SpringSecurity5（9-JWT整合）

依赖设置

1. <dependency>
2.     <groupId>org.springframework.boot</groupId>
3.     <artifactId>spring-boot-starter-web</artifactId>
4. </dependency>
5. <dependency>
6.     <groupId>org.springframework.boot</groupId>
7.     <artifactId>spring-boot-starter-security</artifactId>
8. </dependency>
9. <dependency>
10.     <groupId>org.springframework.boot</groupId>
11.     <artifactId>spring-boot-starter-data-redis</artifactId>
12. </dependency>
13. <dependency>
14.     <groupId>org.apache.commons</groupId>
15.     <artifactId>commons-pool2</artifactId>
16.     <version>2.9.0</version>
17. </dependency>
18. <dependency>
19.     <groupId>io.jsonwebtoken</groupId>
20.     <artifactId>jjwt</artifactId>
21.     <version>0.9.1</version>
22. </dependency>
23. <dependency>
24.     <groupId>com.github.axet</groupId>
25.     <artifactId>kaptcha</artifactId>
26.     <version>0.0.9</version>
27. </dependency>
28. <dependency>
29.     <groupId>cn.hutool</groupId>
30.     <artifactId>hutool-all</artifactId>
31.     <version>5.7.15</version>
32. </dependency>
33. <dependency>
34.     <groupId>org.apache.commons</groupId>
35.     <artifactId>commons-lang3</artifactId>
36. </dependency>
37. <dependency>
38.     <groupId>commons-codec</groupId>
39.     <artifactId>commons-codec</artifactId>
40. </dependency>
41. <dependency>
42.     <groupId>org.springframework.boot</groupId>
43.     <artifactId>spring-boot-starter-validation</artifactId>
44. </dependency>
45. <dependency>
46.     <groupId>org.projectlombok</groupId>
47.     <artifactId>lombok</artifactId>
48. </dependency>
49. <dependency>
50.     <groupId>org.springframework.boot</groupId>
51.     <artifactId>spring-boot-starter-thymeleaf</artifactId>
52. </dependency>

复制代码

自定义全局返回结果

1. @Data
2. public class Result implements Serializable {
3.     private int code;
4.     private String msg;
5.     private Object data;
7.     public static Result succ(Object data) {
8.         return succ(200, "操作成功", data);
9.     }
11.     public static Result fail(String msg) {
12.         return fail(400, msg, null);
13.     }
15.     public static Result succ (int code, String msg, Object data) {
16.         Result result = new Result();
17.         result.setCode(code);
18.         result.setMsg(msg);
19.         result.setData(data);
20.         return result;
21.     }
23.     public static Result fail (int code, String msg, Object data) {
24.         Result result = new Result();
25.         result.setCode(code);
26.         result.setMsg(msg);
27.         result.setData(data);
28.         return result;
29.     }
30. }

复制代码

JWT 设置类

1. jwt:
2.   header: Authorization
3.   expire: 604800  #7天，s为单位
4.   secret: 123456

复制代码

1. @Data
2. @Component
3. @ConfigurationProperties(prefix = "jwt")
4. public class JwtUtils {
5.    
6.     private long expire;
7.     private String secret;
8.     private String header;
10.     /**
11.      * 生成 JWT
12.      * @param username
13.      * @return
14.      */
15.     public String generateToken(String username){
16.         Date nowDate = new Date();
17.         Date expireDate = new Date(nowDate.getTime() + 1000 * expire);
18.         
19.         return Jwts.builder()
20.                 .setHeaderParam("typ","JWT")
21.                 .setSubject(username)
22.                 .setIssuedAt(nowDate)
23.                 .setExpiration(expireDate)  //7 天过期
24.                 .signWith(SignatureAlgorithm.HS512,secret)
25.                 .compact();
26.     }
28.     /**
29.      * 解析 JWT
30.      * @param jwt
31.      * @return
32.      */
33.     public Claims getClaimsByToken(String jwt){
34.         try {
35.             return Jwts.parser()
36.                     .setSigningKey(secret)
37.                     .parseClaimsJws(jwt)
38.                     .getBody();
39.         }catch (Exception e){
40.             return null;
41.         }
42.     }
44.     /**
45.      * 判断 JWT 是否过期
46.      * @param claims
47.      * @return
48.      */
49.     public boolean isTokenExpired(Claims claims){
50.         return claims.getExpiration().before(new Date());
51.     }
52. }

