SpringBoot + SpringSecurity + Jwt快速使用

前后端分离情况。

最重要的两步就是自定义拦截器和定义SecurityConfig配置类。

新建SpringBoot项目
Maven引入依赖：

<!-- JWT -->
        <dependency>
          <groupId>io.jsonwebtoken</groupId>
          <artifactId>jjwt</artifactId>
          <version>0.9.1</version>
        </dependency>

                <!--    MYSQL        -->
                <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

        <!--    MyBatis-Plus     -->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.5.2</version>
        </dependency>

        <!--   FastJson      -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.83</version>
        </dependency>

        <!--    Reids        -->
<!--        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency> -->

SecurityCofig

1、SecurityConfig中定义了哪些接口可以被开放
最少需要开放登录接口、注销接口、【注册】
简单设置如下：

A1、关闭csrf、关闭session
A2、开放白名单
A3、将自定义注解放到默认的UsernamePasswordAuthenticationFilter前。
@Resource 注入的是：自定义过滤器、登录失败处理器、权限异常处理器
除@Configuration另外两个注解主要是开启Security注解鉴权、启用Web安全

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    JwtFilter jwtFilter;

    @Resource
    NotLoginHandler notLoginHandler;

    @Resource
    AuthorizationErrorHandler authorizationErrorHandler;


    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //1、关闭csrf，关闭Session
        http
                .csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        //2、设置不需要认证的URL
        http
                .authorizeRequests()
                //允许未登录的用户进行访问
                .antMatchers("/user/**").anonymous()
                //其余url都要认证才能访问
                .anyRequest().authenticated();

        http.exceptionHandling() //异常处理
                .authenticationEntryPoint(notLoginHandler)
                .accessDeniedHandler(authorizationErrorHandler);


        http.addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class);
    }

自定义Jwt过滤器

在我的理解中Jwt存储了主要有三个部分：过期时间、用户非重要信息、用户权限信息[可]
【或者用token+redis的方式】
在由前端请求时Header中携带这个token。

主要步骤为：对请求进行拦截 &【解析Jwt、生成Security令牌】、放行

这里和不分离项目不同的是，是继承这个OncePreRequestFIlter。
而不是Security内置的AbstractAuthenticationProcessingFilter


@Component
public class JwtFilter extends OncePerRequestFilter {

    @Resource
    JwtUtils jwtUtils;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {

        // 1、获取前端Header-Token
        String header = request.getHeader(SecurityConstant.TOKEN_NAME);
        if (header != null && StringUtils.isNoneBlank(header)){
            // 2、解析token

            Claims claimByToken = jwtUtils.getClaimByToken(header);

            if (!jwtUtils.isTokenExpired(claimByToken)) {
                String id = claimByToken.getId();
                String subject = claimByToken.getSubject();
                String rolesJson = (String) claimByToken.get(SecurityConstant.JWT_AUTHORITIES);
                Set<String> roles = JSONObject.parseObject(rolesJson, Set.class);
                Set<GrantedAuthority> authorities = new HashSet<>();
                for (String role :
                        roles) {
                    authorities.add(new SimpleGrantedAuthority(role));
                }
                // 3、在SecurityHolder设置Authentication
                SecurityContextHolder.getContext().setAuthentication(new JwtAuthenticationToken(id, subject, authorities));
            }
        }
        chain.doFilter(request, response);
    }
}

ELSE

到这里我认为SpringSecurity的基本骨架已经搭建好了。
SpringSecurity还需要添加的代码：
1、Security的AuthenticationToken——让Security认可你登录的令牌
2、登录失败【未登录】处理器
3、权限校验异常处理器

不重要：自定义登录接口、JwtUtils，一些小方法代码
见文末其他代码。

其他代码

Security的AuthenticationToken

/**
* jwt身份验证令牌
*
*/

public class JwtAuthenticationToken extends AbstractAuthenticationToken {

    private String username;
    private String userId;

    public JwtAuthenticationToken(String userId, String username, Collection<? extends GrantedAuthority> authorities ){
        super(authorities);
        this.userId = userId;
        this.username = username;
        super.setAuthenticated(true);
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getUserId() {
        return userId;
    }

    public void setUserId(String userId) {
        this.userId = userId;
    }

    @Override
    public Object getCredentials() {
        return null;
    }

    @Override
    public Object getPrincipal() {
        return this.username;
    }
}

登录失败[未登录]处理器

/**
 * 未登录处理程序
 */
@Component
public class NotLoginHandler implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
        response.setContentType("application/json;charset=UTF-8");
        response.setStatus(HttpStatus.FORBIDDEN.value());
        ResBean notLogin = ResBean.NOT_LOGIN;
        JsonResult<Object> result = new JsonResult<>();
        result.setMessage(notLogin.getMessage());
        result.setSuccess(false);
        result.setTotal(0);
        result.setStatus(notLogin.getCode());
        result.setBody(notLogin);
        response.getWriter().write(JSONObject.toJSONString(result));
    }
}

权限校验异常处理器

@Component
public class AuthorizationErrorHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e) throws IOException, ServletException {
        response.setContentType("application/json;charset=UTF-8");
        response.setStatus(HttpStatus.FORBIDDEN.value());
        ResBean notLogin = ResBean.NO_ROLES;
        JsonResult<Object> result = new JsonResult<>();
        result.setMessage(notLogin.getMessage());
        result.setSuccess(false);
        result.setTotal(0);
        result.setStatus(notLogin.getCode());
        result.setBody(notLogin);
        response.getWriter().write(JSONObject.toJSONString(result));
    }
}

JwtUtils

@Data
    @Component
    public class JwtUtils {

        private long expire;
        private String secret;
        private String header;


        /**
        * 生成令牌
        *
        * @param user  用户
        * @param roles 角色
        * @return {@link String}
        */
        public String generateToken(SysUser user, Set<String> roles) {

            Date nowDate = new Date();
            Date expireDate = new Date(nowDate.getTime() + 1000 * SecurityConstant.EXPIRE_TIME);

            return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setId(String.valueOf(user.getId()))
                .setSubject(user.getNickname())
                .claim(SecurityConstant.JWT_AUTHORITIES, JSONObject.toJSONString(roles))
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS512, SecurityConstant.JWT_SIGN)
                .compact();
        }

        /**
        * 解析
        *
        * @param jwt jwt
        * @return {@link Claims}
        */
        public Claims getClaimByToken(String jwt) {
            try {
                return Jwts.parser()
                    .setSigningKey(SecurityConstant.JWT_SIGN)
                    .parseClaimsJws(jwt)
                    .getBody();
            } catch (Exception e) {
                return null;
            }
        }

        /**
* 是令牌过期
*
* @param claims 
* @return boolean
*/
        public boolean isTokenExpired(Claims claims) {
            return claims.getExpiration().before(new Date());
        }

    }

登录部分截图

image.png

RespBean为公共对象返回枚举

不展示了。

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 219,110评论 6赞 508
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 93,443评论 3赞 395
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 165,474评论 0赞 356
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 58,881评论 1赞 295
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 67,902评论 6赞 392
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 51,698评论 1赞 305
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 40,418评论 3赞 419
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 39,332评论 0赞 276
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 45,796评论 1赞 316
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 37,968评论 3赞 337
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 40,110评论 1赞 351
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 35,792评论 5赞 346
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 41,455评论 3赞 331
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 32,003评论 0赞 22
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 33,130评论 1赞 272
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 48,348评论 3赞 373
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 45,047评论 2赞 355