devbox
花生_TL007
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

后端架构token授权认证机制:spring security JSON Web Token(JWT)简例_usernamepasswordauthenticationtoken

作者:花生_TL007 | 2024-03-24 10:05:25

usernamepasswordauthenticationtoken

后端架构token授权认证机制:spring security JSON Web Token(JWT)简例

在基于token的客户端-服务器端认证授权以前,前端到服务器端的认证-授权通常是基于session,自从token机制出现并流行起来后,基于token的客户端-服务器端认证-授权访问机制变得越来越主要,token机制从某种意义上讲是过去传统session会话机制的另外一种解决方案,并尤其适用于当前的大规模微服务、分布式体系架构。

客户端(浏览器web前端、app移动端等)与后端服务基于token的认证-授权访问流程一般情况是这样的:

(1)用户侧发送用户名和密码到服务器端。
(2)服务器端收到用户名后验证用户有效性。
(3)服务器端验证通过后,发送给用户一个token。
(4)客户端存储token,并在每次请求服务器端时附带上这个token。
(5)后续,每一层客户端的请求到达服务器端后,服务器验证token的有效性(合法性),若通过验证,返回客户端所需数据。

JWT可以认为是一种特殊编码格式的token。普通oauth2颁发是一串随机hash字符串,本身无意义,而JWT的token有特定含义,分为三部分:

(1)头部Header
(2)载荷Payload
(3)签名Signature

每一部分用 . 分隔开。

典型的应用场景是api鉴权。比如移动应用的app开发,用api,从远程服务器端拉取数据,每次的http访问,均带上token。

JWT-token此类鉴权认证机制不太适用的场景:

(1)传统session的会话保持业务逻辑。因为token无状态、分布式,在token有效期内,原则上只要使用这个token,仍然可以访问系统。
(2)token续签。围绕token续签设计系统架构会增加额外的复杂度。可以用redis记录token状态,在用户访问后更新状态,但这就是token机制用“歪”了,JWT-token的无状态此时变成有状态了,而这恰恰就是传统session+cookie机制可以覆盖住的业务场景。考虑系统的拓展和高可用,可以考虑使用成熟的spring session框架(B/S应用场景)。

现在写一个例子,代码如下:

 其中最关键的有三个类,JwtAuthenticationController,JwtRequestFilter,JwtWebSecurityConfigurerAdapter

这三个类涉及到spring boot对于token生成和验证的逻辑流程。结合上面的逻辑代码,简单总结一下spring+jwt这种组合框架是如何验证-生成授权token。

如果不使用spring security,那么spring里面实现接口访问即是常规的框架编程。引入spring security后,并在spring security中实现基于JWT的token授权-验证,那么首先需要对于访问用户发放token。所以在JwtAuthenticationController的createAuthenticationToken实现对于用户token的生成和返回。

当用户访问localhost:8080/auth后(注意是POST方法,需要写入用户名和密码),JwtAuthenticationController在createAuthenticationToken里面提取用户名和密码,构造UsernamePasswordAuthenticationToken,并将UsernamePasswordAuthenticationToken记入到上下文中的authenticationManager,如果用户名和密码均正确,spring security就“记忆”当前访问的用户,并通过jwtInMemoryUserDetailsService加载用户信息,然后jwtTokenUtil生成token返回给用户。

此后,客户端用户每一次访问受保护的资源时候,加入token。token是写到header里面的,token的key为Authorization,value按照协议规范,需要以字符串Bearer 开头,注意Bearer后面要带上空格。

JwtRequestFilter类目的是配置spring的http请求,把JwtRequestFilter写完后,加入到JwtWebSecurityConfigurerAdapter类的configure(HttpSecurity http)函数的http里面:

http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);

加入后,spring接受的http请求,会被JwtRequestFilter过滤一次,JwtRequestFilter的过滤核心是doFilterInternal函数。doFilterInternal对于每一次的http请求,均会提取http头部header字段里面的key为Authorization对应的值,如果对应的值非空,且以Bearer 开头,则意味是token认证,那么就走token认证逻辑。代码将会根据传入的token逆向的通过工具类jwtTokenUtil反向找出用户名,然后根据用户名判断当前用户是否已被授权,如果没有被授权,jwtTokenUtil验证客户端传入的token和后端系统的token信息是否一致,一致则把具有该token的客户端记录进spring security授权记录中,从此,凡是具有该token的访问,均放行通过。