复制代码

自定义登录处理器

登录失败后，我们必要向前端发送错误信息，登录乐成后，我们必要天生 JWT，并将 JWT 返回给前端

1. /**
2. * 登录成功控制器
3. */
4. @Component
5. public class LoginSuccessHandler implements AuthenticationSuccessHandler {
7.     @Autowired
8.     private JwtUtils jwtUtils;
10.     @Override
11.     public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException {
12.         httpServletResponse.setContentType("application/json;charset=UTF-8");
13.         ServletOutputStream outputStream = httpServletResponse.getOutputStream();
15.         //生成 JWT，并放置到请求头中
16.         String jwt = jwtUtils.generateToken(authentication.getName());
17.         httpServletResponse.setHeader(jwtUtils.getHeader(), jwt);
19.         Result result = Result.succ("SuccessLogin");
20.         outputStream.write(JSONUtil.toJsonStr(result).getBytes(StandardCharsets.UTF_8));
21.         outputStream.flush();
22.         outputStream.close();
23.     }
24. }

复制代码

1. /**
2. * 登录失败控制器
3. */
4. @Component
5. public class LoginFailureHandler implements AuthenticationFailureHandler {
7.     @Override
8.     public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException {
9.         httpServletResponse.setContentType("application/json;charset=UTF-8");
10.         ServletOutputStream outputStream = httpServletResponse.getOutputStream();
12.         String errorMessage = "用户名或密码错误";
13.         Result result;
14.         if (e instanceof CaptchaException) {
15.             errorMessage = "验证码错误";
16.             result = Result.fail(errorMessage);
17.         } else {
18.             result = Result.fail(errorMessage);
19.         }
20.         outputStream.write(JSONUtil.toJsonStr(result).getBytes(StandardCharsets.UTF_8));
21.         outputStream.flush();
22.         outputStream.close();
23.     }
24. }

复制代码

自定义登出处理器

在用户退出登录时，我们需将原来的 JWT 置为空返给前端，这样前端会将空字符串覆盖之前的 jwt，JWT 是无状态化的，烧毁 JWT 是做不到的，JWT 天生之后，只有等 JWT 过期之后，才会失效。因此我们采取置空策略来清除浏览器中保存的 JWT。同时我们还要将我们之前置入 SecurityContext 中的用户信息举行清除，这可以通过创建 SecurityContextLogoutHandler 对象，调用它的 logout 方法完成

1. /**
2. * 登出处理器
3. */
4. @Component
5. public class JWTLogoutSuccessHandler implements LogoutSuccessHandler {
6.    
7.     @Autowired
8.     private JwtUtils jwtUtils;
9.    
10.     @Override
11.     public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
12.         if (authentication!=null){
13.             new SecurityContextLogoutHandler().logout(httpServletRequest, httpServletResponse, authentication);
14.         }
15.         httpServletResponse.setContentType("application/json;charset=UTF-8");
16.         ServletOutputStream outputStream = httpServletResponse.getOutputStream();
17.         
18.         httpServletResponse.setHeader(jwtUtils.getHeader(), "");
20.         Result result = Result.succ("SuccessLogout");
21.         
22.         outputStream.write(JSONUtil.toJsonStr(result).getBytes(StandardCharsets.UTF_8));
23.         outputStream.flush();
24.         outputStream.close();
25.     }
26. }

复制代码

验证码设置

1. public class CaptchaException extends AuthenticationException {
2.    
3.     public CaptchaException(String msg){
4.         super(msg);
5.     }
6. }

