Spring Boot整合Spring Security与JWT实现无状态认证:实战指南 ...

卖不甜枣  论坛元老 | 2025-3-7 14:34:50 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 1033|帖子 1033|积分 3099

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x
Spring Boot整合Spring Security与JWT实现无状态认证:实战指南

一、JWT认证原理简介

JSON Web Token(JWT)是一种开放标准(RFC 7519),由三部分组成:


  • Header(头部):声明令牌范例和签名算法
  • Payload(负载):携带用户身份信息
  • Signature(签名):防窜改验证
认证流程:

  • 客户端提交登录凭证
  • 服务端验证通过后天生JWT
  • 客户端后续哀求携带JWT
  • 服务端验证JWT有用性
二、项目搭建与依赖准备

1. 创建Spring Boot项目

选择依赖:


  • Spring Web
  • Spring Security
  • Lombok
  • Spring Data JPA(数据库存储)
2. 添加JWT依赖

  1. <dependency>
  2.     <groupId>io.jsonwebtoken</groupId>
  3.     <artifactId>jjwt-api</artifactId>
  4.     <version>0.11.5</version>
  5. </dependency>
  6. <dependency>
  7.     <groupId>io.jsonwebtoken</groupId>
  8.     <artifactId>jjwt-impl</artifactId>
  9.     <version>0.11.5</version>
  10.     <scope>runtime</scope>
  11. </dependency>
  12. <dependency>
  13.     <groupId>io.jsonwebtoken</groupId>
  14.     <artifactId>jjwt-jackson</artifactId>
  15.     <version>0.11.5</version>
  16.     <scope>runtime</scope>
  17. </dependency>
复制代码
三、核心组件实现

1. JWT工具类

  1. public class JwtUtils {
  2.     private static final String SECRET_KEY = "your-256-bit-secret";
  3.     private static final long EXPIRATION = 86400000; // 24小时
  5.     public static String generateToken(UserDetails userDetails) {
  6.         return Jwts.builder()
  7.                 .setSubject(userDetails.getUsername())
  8.                 .claim("roles", userDetails.getAuthorities())
  9.                 .setIssuedAt(new Date())
  10.                 .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION))
  11.                 .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
  12.                 .compact();
  13.     }
  15.     public static Claims parseToken(String token) {
  16.         return Jwts.parser()
  17.                 .setSigningKey(SECRET_KEY)
  18.                 .parseClaimsJws(token)
  19.                 .getBody();
  20.     }
  22.     public static boolean validateToken(String token, UserDetails userDetails) {
  23.         final String username = extractUsername(token);
  24.         return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
  25.     }
  27.     private static boolean isTokenExpired(String token) {
  28.         return extractExpiration(token).before(new Date());
  29.     }
  31.     // 其他辅助方法...
  32. }
复制代码
2. 自定义UserDetails实现

  1. @Entity
  2. @Data
  3. public class User implements UserDetails {
  4.     @Id
  5.     @GeneratedValue(strategy = GenerationType.IDENTITY)
  6.     private Long id;
  7.     private String username;
  8.     private String password;
  9.    
  10.     @ManyToMany(fetch = FetchType.EAGER)
  11.     private Set<Role> roles;
  13.     @Override
  14.     public Collection<? extends GrantedAuthority> getAuthorities() {
  15.         return roles.stream()
  16.                 .map(role -> new SimpleGrantedAuthority(role.getName()))
  17.                 .collect(Collectors.toList());
  18.     }
  20.     // 实现其他UserDetails方法...
  21. }
复制代码
四、安全配置类

1. Spring Security配置

  1. @Configuration
  2. @EnableWebSecurity
  3. @RequiredArgsConstructor
  4. public class SecurityConfig {
  5.    
  6.     private final JwtAuthenticationFilter jwtAuthFilter;
  7.    
  8.     @Bean
  9.     public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
  10.         http
  11.             .csrf(AbstractHttpConfigurer::disable)
  12.             .authorizeHttpRequests(auth -> auth
  13.                 .requestMatchers("/api/auth/**").permitAll()
  14.                 .anyRequest().authenticated()
  15.             )
  16.             .sessionManagement(session -> session
  17.                 .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
  18.             )
  19.             .addFilterBefore(jwtAuthFilter, UsernamePasswordAuthenticationFilter.class);
  20.         
  21.         return http.build();
  22.     }
  24.     @Bean
  25.     public PasswordEncoder passwordEncoder() {
  26.         return new BCryptPasswordEncoder();
  27.     }
  28. }
复制代码
2. JWT认证过滤器

