Spring Security 整合JWT（四）

一、前言

本篇文章將講述Spring Security 簡單整合JWT 處理認證授權

基本環境

1. spring-boot 2.1.8
2. mybatis-plus 2.2.0
3. mysql 數據庫
4. maven項目

Spring Security入門學習可參考之前文章：

1. SpringBoot集成Spring Security入門體驗（一）
   https://blog.csdn.net/qq_38225558/article/details/101754743
2. Spring Security 自定義登錄認證（二）
   https://blog.csdn.net/qq_38225558/article/details/102542072
3. Spring Security 動態url權限控制（三）
   https://blog.csdn.net/qq_38225558/article/details/102637637

二、 Spring Security 簡單整合 JWT

有關JWT不了解的可以看下官網文檔：https://jwt.io/introduction/

1、引入jwt依賴

 <!-- jwt依賴: https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
 <dependency>
     <groupId>io.jsonwebtoken</groupId>
     <artifactId>jjwt</artifactId>
     <version>0.9.1</version>
 </dependency>

2、在Security登錄認證成功后生成jwt令牌返回給前端保存

jwt生成令牌代碼如下：

// 生成jwt訪問令牌
String jwtToken = Jwts.builder()
        // 用戶角色
        .claim("ROLE_LOGIN", "ADMIN")
        // 主題 - 存用戶名
        .setSubject("張三")
        // 過期時間 - 30分鍾
        .setExpiration(new Date(System.currentTimeMillis() + 30 * 60 * 1000))
        // 加密算法和密鑰
        .signWith(SignatureAlgorithm.HS512, "helloworld")
        .compact();

這里貼出小編文末案例demo源碼中關於登錄認證處理中的使用

@Component
public class AdminAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    UserDetailsServiceImpl userDetailsService;
    @Autowired
    private UserMapper userMapper;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        // 獲取前端表單中輸入后返回的用戶名、密碼
        String userName = (String) authentication.getPrincipal();
        String password = (String) authentication.getCredentials();

        SecurityUser userInfo = (SecurityUser) userDetailsService.loadUserByUsername(userName);

        boolean isValid = PasswordUtils.isValidPassword(password, userInfo.getPassword(), userInfo.getCurrentUserInfo().getSalt());
        // 驗證密碼
        if (!isValid) {
            throw new BadCredentialsException("密碼錯誤！");
        }

        // 前后端分離情況下 處理邏輯...
        // 更新登錄令牌
        // 當前用戶所擁有角色代碼
        String roleCodes = userInfo.getRoleCodes();
        // 生成jwt訪問令牌
        String jwt = Jwts.builder()
                // 用戶角色
                .claim(Constants.ROLE_LOGIN, roleCodes)
                // 主題 - 存用戶名
                .setSubject(authentication.getName())
                // 過期時間 - 30分鍾
                .setExpiration(new Date(System.currentTimeMillis() + 30 * 60 * 1000))
                // 加密算法和密鑰
                .signWith(SignatureAlgorithm.HS512, Constants.SALT)
                .compact();


        User user = userMapper.selectById(userInfo.getCurrentUserInfo().getId());
        user.setToken(jwt);
        userMapper.updateById(user);
        userInfo.getCurrentUserInfo().setToken(jwt);
        return new UsernamePasswordAuthenticationToken(userInfo, password, userInfo.getAuthorities());
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

前端頁面保存的jwt令牌格式如下：

3、Security訪問鑒權中認證用戶信息

我們在訪問每一個url請求的時候，在統一認證的地方獲取jwt中我們需要的信息然后認證即可，【注： Claims 中存放着我們需要的信息】
例如： 我們可以將用戶名、密碼存放jwt中，然后在認證的時候讀取到其中的用戶信息，然后查詢數據庫認證用戶，如果滿足條件即成功訪問，如果不滿足條件即拋出異常處理

溫馨小提示：如果jwt令牌過期，會拋出ExpiredJwtException異常，我們需要攔截到，然后交給認證失敗處理器中處理，然后返回給前端，這里根據個人業務實際處理即可~

// 獲取jwt中的信息
Claims claims = Jwts.parser().setSigningKey("helloworld").parseClaimsJws(jwtToken.replace("Bearer", "")).getBody();
// 獲取當前登錄用戶名
System.out.println("獲取當前登錄用戶名: " + claims.getSubject());

小編項目中認證過濾器中的使用如下:

@Slf4j
@Component
public class MyAuthenticationFilter extends OncePerRequestFilter {

    @Autowired
    AdminAuthenticationEntryPoint authenticationEntryPoint;

    private final UserDetailsServiceImpl userDetailsService;

    protected MyAuthenticationFilter(UserDetailsServiceImpl userDetailsService) {
        this.userDetailsService = userDetailsService;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        MultiReadHttpServletRequest wrappedRequest = new MultiReadHttpServletRequest(request);
        MultiReadHttpServletResponse wrappedResponse = new MultiReadHttpServletResponse(response);
        StopWatch stopWatch = new StopWatch();
        try {
            stopWatch.start();
            // 前后端分離情況下，前端登錄后將token儲存在cookie中，每次訪問接口時通過token去拿用戶權限
            String jwtToken = wrappedRequest.getHeader(Constants.REQUEST_HEADER);
            log.debug("后台檢查令牌:{}", jwtToken);
            if (StringUtils.isNotBlank(jwtToken)) {
                // JWT相關start ===========================================
                // 獲取jwt中的信息
                Claims claims = Jwts.parser().setSigningKey(Constants.SALT).parseClaimsJws(jwtToken.replace("Bearer", "")).getBody();
                // 獲取當前登錄用戶名
                System.out.println("獲取當前登錄用戶名: " + claims.getSubject());
                // TODO 如需使用jwt特性在此做處理~
                // JWT相關end ===========================================

                // 檢查token
                SecurityUser securityUser = userDetailsService.getUserByToken(jwtToken);
                if (securityUser == null || securityUser.getCurrentUserInfo() == null) {
                    throw new BadCredentialsException("TOKEN已過期，請重新登錄！");
                }
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(securityUser, null, securityUser.getAuthorities());
                // 全局注入角色權限信息和登錄用戶基本信息
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
            filterChain.doFilter(wrappedRequest, wrappedResponse);
        } catch (ExpiredJwtException e) {
            // jwt令牌過期
            SecurityContextHolder.clearContext();
            this.authenticationEntryPoint.commence(wrappedRequest, response, null);
        } catch (AuthenticationException e) {
            SecurityContextHolder.clearContext();
            this.authenticationEntryPoint.commence(wrappedRequest, response, e);
        } finally {
            stopWatch.stop();
        }
    }

}

簡單的入門使用就是這樣了

三、總結

1. 引入jwt依賴
2. 登錄系統成功后生成jwt令牌返回給前端保存到瀏覽器請求頭中
3. 在每一次請求訪問系統url時，在統一認證過濾器中獲取到請求頭中jwt令牌中保存的用戶信息然后做認證處理，如果滿足條件成功訪問，如果不滿足交給認證失敗處理器返回指定內容給前端

本文案例demo源碼

https://gitee.com/zhengqingya/java-workspace