安全框架SpringSecurity-2(集成thymeleaf集成验证码JWT)

一、SpringSecurity 集成thymeleaf

①:复制并修改工程

  • 复制04_spring_security并重命名为05_spring_security_thymeleaf

在这里插入图片描述

②:添加配置和依赖

  • 添加thymeleaf依赖
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
  • 修改application.yml
spring:thymeleaf:cache: false # 不使用缓存check-template: true  # 检查thymeleaf模板是否存在

③:添加thymeleaf模板和插件

  1. 添加thymeleaf模板

在这里插入图片描述

  • 模板名称thymeleaf ,扩展名html,具体内容如下:
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>#[[$Title$]]#</title>        
</head>
<body>
#[[$END$]]#
</body>
</html>
  • 简要说明:
    #[[$Title$]]# #[[$END$]]# 这两处的作用是,当你新建一个模板页面时,在<title>标签中输入标题内容后,只需要点击回车键,光标就会直接跳到<body>内,省去了你挪动鼠标,或者挪动方向键的步骤,也可以给你节省一点点时间。

2.idea安装html转thymeleaf的插件JBLHtmlToThymeleaf

  • 安装JBLHtmlToThymeleaf插件
    在这里插入图片描述

④:新建Controller层代码

1.新建LoginController

@Controller
@RequestMapping("/login")
public class LoginController {/** 跳转到登录页面* @DateTime: 2023/11/11 17:57** @return String* @author: Coke*/@RequestMapping("/toLogin")public String toLogin(){return "login";}
}

2.新建IndexController

@Controller
@RequestMapping("/index")
public class IndexController {/** 登录成功后进入页面* @DateTime: 2023/11/11 17:58** @return String* @author: Coke*/@RequestMapping("/toIndex")public String toIndex(){return "main";}
}

⑤:创建静态页面

1.创建login.html

在这里插入图片描述

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head><meta charset="UTF-8"><title>用户登陆</title>
</head>
<body>
<h2>登录页面</h2>
<form action="/login/toLogin" method="post"><table><tr><td>用户名:</td><td><input type="text" name="uname" value="thomas"></td></tr><tr><td>密码:</td><td><input type="password" name="pwd"></td><span th:if="${param.error}">用户名或者密码错误</span></tr><tr><td colspan="2"><button type="submit">登录</button></td></tr></table>
</form>
</body>

2.创建main.html

在这里插入图片描述

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>系统首页</title>
</head>
<body>
<h1 align="center">系统首页</h1>
<a href="/student/query">查询学生</a>
<br>
<a href="/student/add">添加学生</a>
<br>
<a href="/student/update">更新学生</a>
<br>
<a href="/student/delete">删除学生</a>
<br>
<a href="/student/export">导出学生</a>
<br>
<br><br><br>
<h2><a href="/logout">退出</a></h2>
<br>
</body>
</html>

⑥:修改安全配置文件WebSecurityConfig

在这里插入图片描述

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Slf4j
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {// 对密码进行编码@Beanpublic PasswordEncoder passwordEncoder(){return new BCryptPasswordEncoder();}@Overrideprotected void configure (HttpSecurity http) throws Exception {// 任何请求 都需要登录,注意:没有配置mV℃匹配器的只要登录成功就可以访问http.authorizeRequests().anyRequest().authenticated();http.formLogin().loginPage("/login/toLogin") // 配置自定义的登录页面.usernameParameter("uname") // 指定登录页面的用户名字段.passwordParameter("pwd") // 指定登录页面的密码字段.loginProcessingUrl("/login/toLogin") // 配置点击登录时的请求的url.successForwardUrl("/index/toIndex") // 登录成功后跳转的页面.failureForwardUrl("/login/toLogin") // 登录失败后跳转的页面.permitAll();// 配置登出方式http.logout().logoutUrl("/logout").logoutSuccessUrl("/login/toLogin").permitAll();//  禁用csrf跨域请求攻击http.csrf().disable();}
}

⑦:修改Studentcontroller

@Controller
@Slf4j
@RequestMapping("/student")
public class StudentController {@GetMapping("/query")@PreAuthorize("hasAnyAuthority('student:query')")public String queryInfo(){return "user/query";}@GetMapping("/add")@PreAuthorize("hasAnyAuthority('student:add')")public String addInfo(){return "user/add";}@GetMapping("/update")@PreAuthorize("hasAnyAuthority('student:update')")public String updateInfo(){return "user/update";}@GetMapping("/delete")@PreAuthorize("hasAnyAuthority('student:delete')")public String deleteInfo(){return "user/delete";}@GetMapping("/export")@PreAuthorize("hasAnyAuthority('student:export')")public String exportInfo(){return "user/export";}
}

⑧:在templates/user下面创建学生管理的各个页面

在这里插入图片描述

1.创建export.html 导出页面

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org"><head><meta charset="UTF-8"><title>系统首页-学生管理</title></head><body><h1 align="center">系统首页-学生管理-导出</h1><a href="/index/toIndex">返回</a><br></body>
</html>

