你知道怎么Spring security整合JWT么

• 模型分類
• 增加用戶名和密碼
• 基于內(nèi)存的認(rèn)證
• 導(dǎo)入依賴
• 創(chuàng)建一個(gè) JwtUser 實(shí)現(xiàn) UserDetails
• 編寫工具類生成令牌
• 編寫攔截器
• 編寫 userDetailsService 的實(shí)現(xiàn)類
• 編寫登錄
• 最后配置 Config
• 運(yùn)行，返回 token
• 重寫 UsernamePasswordAnthenticationFilter
• 配置 SecurityConfig
• 設(shè)計(jì)數(shù)據(jù)表
• 著重配置 SpringConfig

權(quán)限系統(tǒng)躲不開的概念，在Shiro和Spring Security之間，你一般選啥？在前后端分離的項(xiàng)目中，你知道怎么Spring security整合JWT么，來看看這篇文章哈！

思維導(dǎo)圖如下：

RBAC 全稱為基于角色的權(quán)限控制，本段將會(huì)從什么是 RBAC，模型分類，什么是權(quán)限，用戶組的使用，實(shí)例分析等幾個(gè)方面闡述 RBAC.

思維導(dǎo)圖

繪制思維導(dǎo)圖如下什么是 RBAC

RBAC 全稱為用戶角色權(quán)限控制，通過角色關(guān)聯(lián)用戶，角色關(guān)聯(lián)權(quán)限，這種方式，間階的賦予用戶的權(quán)限，如下圖所示

對(duì)于通常的系統(tǒng)而言，存在多個(gè)用戶具有相同的權(quán)限，在分配的時(shí)候，要為指定的用戶分配相關(guān)的權(quán)限，修改的時(shí)候也要依次的對(duì)這幾個(gè)用戶的權(quán)限進(jìn)行修改，有了角色這個(gè)權(quán)限，在修改權(quán)限的時(shí)候，只需要對(duì)角色進(jìn)行修改，就可以實(shí)現(xiàn)相關(guān)的權(quán)限的修改。這樣做增加了效率，減少了權(quán)限漏洞的發(fā)生。

模型分類

對(duì)于 RBAC 模型來說，分為以下幾個(gè)模型 分別是 RBAC0，RBAC1，RBAC2，RBAC3，這四個(gè)模型，這段將會(huì)依次介紹這四個(gè)模型，其中最常用的模型有 RBAC0.

RBAC0

RBAC0 是最簡單的 RBAC 模型，這里面包含了兩種。

用戶和角色是多對(duì)一的關(guān)系，即一個(gè)用戶只充當(dāng)一種角色，一個(gè)角色可以有多個(gè)角色的擔(dān)當(dāng)。用戶和角色是多對(duì)多的關(guān)系，即，一個(gè)用戶可以同時(shí)充當(dāng)多個(gè)角色，一個(gè)角色可以有多個(gè)用戶。此系統(tǒng)功能單一，人員較少，這里舉個(gè)栗子，張三既是行政，也負(fù)責(zé)財(cái)務(wù)，此時(shí)張三就有倆個(gè)權(quán)限，分別是行政權(quán)限，和財(cái)務(wù)權(quán)限兩個(gè)部分。

RBAC1

相對(duì)于 RBAC0 模型來說，增加了子角色，引入了繼承的概念。

RBAC2 模型

這里 RBAC2 模型，在 RBAC0 模型的基礎(chǔ)上，增加了一些功能，以及限制

角色互斥

即，同一個(gè)用戶不能擁有兩個(gè)互斥的角色，舉個(gè)例子，在財(cái)務(wù)系統(tǒng)中，一個(gè)用戶不能擁有會(huì)計(jì)員和審計(jì)這兩種角色。

