ToB企服应用市场:ToB评测及商务社交产业平台

标题: Spring Security + JWT + Swagger2 登录验证一套流程小结 [打印本页]

---

作者: 大号在练葵花宝典    时间: 2023-3-5 14:11
标题: Spring Security + JWT + Swagger2 登录验证一套流程小结
Spring Security + JWT + Swagger2 登录验证一套流程

主要是三个框架的集成配置，以及各个独立的配置（主要是 JWT + Security 的登录验证）。
流程：

• 构建 Spring Boot 基本项目，准备数据库表 User —— 用于存放登录实体类信息。
  
• 配置 Security 和 Swagger2 环境，确保没有什么问题。
  
• 构建 RespBean——公共返回实体类，JwtTokenUtil——JWT token 工具类，User——登录实体类
  
• 让 User 实现 UserDetails 接口，重写部分方法。
  
• 配置 Security 实现重写 UserDetailsService 方法，以及 PasswordEncoder——密码凭证器 并加上 @Bean 注解。这两个主要用于设置 Security 的认证。
  
• 构建 jwtAuthenticationTokenFilter 类——自定义 JWT Token 拦截器，并在 SecurityConfig 的授权方法中添加此拦截器。
  
• 在 Swagger2Config 配置类中，配置有关 Security 的 Token 认证。
  
• 启动项目查看代码是否准确。
  

1. 构建 Spring Boot 基本项目，准备数据库——User

项目子模块：authority-security，父模块已引入 Spring boot 依赖 2.3.0
1.1 导入依赖

1. <dependencies>
2.    
3.     <dependency>
4.         <groupId>org.springframework.boot</groupId>
5.         <artifactId>spring-boot-starter-web</artifactId>
6.     </dependency>
8.    
9.     <dependency>
10.         <groupId>org.projectlombok</groupId>
11.         <artifactId>lombok</artifactId>
12.         <optional>true</optional>
13.     </dependency>
15.    
16.     <dependency>
17.         <groupId>mysql</groupId>
18.         <artifactId>mysql-connector-java</artifactId>
19.         <scope>runtime</scope>
20.     </dependency>
22.    
23.     <dependency>
24.         <groupId>com.baomidou</groupId>
25.         <artifactId>mybatis-plus-boot-starter</artifactId>
26.         <version>3.3.1.tmp</version>
27.     </dependency>
29.    
30.     <dependency>
31.         <groupId>io.springfox</groupId>
32.         <artifactId>springfox-swagger2</artifactId>
33.         <version>2.7.0</version>
34.     </dependency>
36.    
37.     <dependency>
38.         <groupId>com.github.xiaoymin</groupId>
39.         <artifactId>swagger-bootstrap-ui</artifactId>
40.         <version>1.9.6</version>
41.     </dependency>
43.    
44.     <dependency>
45.         <groupId>org.springframework.boot</groupId>
46.         <artifactId>spring-boot-starter-security</artifactId>
47.     </dependency>
49.    
50.     <dependency>
51.         <groupId>io.jsonwebtoken</groupId>
52.         <artifactId>jjwt</artifactId>
53.         <version>0.9.1</version>
54.     </dependency>
56.    
57.     <dependency>
58.         <groupId>org.apache.commons</groupId>
59.         <artifactId>commons-pool2</artifactId>
60.     </dependency>
61. </dependencies>

复制代码

构建数据库表：user

1. create table user(
2.         id int primary key auto_increment,
3.         username varchar not null,
4.         password varchar not null,
5.         info varchar(200),
6.         enabled tinyint(1) default 1
7. )
9. insert into user values(default,"admin","$2a$10$Himwt.wu3MPOLnNQ9YUH8O2quxgi7bMuomiNeFsVKRay87.qG5dgy","管理员 info ...",default)