2.创建add.html 添加页面

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org"><head><meta charset="UTF-8"><title>系统首页-学生管理</title></head><body><h1 align="center">系统首页-学生管理-新增</h1><a href="/index/toIndex">返回</a><br></body></html>

3创建delete.html 删除页面

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org"><head><meta charset="UTF-8"><title>系统首页-学生管理</title></head><body><h1 align="center">系统首页-学生管理-删除</h1><a href="/index/toIndex">返回</a><br></body>
</html>

4.创建update.htm 修改l页面

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org"><head><meta charset="UTF-8"><title>系统首页-学生管理</title></head><body><h1 align="center">系统首页-学生管理-更新</h1><a href="/index/toIndex">返回</a><br></body>
</html>

5.创建query.html 查询页面

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org"><head><meta charset="UTF-8"><title>系统首页-学生管理</title></head><body><h1 align="center">系统首页-学生管理-查询</h1><a href="/index/toIndex">返回</a><br></body>
</html>

⑨:创建403页面 启动测试

1.在static/error下面创建403.html

在这里插入图片描述

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org"><head><meta charset="UTF-8"><title>403</title></head><body><h2>403:你没有权限访问此页面</h2><a href="/index/toIndex">去首页</a></body>
</html>

2.启动测试

  • 01.使用thomas 用户登录 并查看用户该用户的权限

在这里插入图片描述

  • 测试学生查询权限

在这里插入图片描述

  • 测试学生的导出权限

在这里插入图片描述

⑩:当用户没有某权限时,页面不展示该按钮

我们之前创建的项目里面是当用户点击页面上的链接请求到后台之后没有权限会跳转到403,那么如果用户没有权限,对应的按钮就不显示出来,这样岂不是更好吗我们接着上一个项目来改造

1.引入下面的依赖

        <dependency><groupId>org.thymeleaf.extras</groupId><artifactId>thymeleaf-extras-springsecurity5</artifactId></dependency>

2.修改main.html即可

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org"xmlns:sec="http://www.thymeleaf.org/extras/spring-security"><head><meta charset="UTF-8"><title>系统首页</title></head><body><h1 align="center">系统首页</h1><a href="/student/query" sec:authorize="hasAuthority('student:query')" >查询用户</a><br><a href="/student/add" sec:authorize="hasAuthority('student:add')" >添加用户</a><br><a href="/student/update" sec:authorize="hasAuthority('student:update')" >更新用户</a><br><a href="/student/delete" sec:authorize="hasAuthority('student:delete')" >删除用户</a><br><a href="/student/export" sec:authorize="hasAuthority('student:export')" >导出用户</a><br><br><br><br><h2><a href="/logout">退出</a></h2><br></body>
</html>

3.重启启动登录后查看效果

在这里插入图片描述

二、springsecurity 集成图片验证码

  • 复制上一个工程05_spring_security_thymeleaf,修改名字06_spring_security_captcha

①:原理、存在问题、解决思路

我们知道Spring Security是通过过滤器链来完成了,所以它的解决方案是创建一个过滤器放到Security的过滤器链中,在自定义的过滤器中比较验证码

②:添加依赖(用于生成验证码)

        <!--引入hutool--><dependency><groupId>cn.hutool</groupId><artifactId>hutool-all</artifactId><version>5.3.9</version></dependency>

③:添加一个获取验证码的接口

@Controller
@Slf4j
public class CaptchaController {@GetMapping("/code/image")public void getCaptcha(HttpServletRequest request, HttpServletResponse response){// 创建一个验证码  width – 图片宽 height – 图片高 codeCount – 字符个数 circleCount – 干扰圆圈条数CircleCaptcha circleCaptcha = CaptchaUtil.createCircleCaptcha(200, 100, 4, 20);// 放到session中String code = circleCaptcha.getCode();request.getSession().setAttribute("CAPTCHA_CODE",code);log.info("图片验证码为:{}", code);try {ImageIO.write(circleCaptcha.getImage(),"JPEG",response.getOutputStream());} catch (IOException e) {throw new RuntimeException(e);}}
}

④:创建验证码过滤器

在这里插入图片描述

@Component
@Slf4j
public class ValidateCodeFilter extends OncePerRequestFilter {@Overrideprotected void doFilterInternal (HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {String requestURI = request.getRequestURI();log.info("请求路径为:{}",requestURI);// 判断请求的是否为登录页面if (!"/login/doLogin".equals(requestURI)){ // 不是登录请求,直接放行doFilter(request,response,filterChain); //直接下一个return;}//校验验证码validateCode(request,response,filterChain);}private void validateCode (HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException, ServletException {// 获取用户输入的验证码String code = request.getParameter("code");// 获取session中存储的验证码HttpSession session = request.getSession();String login_captcha_code = (String) session.getAttribute("CAPTCHA_CODE");log.info("用户输入的验证码: {}, session中存储的验证码: {}", code, login_captcha_code);// 移除错误信息session.removeAttribute("captchaCodeErrorMsg");if (!StringUtils.hasText(code)){request.getSession().setAttribute("captchaCodeErrorMsg", "请输入验证码!");// 重定向到登录页面response.sendRedirect("/login/toLogin");return;}if (!StringUtils.hasText(login_captcha_code)){request.getSession().setAttribute("captchaCodeErrorMsg", "验证码错误!");// 重定向到登录页面response.sendRedirect("/login/toLogin");}if (!code.equalsIgnoreCase(login_captcha_code)){request.getSession().setAttribute("captchaCodeErrorMsg", "验证码输入错误!");// 重定向到登录页面response.sendRedirect("/login/toLogin");}// 删除session中的验证码session.removeAttribute("code");this.doFilter(request,response,filterChain);}
}