基數(shù)約束

即，用一個(gè)角色，所擁有的成員是固定的，例如對(duì)于 CEO 這種角色，同一個(gè)角色，也只能有一個(gè)用戶。

先決條件

即，對(duì)于該角色來說，如果想要獲得更高的角色，需要先獲取低一級(jí)別的角色。舉個(gè)栗子，對(duì)于副總經(jīng)理和經(jīng)理這兩個(gè)權(quán)限來說，需要先有副總經(jīng)理權(quán)限，才能擁有經(jīng)理權(quán)限，其中副總經(jīng)理權(quán)限是經(jīng)理權(quán)限的先決條件。

運(yùn)行時(shí)互斥

即，一個(gè)用戶可以擁有兩個(gè)角色，但是這倆個(gè)角色不能同時(shí)使用，需要切換角色才能進(jìn)入另外一個(gè)角色。舉個(gè)栗子，對(duì)于總經(jīng)理和專員這兩個(gè)角色，系統(tǒng)只能在一段時(shí)間，擁有其一個(gè)角色，不能同時(shí)對(duì)這兩種角色進(jìn)行操作。

RBAC3 模型

即，RBAC1，RBAC2，兩者模型全部累計(jì)，稱為統(tǒng)一模型。

什么是權(quán)限

權(quán)限是資源的集合，這里的資源指的是軟件中的所有的內(nèi)容，即，對(duì)頁面的操作權(quán)限，對(duì)頁面的訪問權(quán)限，對(duì)數(shù)據(jù)的增刪查改的權(quán)限。舉個(gè)栗子。對(duì)于下圖中的系統(tǒng)而言，

擁有，計(jì)劃管理，客戶管理，合同管理，出入庫通知單管理，糧食安全追溯，糧食統(tǒng)計(jì)查詢，設(shè)備管理這幾個(gè)頁面，對(duì)這幾個(gè)頁面的訪問，以及是否能夠訪問到菜單，都屬于權(quán)限。

用戶組的使用

對(duì)于用戶組來說，是把眾多的用戶劃分為一組，進(jìn)行批量授予角色，即，批量授予權(quán)限。舉個(gè)栗子，對(duì)于部門來說，一個(gè)部門擁有一萬多個(gè)員工，這些員工都擁有相同的角色，如果沒有用戶組，可能需要一個(gè)個(gè)的授予相關(guān)的角色，在擁有了用戶組以后，只需要，把這些用戶全部劃分為一組，然后對(duì)該組設(shè)置授予角色，就等同于對(duì)這些用戶授予角色。

優(yōu)點(diǎn)：減少工作量，便于理解，增加多級(jí)管理，等。

首先添加依賴

<dependency>
<groupId>org.springframework.bootgroupId>
<artifactId>spring-boot-starter-securityartifactId>
dependency>

然后添加相關(guān)的訪問接口

packagecom.example.demo.web;

importorg.springframework.web.bind.annotation.RequestMapping;
importorg.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
publicclassTest{
@RequestMapping("/test")
publicStringtest(){
return"test";
}
}

最后啟動(dòng)項(xiàng)目，在日志中查看相關(guān)的密碼

訪問接口，可以看到相關(guān)的登錄界面

輸入用戶名和相關(guān)的密碼

用戶名：user
密碼984cccf2-ba82-468e-a404-7d32123d0f9c

登錄成功

基于 Spring Boot + MyBatis Plus + Vue & Element 實(shí)現(xiàn)的后臺(tái)管理系統(tǒng) + 用戶小程序，支持 RBAC 動(dòng)態(tài)權(quán)限、多租戶、數(shù)據(jù)權(quán)限、工作流、三方登錄、支付、短信、商城等功能

• 項(xiàng)目地址：https://gitee.com/zhijiantianya/ruoyi-vue-pro
• 視頻教程：https://doc.iocoder.cn/video/

增加用戶名和密碼

在配置文件中，書寫相關(guān)的登錄和密碼

spring:
security:
user:
name:ming
password:123456
roles:admin

在登錄頁面，輸入用戶名和密碼，即可正常登錄

基于 Spring Cloud Alibaba + Gateway + Nacos + RocketMQ + Vue & Element 實(shí)現(xiàn)的后臺(tái)管理系統(tǒng) + 用戶小程序，支持 RBAC 動(dòng)態(tài)權(quán)限、多租戶、數(shù)據(jù)權(quán)限、工作流、三方登錄、支付、短信、商城等功能