  1. import org.springframework.beans.factory.annotation.Autowired;
  2. import org.springframework.http.ResponseEntity;
  3. import org.springframework.security.authentication.AuthenticationManager;
  4. import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
  5. import org.springframework.security.core.userdetails.UserDetails;
  6. import org.springframework.web.bind.annotation.RequestBody;
  7. import org.springframework.web.bind.annotation.RequestMapping;
  8. import org.springframework.web.bind.annotation.RequestMethod;
  9. import org.springframework.web.bind.annotation.RestController;
  10.  
  11. import java.util.HashMap;
  12. import java.util.Map;
  13.  
  14.  
  15. @RestController
  16. public class JwtAuthenticationController {
  17.     @Autowired
  18.     private AuthenticationManager authenticationManager;
  19.  
  20.     @Autowired
  21.     private JwtTokenUtil jwtTokenUtil;
  22.  
  23.     @Autowired
  24.     private JwtUserDetailsService jwtInMemoryUserDetailsService;
  25.  
  26.     /**
  27.      * 验证用户名和密码。
  28.      * 如果验证通过,创建token并将其返回给客户端
  29.      *
  30.      * @param request
  31.      * @return
  32.      */
  33.     @RequestMapping(value = "/auth", method = RequestMethod.POST)
  34.     public ResponseEntity<?> createAuthenticationToken(@RequestBody JwtRequest request) {
  35.         String username = request.getUsername();
  36.         String password = request.getPassword();
  37.         System.out.println("用户名:" + username);
  38.         System.out.println("密码:" + password);
  39.  
  40.         UsernamePasswordAuthenticationToken authentication=new UsernamePasswordAuthenticationToken(username, password);
  41.         authenticationManager.authenticate(authentication);
  42.  
  43.         UserDetails userDetails = jwtInMemoryUserDetailsService.loadUserByUsername(request.getUsername());
  44.         String token = jwtTokenUtil.generateToken(userDetails);
  45.         return ResponseEntity.ok(new JwtResponse(token));
  46.     }
  47.  
  48.     @RequestMapping(value="/api")
  49.     public Map<String, String> api() {
  50.         Map<String,String> map=new HashMap<String,String>();
  51.         map.put("page", "api");
  52.         return map;
  53.     }
  54.  
  55.     @RequestMapping(value="/index")
  56.     public Map<String, String> index() {
  57.         Map<String,String> map=new HashMap<String,String>();
  58.         map.put("page", "index");
  59.         return map;
  60.     }
  61.  
  62.     @RequestMapping(value="/home")
  63.     public Map<String, String> home() {
  64.         Map<String,String> map=new HashMap<String,String>();
  65.         map.put("page", "home");
  66.         return map;
  67.     }
  68. }

  1. import org.springframework.security.core.AuthenticationException;
  2. import org.springframework.security.web.AuthenticationEntryPoint;
  3. import org.springframework.stereotype.Component;
  4.  
  5. import javax.servlet.ServletException;
  6. import javax.servlet.http.HttpServletRequest;
  7. import javax.servlet.http.HttpServletResponse;
  8. import java.io.IOException;
  9.  
  10. /**
  11.  * 拒绝每个没有通过身份验证的请求并发送错误代码401。
  12.  */
  13. @Component
  14. public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {
  15.     @Override
  16.     public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
  17.         System.out.println("未获得授权");
  18.         response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
  19.     }
  20. }

  1. import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
  2. import org.springframework.stereotype.Component;
  3.  
  4.  
  5. /**
  6.  * 注意,此处是明文,实际场景时候要加密
  7.  */
  8. @Component
  9. public class JwtPasswordEncoder extends BCryptPasswordEncoder {
  10.     @Override
  11.     public String encode(CharSequence rawPassword) {
  12.         return rawPassword.toString();
  13.     }
  14.  
  15.     @Override
  16.     public boolean matches(CharSequence rawPassword, String encodedPassword) {
  17.         if (rawPassword == null) {
  18.             throw new IllegalArgumentException("rawPassword为空!");
  19.         }
  20.  
  21.         if (encodedPassword == null || encodedPassword.length() == 0) {
  22.             throw new IllegalArgumentException("encodedPassword为空");
  23.         }
  24.  
  25.         return encodedPassword.equals(rawPassword);
  26.     }
  27. }

