SpringBoot+Spring Security+JWT實(shí)現(xiàn)RESTful Api權(quán)限控制的方法

更新時(shí)間：2019年03月14日 11:40:02 作者：迷彩的博客

這篇文章主要介紹了SpringBoot+Spring Security+JWT實(shí)現(xiàn)RESTful Api權(quán)限控制的方法，文中通過示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

摘要：用spring-boot開發(fā)RESTful API非常的方便，在生產(chǎn)環(huán)境中，對(duì)發(fā)布的API增加授權(quán)保護(hù)是非常必要的?，F(xiàn)在我們來看如何利用JWT技術(shù)為API增加授權(quán)保護(hù)，保證只有獲得授權(quán)的用戶才能夠訪問API。

一：開發(fā)一個(gè)簡單的API

在IDEA開發(fā)工具中新建一個(gè)maven工程，添加對(duì)應(yīng)的依賴如下：

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter</artifactId>
  </dependency>
 
  <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-test</artifactId>
   <scope>test</scope>
  </dependency>
 
  <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-web</artifactId>
  </dependency>
 
  <!-- spring-data-jpa -->
  <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-data-jpa</artifactId>
  </dependency>
 
  <!-- mysql -->
  <dependency>
   <groupId>mysql</groupId>
   <artifactId>mysql-connector-java</artifactId>
   <version>5.1.30</version>
  </dependency>
 
  <!-- spring-security 和 jwt -->
  <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
  </dependency>
  <dependency>
   <groupId>io.jsonwebtoken</groupId>
   <artifactId>jjwt</artifactId>
   <version>0.7.0</version>
  </dependency>

新建一個(gè)UserController.java文件，在里面在中增加一個(gè)hello方法：

@RequestMapping("/hello")
 @ResponseBody
 public String hello(){
  return "hello";
 }

這樣一個(gè)簡單的RESTful API就開發(fā)好了。

現(xiàn)在我們運(yùn)行一下程序看看效果，執(zhí)行JwtauthApplication.java類中的main方法：

等待程序啟動(dòng)完成后，可以簡單的通過curl工具進(jìn)行API的調(diào)用，如下圖：

至此，我們的接口就開發(fā)完成了。但是這個(gè)接口沒有任何授權(quán)防護(hù)，任何人都可以訪問，這樣是不安全的，下面我們開始加入授權(quán)機(jī)制。

二：增加用戶注冊(cè)功能

首先增加一個(gè)實(shí)體類User.java：

package boss.portal.entity;
 
import javax.persistence.*;
 
/**
 * @author zhaoxinguo on 2017/9/13.
 */
@Entity
@Table(name = "tb_user")
public class User {
 
 @Id
 @GeneratedValue
 private long id;
 private String username;
 private String password;
 
 public long getId() {
  return id;
 }
 
 public String getUsername() {
  return username;
 }
 
 public void setUsername(String username) {
  this.username = username;
 }
 
 public String getPassword() {
  return password;
 }
 
 public void setPassword(String password) {
  this.password = password;
 }
}

然后增加一個(gè)Repository類UserRepository，可以讀取和保存用戶信息：

package boss.portal.repository;
 
import boss.portal.entity.User;
import org.springframework.data.jpa.repository.JpaRepository;
 
/**
 * @author zhaoxinguo on 2017/9/13.
 */
public interface UserRepository extends JpaRepository<User, Long> {
 
 User findByUsername(String username);
 
}

在UserController類中增加注冊(cè)方法，實(shí)現(xiàn)用戶注冊(cè)的接口：

/**
  * 該方法是注冊(cè)用戶的方法，默認(rèn)放開訪問控制
  * @param user
  */
 @PostMapping("/signup")
 public void signUp(@RequestBody User user) {
  user.setPassword(bCryptPasswordEncoder.encode(user.getPassword()));
  applicationUserRepository.save(user);
 }

其中的@PostMapping("/signup")

這個(gè)方法定義了用戶注冊(cè)接口，并且指定了url地址是/users/signup。由于類上加了注解 @RequestMapping(“/users”)，類中的所有方法的url地址都會(huì)有/users前綴，所以在方法上只需指定/signup子路徑即可。

密碼采用了BCryptPasswordEncoder進(jìn)行加密，我們?cè)贏pplication中增加BCryptPasswordEncoder實(shí)例的定義。

package boss.portal;
 
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.context.annotation.Bean;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
 
@SpringBootApplication
public class JwtauthApplication {
 
	@Bean
	public BCryptPasswordEncoder bCryptPasswordEncoder() {
		return new BCryptPasswordEncoder();
	}
 
	public static void main(String[] args) {
		SpringApplication.run(JwtauthApplication.class, args);
	}
}