⑤: 修改WebSecurityConfig(重点)

@Configuration
@EnableGlobalMethodSecurity (prePostEnabled = true)
@Slf4j
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate ValidateCodeFilter validateCodeFilter;// 对密码进行编码@Beanpublic PasswordEncoder passwordEncoder () {return new BCryptPasswordEncoder();}@Overrideprotected void configure (HttpSecurity http) throws Exception {// 配置登录之前添加一个验证码的过滤器http.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class);// 配置路径拦截 的 url的匹配规则//所有请求,都需要认证http.authorizeRequests().mvcMatchers("/code/image").permitAll() //放开验证码的请求.anyRequest().authenticated();http.formLogin().loginPage("/login/toLogin") // 配置自定义的登录页面.usernameParameter("uname") // 指定登录页面的用户名字段.passwordParameter("pwd") // 指定登录页面的密码字段.loginProcessingUrl("/login/toLogin") // 配置点击登录时的请求的url.successForwardUrl("/index/toIndex") // 登录成功后跳转的页面.failureForwardUrl("/login/toLogin") // 登录失败后跳转的页面.permitAll();// 配置登出方式http.logout().logoutUrl("/logout").logoutSuccessUrl("/login/toLogin").permitAll();//  禁用csrf跨域请求攻击http.csrf().disable();}/*** 资源服务匹配放行【静态资源文件】** @param web* @throws Exception*/// @Override//public void configure(WebSecurity web) throws Exception {//  web.ignoring().mvcMatchers("/resources/**");//}}

⑥:修改login.html 后 进行测试

1.修改login.html

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head><meta charset="UTF-8"><title>用户登陆</title>
</head>
<body>
<h2>登录页面</h2>
<!--${param.error}这个如果有值,就显示帐号或密码错误-->
<h4 th:if="${param.error}" style="color: #FF0000;">帐号或密码错误,请重新输入</h4>
<form action="/login/doLogin" method="post"><table><tr><td>用户名:</td><td><input type="text" name="uname" value="thomas"></td></tr><tr><td>密码:</td><td><input type="password" name="pwd"></td><span th:if="${param.error}">用户名或者密码错误</span></tr><tr><td>验证码:</td><td><input type="text" name="code"> <img src="/code/image" style="height:33px;cursor:pointer;" onclick="this.src=this.src"><span th:text="${session.captchaCodeErrorMsg}" style="color: #FF0000;" >username</span></td></tr><tr><td colspan="2"><button type="submit">登录</button></td></tr></table>
</form>
</body>

2.测试

在这里插入图片描述

1.故意输入错误

在这里插入图片描述

2.登录成功

在这里插入图片描述

三、base64编码和JWT

①:什么是Base64

所谓Base64,就是说选出64个字符:小写字母a-z、大写字母A-Z、数字0-9、符号"+“、”/“(再加上作为垫字的”=",实际上是使用65个字符),作为一个基本字符集。然后,其他所有符号都转换成这个字符集中的字符。

1.Base64和Base64Url 的区别

Base64Url是一种在Base64的基础上编码形成新的编码方式,为了编码能在网络中安全顺畅传输,需要对Base64进行的编码,特别是互联网中。

  • Base64Url 编码的流程:
 1、明文使用BASE64进行编码2、在Base64编码的基础上进行以下的处理:1)去除尾部的"="2)把"+"替换成"-"3)斜线"/"替换成下划线"_"

②:跨域认证问题和JWT 实现登录原理图

1.跨域认证问题

互联网服务离不开用户认证。一般流程是下面这样。

  • 用户向服务器发送用户名和密码。
  • 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。
  • 服务器向用户返回一个 jsession_id,写入用户的 Cookie。
  • 用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。
  • 服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。

这种模式的问题在于,扩展性(scaling)不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。
举例来说,A 网站和 B 网站是同一家公司的关联服务。现在要求,用户只要在其中一个网站登录,再访问另一个网站就会自动登录,请问怎么实现?
一种解决方案是 session 数据持久化,写入数据库或别的持久层。各种服务收到请求后,都向持久层请求数据。这种方案的优点是架构清晰,缺点是工程量比较大。另外,持久层万一挂了,就会单点失败。
另一种方案是服务器索性不保存 session 数据了,所有数据都保存在客户端,每次请求都发回服务器。JWT 就是这种方案的一个代表。 服务器不存数据,客户端存,服务器解析就行了