  1. @Component
  2. @RequiredArgsConstructor
  3. public class JwtAuthenticationFilter extends OncePerRequestFilter {
  5.     private final JwtUtils jwtUtils;
  6.     private final UserDetailsService userDetailsService;
  8.     @Override
  9.     protected void doFilterInternal(HttpServletRequest request,
  10.                                     HttpServletResponse response,
  11.                                     FilterChain filterChain) throws ServletException, IOException {
  12.         final String authHeader = request.getHeader("Authorization");
  13.         if (authHeader == null || !authHeader.startsWith("Bearer ")) {
  14.             filterChain.doFilter(request, response);
  15.             return;
  16.         }
  18.         try {
  19.             final String jwt = authHeader.substring(7);
  20.             final String username = jwtUtils.extractUsername(jwt);
  21.             
  22.             if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
  23.                 UserDetails userDetails = userDetailsService.loadUserByUsername(username);
  24.                 if (jwtUtils.validateToken(jwt, userDetails)) {
  25.                     UsernamePasswordAuthenticationToken authToken = new UsernamePasswordAuthenticationToken(
  26.                             userDetails, null, userDetails.getAuthorities());
  27.                     authToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
  28.                     SecurityContextHolder.getContext().setAuthentication(authToken);
  29.                 }
  30.             }
  31.         } catch (Exception e) {
  32.             logger.error("Cannot set user authentication", e);
  33.         }
  34.         
  35.         filterChain.doFilter(request, response);
  36.     }
  37. }
复制代码
五、认证控制器实现

  1. @RestController
  2. @RequestMapping("/api/auth")
  3. @RequiredArgsConstructor
  4. public class AuthController {
  6.     private final AuthenticationManager authenticationManager;
  7.     private final JwtUtils jwtUtils;
  8.     private final UserService userService;
  10.     @PostMapping("/login")
  11.     public ResponseEntity<?> authenticateUser(@RequestBody LoginRequest request) {
  12.         Authentication authentication = authenticationManager.authenticate(
  13.                 new UsernamePasswordAuthenticationToken(
  14.                         request.getUsername(),
  15.                         request.getPassword()));
  16.         
  17.         SecurityContextHolder.getContext().setAuthentication(authentication);
  18.         UserDetails userDetails = (UserDetails) authentication.getPrincipal();
  19.         
  20.         String jwt = jwtUtils.generateToken(userDetails);
  21.         return ResponseEntity.ok(new JwtResponse(jwt));
  22.     }
  24.     @PostMapping("/register")
  25.     public ResponseEntity<?> registerUser(@RequestBody RegisterRequest request) {
  26.         if (userService.existsByUsername(request.getUsername())) {
  27.             return ResponseEntity.badRequest().body("用户名已存在");
  28.         }
  29.         
  30.         User user = new User();
  31.         user.setUsername(request.getUsername());
  32.         user.setPassword(passwordEncoder.encode(request.getPassword()));
  33.         userService.saveUser(user);
  34.         
  35.         return ResponseEntity.ok("用户注册成功");
  36.     }
  37. }
复制代码
六、测试验证

使用Postman测试流程:

  • 注册用户
  1. POST /api/auth/register
  2. {
  3.     "username": "testuser",
  4.     "password": "Test@1234"
  5. }
复制代码

  • 登录获取Token
  1. POST /api/auth/login
  2. {
  3.     "username": "testuser",
  4.     "password": "Test@1234"
  5. }
  7. 响应:
  8. {
  9.     "token": "eyJhbGciOiJIUzI1NiJ9.xxxxxx"
  10. }
复制代码

  • 访问受保护接口
  1. GET /api/protected
  2. Headers: Authorization: Bearer <your-token>
复制代码
七、安全加强措施


  • 密钥管理:
  1. // 推荐从环境变量读取密钥
  2. private static final String SECRET_KEY = System.getenv("JWT_SECRET");
复制代码

  • 革新令牌机制:
  1. @PostMapping("/refresh-token")
  2. public ResponseEntity<?> refreshToken(HttpServletRequest request) {
  3.     String refreshToken = jwtUtils.getRefreshTokenFromRequest(request);
  4.     // 验证刷新令牌并颁发新访问令牌
  5. }
复制代码

  • 黑名单机制:
  1. // 登出时将令牌加入黑名单
  2. public void logout(String token) {
  3.     long expiration = jwtUtils.getExpirationFromToken(token);
  4.     long currentTime = System.currentTimeMillis();
  5.     if (expiration > currentTime) {
  6.         blacklistService.addToBlacklist(token, expiration - currentTime);
  7.     }
  8. }
复制代码
八、最佳实践建议


  • 使用HTTPS传输JWT
  • 设置公道的令牌有用期(访问令牌1小时,革新令牌7天)
  • 存储敏感信息在服务端,Payload只放必要信息
  • 定期轮换签名密钥
  • 实现令牌吊销机制
  • 监控非常认证尝试
  • 使用强密码计谋(至少8位,包罗大小写字母、数字和特殊字符)
结语

通过本实践案例,我们实现了基于JWT的无状态认证系统。实际开辟中还必要考虑:


  • 分布式系统的会话管理
  • 微服务架构中的令牌传递
  • 第三方登录集成(OAuth2)
  • 审计日志记录
建议联合具体业务需求调整安全计谋,并定期进行安全渗透测试。Spring Security与JWT的联合为现代Web应用提供了灵活强盛的安全办理方案,正确实行可以有用保护系统资源。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

卖不甜枣

论坛元老
这个人很懒什么都没写!

楼主热帖

标签云

AI 运维 CIO 存储 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表