三：增加JWT認(rèn)證功能

用戶填入用戶名密碼后，與數(shù)據(jù)庫里存儲(chǔ)的用戶信息進(jìn)行比對(duì)，如果通過，則認(rèn)證成功。傳統(tǒng)的方法是在認(rèn)證通過后，創(chuàng)建sesstion，并給客戶端返回cookie?，F(xiàn)在我們采用JWT來處理用戶名密碼的認(rèn)證。區(qū)別在于，認(rèn)證通過后，服務(wù)器生成一個(gè)token，將token返回給客戶端，客戶端以后的所有請(qǐng)求都需要在http頭中指定該token。服務(wù)器接收的請(qǐng)求后，會(huì)對(duì)token的合法性進(jìn)行驗(yàn)證。驗(yàn)證的內(nèi)容包括：

內(nèi)容是一個(gè)正確的JWT格式
檢查簽名
檢查claims
檢查權(quán)限

處理登錄

創(chuàng)建一個(gè)類JWTLoginFilter，核心功能是在驗(yàn)證用戶名密碼正確后，生成一個(gè)token，并將token返回給客戶端：

package boss.portal.web.filter;
import boss.portal.entity.User;
import com.fasterxml.jackson.databind.ObjectMapper;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
 
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Date;
 
/**
 * 驗(yàn)證用戶名密碼正確后，生成一個(gè)token，并將token返回給客戶端
 * 該類繼承自UsernamePasswordAuthenticationFilter，重寫了其中的2個(gè)方法
 * attemptAuthentication ：接收并解析用戶憑證。
 * successfulAuthentication ：用戶成功登錄后，這個(gè)方法會(huì)被調(diào)用，我們?cè)谶@個(gè)方法里生成token。
 * @author zhaoxinguo on 2017/9/12.
 */
public class JWTLoginFilter extends UsernamePasswordAuthenticationFilter {
 
 private AuthenticationManager authenticationManager;
 
 public JWTLoginFilter(AuthenticationManager authenticationManager) {
  this.authenticationManager = authenticationManager;
 }
 
 // 接收并解析用戶憑證
 @Override
 public Authentication attemptAuthentication(HttpServletRequest req,
            HttpServletResponse res) throws AuthenticationException {
  try {
   User user = new ObjectMapper()
     .readValue(req.getInputStream(), User.class);
 
   return authenticationManager.authenticate(
     new UsernamePasswordAuthenticationToken(
       user.getUsername(),
       user.getPassword(),
       new ArrayList<>())
   );
  } catch (IOException e) {
   throw new RuntimeException(e);
  }
 }
 
 // 用戶成功登錄后，這個(gè)方法會(huì)被調(diào)用，我們?cè)谶@個(gè)方法里生成token
 @Override
 protected void successfulAuthentication(HttpServletRequest req,
           HttpServletResponse res,
           FilterChain chain,
           Authentication auth) throws IOException, ServletException {
 
  String token = Jwts.builder()
    .setSubject(((org.springframework.security.core.userdetails.User) auth.getPrincipal()).getUsername())
    .setExpiration(new Date(System.currentTimeMillis() + 60 * 60 * 24 * 1000))
    .signWith(SignatureAlgorithm.HS512, "MyJwtSecret")
    .compact();
  res.addHeader("Authorization", "Bearer " + token);
 } 
}

該類繼承自UsernamePasswordAuthenticationFilter，重寫了其中的2個(gè)方法：

attemptAuthentication ：接收并解析用戶憑證。

successfulAuthentication ：用戶成功登錄后，這個(gè)方法會(huì)被調(diào)用，我們?cè)谶@個(gè)方法里生成token。

授權(quán)驗(yàn)證

用戶一旦登錄成功后，會(huì)拿到token，后續(xù)的請(qǐng)求都會(huì)帶著這個(gè)token，服務(wù)端會(huì)驗(yàn)證token的合法性。

創(chuàng)建JWTAuthenticationFilter類，我們?cè)谶@個(gè)類中實(shí)現(xiàn)token的校驗(yàn)功能。

package boss.portal.web.filter;
import io.jsonwebtoken.Jwts;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;
 
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
 
/**
 * token的校驗(yàn)
 * 該類繼承自BasicAuthenticationFilter，在doFilterInternal方法中，
 * 從http頭的Authorization 項(xiàng)讀取token數(shù)據(jù)，然后用Jwts包提供的方法校驗(yàn)token的合法性。
 * 如果校驗(yàn)通過，就認(rèn)為這是一個(gè)取得授權(quán)的合法請(qǐng)求
 * @author zhaoxinguo on 2017/9/13.
 */
public class JWTAuthenticationFilter extends BasicAuthenticationFilter {
 
 public JWTAuthenticationFilter(AuthenticationManager authenticationManager) {
  super(authenticationManager);
 }
 
