…

设计模式-创建型模式-抽象工厂模式

抽象工厂模式&#xff08;Abstract Factory Pattern&#xff09;&#xff1a;提供一个创建一系列相关或相互依赖对象的接口&#xff0c;而无须指定它们具体的类。抽象工厂模式又称为Kit模式&#xff0c;它是一种对象创建型模式。 由于工厂方法模式中的每个工厂只生产一类产品&…

stm32——hal库学习笔记(DAC)

这里写目录标题 一、DAC简介&#xff08;了解&#xff09;1.1&#xff0c;什么是DAC&#xff1f;1.2&#xff0c;DAC的特性参数1.3&#xff0c;STM32各系列DAC的主要特性 二、DAC工作原理&#xff08;掌握&#xff09;2.1&#xff0c;DAC框图简介&#xff08;F1&#xff09;2.2…

《穿越科技的前沿:计算机专业必看的电影盛宴》

文章目录 每日一句正能量前言电影推荐推荐一&#xff1a;《黑客帝国》推荐二&#xff1a;《社交网络》推荐三&#xff1a;《源代码》推荐四&#xff1a;《谍影重重》系列推荐五&#xff1a;《旋转木马》 技术与主题后记 每日一句正能量 一个人的一生&#xff0c;就是一座有了年…

探索Go语言中的HTTP路由和中间件

在Go语言中&#xff0c;HTTP路由和中间件是实现Web应用程序核心功能的关键组件。路由负责将传入的HTTP请求分发到适当的处理函数&#xff0c;而中间件则提供了一种在请求处理过程中插入额外逻辑的机制。 HTTP路由 在Go中&#xff0c;net/http标准库提供了基本的路由功能&…

红队-主机发现端口扫描

NMAP扫描&#xff08;kali&#xff09; 查看nmap帮助 nmap --help 主机发现&#xff0c;扫描整个C段 sudo nmap -sn 192.168.2.0/24 端口扫描&#xff0c;最小速度10000&#xff0c;扫描全部端口(-p-) sudo nmap --min-rate 10000 -p- 192.168.200.24410000是权衡过的速度…

WebGIS开发技术岗真实面经分享!

24春招在即&#xff0c;很多人都已经在开始踏上面试的征程 面对日益严峻的就业环境&#xff0c;想获得更好的工作机会&#xff0c;没有捷径可走&#xff0c;只有不断提升才是硬道理。在此小编分享几个网友GIS开发岗真实的面试经历&#xff0c;希望对正在求职的你&#xff0c;有…

六、回归与聚类算法 - 线性回归

目录 1、线性回归的原理 1.1 应用场景 1.2 什么是线性回归 1.2.1 定义 1.2.2 线性回归的特征与目标的关系分析 2、线性回归的损失和优化原理 2.1 损失函数 2.2 优化算法 2.2.1 正规方程 2.2.2 梯度下降 3、线性回归API 4、回归性能评估 5、波士顿房价预测 5.1 流…

Nginx 和 Apache 的比较

Nginx和Apache的对比 Nginx和Apache的优缺点比较 (1)nginx相对于apache的优点 ①轻量级&#xff0c;同样起web服务&#xff0c;比apache占用更少的内存及资源 ②抗并发&#xff0c;nginx处理请求是异步非阻塞的&#xff0c;而apache是阻塞型的在高并发下&#xff0c;nginx能保持…

yolov5-tracking-xxxsort yolov5融合六种跟踪算法(二)--目标识别

本次开源计划主要针对大学生无人机相关竞赛的视觉算法开发。 开源代码仓库链接&#xff1a;https://github.com/zzhmx/yolov5-tracking-xxxsort.git 先按照之前的博客配置好环境&#xff1a; yolov5-tracking-xxxsort yolov5融合六种跟踪算法&#xff08;一&#xff09;–环境配…

【快速搞定Webpack5】处理样式资源(三)

本次内容我们将学习使用webpack如何处理css、less、sass、scss等样式资源 介绍 webpack本身是不能识别样式资源的&#xff0c;所以我们需要借助loader包来帮助webpack解析样式资源 我们找loader都应该去官方文档中查找对应的loader&#xff0c;然后学习使用。 官方文档找不到…

Linux中安装Nginx及日常配置使用

高性能的http服务器/反向代理服务器。官方测试支持5万并发&#xff0c;CPU、内存等消耗较低且运行稳定 使用场景 Http服务器。 Nginx可以单独提供Http服务&#xff0c;做为静态网页的服务器。虚拟主机。 可以在一台服务器虚拟出多个网站。反向代理与负载均衡。 Nginx做反向代理…

LaWGPT—基于中文法律知识的大模型

文章目录 LaWGPT&#xff1a;基于中文法律知识的大语言模型数据构建模型及训练步骤两个阶段二次训练流程指令精调步骤计算资源 项目结构模型部署及推理 LawGPT_zh&#xff1a;中文法律大模型&#xff08;獬豸&#xff09;数据构建知识问答模型推理训练步骤 LaWGPT&#xff1a;基…

c++用户管理信息(双向链表)

c用户管理信息---双向链表 ListStu双向链表--&#xff08;把前面的单链表改一下&#xff0c;就直接可以用&#xff09;ListStu.hListStu.cpp ListStu双向链表–&#xff08;把前面的单链表改一下&#xff0c;就直接可以用&#xff09; ListStu.h #pragma once #include "…

yarn常用命令小记

安装 npm install -g yarn查看版本 yarn -v初始化项目与依赖管理 yarn init&#xff1a;与npm init一样通过交互式会话生成一个新的package.jason文件以初始化项目&#xff1b;跳过会话可使用yarn init --yes&#xff0c;简写yarn init -yyarn add <package><versi…

【转载】企业资产收集与脆弱性检查工具

简介 云图极速版是针对拥有攻击面管理需求的用户打造的 SaaS 应用&#xff0c;致力于协助用户管理互联网资产攻击面的 SaaS 化订阅服务产品。可实现对备案域名、子域名、IP、端口、服务、网站、漏洞、安全风险等场景进行周期性监控&#xff0c;支持多维度分析攻击面。利用可视化…

java 中开源的html解析库Jsoup 简单例子

下面是一个使用Jsoup库解析HTML的简单Java例子。这个例子展示了如何使用Jsoup从一个HTML字符串中提取数据。 首先&#xff0c;确保你已经将Jsoup作为依赖项添加到你的项目中。如果你使用的是Maven&#xff0c;可以在pom.xml文件中添加以下依赖&#xff1a; &…

《图解设计模式》笔记(一)适应设计模式

图灵社区 - 图解设计模式 - 随书下载 评论区 雨帆 2017-01-11 16:14:04 对于设计模式&#xff0c;我个人认为&#xff0c;其实代码和设计原则才是最好的老师。理解了 SOLID&#xff0c;如何 SOLID&#xff0c;自然而然地就用起来设计模式了。Github 上有一个 tdd-training&…

【达梦数据库】通过系统函数来配置sqllog

环境说明&#xff1a;达梦2024年Q4季度版之后版本支持 通过系统函数进行sqllog参数配置 -- 新增模式 SLOG_CONFIG1 和 SLOG_CONFIG2&#xff1a; SP_SET_SQLLOG_INI([SLOG_CONFIG1]FILE_PATH../log;PART_STOR0;[SLOG_CONFIG2]SWITCH_MODE2;SWITCH_LIMIT128);-- 删除模式名为 S…

redis复习笔记06(小滴课堂)

分布式锁核心知识介绍和注意事项 基于Redis实现分布式锁的几种坑 综合伪代码&#xff1a; 运行&#xff1a;