  1. import java.io.Serializable;
  2.  
  3. public class JwtRequest implements Serializable {
  4.     private String username;
  5.     private String password;
  6.  
  7.     //JSON Parsing
  8.     public JwtRequest() {
  9.  
  10.     }
  11.  
  12.     public JwtRequest(String username, String password) {
  13.         this.setUsername(username);
  14.         this.setPassword(password);
  15.     }
  16.  
  17.     public String getUsername() {
  18.         return this.username;
  19.     }
  20.  
  21.     public void setUsername(String username) {
  22.         this.username = username;
  23.     }
  24.  
  25.     public String getPassword() {
  26.         return this.password;
  27.     }
  28.  
  29.     public void setPassword(String password) {
  30.         this.password = password;
  31.     }
  32. }

  1. import org.springframework.beans.factory.annotation.Autowired;
  2. import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
  3. import org.springframework.security.core.context.SecurityContextHolder;
  4. import org.springframework.security.core.userdetails.UserDetails;
  5. import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
  6. import org.springframework.stereotype.Component;
  7. import org.springframework.web.filter.OncePerRequestFilter;
  8.  
  9. import javax.servlet.FilterChain;
  10. import javax.servlet.ServletException;
  11. import javax.servlet.http.HttpServletRequest;
  12. import javax.servlet.http.HttpServletResponse;
  13. import java.io.IOException;
  14.  
  15.  
  16. /**
  17.  * 对于任何一个传入的请求,都会执行doFilterInternal。
  18.  * 检查请求是否具有有效的token。
  19.  * 如果token有效,在上下文中设置Authentication,
  20.  * 表明当前用户通过身份验证。
  21.  */
  22. @Component
  23. public class JwtRequestFilter extends OncePerRequestFilter {
  24.     @Autowired
  25.     private JwtUserDetailsService jwtUserDetailsService;
  26.  
  27.     @Autowired
  28.     private JwtTokenUtil jwtTokenUtil;
  29.  
  30.     @Override
  31.     protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
  32.         String header = request.getHeader("Authorization");
  33.         String username = null;
  34.         String token = null;
  35.  
  36.         // token一般又称之为"Bearer token",以Bearer开头
  37.         // 截取纯粹的token
  38.         String BEARER = "Bearer ";
  39.         if (header != null && header.startsWith(BEARER)) {
  40.             token = header.substring(BEARER.length());//从Bearer 之后开始截取
  41.             username = jwtTokenUtil.getUsernameFromToken(token);
  42.             System.out.println(username + " token:" + token);
  43.         }
  44.  
  45.         //拿到token后验证
  46.         if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
  47.             UserDetails userDetails = jwtUserDetailsService.loadUserByUsername(username);
  48.  
  49.             // 如果token有效,配置Spring Security授权
  50.             if (jwtTokenUtil.validateToken(token, userDetails)) {
  51.                 System.out.println(username + " token验证通过");
  52.                 UsernamePasswordAuthenticationToken authToken = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
  53.                 authToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
  54.                 //当前用户已经授权,授权认证信息传递给Spring Security配置.
  55.                 SecurityContextHolder.getContext().setAuthentication(authToken);
  56.             }
  57.         }
  58.  
  59.         if (SecurityContextHolder.getContext().getAuthentication() != null) {
  60.             System.out.println(username + " 已授权");
  61.         }
  62.  
  63.         filterChain.doFilter(request, response);
  64.     }
  65. }

  1. public class JwtResponse {
  2.     private String token;
  3.  
  4.     public JwtResponse(String token) {
  5.         this.token = token;
  6.     }
  7.  
  8.     public String getToken() {
  9.         return token;
  10.     }
  11. }