2.JWT 实现登录原理图

在这里插入图片描述
说明:
JWT只通过算法实现对Token合法性的验证,不依赖数据库,Memcached的等存储系统,因此可以做到跨服务器验证,只要密钥和算法相同,不同服务器程序生成的Token可以互相验证。

③:JWT学习

1.简介

JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。 此信息可以通过数字签名进行验证和信任。 JWT可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。

  • 官方网址:https://jwt.io/
  • 调试页面:https://jwt.io/
  • 学习文档:https://jwt.io/introduction/

2.用途

授权: 这是我们使用JWT最广泛的应用场景。一次用户登录,后续请求将会包含JWT,对于那些合法的token,允许用户连接路由,服务和资源。目前JWT广泛应用在SSO(Single Sign On)(单点登录)上。因为他们开销很小并且可以在不同领域轻松使用。

信息交换: JSON Web Token是一种在各方面之间安全信息传输的好的方式 因为JWT可以签名 - 例如,使用公钥/私钥对 - 您可以确定发件人是他们所说的人。 此外,由于使用标头和有效负载计算签名,您还可以验证内容是否未被篡改

3.JWT组成

一个JWT由三部分组成,各部分以点分隔:

Header(头部)-----base64Url编码的Json字符串
Payload(载荷)---base64url编码的Json字符串
Signature(签名)---使用指定算法,通过Header和Playload加盐计算的字符串

一个JWT看起来像下面这样:

xxxxx.yyyyy.zzzzz下面这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
01.Header

此部分有两部分组成:

  • 一部分是token的类型,目前只能是JWT
  • 另一部分是签名算法,比如HMAC 、 SHA256 、 RSA

示例:

{"alg":"HS256","typ":"JWT"
}

base64编码命令:

echo -n '{"alg":"HS256","typ":"JWT"}' | base64
02.Payload

token的第二部分是payload(有效负载),其中包含claims(声明)。Claims是关于一个实体(通常是用户)和其他数据类型的声明。

claims有三种类型:registered,public,and private claims。

Registered(已注册的声明):这些是一组预定义声明,不是强制性的,但建议使用,以提供一组有用的,可互操作的声明。 其中一些是:iss(发行人),exp(到期时间),sub(主题),aud(观众)and others。(请注意,声明名称只有三个字符,因为JWT意味着紧凑。)

JWT 规定了7个官方字段,供选用。
iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号
除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。
{"sub": "1234567890","name": "John Doe","admin": true
}
注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息(密码,手机号等)放在这个部分。
这个 JSON 对象也要使用 Base64URL 算法转成字符串。

Public(公开声明):这些可以由使用JWT的人随意定义。 但为避免冲突,应在IANA JSON Web Token Registry中定义它们,或者将其定义为包含防冲突命名空间的URI。

private (私人声明):这些声明是为了在同意使用它们的各方之间共享信息而创建的,并且既不是注册声明也不是公开声明

{"sub": "1234567890","name": "John Doe","admin": true
}
03.Signature(保证数据安全性的)

Signature 部分是对前两部分的签名,防止数据篡改。
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
HMACSHA256(
base64UrlEncode(header) + “.” +
base64UrlEncode(payload),
secret)
算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

示例:

HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

4. JWT 的使用方式【重点】

客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。
此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。
Authorization: Bearer jwt
另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面

5.JWT 的几个特点

JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。
JWT 不加密的情况下,不能将秘密数据写入 JWT。
JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑(JWT的登出问题)。就是因为服务端无状态了
正常情况下 修改了密码后就会跳转到登录页面 :修改成功后清空浏览器保存的token了
后端怎么玩? 因为服务端不保留token 我用之前的token 还是可以继续访问的
从有状态(后端也会存一个)的变成无状态的了
我们就要把它从无状态再变成有状态了
JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
为了减少盗用,JWT 不应该使用 HTTP 80 协议明码传输,要使用 HTTPS 443 协议传输。

我们颁发一个令牌 用户名称 用户的权限信息 这个令牌2个小时有效
Jwt只要能解析 就认为你是可用的 做不了 登出 后端不存储用户信息了 后端无状态了

④:Java类库

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

⑤:java中使用jwt

1.新建maven工程jwt-learn1

2.引入依赖

<!-- 添加jwt的依赖 -->
<dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.11.0</version>
</dependency>

