厲害!我帶的實習生僅用四步就整合好SpringSecurity+JWT實現登入認證!

沉默王二發表於2022-04-07

小二是新來的實習生,作為技術 leader,我還是很負責任的,有什麼鍋都想甩給他,啊,不,一不小心怎麼把心裡話全說出來了呢?重來!

小二是新來的實習生,作為技術 leader,我還是很負責任的,有什麼好事都想著他,這不,我就安排了一個整合SpringSecurity+JWT實現登入認證的小任務交,沒想到,他僅用四步就搞定了,這讓我感覺倍有面。

一、關於 SpringSecurity

在 Spring Boot 出現之前,SpringSecurity 的使用場景是被另外一個安全管理框架 Shiro 牢牢霸佔的,因為相對於 SpringSecurity 來說,SSM 中整合 Shiro 更加輕量級。Spring Boot 出現後,使這一情況情況大有改觀。正應了那句古話:一人得道雞犬升天,雖然有點不大合適,就將就著用吧。

這是因為 Spring Boot 為 SpringSecurity 提供了自動化配置,大大降低了 SpringSecurity 的學習成本。另外,SpringSecurity 的功能也比 Shiro 更加強大。

二、關於 JWT

JWT,是目前最流行的一個跨域認證解決方案:客戶端發起使用者登入請求,伺服器端接收並認證成功後,生成一個 JSON 物件(如下所示),然後將其返回給客戶端。

從本質上來說,JWT 就像是一種生成加密使用者身份資訊的 Token,更安全也更靈活。

三、整合步驟

第一步,給需要登入認證的模組新增 codingmore-security 依賴:

<dependency>
    <groupId>top.codingmore</groupId>
    <artifactId>codingmore-security</artifactId>
    <version>1.0-SNAPSHOT</version>
</dependency>

比如說 codingmore-admin 後端管理模組需要登入認證,就在 codingmore-admin/pom.xml 檔案中新增 codingmore-security 依賴。

第二步,在需要登入認證的模組裡新增 CodingmoreSecurityConfig 類,繼承自 codingmore-security 模組中的 SecurityConfig 類。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class CodingmoreSecurityConfig extends SecurityConfig {
    @Autowired
    private IUsersService usersService;

    @Bean
    public UserDetailsService userDetailsService() {
        //獲取登入使用者資訊
        return username -> usersService.loadUserByUsername(username);
    }
}

UserDetailsService 這個類主要是用來載入使用者資訊的,包括使用者名稱、密碼、許可權、角色集合....其中有一個方法如下:

UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

認證邏輯中,SpringSecurity 會呼叫這個方法根據客戶端傳入的使用者名稱載入該使用者的詳細資訊,包括判斷:

  • 密碼是否一致
  • 通過後獲取許可權和角色
    public UserDetails loadUserByUsername(String username) {
        // 根據使用者名稱查詢使用者
        Users admin = getAdminByUsername(username);
        if (admin != null) {
            List<Resource> resourceList = getResourceList(admin.getId());
            return new AdminUserDetails(admin,resourceList);
        }
        throw new UsernameNotFoundException("使用者名稱或密碼錯誤");
    }

getAdminByUsername 負責根據使用者名稱從資料庫中查詢出密碼、角色、許可權等。

    public Users getAdminByUsername(String username) {
        QueryWrapper<Users> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("user_login", username);
        List<Users> usersList = baseMapper.selectList(queryWrapper);

        if (usersList != null && usersList.size() > 0) {
            return usersList.get(0);
        }

        // 使用者名稱錯誤,提前丟擲異常
        throw new UsernameNotFoundException("使用者名稱錯誤");
    }

第三步,在 application.yml 中配置下不需要安全保護的資源路徑:

secure:
  ignored:
    urls: #安全路徑白名單
      - /doc.html
      - /swagger-ui/**
      - /swagger/**
      - /swagger-resources/**
      - /**/v3/api-docs
      - /**/*.js
      - /**/*.css
      - /**/*.png
      - /**/*.ico
      - /webjars/springfox-swagger-ui/**
      - /actuator/**
      - /druid/**
      - /users/login
      - /users/register
      - /users/info
      - /users/logout