复制代码

username:admin;password:123
配置 application.yml 文件参数：

1. server:
2.   port: 8082
4. spring:
5.   datasource:
6.     driver-class-name: com.mysql.cj.jdbc.Driver
7.     url: jdbc:mysql://localhost:3306/dbtest16?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai
8.     username: admin
9.     password: admin
10.     hikari:
11.       # 连接池名字
12.       pool-name: DateHikari
13.       # 最小空闲连接数
14.       minimum-idle: 5
15.       # 空闲连接存活最大事件，默认10分钟（600000）
16.       idle-timeout: 180000
17.       # 最大连接数：默认 10
18.       maximum-pool-size: 10
19.       # 从连接池返回的连接自动提交
20.       auto-commit: true
21.       # 连接最大存活时间，0 表示永久存活，默认 1800000（30 min）
22.       max-lifetime: 1800000
23.       # 连接超时事件 30 s
24.       connection-timeout: 30000
25.       # 测试连接是否可用的查询语句
26.       connection-test-query: SELECT 1
28. # MP 配置
29. mybatis-plus:
30.   # 配置 Mapper 映射文件
31.   mapper-locations: classpath*:/mapper/*Mapper.xml
32.   # 实体类的别名包
33.   type-aliases-package: com.cnda.pojo
34.   configuration:
35.     # 自动驼峰命名
36.     map-underscore-to-camel-case: false
38. # MyBatis 的 SQL 打印是方法接口所在的包
39. logging:
40.   level:
41.     com.cnda.mapper: debug
43. # JWT 配置
44. jwt:
45.   # JWT 存储的请求头
46.   tokenHeader: Authorization
47.   # JWT 加密使用的密钥
48.   secret: test-cnda-secret
49.   # JWT 的有效时间 (60*60*24)
50.   expiration: 604800
51.   # JWT 负载中拿到开头 规定
52.   tokenHead: Bearer

复制代码

User 实体类代码：

1. @Data
2. @AllArgsConstructor
3. @NoArgsConstructor
4. public class User {
5.     private Integer id;
6.     private String username;
7.     private String password;
8.     private String info;
9.     private Boolean enabled;
10. }

复制代码

2. 配置 Security 和 Swagger2 的配置

先配置好这两个确保没有什么问题，因为重点是 JWT，这两个配置比较简单，当搭配了 JWT 之后，Swagger2 也需要与两者集成一些配置，这个后面再说，现在只配置基本设置。
2.1 配置 SecurityConfig

1. @EnableWebSecurity
2. public class SecurityConfig extends WebSecurityConfigurerAdapter {
3.     @Override
4.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
5.         super.configure(auth);
6.     }
8.     @Override
9.     public void configure(WebSecurity web) throws Exception {
10.         web.ignoring().antMatchers(
11.                 "/hello",
12.                     // 下面是对静态资源以及 swagger2 UI 的放行。
13.                     "/css/**",
14.                 "/js/**",
15.                 "/img/**",
16.                 "/index.html",
17.                 "favicon.ico",
18.                 "/doc.html",
19.                 "/webjars/**",
20.                 "/swagger-resources/**",
21.                 "/v2/api-docs/**",
22.                 "/ws/**"
23.         );
24.     }
26.     @Override
27.     protected void configure(HttpSecurity http) throws Exception {
28.         super.configure(http);
29.     }
30. }

复制代码

上面使用 WebSecurity 放行了 /hello 请求，在 LoginController 中。

1. @RestController
2. public class LoginController {
4.     @RequestMapping("/hello")
5.     public String hello(){
6.         return "Hello Word!";
7.     }
8. }

复制代码

这意味除了 localhost:8082/hello 会被放行，其他请求都会被 Security 拦截重定向到 /login（这个请求 Security 内部已经实现了包括相关页面）。
2.2 配置 Swagger2Config

1. @Configuration
2. @EnableSwagger2
3. public class Swagger2Config {
4.     @Bean
5.     public Docket docket(){
6.         return new Docket(DocumentationType.SWAGGER_2)
7.                 .apiInfo(apiInfo()) // 配置 apiInfo
8.                 .select() // 选择那些路径和api会生成document
9.                 .apis(RequestHandlerSelectors.basePackage("com.cnda.controller")) // // 对哪些 api进行监控，RequestHandlerSelectors.basePackage 基于包扫描
10.                 .paths(PathSelectors.any()) // 对所有路径进行监控
11.                 .build();
13.     }
15.     private ApiInfo apiInfo(){
16.         return new ApiInfoBuilder()
17.                 .title("在线接口文档")
18.                 .description("在线接口文档")
19.                 .contact(new Contact("cnda","http://localhost:8082/doc.html","xxx@xxx.com"))
20.                 .build();
21.     }
22. }

复制代码

运行效果：

修改一下 Rustful 风格，并加了一个 /hello1 请求，不放行，打印内容相同。


可以看到 Security 和 Swagger2 基本配置完成。
3. 构建 JWT 工具类、公共响应对象

JWT 工具类主要用于生成 JWT，判断 JWT 是否有效，刷新 JWT 等方法。
公共响应对象——RespBean，返回的都已 JSON 格式返回。
3.1 JwtUtil

