对于JWT的解释,网上有很多,我就不多赘述,主要分为以下两个步骤:
- 用户登录生成
Token
返回给前端 - 前端在访问某些接口时需要该
Token
进行鉴权访问
编写登录接口,生成Token
并返回前端
- 编写
service
层实现类利用AuthenticationManager
的authenticate
方法进行用户认证:
- 将用户输入的用户名和密码传入一个实现
Authentication
接口的类对象(这里选用UsernamePasswordAuthenticationToken
)
//将用户输入的用户名和密码传入一个实现
UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username,password);
- 调用
AuthenticationManager
对象的authenticate
方法,并传入一个Authentication
接口对象:
Authentication authenticate = authenticationManager.authenticate(authenticationToken);
该AuthenticationManager
对象需在SpringSecurity
的配置类中注入:
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
authenticate
方法的返回值为一个Authentication
对象,该对象可以调用getPrincipal()
方法返回一个UserDetails
对象,以便后续的生成Token
、将用户信息存入Redis
等操作
- 需要注意,
UserDetails
的实现类可以选用spring-security官方给我们写好的org.springframework.security.core.userdetails.User
类,也可以自己写,重写的getAuthorities
方法中需要返回一个GrantedAuthority
集合
private List<String> permissions;
@JSONField(serialize = false) //保存到Redis中会避免乱码问题
private List<SimpleGrantedAuthority> authorities;
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
if(authorities!=null){
return authorities;
}
//把permissions中String类型的权限信息封装成SimpleGrantedAuthority对象
authorities = new ArrayList<>();
for (String permission : permissions) {
SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permission);
authorities.add(authority);
}
return authorities;
}
- 在使用
AuthenticationManager
进行认证授权时,肯定得有认证的依据,用户名和密码以及用户对应的权限角色等,因此我们需要编写UserDetailsService
的实现类并重写loadUserByUsername
方法,从数据库中取出用户的用户名密码以及对应权限,封装到UserDetials
实现类对象中并返回;如果用的是官方的User
类:
List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("role1,role2");
return new User(username,new BCryptPasswordEncoder().encode(password),auths);
以上就完成了整个登录获取Token
的过程
对用户访问某些接口时进行鉴权
- 首先应该在配置类中进行简单的鉴权配置:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
//关闭csrf
.csrf().disable()
//不通过Session获取SecurityContext
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
// 对于登录接口 允许匿名访问
.antMatchers("/user/login").anonymous()
// 除上面外的所有请求全部需要鉴权认证
.anyRequest().authenticated();
}
- 编写一个
Filter
继承OncePerRequestFilter
,重写doFilterInternal
方法,主要用来解析请求中携带的Token
并从Redis
中获取用户的信息(UserDetails
),最后封装到Authentication
对象中,并存入SecurityContextHolder
中以便后续的Filter
使用:
UsernamePasswordAuthenticationToken authenticationToken =
new UsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());
SecurityContextHolder.getContext().setAuthentication(authenticationToken);
最后别忘了放行过滤器
filterChain.doFilter(request, response);
- 过滤器写好后需要在配置类中加入到
SpringSecurity
的过滤器链中:
http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
这里将其加入到UsernamePasswordAuthenticationFilter
的前面
在以上配置结束后,想要实现资源的权限设置还需要在Controller
的接口方法上配置对应的权限:
- 首先在配置类中配置@EnableGlobalMethodSecurity
注解
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
- 在接口方法上添加
@PreAuthorize
注解
@RequestMapping("/hello")
@PreAuthorize("hasAut0hority('system:dept:list')")
public String hello(){
return "hello";
}
之后就可以根据访问接口的不同而要求不同的权限
以上就是SpringSecurity实现JWT认证的基本步骤