  1. import io.jsonwebtoken.Claims;
  2. import io.jsonwebtoken.Jwts;
  3. import io.jsonwebtoken.SignatureAlgorithm;
  4. import org.springframework.security.core.userdetails.UserDetails;
  5. import org.springframework.stereotype.Component;
  6.  
  7. import java.io.Serializable;
  8. import java.util.Date;
  9. import java.util.HashMap;
  10. import java.util.Map;
  11. import java.util.function.Function;
  12.  
  13. @Component
  14. public class JwtTokenUtil implements Serializable {
  15.     public static final long TOKEN_VALIDITY = 60 * 60 * 5; //token有效期
  16.     private String secret = "zhangphil_secret";
  17.  
  18.     public String getUsernameFromToken(String token) {
  19.         return getClaimFromToken(token, Claims::getSubject);
  20.     }
  21.  
  22.     public Date getIssuedAtDateFromToken(String token) {
  23.         return getClaimFromToken(token, Claims::getIssuedAt);
  24.     }
  25.  
  26.     public Date getExpirationDateFromToken(String token) {
  27.         return getClaimFromToken(token, Claims::getExpiration);
  28.     }
  29.  
  30.     public <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) {
  31.         final Claims claims = getAllClaimsFromToken(token);
  32.         return claimsResolver.apply(claims);
  33.     }
  34.  
  35.     private Claims getAllClaimsFromToken(String token) {
  36.         return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
  37.     }
  38.  
  39.     private Boolean isTokenExpired(String token) {
  40.         final Date expiration = getExpirationDateFromToken(token);
  41.         return expiration.before(new Date());
  42.     }
  43.  
  44.     private Boolean ignoreTokenExpiration(String token) {
  45.         return false;
  46.     }
  47.  
  48.     public String generateToken(UserDetails userDetails) {
  49.         Map<String, Object> claims = new HashMap<>();
  50.         return doGenerateToken(claims, userDetails.getUsername());
  51.     }
  52.  
  53.     private String doGenerateToken(Map<String, Object> claims, String subject) {
  54.         return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(new Date(System.currentTimeMillis()))
  55.                 .setExpiration(new Date(System.currentTimeMillis() + TOKEN_VALIDITY * 1000)).signWith(SignatureAlgorithm.HS512, secret).compact();
  56.     }
  57.  
  58.     public Boolean canTokenBeRefreshed(String token) {
  59.         return (!isTokenExpired(token) || ignoreTokenExpiration(token));
  60.     }
  61.  
  62.     public Boolean validateToken(String token, UserDetails userDetails) {
  63.         final String username = getUsernameFromToken(token);
  64.         return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
  65.     }
  66. }

  1. import org.springframework.security.core.userdetails.User;
  2. import org.springframework.security.core.userdetails.UserDetails;
  3. import org.springframework.security.core.userdetails.UserDetailsService;
  4. import org.springframework.security.core.userdetails.UsernameNotFoundException;
  5. import org.springframework.stereotype.Service;
  6.  
  7. import java.util.ArrayList;
  8.  
  9. @Service
  10. public class JwtUserDetailsService implements UserDetailsService {
  11.     //正常情况下,当loadUserByUsername传入用户名后,
  12.     //应该连接数据库从数据库中根据用户名把该用户的信息取出来,
  13.     //本例出于简单演示的目的,不再额外的引入数据库,
  14.     //假设已经知道用户名和密码,硬编码写死了用户名和密码
  15.     public static final String USER_NAME = "zhangphil";
  16.     public static final String USER_PASSWORD = "12345678";
  17.  
  18.     @Override
  19.     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
  20.         System.out.println(username + " 加载信息");
  21.         if (USER_NAME.equals(username)) {
  22.             return new User(USER_NAME, USER_PASSWORD, new ArrayList<>());
  23.         } else {
  24.             throw new UsernameNotFoundException("用户不存在:" + username);
  25.         }
  26.     }
  27. }