3.编写功能类

package com.it.utils;import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;import java.util.Date;
import java.util.HashMap;
import java.util.List;/*** @Author: CaoYouGen* @DateTime: 2023/11/13/12:03* @注释: 用于生成和解析JWT**/
public class UtilJWT {// 声明一个密钥private static final String SECRET = "Coke_Anne";/** TODO* * @param userId: 用户编号* @param userName: 用户名* @param auth: 用户权限  * @return String* @author: CaoYouGen* @DateTime: 2023/11/13 12:06*/public static String createToken(Integer userId, String userName, List<String> auth){// 得到当前的系统时间Date currentDate = new Date();// 根据当前时间计算出过期时间 定死为5分钟Date expTime = new Date(currentDate.getTime() + (1000 * 60 * 5));// 组装头数据HashMap<String, Object> header = new HashMap<>();header.put("alg","HS256");header.put("typ","JWT");return JWT.create().withHeader(header) // 头.withIssuedAt(currentDate) // 创建时间.withExpiresAt(expTime) // 过期时间.withClaim("userId",userId) // 自定义数据.withClaim("userName",userName) // 自定义数据.withClaim("auth",auth) // 自定义数据.sign(Algorithm.HMAC256(SECRET));}public static Boolean verifyToken(String token){try {// 使用密码创建一个解析对象JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(SECRET)).build();// 验证 JWTDecodedJWT decodedJWT = jwtVerifier.verify(token);return true;}catch (TokenExpiredException e){e.printStackTrace();}return false;}/** 获取JWT里面相前的用户编号* * @param token:  * @return Integer* @author: CaoYouGen* @DateTime: 2023/11/13 12:19*/public static Integer getIUserId(String token){try {// 使用密码创建一个解析对象JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(SECRET)).build();// 验证 JWTDecodedJWT decodedJWT = jwtVerifier.verify(token);Claim userId = decodedJWT.getClaim("userId");return userId.asInt();}catch (TokenExpiredException e){e.printStackTrace();}return null;}/*** 获取JWT里面相前的用户名*/public static String getUsername(String token){try{// 使用秘钥创建一个解析对象JWTVerifier jwtVerifier=JWT.require(Algorithm.HMAC256(SECRET)).build();//验证JWTDecodedJWT decodedJWT = jwtVerifier.verify(token);Claim username = decodedJWT.getClaim("userName");return username.asString();}catch (TokenExpiredException e){e.printStackTrace();}return null;}/*** 获取JWT里面相前权限*/public static List<String> getAuth(String token){try{// 使用秘钥创建一个解析对象JWTVerifier jwtVerifier=JWT.require(Algorithm.HMAC256(SECRET)).build();//验证JWTDecodedJWT decodedJWT = jwtVerifier.verify(token);Claim auth = decodedJWT.getClaim("auth");return auth.asList(String.class);}catch (TokenExpiredException e){e.printStackTrace();}return null;}}

4.测试一下

package com.it.utils;import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;import java.util.Date;
import java.util.HashMap;
import java.util.List;/*** @Author: CaoYouGen* @DateTime: 2023/11/13/12:03* @注释: 用于生成和解析JWT**/
public class UtilJWT {// 声明一个密钥private static final String SECRET = "Coke_Anne";/** TODO* * @param userId: 用户编号* @param userName: 用户名* @param auth: 用户权限  * @return String* @author: CaoYouGen* @DateTime: 2023/11/13 12:06*/public static String createToken(Integer userId, String userName, List<String> auth){// 得到当前的系统时间Date currentDate = new Date();// 根据当前时间计算出过期时间 定死为5分钟Date expTime = new Date(currentDate.getTime() + (1000 * 60 * 5));// 组装头数据HashMap<String, Object> header = new HashMap<>();header.put("alg","HS256");header.put("typ","JWT");return JWT.create().withHeader(header) // 头.withIssuedAt(currentDate) // 创建时间.withExpiresAt(expTime) // 过期时间.withClaim("userId",userId) // 自定义数据.withClaim("userName",userName) // 自定义数据.withClaim("auth",auth) // 自定义数据.sign(Algorithm.HMAC256(SECRET));}public static Boolean verifyToken(String token){try {// 使用密码创建一个解析对象JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(SECRET)).build();// 验证 JWTDecodedJWT decodedJWT = jwtVerifier.verify(token);return true;}catch (TokenExpiredException e){e.printStackTrace();}return false;}/** 获取JWT里面相前的用户编号* * @param token:  * @return Integer* @author: CaoYouGen* @DateTime: 2023/11/13 12:19*/public static Integer getIUserId(String token){try {// 使用密码创建一个解析对象JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(SECRET)).build();// 验证 JWTDecodedJWT decodedJWT = jwtVerifier.verify(token);Claim userId = decodedJWT.getClaim("userId");return userId.asInt();}catch (TokenExpiredException e){e.printStackTrace();}return null;}/*** 获取JWT里面相前的用户名*/public static String getUsername(String token){try{// 使用秘钥创建一个解析对象JWTVerifier jwtVerifier=JWT.require(Algorithm.HMAC256(SECRET)).build();//验证JWTDecodedJWT decodedJWT = jwtVerifier.verify(token);Claim username = decodedJWT.getClaim("userName");return username.asString();}catch (TokenExpiredException e){e.printStackTrace();}return null;}/*** 获取JWT里面相前权限*/public static List<String> getAuth(String token){try{// 使用秘钥创建一个解析对象JWTVerifier jwtVerifier=JWT.require(Algorithm.HMAC256(SECRET)).build();//验证JWTDecodedJWT decodedJWT = jwtVerifier.verify(token);Claim auth = decodedJWT.getClaim("auth");return auth.asList(String.class);}catch (TokenExpiredException e){e.printStackTrace();}return null;}
}