第四步,在登入介面中新增登入和重新整理 token 的方法:

@Controller
@Api(tags = "使用者")
@RequestMapping("/users")
public class UsersController {
    @Autowired
    private IUsersService usersService;
    @Value("${jwt.tokenHeader}")
    private String tokenHeader;
    @Value("${jwt.tokenHead}")
    private String tokenHead;

@ApiOperation(value = "登入以後返回token")
    @RequestMapping(value = "/login", method = RequestMethod.POST)
    @ResponseBody
    public ResultObject login(@Validated UsersLoginParam users, BindingResult result) {
        String token = usersService.login(users.getUserLogin(), users.getUserPass());

        if (token == null) {
            return ResultObject.validateFailed("使用者名稱或密碼錯誤");
        }

        // 將 JWT 傳遞迴客戶端
        Map<String, String> tokenMap = new HashMap<>();
        tokenMap.put("token", token);
        tokenMap.put("tokenHead", tokenHead);
        return ResultObject.success(tokenMap);
    }

    @ApiOperation(value = "重新整理token")
    @RequestMapping(value = "/refreshToken", method = RequestMethod.GET)
    @ResponseBody
    public ResultObject refreshToken(HttpServletRequest request) {
        String token = request.getHeader(tokenHeader);
        String refreshToken = usersService.refreshToken(token);
        if (refreshToken == null) {
            return ResultObject.failed("token已經過期!");
        }
        Map<String, String> tokenMap = new HashMap<>();
        tokenMap.put("token", refreshToken);
        tokenMap.put("tokenHead", tokenHead);
        return ResultObject.success(tokenMap);
    }
}

使用 Apipost 來測試一下,首先是文章獲取介面,在沒有登入的情況下會提示暫未登入或者 token 已過期。

四、實現原理

小二之所以能僅用四步就實現了登入認證,主要是因為他將 SpringSecurity+JWT 的程式碼封裝成了通用模組,我們來看看 codingmore-security 的目錄結構。

codingmore-security
├── component
|    ├── JwtAuthenticationTokenFilter -- JWT登入授權過濾器
|    ├── RestAuthenticationEntryPoint
|    └── RestfulAccessDeniedHandler
├── config
|    ├── IgnoreUrlsConfig
|    └── SecurityConfig
└── util
     └── JwtTokenUtil -- JWT的token處理工具類

JwtAuthenticationTokenFilter 和 JwtTokenUtil 在講 JWT 的時候已經詳細地講過了,這裡再簡單補充一點。

客戶端的請求頭裡攜帶了 token,服務端肯定是需要針對每次請求解析校驗 token 的,所以必須得定義一個過濾器,也就是 JwtAuthenticationTokenFilter:

  • 從請求頭中獲取 token
  • 對 token 進行解析、驗籤、校驗過期時間
  • 校驗成功,將驗證結果放到 ThreadLocal 中,供下次請求使用

重點來看其他四個類。第一個 RestAuthenticationEntryPoint(自定義返回結果:未登入或登入過期):

public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Cache-Control","no-cache");
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        response.getWriter().println(JSONUtil.parse(ResultObject.unauthorized(authException.getMessage())));
        response.getWriter().flush();
    }
}

可以通過 debug 的方式看一下返回的資訊正是之前使用者未登入狀態下訪問文章頁的錯誤資訊。

具體的資訊是在 ResultCode 類中定義的。

public enum ResultCode implements IErrorCode {
    SUCCESS(0, "操作成功"),
    FAILED(500, "操作失敗"),
    VALIDATE_FAILED(506, "引數檢驗失敗"),
    UNAUTHORIZED(401, "暫未登入或token已經過期"),
    FORBIDDEN(403, "沒有相關許可權");
    private long code;
    private String message;

    private ResultCode(long code, String message) {
        this.code = code;
        this.message = message;
    }
}