• 項(xiàng)目地址：https://gitee.com/zhijiantianya/yudao-cloud
• 視頻教程：https://doc.iocoder.cn/video/

基于內(nèi)存的認(rèn)證

需要自定義類繼承 WebSecurityConfigurerAdapter 代碼如下

packagecom.example.demo.config;

importorg.springframework.context.annotation.Bean;
importorg.springframework.context.annotation.Configuration;
importorg.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
importorg.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
importorg.springframework.security.crypto.password.NoOpPasswordEncoder;
importorg.springframework.security.crypto.password.PasswordEncoder;


@Configuration
publicclassMyWebSecurityConfigextendsWebSecurityConfigurerAdapter{
@Bean
PasswordEncoderpasswordEncoder(){
returnNoOpPasswordEncoder.getInstance();
}

@Override
protectedvoidconfigure(AuthenticationManagerBuilderauth)throwsException{
auth.inMemoryAuthentication()
.withUser("admin").password("123").roles("admin");
}
}

即，配置的用戶名為 admin，密碼為 123，角色為 admin

HttpSecurity

這里對(duì)一些方法進(jìn)行攔截

packagecom.ming.demo.interceptor;

@Configuration
@EnableWebSecurity
publicclassSecurityConfigextendsWebSecurityConfigurerAdapter{

@Override
publicvoidconfigure(AuthenticationManagerBuilderauth)throwsException{
auth.inMemoryAuthentication()
.withUser("itguang").password("123456").roles("USER").and()
.withUser("admin").password("{noop}"+"123456").roles("ADMIN");
}


@Override
protectedvoidconfigure(HttpSecurityhttp)throwsException{
http.authorizeRequests()
.anyRequest().permitAll()
.and()
.formLogin()
.permitAll()
.and()
.logout()
.permitAll();
}


}

即，這里完成了對(duì)所有的方法訪問的攔截。

這是一個(gè)小 demo，目的，登錄以后返回 jwt 生成的 token

導(dǎo)入依賴

添加 web 依賴

導(dǎo)入 JWT 和 Security 依賴

<dependency>
<groupId>io.jsonwebtokengroupId>
<artifactId>jjwtartifactId>
<version>0.9.1version>
dependency>

<dependency>
<groupId>org.springframework.bootgroupId>
<artifactId>spring-boot-starter-securityartifactId>
<version>2.3.1.RELEASEversion>
dependency>

創(chuàng)建一個(gè) JwtUser 實(shí)現(xiàn) UserDetails

創(chuàng)建 一個(gè)相關(guān)的 JavaBean

packagecom.example.demo;

importorg.springframework.security.core.GrantedAuthority;
importorg.springframework.security.core.userdetails.UserDetails;

importjava.util.Collection;

publicclassJwtUserimplementsUserDetails{
privateStringusername;
privateStringpassword;
privateIntegerstate;
privateCollectionauthorities;
publicJwtUser(){

}

publicJwtUser(Stringusername,Stringpassword,Integerstate,Collectionauthorities){
this.username=username;
this.password=password;
this.state=state;
this.authorities=authorities;
}

@Override
publicCollectiongetAuthorities(){
returnauthorities;
}

@Override
publicStringgetPassword(){
returnthis.password;
}

@Override
publicStringgetUsername(){
returnthis.username;
}

@Override
publicbooleanisAccountNonExpired(){
returntrue;
}

@Override
publicbooleanisAccountNonLocked(){
returntrue;
}

@Override
publicbooleanisCredentialsNonExpired(){
returntrue;
}

@Override
publicbooleanisEnabled(){
returntrue;
}
}

編寫工具類生成令牌

編寫工具類，用來生成 token，以及刷新 token，以及驗(yàn)證 token。

packagecom.example.demo;

publicclassJwtTokenUtilimplementsSerializable{
privateStringsecret;
privateLongexpiration;
privateStringheader;

privateStringgenerateToken(Mapclaims){
DateexpirationDate=newDate(System.currentTimeMillis()+expiration);
returnJwts.builder().setClaims(claims).setExpiration(expirationDate).signWith(SignatureAlgorithm.HS512,secret).compact();
}

privateClaimsgetClaimsFromToken(Stringtoken){
Claimsclaims;
try{
claims=Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();