在这里插入图片描述

⑥:JWT的总结

JWT就是一个加密的带用户信息的字符串, 没学习JWT之前,我们在项目中都是返回一个基本的字符串,然后请求时带上这个字符串,再从session或者redis中(共享session)获取当前用户,学过JWT以后我们可以把用户信息直接放在字符串返回给前端,然后用户请求时带过来,我们是在服务器进行解析拿到当前用户,这就是两种登录方式,这两种方式有各自的优缺点。

四、JWT+Spring Security+redis+mysql 实现认证

①:新建模块添加依赖和配置

1.复制工程06_spring_security_captcha,改名字为
08_spring_security_jwt

2.添加jwt依赖

<!-- 添加jwt的依赖 -->
<dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.11.0</version>
</dependency>

3.application.yml 中配置密钥


jwt:secretKey: Coke_Anne

②:jwt功能类

package com.it.utils;import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTCreationException;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.DecodedJWT;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;import java.util.Date;
import java.util.HashMap;
import java.util.List;/*** @Author: CaoYouGen* @DateTime: 2023/11/13/12:35* @注释: TODO**/@Component
@Slf4j
public class UtilJWT {@Value ("${jwt.secretKey}")private String jwtSecretKey;/** 创建jwt** @param userInfo: 用户信息* @param authList:  用户权限列表* @return String 返回jwt(Json Web Token)* @author: CaoYouGen* @DateTime: 2023/11/13 12:39*/public String createToken (String userInfo, List<String> authList) {// 创建时间Date currentTime = new Date();// 过期时间,5分钟后过期Date expiretime = new Date(currentTime.getTime() + (1000 * 60 * 5));// jwt的header信息HashMap<String, Object> header = new HashMap<>();header.put("alg", "HS256");header.put("typ", "JWT");return JWT.create().withHeader(header) // 设置头部信息.withIssuedAt(currentTime) // 设置签发日期(创建时间).withExpiresAt(expiretime) // 设置过期时间.withIssuer("thomas") // 设置签发人.withClaim("userInfo", userInfo) // 私有声明 可以自己定义.withClaim("authList", authList) // 私有声明 可以自己定义.sign(Algorithm.HMAC256(jwtSecretKey)); // 签名 使用HS256算法签名,并使用密钥// HS256是一种对称算法,这意味着只有一个密钥,在双方之间共享。 使用相同的密钥生成签名并对其进行验证。 应特别注意钥匙是否保密。}/** 验签jwt的签名简称验签* @DateTime: 2023/11/13 19:09** @param token: 需要验签的token* @return boolean 验签结果* @author: Coke*/public boolean verifyToken (String token) {// 创建一个验签类对象JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(jwtSecretKey)).build();try {// 验签,如果不报错,则说明 jwt 是合法的,而且也没有过期DecodedJWT verify = jwtVerifier.verify(token);return true;} catch (JWTVerificationException e) {// 如果报错说明 jwt 为非法的,或者已过期(已过期也属于非法的)e.printStackTrace();log.error("验证失败:{}", token);}return false;}/** 获取用户信息* @DateTime: 2023/11/13 19:20** @param token: jwt* @return String 用户信息* @author: Coke*/public String getUserInfo (String token) {// 创建一个jwt验签对象JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(jwtSecretKey)).build();try {// 验签DecodedJWT verify = jwtVerifier.verify(token);String userInfo = verify.getClaim("userInfo").asString();return userInfo;} catch (JWTCreationException e) {e.printStackTrace();}return null;}/** 获取用户的权限列表* @DateTime: 2023/11/13 19:25** @param token: jwt* @return List<String> 权限列表* @author: Coke*/public List<String> getUserAuth (String token) {// 创建一个jwt验签对象JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(jwtSecretKey)).build();try {DecodedJWT verify = jwtVerifier.verify(token);List<String> authList = verify.getClaim("authList").asList(String.class);return authList;}catch (JWTCreationException e){e.printStackTrace();return null;}}
}

③:添加响应类

package com.it.vo;import lombok.AllArgsConstructor;
import lombok.Builder;
import lombok.Data;
import lombok.NoArgsConstructor;import java.io.Serializable;/*** TODO** @author: Coke* @DateTime: 2023/11/13/19:27**/
@Data
@AllArgsConstructor
@NoArgsConstructor
@Builder
public class HttpResult implements Serializable {private Integer code; // 响应码private String msg; // 响应消息private Object data; // 响应对象
}

