作者:王帅@CodeSheep

 

写在前面

关于 Spring Security

Web系统的认证和权限模块也算是一个系统的基础设施了,几乎任何的互联网服务都会涉及到这方面的要求。在Java EE领域,成熟的安全框架解决方案一般有 Apache Shiro、Spring Security等两种技术选型。Apache Shiro简单易用也算是一大优势,但其功能还是远不如 Spring Security强大。Spring Security可以为 Spring 应用提供声明式的安全访问控制,起通过提供一系列可以在 Spring应用上下文中可配置的Bean,并利用 Spring IoC和 AOP等功能特性来为应用系统提供声明式的安全访问控制功能,减少了诸多重复工作。

关于JWT

JSON Web Token (JWT),是在网络应用间传递信息的一种基于 JSON的开放标准((RFC 7519),用于作为JSON对象在不同系统之间进行安全地信息传输。主要使用场景一般是用来在 身份提供者和服务提供者间传递被认证的用户身份信息。关于JWT的科普,可以看看阮一峰老师的《JSON Web Token 入门教程》。

本文则结合 Spring Security和 JWT两大利器来打造一个简易的权限系统。

本文实验环境如下:

  • Spring Boot版本: 2.0.6.RELEASE

  • IDE: IntelliJIDEA2018.2.4

另外本文实验代码置于文尾,需要自取。


设计用户和角色

本文实验为了简化考虑,准备做如下设计:

  • 设计一个最简角色表 role,包括 角色ID和 角色名称

  • 设计一个最简用户表 user,包括 用户ID, 用户名, 密码

  • 再设计一个用户和角色一对多的关联表 user_roles 一个用户可以拥有多个角色


创建 Spring Security和 JWT加持的 Web工程

  • pom.xml 中引入 Spring Security和 JWT所必需的依赖

  1. <dependency>

  2. <groupId>org.springframework.boot</groupId>

  3. <artifactId>spring-boot-starter-security</artifactId>

  4. </dependency>

  5. <dependency>

  6. <groupId>io.jsonwebtoken</groupId>

  7. <artifactId>jjwt</artifactId>

  8. <version>0.9.0</version>

  9. </dependency>

  • 项目配置文件中加入数据库和 JPA等需要的配置

  1. server.port=9991

  2. spring.datasource.driver-class-name=com.mysql.jdbc.Driver

  3. spring.datasource.url=jdbc:mysql://121.196.XXX.XXX:3306/spring_security_jwt?useUnicode=true&characterEncoding=utf-8

  4. spring.datasource.username=root

  5. spring.datasource.password=XXXXXX

  6. logging.level.org.springframework.security=info

  7. spring.jpa.hibernate.ddl-auto=update

  8. spring.jpa.show-sql=true

  9. spring.jackson.serialization.indent_output=true

  • 创建用户、角色实体

用户实体 User

  1. /**

  2. * @ www.codesheep.cn

  3. * 20190312

  4. */

  5. @Entity

  6. public class User implements UserDetails {

  7. @Id

  8. @GeneratedValue

  9. private Long id;

  10. private String username;

  11. private String password;

  12. @ManyToMany(cascade = {CascadeType.REFRESH},fetch = FetchType.EAGER)

  13. private List<Role> roles;

  14. ...

  15. // 下面为实现UserDetails而需要的重写方法!

  16. @Override

  17. public Collection<? extends GrantedAuthority> getAuthorities() {

  18. List<GrantedAuthority> authorities = new ArrayList<>();

  19. for (Role role : roles) {

  20. authorities.add( new SimpleGrantedAuthority( role.getName() ) );

  21. }

  22. return authorities;

  23. }

  24. ...

  25. }

此处所创建的 User类继承了 Spring Security的 UserDetails接口,从而成为了一个符合 Security安全的用户,即通过继承 UserDetails,即可实现 Security中相关的安全功能。

角色实体 Role:

  1. /**

  2. * @ www.codesheep.cn

  3. * 20190312

  4. */

  5. @Entity

  6. public class Role {

  7. @Id

  8. @GeneratedValue

  9. private Long id;

  10. private String name;

  11. ... // 省略 getter和 setter

  12. }

  • 创建JWT工具类

主要用于对 JWT Token进行各项操作,比如生成Token、验证Token、刷新Token等

  1. /**

  2. * @ www.codesheep.cn

  3. * 20190312

  4. */

  5. @Component

  6. public class JwtTokenUtil implements Serializable {

  7. private static final long serialVersionUID = -5625635588908941275L;

  8. private static final String CLAIM_KEY_USERNAME = "sub";

  9. private static final String CLAIM_KEY_CREATED = "created";

  10. public String generateToken(UserDetails userDetails) {

  11. ...