复制代码

1. /**
2. * 验证码配置
3. */
4. @Configuration
5. public class KaptchaConfig {
6.    
7.     @Bean
8.     public DefaultKaptcha producer(){
9.         Properties properties = new Properties();
10.         properties.put("kaptcha.border", "no");
11.         properties.put("kaptcha.textproducer.font.color", "black");
12.         properties.put("kaptcha.textproducer.char.space", "4");
13.         properties.put("kaptcha.image.height", "40");
14.         properties.put("kaptcha.image.width", "120");
15.         properties.put("kaptcha.textproducer.font.size", "30");
16.         Config config = new Config(properties);
17.         DefaultKaptcha defaultKaptcha = new DefaultKaptcha();
18.         defaultKaptcha.setConfig(config);
19.         return defaultKaptcha;
20.     }
21. }

复制代码

1. @RestController
2. public class CaptchaController {
4.     @Autowired
5.     private Producer producer;
6.     @Autowired
7.     private RedisUtil redisUtil;
9.     @GetMapping("/captcha")
10.     public void imageCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
11.         String code = producer.createText();
12.         BufferedImage image = producer.createImage(code);
14.         redisUtil.set("captcha", code, 120);
16.         // 将验证码图片返回，禁止验证码图片缓存
17.         response.setHeader("Cache-Control", "no-store");
18.         response.setHeader("Pragma", "no-cache");
19.         response.setDateHeader("Expires", 0);
20.         response.setContentType("image/jpeg");
21.         ImageIO.write(image, "jpg", response.getOutputStream());
22.     }
23. }

复制代码

自定义过滤器

OncePerRequestFilter：在每次哀求时只执行一次过滤，保证一次哀求只通过一次 filter，而不必要重复执行
由于验证码是一次性利用的，一个验证码对应一个用户的一次登录过程，以是需用 hdel 将存储的 key 删除。当校验失败时，则交给登录认证失败处理器 LoginFailureHandler 举行处理

1. /**
2. * 验证码过滤器
3. */
4. @Component
5. public class CaptchaFilter extends OncePerRequestFilter {
7.     @Autowired
8.     private RedisUtil redisUtil;
9.     @Autowired
10.     private LoginFailureHandler loginFailureHandler;
12.     @Override
13.     protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
14.         String url = httpServletRequest.getRequestURI();
15.         if ("/login/form".equals(url) && httpServletRequest.getMethod().equals("POST")) {
16.             //校验验证码
17.             try {
18.                 validate(httpServletRequest);
19.             } catch (CaptchaException e) {
20.                 //交给认证失败处理器
21.                 loginFailureHandler.onAuthenticationFailure(httpServletRequest, httpServletResponse, e);
22.                 return;
23.             }
24.         }
25.         filterChain.doFilter(httpServletRequest, httpServletResponse);
26.     }
28.     private void validate(HttpServletRequest request) {
29.         String code = request.getParameter("code");
31.         if (StringUtils.isBlank(code)) {
32.             throw new CaptchaException("验证码错误");
33.         }
34.         String captcha = (String) redisUtil.get("captcha");
35.         if (!code.equals(captcha)) {
36.             throw new CaptchaException("验证码错误");
37.         }
39.         //若验证码正确，执行以下语句，一次性使用
40.         redisUtil.del("captcha");
41.     }
42. }

复制代码

login.html

1. <!DOCTYPE html>
2. <html lang="en" xmlns:th="http://www.thymeleaf.org">
3. <head>
4.     <meta charset="UTF-8">
5.     <title>登录</title>
6. </head>
7. <body>
8. <h3>表单登录</h3>
9. <form method="post" th:action="@{/login/form}">
10.     <input type="text" name="username" placeholder="用户名">
    
12.     <input type="password" name="password" placeholder="密码">
    
14.     <input type="text" name="code" placeholder="验证码">
    
16.     <img th:onclick="this.src='/captcha?'+Math.random()" th:src="@{/captcha}" alt="验证码"/>
    
18.    
19.         用户名或密码错误
20.    
21.     <button type="submit">登录</button>
22. </form>
23. </body>
24. </html>

复制代码

BasicAuthenticationFilter：OncePerRequestFilter 执行完后，由 BasicAuthenticationFilter 检测和处理 http basic 认证，取出哀求头中的 jwt，校验 jwt