  1. import org.springframework.beans.factory.annotation.Autowired;
  2. import org.springframework.context.annotation.Bean;
  3. import org.springframework.context.annotation.Configuration;
  4. import org.springframework.security.authentication.AuthenticationManager;
  5. import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
  6. import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
  7. import org.springframework.security.config.annotation.web.builders.HttpSecurity;
  8. import org.springframework.security.config.annotation.web.builders.WebSecurity;
  9. import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
  10. import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
  11. import org.springframework.security.config.http.SessionCreationPolicy;
  12. import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
  13.  
  14.  
  15. @Configuration
  16. @EnableWebSecurity
  17. @EnableGlobalMethodSecurity(prePostEnabled = true)
  18. public class JwtWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
  19.     /**
  20.      * 密码管理
  21.      */
  22.     @Autowired
  23.     private JwtPasswordEncoder jwtPasswordEncoder;
  24.  
  25.     @Autowired
  26.     private JwtUserDetailsService jwtUserDetailsService;
  27.  
  28.     @Autowired
  29.     private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;
  30.  
  31.     @Autowired
  32.     private JwtRequestFilter jwtRequestFilter;
  33.  
  34.     @Override
  35.     protected void configure(HttpSecurity http) throws Exception {
  36.         // 本例不需要CSRF
  37.         http.csrf().disable()
  38.                 // 排除/auth。
  39.                 // 对于请求授权的/auth不需要授权,放行。
  40.                 .authorizeRequests()
  41.                 .antMatchers("/auth").permitAll()
  42.                 //其余的所有请求均需要认证授权
  43.                 .anyRequest().authenticated()
  44.                 .and()
  45.                 .exceptionHandling()//错误处理
  46.                 .authenticationEntryPoint(jwtAuthenticationEntryPoint)
  47.                 .and()
  48.                 //本例不需要维护有状态的session
  49.                 .sessionManagement()
  50.                 .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
  51.  
  52.         // 对于任何一个传入的请求加入一个token过滤器,验证。
  53.         http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
  54.     }
  55.  
  56.     /**
  57.      * 配置AuthenticationManager使其知道从那里加载用户认证信息
  58.      */
  59.     @Override
  60.     public void configure(AuthenticationManagerBuilder auth) {
  61.         try {
  62.             auth.userDetailsService(jwtUserDetailsService)
  63.                     .passwordEncoder(jwtPasswordEncoder);
  64.         } catch (Exception e) {
  65.             e.printStackTrace();
  66.         }
  67.     }
  68.  
  69.     /**
  70.      * 假设这一部分接口是公开开放的,不需要token即可访问。
  71.      * 这部分客户端http请求不拦截
  72.      * 排除。
  73.      */
  74.     @Override
  75.     public void configure(WebSecurity web) {
  76.         web.ignoring()
  77.                 .antMatchers(
  78.                         "/index**",
  79.                         "/home/**");
  80.     }
  81.  
  82.     @Bean
  83.     @Override
  84.     public AuthenticationManager authenticationManagerBean() throws Exception {
  85.         return super.authenticationManagerBean();
  86.     }
  87. }

  1. import org.springframework.boot.SpringApplication;
  2. import org.springframework.boot.autoconfigure.SpringBootApplication;
  3.  
  4. @SpringBootApplication
  5. public class SpringJwtApplication {
  6.     public static void main(String[] args) {
  7.         SpringApplication.run(SpringJwtApplication.class, args);
  8.     }
  9. }

系统启动后,当访问/index或者/home页面时候,不需要token,均正常打开:

当直接访问localhost:8080/api时候,页面返回HTTP ERROR 401错误,此时,需要post用户名和密码:

然后后台返回token:

把token复制出来,在get请求时候,加入token,访问/api接口,注意,需要为token加上头Bearer ,加到header里面,key是Authorization:

后台系统返回正确结果:

与此同时,系统的后台日志输出为:

  1. 未获得授权
  2. 用户名:zhangphil
  3. 密码:12345678
  4. zhangphil 加载信息
  5. zhangphil 加载信息
  6. zhangphil token:eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ6aGFuZ3BoaWwiLCJleHAiOjE2NDQ1MDc3OTcsImlhdCI6MTY0NDQ4OTc5N30.90WpWZ4MBk1bsEd8r7Vmz7MHQ350q_DEISC7mvHmamgU1YNM_ppfyYweUsb0MxRD-qPFdHF7fNBbf-4H0u6wyw
  7. zhangphil 加载信息
  8. zhangphil token验证通过
  9. zhangphil 已授权

如果在授权认证时候,传入错误的密码,比如密码错误的是1234,那么系统认证失败,后台日志输出:

  1. 用户名:zhangphil
  2. 密码:1234
  3. zhangphil 加载信息
  4. 未获得授权

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/花生_TL007/article/detail/301622
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号