  12. }

  13. String generateToken(Map<String, Object> claims) {

  14. ...

  15. }

  16. public String refreshToken(String token) {

  17. ...

  18. }

  19. public Boolean validateToken(String token, UserDetails userDetails) {

  20. ...

  21. }

  22. ... // 省略部分工具函数

  23. }

  • 创建Token过滤器,用于每次外部对接口请求时的Token处理

  1. /**

  2. * @ www.codesheep.cn

  3. * 20190312

  4. */

  5. @Component

  6. public class JwtTokenFilter extends OncePerRequestFilter {

  7. @Autowired

  8. private UserDetailsService userDetailsService;

  9. @Autowired

  10. private JwtTokenUtil jwtTokenUtil;

  11. @Override

  12. protected void doFilterInternal ( HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {

  13. String authHeader = request.getHeader( Const.HEADER_STRING );

  14. if (authHeader != null && authHeader.startsWith( Const.TOKEN_PREFIX )) {

  15. final String authToken = authHeader.substring( Const.TOKEN_PREFIX.length() );

  16. String username = jwtTokenUtil.getUsernameFromToken(authToken);

  17. if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

  18. UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

  19. if (jwtTokenUtil.validateToken(authToken, userDetails)) {

  20. UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(

  21. userDetails, null, userDetails.getAuthorities());

  22. authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(

  23. request));

  24. SecurityContextHolder.getContext().setAuthentication(authentication);

  25. }

  26. }

  27. }

  28. chain.doFilter(request, response);

  29. }

  30. }

  • Service业务编写

主要包括用户登录和注册两个主要的业务

  1. public interface AuthService {

  2. User register( User userToAdd );

  3. String login( String username, String password );

  4. }

  1. /**

  2. * @ www.codesheep.cn

  3. * 20190312

  4. */

  5. @Service

  6. public class AuthServiceImpl implements AuthService {

  7. @Autowired

  8. private AuthenticationManager authenticationManager;

  9. @Autowired

  10. private UserDetailsService userDetailsService;

  11. @Autowired

  12. private JwtTokenUtil jwtTokenUtil;

  13. @Autowired

  14. private UserRepository userRepository;

  15. // 登录

  16. @Override

  17. public String login( String username, String password ) {

  18. UsernamePasswordAuthenticationToken upToken = new UsernamePasswordAuthenticationToken( username, password );

  19. final Authentication authentication = authenticationManager.authenticate(upToken);

  20. SecurityContextHolder.getContext().setAuthentication(authentication);

  21. final UserDetails userDetails = userDetailsService.loadUserByUsername( username );

  22. final String token = jwtTokenUtil.generateToken(userDetails);

  23. return token;

  24. }

  25. // 注册

  26. @Override

  27. public User register( User userToAdd ) {

  28. final String username = userToAdd.getUsername();

  29. if( userRepository.findByUsername(username)!=null ) {

  30. return null;

  31. }

  32. BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();

  33. final String rawPassword = userToAdd.getPassword();

  34. userToAdd.setPassword( encoder.encode(rawPassword) );

  35. return userRepository.save(userToAdd);

  36. }

  37. }

  • Spring Security配置类编写(非常重要)

这是一个高度综合的配置类,主要是通过重写 WebSecurityConfigurerAdapter 的部分 configure配置,来实现用户自定义的部分。

  1. /**

  2. * @ www.codesheep.cn

  3. * 20190312

  4. */

  5. @Configuration

  6. @EnableWebSecurity

  7. @EnableGlobalMethodSecurity(prePostEnabled=true)

  8. public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

  9. @Autowired

  10. private UserService userService;

  11. @Bean

  12. public JwtTokenFilter authenticationTokenFilterBean() throws Exception {

  13. return new JwtTokenFilter();

  14. }

  15. @Bean

  16. public AuthenticationManager authenticationManagerBean() throws Exception {

  17. return super.authenticationManagerBean();

  18. }

  19. @Override

  20. protected void configure( AuthenticationManagerBuilder auth ) throws Exception {

  21. auth.userDetailsService( userService ).passwordEncoder( new BCryptPasswordEncoder() );

  22. }

  23. @Override

  24. protected void configure( HttpSecurity httpSecurity ) throws Exception {

  25. httpSecurity.csrf().disable()

  26. .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()

  27. .authorizeRequests()

  28. .antMatchers(HttpMethod.OPTIONS, "/**").permitAll() // OPTIONS请求全部放行

  29. .antMatchers(HttpMethod.POST, "/authentication/**").permitAll() //登录和注册的接口放行,其他接口全部接受验证

  30. .antMatchers(HttpMethod.POST).authenticated()

  31. .antMatchers(HttpMethod.PUT).authenticated()

  32. .antMatchers(HttpMethod.DELETE).authenticated()

  33. .antMatchers(HttpMethod.GET).authenticated();

  34. // 使用前文自定义的 Token过滤器

  35. httpSecurity

  36. .addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter

Spring Boot 集成 Spring Security 实现权限认证模块的更多相关文章

  1. Spring Boot集成Spring Data Reids和Spring Session实现Session共享

    首先,需要先集成Redis的支持,参考:http://www.cnblogs.com/EasonJim/p/7805665.html Spring Boot集成Spring Data Redis+Sp ...