④:修改SecurityUser类

加入一个获取SysUser的方法

public SysUser getSysUser() {return sysUser;
}

⑤:新建认证成功处理器

package com.it.config;import com.fasterxml.jackson.databind.ObjectMapper;
import com.it.entity.SysUser;
import com.it.utils.UtilJWT;
import com.it.vo.HttpResult;
import com.it.vo.SecurityUser;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Component;import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.Collection;
import java.util.List;
import java.util.stream.Collectors;/*** TODO** @author: Coke* @DateTime: 2023/11/13/19:33**/
@Component
@Slf4j
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {// 使用此工具进行序列化@Autowiredprivate ObjectMapper objectMapper;@Autowiredprivate UtilJWT utilJWT;@Overridepublic void onAuthenticationSuccess (HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {response.setCharacterEncoding("utf-8");response.setContentType("text/html;charset=utf-8");// 从认证对象中获取认证用户信息SecurityUser securityUser = (SecurityUser) authentication.getPrincipal();SysUser sysUser = securityUser.getSysUser();String userInfo = objectMapper.writeValueAsString(sysUser);List<SimpleGrantedAuthority> authorities = (List<SimpleGrantedAuthority>) securityUser.getAuthorities();// 使用stream流List<String> authList = authorities.stream().map(SimpleGrantedAuthority :: getAuthority).collect(Collectors.toList());// 创建jwtString token = utilJWT.createToken(userInfo, authList);log.info("token= {}",token);// 返回给前端 tokenHttpResult httpResult = HttpResult.builder().code(1).msg("jwt验证成功!").data(token).build();response.setCharacterEncoding("utf-8");response.setContentType("application/json;charset=utf-8");PrintWriter writer = response.getWriter();writer.write(objectMapper.writeValueAsString(httpResult));writer.flush();}
}

⑥:新建jwt过滤器,用于检查token等

package com.it.filter;import com.fasterxml.jackson.databind.ObjectMapper;
import com.it.entity.SysUser;
import com.it.utils.UtilJWT;
import com.it.vo.HttpResult;
import com.it.vo.SecurityUser;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.filter.OncePerRequestFilter;import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.List;
import java.util.stream.Collectors;/*** TODO** @author: Coke* @DateTime: 2023/11/12/14:07**/
@Component
@Slf4j
public class ValidateCodeFilter extends OncePerRequestFilter {@Autowiredprivate ObjectMapper objectMapper;@Autowiredprivate UtilJWT utilJWT;@Overrideprotected void doFilterInternal (HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {String requestURI = request.getRequestURI();log.info("请求路径为:{}",requestURI);// 判断请求的是否为登录页面if (!"/login/doLogin".equals(requestURI)){ // 不是登录请求,直接放行doFilter(request,response,filterChain); //直接下一个return;}//校验验证码validateCode(request,response,filterChain);}private void validateCode (HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException, ServletException {// 获取用户输入的验证码String code = request.getParameter("code");// 获取session中存储的验证码HttpSession session = request.getSession();String login_captcha_code = (String) session.getAttribute("CAPTCHA_CODE");log.info("用户输入的验证码: {}, session中存储的验证码: {}", code, login_captcha_code);// 移除错误信息session.removeAttribute("captchaCodeErrorMsg");if (!StringUtils.hasText(code)){request.getSession().setAttribute("captchaCodeErrorMsg", "请输入验证码!");// 重定向到登录页面response.sendRedirect("/login/toLogin");return;}if (!StringUtils.hasText(login_captcha_code)){request.getSession().setAttribute("captchaCodeErrorMsg", "验证码错误!");// 重定向到登录页面response.sendRedirect("/login/toLogin");}if (!code.equalsIgnoreCase(login_captcha_code)){request.getSession().setAttribute("captchaCodeErrorMsg", "验证码输入错误!");// 重定向到登录页面response.sendRedirect("/login/toLogin");}//获取请求头中的AuthorizationString authorization = request.getHeader("Authorization");//如果Authorization为空,那么不允许用户访问,直接返回if (!StringUtils.hasText(authorization)) {printFront(response, "没有登录!");return;}//Authorization 去掉头部的Bearer 信息,获取token值String jwtToken = authorization.replace("Bearer ", "");//验签boolean verifyTokenResult = utilJWT.verifyToken(jwtToken);//验签不成功if (!verifyTokenResult) {printFront(response, "jwtToken 已过期");return;}//从payload中获取userInfoString userInfo = utilJWT.getUserInfo(jwtToken);//从payload中获取授权列表List<String> userAuth = utilJWT.getUserAuth(jwtToken);//创建登录用户SysUser sysUser = objectMapper.readValue(userInfo, SysUser.class);SecurityUser securityUser = new SecurityUser(sysUser);//设置权限List<SimpleGrantedAuthority> authList = userAuth.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList());securityUser.setSimpleGrantedAuthorities(authList);UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToke = new UsernamePasswordAuthenticationToken(securityUser, null, authList);//通过安全上下文设置认证信息SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToke);//继续访问相应的rul等filterChain.doFilter(request, response);// 删除session中的验证码session.removeAttribute("code");this.doFilter(request,response,filterChain);}private void printFront(HttpServletResponse response, String message) throws IOException {response.setCharacterEncoding("UTF-8");response.setContentType("application/json;charset=utf-8");PrintWriter writer = response.getWriter();HttpResult httpResult = new HttpResult();httpResult.setCode(-1);httpResult.setMsg(message);writer.print(objectMapper.writeValueAsString(httpResult));writer.flush();}
}

