Spring Security（一）：整合JWT

ywbjja發表於2019-01-05

違背的青春

今天寫下Spring Security整合jwt的一個簡單小Demo，目的是登入後實現返回token，其實整個過程很簡單。

匯入依賴

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
複製程式碼

首先建立一個JwtUser實現UserDetails

org.springframework.security.core.userdetails.UserDetails
先看一下這個介面的原始碼，其實很簡單

public interface UserDetails extends Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    String getPassword();

    String getUsername();

    boolean isAccountNonExpired();

    boolean isAccountNonLocked();

    boolean isCredentialsNonExpired();

    boolean isEnabled();
}
複製程式碼

這個是Spring Security給我們提供的一個簡單的介面，因為我們需要通過SecurityContextHolder去取得使用者憑證等等資訊，因為這個比較簡單，所以我們實際業務要來加上我們所需要的資訊。

public class JwtUser implements UserDetails {


    private String username;

    private String password;

    private Integer state;

    private Collection<? extends GrantedAuthority> authorities;

    public JwtUser() {
    }

    public JwtUser(String username, String password, Integer state, Collection<? extends GrantedAuthority> authorities) {
        this.username = username;
        this.password = password;
        this.state = state;
        this.authorities = authorities;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @JsonIgnore
    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    //賬戶是否未過期
    @JsonIgnore
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    //賬戶是否未被鎖
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }



    @JsonIgnore
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }


    //是否啟用
    @JsonIgnore
    @Override
    public boolean isEnabled() {
        return true;
    }
}
複製程式碼

我這個其實也很簡單，只是一些使用者名稱，密碼狀態和許可權的集合這些。

編寫一個工具類來生成令牌等…

@Data
@ConfigurationProperties(prefix = "jwt")
@Component
public class JwtTokenUtil implements Serializable {

    private String secret;

    private Long expiration;

    private String header;

    /**
     * 從資料宣告生成令牌
     *
     * @param claims 資料宣告
     * @return 令牌
     */
    private String generateToken(Map<String, Object> claims) {
        Date expirationDate = new Date(System.currentTimeMillis() + expiration);
        return Jwts.builder().setClaims(claims).setExpiration(expirationDate).signWith(SignatureAlgorithm.HS512, secret).compact();
    }

    /**
     * 從令牌中獲取資料宣告
     *
     * @param token 令牌
     * @return 資料宣告
     */
    private Claims getClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
        } catch (Exception e) {
            claims = null;
        }
        return claims;
    }

    /**
     * 生成令牌
     *
     * @param userDetails 使用者
     * @return 令牌
     */
    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>(2);
        claims.put("sub", userDetails.getUsername());
        claims.put("created", new Date());
        return generateToken(claims);
    }

    /**
     * 從令牌中獲取使用者名稱
     *
     * @param token 令牌
     * @return 使用者名稱
     */
    public String getUsernameFromToken(String token) {
        String username;
        try {
            Claims claims = getClaimsFromToken(token);
            username = claims.getSubject();
        } catch (Exception e) {
            username = null;
        }
        return username;
    }

    /**
     * 判斷令牌是否過期
     *
     * @param token 令牌
     * @return 是否過期
     */
    public Boolean isTokenExpired(String token) {
        try {
            Claims claims = getClaimsFromToken(token);
            Date expiration = claims.getExpiration();
            return expiration.before(new Date());
        } catch (Exception e) {
            return false;
        }
    }

    /**
     * 重新整理令牌
     *
     * @param token 原令牌
     * @return 新令牌
     */
    public String refreshToken(String token) {
        String refreshedToken;
        try {
            Claims claims = getClaimsFromToken(token);
            claims.put("created", new Date());
            refreshedToken = generateToken(claims);
        } catch (Exception e) {
            refreshedToken = null;
        }
        return refreshedToken;
    }

    /**
     * 驗證令牌
     *
     * @param token       令牌
     * @param userDetails 使用者
     * @return 是否有效
     */
    public Boolean validateToken(String token, UserDetails userDetails) {
        JwtUser user = (JwtUser) userDetails;
        String username = getUsernameFromToken(token);
        return (username.equals(user.getUsername()) && !isTokenExpired(token));
    }
}
複製程式碼