第二個 RestfulAccessDeniedHandler(自定義返回結果:沒有許可權訪問時):

public class RestfulAccessDeniedHandler implements AccessDeniedHandler{
    @Override
    public void handle(HttpServletRequest request,
                       HttpServletResponse response,
                       AccessDeniedException e) throws IOException, ServletException {
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Cache-Control","no-cache");
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        response.getWriter().println(JSONUtil.parse(ResultObject.forbidden(e.getMessage())));
        response.getWriter().flush();
    }
}

第三個IgnoreUrlsConfig(用於配置不需要安全保護的資源路徑):

@Getter
@Setter
@ConfigurationProperties(prefix = "secure.ignored")
public class IgnoreUrlsConfig {
    private List<String> urls = new ArrayList<>();
}

通過 lombok 註解的方式直接將配置檔案中不需要許可權校驗的路徑放開,比如說 Knife4j 的介面文件頁面。如果不放開的話,就被 SpringSecurity 攔截了,沒辦法訪問到了。

第四個SecurityConfig(SpringSecurity通用配置):

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired(required = false)
    private DynamicSecurityService dynamicSecurityService;

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity
                .authorizeRequests();

        //不需要保護的資源路徑允許訪問
        for (String url : ignoreUrlsConfig().getUrls()) {
            registry.antMatchers(url).permitAll();
        }

        // 任何請求需要身份認證
        registry.and()
                .authorizeRequests()
                .anyRequest()
                .authenticated()
                // 關閉跨站請求防護及不使用session
                .and()
                .csrf()
                .disable()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                // 自定義許可權拒絕處理類
                .and()
                .exceptionHandling()
                .accessDeniedHandler(restfulAccessDeniedHandler())
                .authenticationEntryPoint(restAuthenticationEntryPoint())
                // 自定義許可權攔截器JWT過濾器
                .and()
                .addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);
        //有動態許可權配置時新增動態許可權校驗過濾器
        if(dynamicSecurityService!=null){
            registry.and().addFilterBefore(dynamicSecurityFilter(), FilterSecurityInterceptor.class);
        }
    }
}

這個類的主要作用就是告訴 SpringSecurity 那些路徑不需要攔截,除此之外的,都要進行 RestfulAccessDeniedHandler(登入校驗)、RestAuthenticationEntryPoint(許可權校驗)和 JwtAuthenticationTokenFilter(JWT 過濾)。

並且將 JwtAuthenticationTokenFilter 過濾器新增到 UsernamePasswordAuthenticationFilter 過濾器之前。

五、測試

第一步,測試登入介面,Apipost 直接訪問 http://localhost:9002/users/login,可以看到 token 正常返回。

第二步,不帶 token 直接訪問文章介面,可以看到進入了 RestAuthenticationEntryPoint 這個處理器:

第三步,攜帶 token,這次我們改用 Knife4j 來測試,發現可以正常訪問:

原始碼連結:

https://github.com/itwanger/coding-more

本篇已收錄至 GitHub 上星標 1.9k+ star 的開源專欄《Java 程式設計師進階之路》,據說每一個優秀的 Java 程式設計師都喜歡她,風趣幽默、通俗易懂。內容包括 Java 基礎、Java 併發程式設計、Java 虛擬機器、Java 企業級開發、Java 面試等核心知識點。學 Java,就認準 Java 程式設計師進階之路?。

https://github.com/itwanger/toBeBetterJavaer

star 了這個倉庫就等於你擁有了成為了一名優秀 Java 工程師的潛力。也可以戳下面的連結跳轉到《Java 程式設計師進階之路》的官網網址,開始愉快的學習之旅吧。

https://tobebetterjavaer.com/

沒有什麼使我停留——除了目的,縱然岸旁有玫瑰、有綠蔭、有寧靜的港灣,我是不繫之舟

相關文章