}catch(Exceptione){
claims=null;
}
returnclaims;
}

publicStringgenerateToken(UserDetailsuserDetails){
Mapclaims=newHashMap<>(2);
claims.put("sub",userDetails.getUsername());
claims.put("created",newDate());
returngenerateToken(claims);

}

publicStringgetUsernameFromToken(Stringtoken){
Stringusername;
try{
Claimsclaims=getClaimsFromToken(token);
username=claims.getSubject();

}catch(Exceptione){
username=null;

}
returnusername;

}

publicBooleanisTokenExpired(Stringtoken){
try{
Claimsclaims=getClaimsFromToken(token);
Dateexpiration=claims.getExpiration();
returnexpiration.before(newDate());
}catch(Exceptione){
returnfalse;
}
}

publicStringrefreshToken(Stringtoken){
StringrefreshedToken;
try{
Claimsclaims=getClaimsFromToken(token);
claims.put("created",newDate());
refreshedToken=generateToken(claims);

}catch(Exceptione){
refreshedToken=null;

}
returnrefreshedToken;
}

publicBooleanvalidateToken(Stringtoken,UserDetailsuserDetails){
JwtUseruser=(JwtUser)userDetails;
Stringusername=getUsernameFromToken(token);
return(username.equals(user.getUsername())&&!isTokenExpired(token));

}

}

編寫攔截器

編寫 Filter 用來檢測(cè) JWT

packagecom.example.demo;
@Component
publicclassJwtAuthenticationTokenFilterextendsOncePerRequestFilter{
@Autowired
privateUserDetailsServiceuserDetailsService;
@Autowired
privateJwtTokenUtiljwtTokenUtil;


@Override
protectedvoiddoFilterInternal(HttpServletRequesthttpServletRequest,HttpServletResponsehttpServletResponse,FilterChainfilterChain)throwsServletException,IOException{
StringauthHeader=httpServletRequest.getHeader(jwtTokenUtil.getHeader());
if(authHeader!=null&&StringUtils.isNotEmpty(authHeader)){
Stringusername=jwtTokenUtil.getUsernameFromToken(authHeader);
if(username!=null&&SecurityContextHolder.getContext().getAuthentication()==null){
UserDetailsuserDetails=this.userDetailsService.loadUserByUsername(username);
if(jwtTokenUtil.validateToken(authHeader,userDetails)){
UsernamePasswordAuthenticationTokenauthentication=
newUsernamePasswordAuthenticationToken(userDetails,null,userDetails.getAuthorities());
authentication.setDetails(newWebAuthenticationDetailsSource().buildDetails(httpServletRequest));
SecurityContextHolder.getContext().setAuthentication(authentication);

}
}
}
filterChain.doFilter(httpServletRequest,httpServletResponse);

}
}

編寫 userDetailsService 的實(shí)現(xiàn)類

在上方代碼中，編寫 userDetailsService，類，實(shí)現(xiàn)其驗(yàn)證過程

packagecom.example.demo;
@Service
publicclassJwtUserDetailsServiceImplimplementsUserDetailsService{
@Autowired
privateUserMapperuserMapper;

@Override
publicUserDetailsloadUserByUsername(Strings)throwsUsernameNotFoundException{
Useruser=userMapper.selectByUserName(s);
if(user==null){
thrownewUsernameNotFoundException(String.format("'%s'.這個(gè)用戶不存在",s));

}
Listcollect=user.getRoles().stream().map(Role::new).collect(Collectors.toList());
returnnewJwtUser(user.getUsername(),user.getPassword(),user.getState(),collect);

}
}

編寫登錄

編寫登錄業(yè)務(wù)的實(shí)現(xiàn)類 其 login 方法會(huì)返回一個(gè) JWTUtils 的 token

@Service
publicclassUserServiceImplimplementsUserService{
@Autowired
privateUserMapperuserMapper;