 @Override
 protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
  String header = request.getHeader("Authorization");
 
  if (header == null || !header.startsWith("Bearer ")) {
   chain.doFilter(request, response);
   return;
  }
 
  UsernamePasswordAuthenticationToken authentication = getAuthentication(request);
 
  SecurityContextHolder.getContext().setAuthentication(authentication);
  chain.doFilter(request, response);
 
 }
 
 private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
  String token = request.getHeader("Authorization");
  if (token != null) {
   // parse the token.
   String user = Jwts.parser()
     .setSigningKey("MyJwtSecret")
     .parseClaimsJws(token.replace("Bearer ", ""))
     .getBody()
     .getSubject();
 
   if (user != null) {
    return new UsernamePasswordAuthenticationToken(user, null, new ArrayList<>());
   }
   return null;
  }
  return null;
 } 
}

該類繼承自BasicAuthenticationFilter，在doFilterInternal方法中，從http頭的Authorization 項(xiàng)讀取token數(shù)據(jù)，然后用Jwts包提供的方法校驗(yàn)token的合法性。如果校驗(yàn)通過，就認(rèn)為這是一個(gè)取得授權(quán)的合法請(qǐng)求。

SpringSecurity配置

通過SpringSecurity的配置，將上面的方法組合在一起。

package boss.portal.security;
import boss.portal.web.filter.JWTLoginFilter;
import boss.portal.web.filter.JWTAuthenticationFilter;
import org.springframework.boot.autoconfigure.security.SecurityProperties;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
 
/**
 * SpringSecurity的配置
 * 通過SpringSecurity的配置，將JWTLoginFilter，JWTAuthenticationFilter組合在一起
 * @author zhaoxinguo on 2017/9/13.
 */
@Configuration
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
 
 private UserDetailsService userDetailsService;
 
 private BCryptPasswordEncoder bCryptPasswordEncoder;
 
 public WebSecurityConfig(UserDetailsService userDetailsService, BCryptPasswordEncoder bCryptPasswordEncoder) {
  this.userDetailsService = userDetailsService;
  this.bCryptPasswordEncoder = bCryptPasswordEncoder;
 }
 
 @Override
 protected void configure(HttpSecurity http) throws Exception {
  http.cors().and().csrf().disable().authorizeRequests()
    .antMatchers(HttpMethod.POST, "/users/signup").permitAll()
    .anyRequest().authenticated()
    .and()
    .addFilter(new JWTLoginFilter(authenticationManager()))
    .addFilter(new JWTAuthenticationFilter(authenticationManager()));
 }
 
 @Override
 public void configure(AuthenticationManagerBuilder auth) throws Exception {
  auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder);
 }
 
}

這是標(biāo)準(zhǔn)的SpringSecurity配置內(nèi)容，就不在詳細(xì)說明。注意其中的

.addFilter(new JWTLoginFilter(authenticationManager())) 
.addFilter(new JwtAuthenticationFilter(authenticationManager()))

這兩行，將我們定義的JWT方法加入SpringSecurity的處理流程中。

下面對(duì)我們的程序進(jìn)行簡單的驗(yàn)證：

# 請(qǐng)求hello接口，會(huì)收到403錯(cuò)誤，如下圖：

curl http://localhost:8080/hello

# 注冊(cè)一個(gè)新用戶curl -H"Content-Type: application/json" -X POST -d '{"username":"admin","password":"password"}' http://localhost:8080/users/signup

如下圖：

# 登錄，會(huì)返回token，在http header中，Authorization: Bearer 后面的部分就是tokencurl -i -H"Content-Type: application/json" -X POST -d '{"username":"admin","password":"password"}' http://localhost:8080/login

如下圖：

# 用登錄成功后拿到的token再次請(qǐng)求hello接口# 將請(qǐng)求中的XXXXXX替換成拿到的token# 這次可以成功調(diào)用接口了curl -H"Content-Type: application/json" \-H"Authorization: Bearer XXXXXX" \"http://localhost:8080/users/hello"

如下圖：

五：總結(jié)

至此，給SpringBoot的接口加上JWT認(rèn)證的功能就實(shí)現(xiàn)了，過程并不復(fù)雜，主要是開發(fā)兩個(gè)SpringSecurity的filter，來生成和校驗(yàn)JWT token。

JWT作為一個(gè)無狀態(tài)的授權(quán)校驗(yàn)技術(shù)，非常適合于分布式系統(tǒng)架構(gòu)，因?yàn)榉?wù)端不需要保存用戶狀態(tài)，因此就無需采用redis等技術(shù)，在各個(gè)服務(wù)節(jié)點(diǎn)之間共享session數(shù)據(jù)。

六：源碼下載地址

地址：https://gitee.com/micai/springboot-springsecurity-jwt-demo

以上就是本文的全部內(nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: