SpringSecurity构建基于JWT的登录认证实现

也想出现在这里？点击联系我~

最近项目的登录验证部分，采用了 JWT 验证的方式。并且既然采用了 Spring Boot 框架，验证和权限管理这部分，就自然用了 Spring Security。这里记录一下具体实现。
在项目采用 JWT 方案前，有必要先了解它的特性和适用场景，毕竟软件工程里，没有银弹。只有合适的场景，没有万精油的方案。

一言以蔽之，JWT 可以携带非敏感信息，并具有不可篡改性。可以通过验证是否被篡改，以及读取信息内容，完成网络认证的三个问题：“你是谁”、“你有哪些权限”、“是不是冒充的”。

为了安全，使用它需要采用 Https 协议，并且一定要小心防止用于加密的密钥泄露。

采用 JWT 的认证方式下，服务端并不存储用户状态信息，有效期内无法废弃，有效期到期后，需要重新创建一个新的来替换。
所以它并不适合做长期状态保持，不适合需要用户踢下线的场景，不适合需要频繁修改用户信息的场景。因为要解决这些问题，总是需要额外查询数据库或者缓存，或者反复加密解密，强扭的瓜不甜，不如直接使用 Session。不过作为服务间的短时效切换，还是非常合适的，就比如 OAuth 之类的。

目标功能点

通过填写用户名和密码登录。

• 验证成功后, 服务端生成 JWT 认证 token, 并返回给客户端。
• 验证失败后返回错误信息。
• 客户端在每次请求中携带 JWT 来访问权限内的接口。

每次请求验证 token 有效性和权限，在无有效 token 时抛出 401 未授权错误。
当发现请求带着的 token 有效期快到了的时候，返回特定状态码，重新请求一个新 token。

准备工作

引入 Maven 依赖

针对这个登录验证的实现，需要引入 Spring Security、jackson、java-jwt 三个包。

1. <dependency>
2. <groupId>org.springframework.boot</groupId>
3. <artifactId>spring-boot-starter-security</artifactId>
4. </dependency>
5. <dependency>
6. <groupId>com.fasterxml.jackson.core</groupId>
7. <artifactId>jackson-core</artifactId>
8. <version>2.12.1</version>
9. </dependency>
10. <dependency>
11. <groupId>com.auth0</groupId>
12. <artifactId>java-jwt</artifactId>
13. <version>3.12.1</version>
14. </dependency>

配置 DAO 数据层

要验证用户前，自然是先要创建用户实体对象，以及获取用户的服务类。不同的是，这两个类需要实现 Spring Security 的接口，以便将它们集成到验证框架中。

User

用户实体类需要实现 ”UserDetails“ 接口，这个接口要求实现 getUsername、getPassword、getAuthorities 三个方法，用以获取用户名、密码和权限。以及 isAccountNonExpired“`isAccountNonLocked、isCredentialsNonExpired、isEnabled 这四个判断是否是有效用户的方法，因为和验证无关，所以先都返回 true。这里图方便，用了 lombok。

1. @Data
2. public class User implements UserDetails {
4. private static final long serialVersionUID = 1L;
6. private String username;
8. private String password;
10. private Collection<? extends GrantedAuthority> authorities;
12. …
13. }

UserService

用户服务类需要实现 “UserDetailsService” 接口，这个接口非常简单，只需要实现 loadUserByUsername(String username) 这么一个方法。这里使用了 MyBatis 来连接数据库获取用户信息。

1. @Service
2. public class UserService implements UserDetailsService {
4. @Autowired
5. UserMapper userMapper;
7. @Override
8. @Transactional
9. public User loadUserByUsername(String username) {
10. return userMapper.getByUsername(username);
11. }
13. …
14. }

创建 JWT 工具类

这个工具类主要负责 token 的生成，验证，从中取值。

1. @Component
2. public class JwtTokenProvider {
4. private static final long JWT_EXPIRATION = 5 * 60 * 1000L; // 五分钟过期
6. public static final String TOKEN_PREFIX = "Bearer "; // token 的开头字符串
8. private String jwtSecret = "XXX 密钥，打死也不能告诉别人";
10. …
11. }

生成 JWT：从以通过验证的认证对象中，获取用户信息，然后用指定加密方式，以及过期时间生成 token。这里简单的只加了用户名这一个信息到 token 中：

1. public String generateToken(Authentication authentication) {
2. User userPrincipal = (User) authentication.getPrincipal(); // 获取用户对象
3. Date expireDate = new Date(System.currentTimeMillis() + JWT_EXPIRATION); // 设置过期时间
4. try {
5. Algorithm algorithm = Algorithm.HMAC256(jwtSecret); // 指定加密方式
6. return JWT.create().withExpiresAt(expireDate).withClaim("username", userPrincipal.getUsername())
7. .sign(algorithm); // 签发 JWT
8. } catch (JWTCreationException jwtCreationException) {
9. return null;
10. }
11. }

验证 JWT：指定和签发相同的加密方式，验证这个 token 是否是本服务器签发，是否篡改，或者已过期。

1. public boolean validateToken(String authToken) {
2. try {
3. Algorithm algorithm = Algorithm.HMAC256(jwtSecret); // 和签发保持一致
4. JWTVerifier verifier = JWT.require(algorithm).build();
5. verifier.verify(authToken);
6. return true;
7. } catch (JWTVerificationException jwtVerificationException) {
8. return false;
9. }
10. }

获取荷载信息：从 token 的荷载部分里解析用户名信息，这部分是 md5 编码的，属于公开信息。

1. public String getUsernameFromJWT(String authToken) {
2. try {
3. DecodedJWT jwt = JWT.decode(authToken);
4. return jwt.getClaim("username").asString();
5. } catch (JWTDecodeException jwtDecodeException) {
6. return null;
7. }
8. }

登录

登录部分需要创建三个文件：负责登录接口处理的拦截器，登陆成功或者失败的处理类。

LoginFilter

Spring Security 默认自带表单登录，负责处理这个登录验证过程的过滤器叫“UsernamePasswordAuthenticationFilter”，不过它只支持表单传值，这里用自定义的类继承它，使其能够支持 JSON 传值，负责登录验证接口。
这个拦截器只需要负责从请求中取值即可，验证工作 Spring Security 会帮我们处理好。

1. public class LoginFilter extends UsernamePasswordAuthenticationFilter {
3. @Override
4. public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
5. if (!request.getMethod().equals("POST")) {
6. throw new AuthenticationServiceException("登录接口方法不支持: " + request.getMethod());
7. }
8. if (request.getContentType().equals(MediaType.APPLICATION_JSON_VALUE)) {
9. Map<String, String> loginData = new HashMap<>();
10. try {
11. loginData = new ObjectMapper().readValue(request.getInputStream(), Map.class);
12. } catch (IOException e) {
13. }
14. String username = loginData.get(getUsernameParameter());
15. String password = loginData.get(getPasswordParameter());
16. if (username == null) {
17. username = "";
18. }
19. if (password == null) {
20. password = "";
21. }
22. username = username.trim();
23. UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username,
24. password);
25. setDetails(request, authRequest);
26. return this.getAuthenticationManager().authenticate(authRequest);
27. } else {
28. return super.attemptAuthentication(request, response);
29. }
30. }
32. }

LoginSuccessHandler

负责在登录成功后，生成 JWT 给前端。

1. @Component
2. public class LoginSuccessHandler implements AuthenticationSuccessHandler {
4. @Autowired
5. private JwtTokenProvider jwtTokenProvider;
7. @Override
8. public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
9. Authentication authentication) throws IOException, ServletException {
11. ResponseData responseData = new ResponseData();
12. String token = jwtTokenProvider.generateToken(authentication);
13. responseData.setData(JwtTokenProvider.TOKEN_PREFIX + token);
14. response.setContentType("application/json;charset=utf-8");
15. ObjectMapper mapper = new ObjectMapper();
16. mapper.writeValue(response.getWriter(), responseData);
17. }
19. }

LoginFailureHandler

验证失败后，返回错误信息。

1. @Component
2. public class LoginFailureHandler implements AuthenticationFailureHandler {
4. @Override
5. public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
6. AuthenticationException exception) throws IOException, ServletException {
7. response.setContentType("application/json;charset=utf-8");
8. ResponseData respBean = setResponseData(exception);
9. ObjectMapper mapper = new ObjectMapper();
10. mapper.writeValue(response.getWriter(), respBean);
11. }
13. private ResponseData setResponseData(AuthenticationException exception) {
14. if (exception instanceof LockedException) {
15. return ResponseData.build("用户已被锁定");
16. } else if (exception instanceof CredentialsExpiredException) {
17. return ResponseData.build("密码已过期");
18. } else if (exception instanceof AccountExpiredException) {
19. return ResponseData.build("用户名已过期");
20. } else if (exception instanceof DisabledException) {
21. return ResponseData.build("账户不可用");
22. } else if (exception instanceof BadCredentialsException) {
23. return ResponseData.build("验证失败");
24. }
25. return ResponseData.build("登录失败，请联系管理员");
26. }
28. }

验证

在成功登陆后，前端在每次发起请求时携带签发的 JWT，让服务端能识别这是已登录的用户。
同时，如果未携带 JWT，或携带的 token 过期，或者非法，用单独的处理类返回错误信息。

JwtAuthenticationFilter

负责在每次请求中，解析请求头中的 JWT，从中取得用户信息，生成验证对象传递给下一个过滤器。

1. @Component
2. public class JwtAuthenticationFilter extends OncePerRequestFilter {
4. @Autowired
5. private JwtTokenProvider jwtProvider;
7. @Override
8. protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
9. throws ServletException, IOException {
10. try {
11. String jwt = getJwtFromRequest(request);
12. UsernamePasswordAuthenticationToken authentication = verifyToken(jwt);
13. if (authentication != null) {
14. authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
15. }
16. SecurityContextHolder.getContext().setAuthentication(authentication);
17. } catch (Exception e) {
18. logger.error("无法给 Security 上下文设置用户验证对象", e);
19. }
21. filterChain.doFilter(request, response);
22. }
24. private String getJwtFromRequest(HttpServletRequest request) {
25. String bearerToken = request.getHeader("Authorization");
26. if (bearerToken == null || !bearerToken.startsWith(JwtTokenProvider.TOKEN_PREFIX)) {
27. logger.info("请求头不含 JWT token，调用下个过滤器");
28. return null;
29. }
31. return bearerToken.split(" ")[1].trim();
32. }
34. // 验证token，并生成认证后的token
35. private UsernamePasswordAuthenticationToken verifyToken(String token) {
36. if (token == null) {
37. return null;
38. }
39. // 认证失败，返回null
40. if (!jwtProvider.validateToken(token)) {
41. return null;
42. }
43. // 提取用户名
44. String username = jwtProvider.getUsernameFromJWT(token);
45. UserDetails userDetails = new User(username);
47. // 构建认证过的token
48. return new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
49. }
50. }

AuthenticationEntryPoint

这个类就比较简单，只是在验证不通过后，返回 401 响应，并记录错误信息。

1. @Component
2. public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {
4. private static final Logger logger = LoggerFactory.getLogger(JwtAuthenticationEntryPoint.class);
6. @Override
7. public void commence(HttpServletRequest request, HttpServletResponse response,
8. AuthenticationException authException) throws IOException, ServletException {
9. logger.error("验证为通过. 提示信息 – {}", authException.getMessage());
10. response.sendError(HttpServletResponse.SC_UNAUTHORIZED, authException.getMessage());
11. }
13. }

集中配置

Spring Security 的功能是通过一系列的过滤器链实现的，而配置整个 Spring Security，只需要统一在一个类中配置即可。
现在咱们就创建这个类，继承自 “WebSecurityConfigurerAdapter”，把上面准备好的各种文件，一一配置进去。
首先是通过注解，设置打开全局的 Spring Security 功能，并通过依赖注入，引入刚刚创建的类。

1. @Configuration
2. @EnableWebSecurity
3. public class KanpmSecurityConfig extends WebSecurityConfigurerAdapter {
5. @Autowired
6. UserDetailsService userDetailsService;
8. @Autowired
9. private JwtAuthenticationEntryPoint unauthorizedHandler;
11. @Autowired
12. private JwtAuthenticationFilter jwtAuthenticationFilter;
14. @Bean
15. public LoginFilter loginFilter(LoginSuccessHandler loginSuccessHandler, LoginFailureHandler loginFailureHandler)
16. throws Exception {
17. LoginFilter loginFilter = new LoginFilter();
18. loginFilter.setAuthenticationSuccessHandler(loginSuccessHandler);
19. loginFilter.setAuthenticationFailureHandler(loginFailureHandler);
20. loginFilter.setAuthenticationManager(authenticationManagerBean());
21. loginFilter.setFilterProcessesUrl("/auth/login");
22. return loginFilter;
23. }
25. @Bean
26. @Override
27. public AuthenticationManager authenticationManagerBean() throws Exception {
28. return super.authenticationManagerBean();
29. }
31. @Bean
32. public PasswordEncoder passwordEncoder() {
33. return new BCryptPasswordEncoder();
34. }
36. …
37. }

接着，再把用户获取服务类和加密方式，配置到 Spring Security 中去，让它知道如何去验证登录。

1. @Override
2. public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
3. authenticationManagerBuilder.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
4. }

最后，将JWT过滤器放入过滤器链中，用自定义的登录过滤器替代默认的 “UsernamePasswordAuthenticationFilter”，完成功能。

1. @Override
2. protected void configure(HttpSecurity http) throws Exception {
3. http.csrf().disable().anyRequest().authenticated().and()
4. .exceptionHandling().authenticationEntryPoint(unauthorizedHandler);
6. http.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
7. .addFilterAt(loginFilter(new LoginSuccessHandler(), new LoginFailureHandler()),
8. UsernamePasswordAuthenticationFilter.class);
9. }

到此这篇关于SpringSecurity构建基于JWT的登录认证实现的文章就介绍到这了,更多相关SpringSecurity JWT登录认证内容请搜索快网idc以前的文章或继续浏览下面的相关文章希望大家以后多多支持快网idc！