  2. SpringBoot系列:Spring Boot集成Spring Cache,使用EhCache

    前面的章节,讲解了Spring Boot集成Spring Cache,Spring Cache已经完成了多种Cache的实现,包括EhCache.RedisCache.ConcurrentMapCac ...

  3. SpringBoot系列:Spring Boot集成Spring Cache,使用RedisCache

    前面的章节,讲解了Spring Boot集成Spring Cache,Spring Cache已经完成了多种Cache的实现,包括EhCache.RedisCache.ConcurrentMapCac ...

  4. Spring boot 集成Spring Security

    依赖jar <dependency> <groupId>org.springframework.cloud</groupId> <artifactId> ...

  5. Spring Boot 集成spring security4

    项目GitHub地址 : https://github.com/FrameReserve/TrainingBoot Spring Boot (三)集成spring security,标记地址: htt ...

  6. Spring boot集成spring session实现session共享

    最近使用spring boot开发一个系统,nginx做负载均衡分发请求到多个tomcat,此时访问页面会把请求分发到不同的服务器,session是存在服务器端,如果首次访问被分发到A服务器,那么se ...

  7. Spring Boot 集成 Spring Security

    1.添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId> ...

  8. Spring Boot 集成 Spring Security 入门案例教程

    前言 本文作为入门级的DEMO,完全按照官网实例演示: 项目目录结构 Maven 依赖 <parent> <groupId>org.springframework.boot&l ...

  9. Spring Boot 集成 Spring Security 使用自定义的安全数据源

    编写一个类自定义实现 UserDetailsService 接口 @Service("customUserDetailService") public class CustomUs ...

随机推荐

  1. JavaScript篇 深入理解JavaScript函数

    JavaScript中的函数 1. 函数的定义 两种定义形式: 通过函数定义表达式来定义 通过函数声明语句来定义 函数声明语句定义一个函数 //计算阶乘的递归函数 function factorial ...

  2. 基于Odoo框架的开源在线客服系统

    cs_base 开源客服系统,基于 Odoo 的客服模块 cs_base 是在强大的 Odoo 框架的基础上实现的一个在线客服应用 基础模块包含完整的 Web 在线客服的接入,坐席管理等,通过扩展可方 ...

  3. 时空地图TimeGIS.com生成正交曲线网格

    数值模拟中对数学物理方程的求解过程中经常需要生成网格,这里提供了一种方便的方法,只需要简单地勾画出区域的轮廓, 就可以生成相应的正交曲线网格,详情请访问 www.TimeGIS.com

  4. 360浏览器兼容模式下IE内核版本

    问题 最近在跟客户演示系统时,自己电脑IE 11下好好的,我们web系统最低支持到IE9.在客户电脑上,IE9浏览器下可以正常浏览,但是360兼容模式下,页面什么也不显示. 通过F12调试工具发现,3 ...

  5. ElasticSearch-6.3.2 linux 安装

    在linux 系统安装ElasticSearch-6.3.2最新版本,也适合6.x 系列版本做参考 前提先在linux 安装好jdk1.8 创建用户 从5.0开始,ElasticSearch 安全级别 ...

  6. 前端 聊聊Ajax

    转载:关于Ajax的全面总结.

  7. 「Python」为什么Python里面,整除的结果会是小数?

    2018-06-08 参考资料:Python学习笔记(4)负数除法和取模运算 先来看三个式子(!这是在Python3.0下的运算结果): 输出结果: ‘//’明明是整除,为什么结果不是整数,而会出现小 ...

  8. 关于Http

    摘自:菜鸟教程 HTTP简介 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(www)服务器传输超文本到本地浏览器的传送协议. HTTP ...

  9. 考据:internet 和 Web

    我们有时大谈互联网发展趋势,有时讨论Web开发:有时说因特网如何,有时又说万维网怎样.但身处其间我们,有时雾里看花,对有些东西一知半解,这里对internet和Web进行一个简单梳理(很多东西缺少可信 ...

  10. oracle 行列转换

    oracle 行列转换列名如果是数字,用双引号包住  如下: --  建表 create table workinfo(wid integer primary key,sid integer ,CON ...