1. @Component
2. public class JwtUtil {
3.     // 准备两个存放在荷载的内容
4.     private static final String CLAIM_KEY_SUB = "sub";
5.     private static final String CLAIM_KEY_CREATE = "ibt";
8.     // 提取 application.yml 中 JWT 的参数：
9.     // 1. expiration Long
10.     @Value("${jwt.expiration}")
11.     private Long expiration;
13.     // 2. secret String
14.     @Value("${jwt.secret}")
15.     private String secret; // 密钥
17.     // 根据用户名构建 token
18.     public String foundJWT(UserDetails userDetails) {
19.         String username = userDetails.getUsername();
20.         Map<String, Object> claims = new HashMap<>();
21.         claims.put(CLAIM_KEY_SUB, username);
22.         claims.put(CLAIM_KEY_CREATE, new Date());
23.         return foundJWT(claims);
24.     }
26.     // 根据荷载 map 构建 token
27.     private String foundJWT(Map<String, Object> claims) {
28.         return Jwts.builder()
29.                 .setClaims(claims)
30.                 .setExpiration(getExpiration()) // 过期时间
31.                 .signWith(SignatureAlgorithm.HS512, secret) // 设置签名算法和密钥
32.                 .compact();
33.     }
35.     // 判断 token 是否有效
36.     public boolean validateToken(String token,UserDetails userDetails){
37.         // 从 token 中获取 username 与 userDetails 中的username 对比
38.         String username = getUsernameInToken(token);
39.         // 判断 username 是否一致以及 token 是否过期
40.         return username.equals(userDetails.getUsername()) && !isExpired(token);
41.     }
44.     // 判断 token 是否过期
45.     // true 过期 false 没过期
46.     private boolean isExpired(String token) {
47.         Date expiration = getClaimsInToken(token).getExpiration();
48.         return expiration.before(new Date());
49.     }
50.     // 从 token 中提取荷载信息
51.     public Claims getClaimsInToken(String token){
52.         Claims claims = null;
54.         try {
55.             claims = Jwts.parser()
56.                     .setSigningKey(secret)
57.                     .parseClaimsJws(token)
58.                     .getBody();
59.         }catch (Exception e){
60.             e.printStackTrace();
61.         }
62.         return claims;
63.     }
65.     // 从 token 中提取用户名信息
66.     public String getUsernameInToken(String token){
67.         String username;
68.         try {
69.             username = getClaimsInToken(token).getSubject();
70.         }catch (Exception e){
71.             username = null;
72.         }
73.         return username;
74.     }
75.     // token 是否能刷新
76.     public boolean tokenCanRef(String token){
77.         return !isExpired(token); // 有效地 token 才能被刷新
78.     }
79.     // 刷新 token
80.     public String refToken(String token){
81.         Claims claimsInToken = getClaimsInToken(token);
82.         claimsInToken.put(CLAIM_KEY_CREATE,new Date());
83.         return foundJWT(claimsInToken);
84.     }
86.     // 设置过期时间
87.     private Date getExpiration() {
88.         return new Date(System.currentTimeMillis() + expiration * 1000);
89.     }
90. }

复制代码

3.2 RespBean 公共返回对象

1. @Data
2. @AllArgsConstructor
3. @NoArgsConstructor
4. public class RespBean {
5.     private long code;
6.     private String message;
7.     private Object obj;
9.     /**
10.      * 返回响应结果
11.      */
12.     private static RespBean result(long code, String message, Object obj) {
13.         return new RespBean(code, message, obj);
14.     }
15.     /*
16.        返回成功响应
17.         */
18.     public static RespBean success(String message) {
19.         return result(200, message, null);
20.     }
22.     /*
23.     返回成功响应以及数据体
24.      */
25.     public static RespBean success(String message, Object obj) {
26.         return result(200, message, obj);
27.     }
29.     /*
30.     返回错误响应
31.      */
32.     public static RespBean error(String message) {
33.         return result(500, message, null);
34.     }
35. }

复制代码

4. 让 User 实体类实现 UserDetails 的方法成为 Security 验证的用户核心主体

由于 Security 框架的性质，自定义授权和认证时，一般情况下会自定义 UserDetails。
[code]@Data@AllArgsConstructor@NoArgsConstructorpublic class User implements UserDetails {    private Integer id;    private String username;    private String password;    private String info;    private Boolean enabled;    @Override    public Collection

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4