• 当前端发来的哀求有 JWT 信息时，该过滤器将查验 JWT 是否正确以及是否过期，若查验乐成，则获取 JWT 中的用户名信息，检索数据库获得用户实体类，并将用户信息告知 Spring Security，后续我们就能调用 security 的接口获取到当前登录的用户信息。
  
• 若前端发的哀求不含 JWT，我们也不能拦截该哀求，由于一般的项目都是答应匿名访问的，有的接口答应不登录就能访问，没有 JWT 也放行是安全的，由于我们可以通过 Spring Security 举行权限管理，设置一些接口必要权限才能访问，不答应匿名访问
  

1. /**
2. * JWT 过滤器
3. */
4. public class JwtAuthenticationFilter extends BasicAuthenticationFilter {
6.     @Autowired
7.     private JwtUtils jwtUtils;
8.     @Autowired
9.     private UserDetailServiceImpl userDetailService;
11.     public JwtAuthenticationFilter(AuthenticationManager authenticationManager) {
12.         super(authenticationManager);
13.     }
15.     @Override
16.     protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
17.         String jwt = request.getHeader(jwtUtils.getHeader());
18.         //这里如果没有 jwt，继续往后走，因为后面还有鉴权管理器等去判断是否拥有身份凭证，所以是可以放行的
19.         //没有 jwt 相当于匿名访问，若有一些接口是需要权限的，则不能访问这些接口
20.         if (StrUtil.isBlankOrUndefined(jwt)) {
21.             chain.doFilter(request, response);
22.             return;
23.         }
25.         Claims claim = jwtUtils.getClaimsByToken(jwt);
26.         if (claim == null) {
27.             throw new JwtException("token异常");
28.         }
29.         if (jwtUtils.isTokenExpired(claim)) {
30.             throw new JwtException("token已过期");
31.         }
32.         String username = claim.getSubject();
33.         User user = UserDetailServiceImpl.userMap.get(username);
35.         //构建 token，这里密码为 null，是因为提供了正确的 JWT，实现自动登录
36.         UsernamePasswordAuthenticationToken token =
37.                 new UsernamePasswordAuthenticationToken(username, null, userDetailService.getUserAuthority(user.getId()));
38.         SecurityContextHolder.getContext().setAuthentication(token);
39.         chain.doFilter(request, response);
40.     }
41. }

复制代码

自定义权限异常处理器

当 BasicAuthenticationFilter 认证失败的时候会进入 AuthenticationEntryPoint
我们之前放行了匿名哀求，但有的接口是必要权限的，当用户权限不足时，会进入 AccessDenieHandler 举行处理

1. /**
2. * JWT 认证失败处理器
3. */
4. @Component
5. public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {
6.    
7.     @Override
8.     public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
9.         httpServletResponse.setContentType("application/json;charset=UTF-8");
10.         httpServletResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
11.         ServletOutputStream outputStream = httpServletResponse.getOutputStream();
13.         Result result = Result.fail("请先登录");
14.         outputStream.write(JSONUtil.toJsonStr(result).getBytes(StandardCharsets.UTF_8));
15.         outputStream.flush();
16.         outputStream.close();
17.     }
18. }

复制代码

1. /**
2. * 无权限访问的处理
3. */
4. @Component
5. public class JwtAccessDeniedHandler implements AccessDeniedHandler {
6.    
7.     @Override
8.     public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
9.         httpServletResponse.setContentType("application/json;charset=UTF-8");
10.         httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
11.         ServletOutputStream outputStream = httpServletResponse.getOutputStream();
13.         Result result = Result.fail(e.getMessage());
14.         
15.         outputStream.write(JSONUtil.toJsonStr(result).getBytes(StandardCharsets.UTF_8));
16.         outputStream.flush();
17.         outputStream.close();
18.     }
19. }

复制代码

自定义用户登录逻辑

[code]public class AccountUser implements UserDetails {    private Long userId;    private static final long serialVersionUID = 540L;    private static final Log logger = LogFactory.getLog(User.class);    private String password;    private final String username;    private final Collection