這個類就是一些生成令牌，驗證等等一些操作。具體看註釋~

編寫一個Filter

@Slf4j
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {



    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtTokenUtil jwtTokenUtil;


    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        String authHeader = request.getHeader(jwtTokenUtil.getHeader());
        if (authHeader != null && StringUtils.isNotEmpty(authHeader)) {
            String username = jwtTokenUtil.getUsernameFromToken(authHeader);
            log.info(username);
            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
                if (jwtTokenUtil.validateToken(authHeader, userDetails)) {
                    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                    authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            }
        }
        chain.doFilter(request, response);
    }
}
複製程式碼

這個其實就是用來驗證令牌的是否合法，由於今天這個Demo是一個簡單的登入返回token的過程，所以這個預設不會去執行裡面的邏輯。但是以後登陸後的操作就會執行裡面的邏輯了。

JwtUserDetailsServiceImpl

JwtUserDetailsServiceImpl這個實現類是實現了UserDetailsService，UserDetailsService是Spring Security進行身份驗證的時候會使用，我們這裡就一個載入使用者資訊的簡單方法，就是得到當前登入使用者的一些使用者名稱、密碼、使用者所擁有的角色等等一些資訊

@Slf4j
@Service
public class JwtUserDetailsServiceImpl implements UserDetailsService {



    @Autowired
    private UserMapper userMapper;
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

        User user = userMapper.selectByUserName(s);
        if(user == null){
            throw new UsernameNotFoundException(String.format("'%s'.這個使用者不存在", s));
        }
        List<SimpleGrantedAuthority> collect = user.getRoles().stream().map(Role::getRolename).map(SimpleGrantedAuthority::new).collect(Collectors.toList());
        return new JwtUser(user.getUsername(), user.getPassword(), user.getState(), collect);
    }
}
複製程式碼

編寫登入的業務實現類

@Slf4j
@Service
public class UserServiceImpl implements UserService {
    @Autowired
    private UserMapper userMapper;



    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtTokenUtil jwtTokenUtil;


    public User findByUsername(String username) {
        User user = userMapper.selectByUserName(username);
        log.info("userserviceimpl"+user);
        return user;
    }

    public RetResult login(String username, String password) throws AuthenticationException {
        UsernamePasswordAuthenticationToken upToken = new UsernamePasswordAuthenticationToken(username, password);
        final Authentication authentication = authenticationManager.authenticate(upToken);
        SecurityContextHolder.getContext().setAuthentication(authentication);
        UserDetails userDetails = userDetailsService.loadUserByUsername(username);
        return new RetResult(RetCode.SUCCESS.getCode(),jwtTokenUtil.generateToken(userDetails));
    }
}
複製程式碼

從上面可以看到login方法，會根據使用者資訊然後返回一個token給我們。

WebSecurityConfig

這個就是Spring Security的配置類了

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurity extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Autowired
    public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder)throws Exception{
        authenticationManagerBuilder.userDetailsService(this.userDetailsService).passwordEncoder(passwordEncoder());
    }


    @Bean(name = BeanIds.AUTHENTICATION_MANAGER)
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and().authorizeRequests()
                .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                .antMatchers("/auth/**").permitAll()
                .anyRequest().authenticated()
                .and().headers().cacheControl();

        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);


        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = http.authorizeRequests();
        //讓Spring security放行所有preflight request
        registry.requestMatchers(CorsUtils::isPreFlightRequest).permitAll();
    }

    @Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration cors = new CorsConfiguration();
        cors.setAllowCredentials(true);
        cors.addAllowedOrigin("*");
        cors.addAllowedHeader("*");
        cors.addAllowedMethod("*");
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", cors);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }
}
複製程式碼

我們可以在這裡設定自定義的攔截規則，注意在Spring Security5.x中我們要顯式注入AuthenticationManager不然會報錯~

@Bean(name = BeanIds.AUTHENTICATION_MANAGER)
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
複製程式碼