@Autowired
privateAuthenticationManagerauthenticationManager;

@Autowired
privateUserDetailsServiceuserDetailsService;

@Autowired
privateJwtTokenUtiljwtTokenUtil;

publicUserfindByUsername(Stringusername){
Useruser=userMapper.selectByUserName(username);
returnuser;

}

publicRetResultlogin(Stringusername,Stringpassword)throwsAuthenticationException{
UsernamePasswordAuthenticationTokenupToken=newUsernamePasswordAuthenticationToken(username,password);
finalAuthenticationauthentication=authenticationManager.authenticate(upToken);
SecurityContextHolder.getContext().setAuthentication(authentication);
UserDetailsuserDetails=userDetailsService.loadUserByUsername(username);
returnnewRetResult(RetCode.SUCCESS.getCode(),jwtTokenUtil.generateToken(userDetails));

}
}

最后配置 Config

@EnableGlobalMethodSecurity(prePostEnabled=true)
@EnableWebSecurity
publicclassWebSecurityextendsWebSecurityConfigurerAdapter{
@Autowired
privateUserDetailsServiceuserDetailsService;
@Autowired
privateJwtAuthenticationTokenFilterjwtAuthenticationTokenFilter;

@Autowired
publicvoidconfigureAuthentication(AuthenticationManagerBuilderauthenticationManagerBuilder)throwsException{
authenticationManagerBuilder.userDetailsService(this.userDetailsService).passwordEncoder(passwordEncoder());

}

@Bean(name=BeanIds.AUTHENTICATION_MANAGER)

@Override
publicAuthenticationManagerauthenticationManagerBean()throwsException{
returnsuper.authenticationManagerBean();
}

@Bean
publicPasswordEncoderpasswordEncoder(){
returnnewBCryptPasswordEncoder();

}

@Override
protectedvoidconfigure(HttpSecurityhttp)throwsException{
http.csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and().authorizeRequests()
.antMatchers(HttpMethod.OPTIONS,"/**").permitAll()
.antMatchers("/auth/**").permitAll()
.anyRequest().authenticated()
.and().headers().cacheControl();


http.addFilterBefore(jwtAuthenticationTokenFilter,UsernamePasswordAuthenticationFilter.class);

ExpressionUrlAuthorizationConfigurer.ExpressionInterceptUrlRegistryregistry=http.authorizeRequests();

registry.requestMatchers(CorsUtils::isPreFlightRequest).permitAll();

}

@Bean
publicCorsFiltercorsFilter(){
finalUrlBasedCorsConfigurationSourceurlBasedCorsConfigurationSource=newUrlBasedCorsConfigurationSource();
finalCorsConfigurationcors=newCorsConfiguration();
cors.setAllowCredentials(true);
cors.addAllowedOrigin("*");
cors.addAllowedHeader("*");
cors.addAllowedMethod("*");
urlBasedCorsConfigurationSource.registerCorsConfiguration("/**",cors);
returnnewCorsFilter(urlBasedCorsConfigurationSource);

}
}

運(yùn)行，返回 token

運(yùn)行，返回結(jié)果為 token

這里配置 SpringSecurity 之 JSON 登錄

這里需要重寫 UsernamePasswordAnthenticationFilter 類，以及配置 SpringSecurity

重寫 UsernamePasswordAnthenticationFilter

publicclassCustomAuthenticationFilterextendsUsernamePasswordAuthenticationFilter{

@Override
publicAuthenticationattemptAuthentication(HttpServletRequestrequest,HttpServletResponseresponse)throwsAuthenticationException{


if(request.getContentType().equals(MediaType.APPLICATION_JSON_UTF8_VALUE)
||request.getContentType().equals(MediaType.APPLICATION_JSON_VALUE)){


