对于JWT的解释,网上有很多,我就不多赘述,主要分为以下两个步骤:
- 用户登录生成
Token返回给前端 - 前端在访问某些接口时需要该
Token进行鉴权访问
编写登录接口,生成Token并返回前端
-
编写
service层实现类利用AuthenticationManager的authenticate方法进行用户认证:- 将用户输入的用户名和密码传入一个实现
Authentication接口的类对象(这里选用UsernamePasswordAuthenticationToken)
//将用户输入的用户名和密码传入一个实现 UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username,password);- 调用
AuthenticationManager对象的authenticate方法,并传入一个Authentication接口对象:
Authentication authenticate = authenticationManager.authenticate(authenticationToken);该
AuthenticationManager对象需在SpringSecurity的配置类中注入:@Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); }authenticate方法的返回值为一个Authentication对象,该对象可以调用getPrincipal()方法返回一个UserDetails对象,以便后续的生成Token、将用户信息存入Redis等操作- 需要注意,
UserDetails的实现类可以选用spring-security官方给我们写好的org.springframework.security.core.userdetails.User类,也可以自己写,重写的getAuthorities方法中需要返回一个GrantedAuthority集合
private List<String> permissions; @JSONField(serialize = false) //保存到Redis中会避免乱码问题 private List<SimpleGrantedAuthority> authorities; @Override public Collection<? extends GrantedAuthority> getAuthorities() { if(authorities!=null){ return authorities; } //把permissions中String类型的权限信息封装成SimpleGrantedAuthority对象 authorities = new ArrayList<>(); for (String permission : permissions) { SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permission); authorities.add(authority); } return authorities; } - 将用户输入的用户名和密码传入一个实现
-
在使用
AuthenticationManager进行认证授权时,肯定得有认证的依据,用户名和密码以及用户对应的权限角色等,因此我们需要编写UserDetailsService的实现类并重写loadUserByUsername方法,从数据库中取出用户的用户名密码以及对应权限,封装到UserDetials实现类对象中并返回;如果用的是官方的User类:
List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("role1,role2");
return new User(username,new BCryptPasswordEncoder().encode(password),auths);
以上就完成了整个登录获取Token的过程
对用户访问某些接口时进行鉴权
- 首先应该在配置类中进行简单的鉴权配置:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
//关闭csrf
.csrf().disable()
//不通过Session获取SecurityContext
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
// 对于登录接口 允许匿名访问
.antMatchers("/user/login").anonymous()
// 除上面外的所有请求全部需要鉴权认证
.anyRequest().authenticated();
}
- 编写一个
Filter继承OncePerRequestFilter,重写doFilterInternal方法,主要用来解析请求中携带的Token并从Redis中获取用户的信息(UserDetails),最后封装到Authentication对象中,并存入SecurityContextHolder中以便后续的Filter使用:
UsernamePasswordAuthenticationToken authenticationToken =
new UsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());
SecurityContextHolder.getContext().setAuthentication(authenticationToken);
最后别忘了放行过滤器
filterChain.doFilter(request, response);
- 过滤器写好后需要在配置类中加入到
SpringSecurity的过滤器链中:
http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
这里将其加入到UsernamePasswordAuthenticationFilter的前面
在以上配置结束后,想要实现资源的权限设置还需要在Controller的接口方法上配置对应的权限:
- 首先在配置类中配置@EnableGlobalMethodSecurity注解
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
- 在接口方法上添加
@PreAuthorize注解
@RequestMapping("/hello")
@PreAuthorize("hasAut0hority('system:dept:list')")
public String hello(){
return "hello";
}
之后就可以根据访问接口的不同而要求不同的权限
以上就是SpringSecurity实现JWT认证的基本步骤