目前基本的都已經完成了剩下的就是一些entity,controller的程式碼了具體可以看我GitHub上的程式碼。
如果有任何見解或者我有寫錯的地方可以聯絡我…我一定改…

下載專案到本地，然後改一下mysql的資料庫資訊，執行就可以看到返回的token資料了。

歡迎大家關注我的個人公眾號~

Spring Security原始碼分析十一：Spring Security OAuth2整合JWT
2019-02-28
Spring原始碼OAuthJWT
Spring Boot 3中將JWT與Spring Security 6整合
2024-04-23
Spring BootJWT
Spring Security + JWT
2022-12-21
SpringJWT
記錄springboot 3.3.5 版本整合 swagger +spring security + jwt
2024-10-31
Spring BootSwaggerJWT
SpringBoot整合Spring security JWT實現介面許可權認證
2020-11-17
Spring BootJWT
Spring Boot整合Spring Security
2018-12-18
Spring Boot
SpringBoot整合Spring Security
2020-09-19
Spring Boot
使用JWT的Spring Security - JakubLeško
2019-01-14
JWTSpring
Spring Boot Security 整合 JWT 實現無狀態的分散式API介面
2019-05-31
Spring BootJWT分散式API
spring-boot 整合 spring-security
2018-07-14
Springboot
Spring security（四）-spring boot +spring security簡訊認證+redis整合
2019-06-29
Spring BootRedis
乾貨|一個案例學會Spring Security 中使用 JWT
2019-04-08
SpringJWT
【專案實踐】一文帶你搞定Spring Security + JWT
2021-01-12
SpringJWT
Spring Boot 整合 Spring Security 入門案例教程
2020-04-21
Spring Boot
Spring Cloud Security：Oauth2結合JWT使用
2019-11-06
SpringCloudOAuthJWT
適合新手入門Spring Security With JWT的demo
2019-09-28
SpringJWT
spring security（一）
2020-12-13
Spring
九、Spring Boot整合Spring Security之授權概述
2024-11-28
Spring Boot
Spring Security (三）:與Vue.js整合
2019-01-14
SpringVue.js
五、Spring Boot整合Spring Security之認證流程2
2024-10-14
Spring Boot
Spring Security + jwt 許可權系統設計，包含SQL
2020-11-19
SpringJWTSQL
Spring Cloud實戰系列(十) - 單點登入JWT與Spring Security OAuth
2019-02-09
SpringCloudJWTOAuth
十、Spring Boot整合Spring Security之HTTP請求授權
2024-12-02
Spring BootHTTP
Spring Cloud實戰 | 最終篇：Spring Cloud Gateway+Spring Security OAuth2整合統一認證授權平臺下實現登出使JWT失效方案
2020-09-27
SpringCloudGatewayOAuthJWT
Spring Boot 2 + Spring Security 5 + JWT 的單頁應用Restful解決方案
2019-04-01
Spring BootJWTREST
Spring Security 實戰乾貨：使用 JWT 認證訪問介面
2019-11-08
SpringJWT
Spring Security OAuth2.0認證授權三：使用JWT令牌
2021-01-11
SpringOAuthJWT
Spring Security（一）入門
2018-09-15
Spring
Spring Boot 最簡單整合 Shiro+JWT 方式
2019-12-10
Spring BootJWT
基於Spring Security和 JWT的許可權系統設計
2019-04-01
SpringJWT
使用 Spring Security JWT 令牌簽名實現 REST API 安全性
2024-05-23
SpringJWTRESTAPI
Activiti7 與 Spring Boot 及 Spring Security 整合踩坑記錄
2021-07-14
Spring Boot
Java安全框架（一）Spring Security
2020-11-03
Java框架Spring
SpringBoot整合spring-security-oauth2完整實現例子
2021-02-03
Spring BootOAuth
Spring Boot + Security + JWT 實現Token驗證+多Provider——登入系統
2019-06-05
Spring BootJWTIDE
Spring Security
2022-05-01
Spring
springBoot整合spring security+JWT實現單點登入與許可權管理前後端分離--築基中期
2020-09-04
Spring BootJWT後端
七、Spring Boot整合Spring Security之前後分離認證最佳實現
2024-11-06
Spring Boot