ObjectMappermapper=newObjectMapper();
UsernamePasswordAuthenticationTokenauthRequest=null;
try(InputStreamis=request.getInputStream()){
AuthenticationBeanauthenticationBean=mapper.readValue(is,AuthenticationBean.class);
authRequest=newUsernamePasswordAuthenticationToken(
authenticationBean.getUsername(),authenticationBean.getPassword());
}catch(IOExceptione){
e.printStackTrace();
authRequest=newUsernamePasswordAuthenticationToken(
"","");
}finally{
setDetails(request,authRequest);
returnthis.getAuthenticationManager().authenticate(authRequest);
}
}


else{
returnsuper.attemptAuthentication(request,response);
}
}
}

配置 SecurityConfig

@Override
protectedvoidconfigure(HttpSecurityhttp)throwsException{
http
.cors().and()
.antMatcher("/**").authorizeRequests()
.antMatchers("/","/login**").permitAll()
.anyRequest().authenticated()

.and().formLogin().loginPage("/")
.and().csrf().disable();


http.addFilterAt(customAuthenticationFilter(),
UsernamePasswordAuthenticationFilter.class);
}

@Bean
CustomAuthenticationFiltercustomAuthenticationFilter()throwsException{
CustomAuthenticationFilterfilter=newCustomAuthenticationFilter();
filter.setAuthenticationSuccessHandler(newSuccessHandler());
filter.setAuthenticationFailureHandler(newFailureHandler());
filter.setFilterProcessesUrl("/login/self");
filter.setAuthenticationManager(authenticationManagerBean());
returnfilter;
}

這樣就完成使用 json 登錄 SpringSecurity

需要在 Config 類中配置如下內(nèi)容

@Bean
publicBCryptPasswordEncoderpasswordEncoder(){
returnnewBCryptPasswordEncoder();
}

即，使用此方法，對(duì)密碼進(jìn)行加密， 在業(yè)務(wù)層的時(shí)候，使用此加密的方法

@Service
@Transactional
publicclassUserServiceImplimplementsUserService{

@Resource
privateUserRepositoryuserRepository;

@Resource
privateBCryptPasswordEncoderbCryptPasswordEncoder;
@Override
publicUseradd(Useruser){
user.setPassword(bCryptPasswordEncoder.encode(user.getPassword()));
Useruser2=userRepository.save(user);
returnuser2;
}
@Override
publicResultInfologin(Useruser){
ResultInforesultInfo=newResultInfo();
Useruser2=userRepository.findByName(user.getName());
if(user2==null){
resultInfo.setCode("-1");
resultInfo.setMessage("用戶名不存在");
returnresultInfo;
}


if(!bCryptPasswordEncoder.matches(user.getPassword(),user2.getPassword())){
resultInfo.setCode("-1");
resultInfo.setMessage("密碼不正確");
returnresultInfo;
}
resultInfo.setMessage("登錄成功");
returnresultInfo;
}
}

即，使用 BCryptPasswordEncoder 對(duì)密碼進(jìn)行加密，保存數(shù)據(jù)庫

這里使用數(shù)據(jù)庫認(rèn)證 SpringSecurity

設(shè)計(jì)數(shù)據(jù)表

這里設(shè)計(jì)數(shù)據(jù)表

著重配置 SpringConfig

@Configurable
publicclassWebSecurityConfigextendsWebSecurityConfigurerAdapter{
@Autowired
privateUserServiceuserService;

@Bean
PasswordEncoderpasswordEncoder(){
returnnewBCryptPasswordEncoder();
}

@Override
protectedvoidconfigure(AuthenticationManagerBuilderauth)throwsException{

auth.userDetailsService(userService);
}

@Override
protectedvoidconfigure(HttpSecurityhttp)throwsException{
http.authorizeRequests()
.antMatchers("/admin/**").hasRole("admin")
.anyRequest().authenticated()
.and()
.formLogin()
.loginProcessingUrl("/login").permitAll()
.and()
.csrf().disable();
}
}

這里著重配置 SpringConfig。

著重講解了 RBAC 的權(quán)限配置，以及簡單的使用 SpringSecurity，以及使用 SpringSecurity + JWT 完成前后端的分離，以及配置 json 登錄，和密碼加密方式。