参考资料
官方文档
网友分享
技术点JSON+ JWT(Json Web Token) + Spring Boot + Spring Security
技术点介绍
- JSON个人理解上,它的特点是可以促进 web 前后端解耦,提升团队的工作效率。同时也是跟安卓端和 iOS 端交互的工具,目前是没想出除了Json和 XML之外的交流形式诶(或许等以后有空闲时间会看看)。它的另一个特点是轻量级,简洁和清晰的层次可以方便我们阅读和编写,并且减少服务器带宽占用。
- JWT用人话讲就是将用户的身份信息(账号名字)、其他信息(不固定,根据需要增加)在用户登陆时提取出来,并且通过加密手段加工成一串密文,在用户登陆成功时带在返回结果发送给用户。以后用户每次请求时均带上这串密文,服务器根据解析这段密文判断用户是否有权限访问相关资源,并返回相应结果。
从网上摘录了一些优点,关于 jwt 的更多资料感兴趣的读者可以自行谷歌:
1.相比于session,它无需保存在服务器,不占用服务器内存开销。
2.无状态、可拓展性强:比如有3台机器(A、B、C)组成服务器集群,若session存在机器A上,session只能保存在其中一台服务器,此时你便不能访问机器B、C,因为B、C上没有存放该Session,而使用token就能够验证用户请求合法性,并且我再加几台机器也没事,所以可拓展性好就是这个意思。
3.支持了跨域访问。
3.Spring Boot是一个用来简化 Spring 应用的搭建以及开发过程的框架。用完后会让你大呼 : wocao!怎么有这么方便的东西! mama 再也不用担心我不会配置 xml 配置文件了!Spring boot的设计原则就是约定优于配置。
4.Spring Security这是 Spring Security 提供的一个安全权限控制框架,可以根据使用者的需要定制相关的角色身份和身份所具有的权限,完成黑名单操作、拦截无权限的操作。配合 Spring Boot 可以快速开发出一套完善的权限系统。
注意:用户通过登陆操作获得我们返回的 token 并保存在本地。在以后每次请求都在请求头中带上token,服务器在收到客户端传来的请求时会判断是否有token ,若有,解析 token 并写入权限到本次会话,若无直接跳过解析 token 的步骤,然后判断本次访问的接口是否需要认证,是否需要相应的权限,并根据本次会话中的认证情况做出反应。
动手实现这个安全框架
步骤一 : 建立项目,配置好数据源
1.使用 Itellij Idea 建立一个 Spring Boot 项目。
2.在数据库中建立所需的数据库 spring_security。
3.在 spring boot 配置文件 application.properties 中配置好数据源。
spring.datasource.url=jdbc:mysql://localhost:3306/spring_security?characterEncoding=utf8&allowMultiQueries=true&useSSL=false
spring.datasource.username=root
spring.datasource.password=123654
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
4.启动项目查看 Spring Boot 是否替我们配置好 Spring Security 了。
5.可以在控制台看到sprig security生成的登录密码。
6.访问测试。(访问地址:localhost:port;用户名:user;密码:从控制台获取)
步骤二 : 生成我们定制的JWT
1.关闭 Spring Boot 替我们配置好的 Spring Security。(因为默认配置好的 Spring Security 会拦截掉我们定制的登陆接口),创建 Spring Security 配置类WebSecurityConfig.java
2.在数据库中建立相应的用户和角色。
3.编写相应的登陆密码判断逻辑。
4.编写 token 操作类(生成 token 部分)
5.至此,我们生成 token 的教程已经完成,至于登陆接口,判断账号密码是否正确的操作就留给读者去实现,读者只需在登陆成功时在结果中返回生成好的 token 给用户即可。
步骤三 : 实现验证 token 是否有效,并根据 token 获得账号详细信息(权限,是否处于封号状态)的功能
第一个全局拦截器,写入权限的
步骤四 : 定义解析 token 的拦截器
第二个全局拦截器,就是判断权限是否足够的,细节被 spring security 这个框架封装好了。
重点代码01:
.authorizeRequests()
.antMatchers("/auth").authenticated() // 需携带有效 token
.antMatchers("/admin").hasAuthority("admin") // 需拥有 admin 这个权限
.antMatchers("/ADMIN").hasRole("ADMIN") // 需拥有 ADMIN 这个身份
.anyRequest().permitAll() // 允许所有请求通过
讲解:
- 这里对应 haseRole(),spring security 会帮我们补上 ROLE_ 前缀。
重点代码02:
// 配置被拦截时的处理
.and()
.exceptionHandling()
.authenticationEntryPoint(this.unauthorizedHandler) // 添加 token 无效或者没有携带 token 时的处理
.accessDeniedHandler(this.accessDeniedHandler) //添加无权限时的处理
讲解:
- 这里是注册了authenticated() 规则不符合的401处理器和hasAuthority() 、hasRole() 等其他规则不符合的 403 处理器,另外这两个处理器也可以用 lamda 表达式配置。
重点代码03:
.and()
.csrf()
.disable() // 禁用 Spring Security 自带的跨域处理
.sessionManagement() // 定制我们自己的 session 策略
.sessionCreationPolicy(SessionCreationPolicy.STATELESS); // 调整为让 Spring Security 不创建和使用 session
讲解:
- 下面这里是禁用掉 spring security 的跨域处理,这个框架的跨域处理是在直接耦合前端的 html ,jsp 时用的,使用跨域处理的例子可以参考《Spring 实战》
- 这里我们是用 json 格式和前端交互,相当于”自定义“了这个框架的一部分内容,所以这个地方会影响到我们自定义这个框架,就禁用掉
- 下面的 session 策略是禁用掉 spring security 的会话,因为前面第一个拦截器是将 本次(重点) 请求的权限写入 本次 会话,如果这里不禁用掉的话,这个会话就会保留着,下次用户不携带 token,但是做了处理,是同个 httpsession 进来的话,还是能读取到以前写入的权限
- 这里我们不想后面该用户的其他请求可以使用上次,上上次。。。写入的权限,所以禁用掉
- 测试:相同的session进来,第一次配置了 token ,第二次不配置 token ,看看这里不同配置访问需要权限的接口的结果是否是正常的
重点代码04:
http.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
讲解:
- before 是前的意思,这个方法是注册一个拦截器,执行顺序在springsecurity 框架执行之前执行,达到检查权限前写入权限的效果。