⑦:修改 web安全配置类WebSecurityConfig

@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {@Resourceprivate MyAuthenticationSuccessHandler myAuthenticationSuccessHandler;@Resourceprivate JwtCheckFilter jwtCheckFilter;@Overrideprotected void configure(HttpSecurity http) throws Exception {http.addFilterBefore(jwtCheckFilter, UsernamePasswordAuthenticationFilter.class);http.formLogin().successHandler(myAuthenticationSuccessHandler).permitAll();
http.authorizeRequests().mvcMatchers("/student/**").hasAnyAuthority("student:query","student:update").anyRequest().authenticated(); //任何请求均需要认证(登录成功)才能访问http.csrf().disable();//禁用sessionhttp.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);}@Beanpublic PasswordEncoder passwordEncoder(){return new BCryptPasswordEncoder();}
}

⑧:启动测试

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/171041.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

软件测试项目实战经验附视频以及源码【商城项目,app项目,电商项目,银行项目,医药项目,金融项目】(web+app+h5+小程序)

前言&#xff1a; ​​大家好&#xff0c;我是阿里测试君。 最近很多小伙伴都在面试&#xff0c;但是对于自己的项目经验比较缺少。阿里测试君再度出马&#xff0c;给大家找了一个非常适合练手的软件测试项目&#xff0c;此项目涵盖web端、app端、h5端、小程序端&#xff0c;…

利用RoboBrowser库和爬虫代理实现微博视频的爬取

技术概述 微博是一个社交媒体平台&#xff0c;用户可以在上面发布和分享各种内容&#xff0c;包括文字、图片、音频和视频。微博视频是微博上的一种重要的内容形式&#xff0c;有时我们可能想要下载微博视频到本地&#xff0c;以便于观看或分析。但是&#xff0c;微博视频并没…

ctfshow sql171-179

mysql 先打开我们本地的mysql&#xff0c;可以看到这些数据库 information_schema information_schema 库: 是信息数据库&#xff0c;其中保存着关于MySQL服务器所维护的所有其他数据库的信息比如数据库名&#xff0c;数据库表&#xff0c; SCHEMATA表: 提供了当前MySQL实例…

Android 基本属性绘制文本对象FontMetrics

FontMetrics对象 它以四个基本坐标为基准&#xff0c;分别为&#xff1a; ・FontMetrics.top ・FontMetrics.ascent ・FontMetrics.descent ・FontMetrics.bottom 如图: 要点如下&#xff1a; 1. 基准点是baseline 2. Ascent是baseline之上至字符最高处的距离 3. Descent是ba…

MySQL(15):存储过程与函数

存储过程概述 含义&#xff1a; 存储过程的英文是 Stored Procedure 。它的思想很简单&#xff0c;就是一组经过 预先编译 的 SQL 语句的封装。 执行过程&#xff1a; 存储过程预先存储在 MySQL 服务器上&#xff0c;需要执行的时候&#xff0c;客户端只需要向服务器端发出调用…

【算法与数据结构】491、LeetCode递增子序列

文章目录 一、题目二、解法三、完整代码 所有的LeetCode题解索引&#xff0c;可以看这篇文章——【算法和数据结构】LeetCode题解。 一、题目 二、解法 思路分析&#xff1a;本题和【算法与数据结构】78、90、LeetCode子集I&#xff0c; II中90.子集II问题有些类似&#xff0c;…

51单片机入门

一、单片机以及开发板介绍 写在前面&#xff1a;本文为作者自学笔记&#xff0c;课程为哔哩哔哩江协科技51单片机入门教程&#xff0c;感兴趣可以看看&#xff0c;适合普中A2开发板或者HC6800-ESV2.0江协科技课程所用开发板。 工具安装请另行搜索&#xff0c;这里不做介绍&…

007 Linux fork()函数

前言 本文将会以提问的形式展开向你介绍fork函数 文章重点 关于fork函数&#xff0c;本文重点在于解决以下疑问 疑问一&#xff1a; 为什么fork之前的代码只有父进程执行&#xff0c;然而fork之后的代码父子进程都要执行 疑问二&#xff1a; 1、既然fork之后父子进程会执行一…

【Copilot】登录报错 Extension activation failed: “No auth flow succeeded.“(VSCode)

问题描述 当尝试在 Visual Studio Code 中登录 GitHub Copilot 插件时&#xff0c;会出现报错的情况&#xff0c;如下图所示&#xff1a; 尽管在浏览器中成功授权了 GitHub 账户&#xff0c;但在返回 VSCode 后仍然报错&#xff0c;如下图所示&#xff1a; 同时&#xff0c;在…

mysql 讲解(1)

文章目录 前言一、基本的命令行操作二、操作数据库语句2.1、创建数据库2.2、删除数据库2.3、使用数据库2.4 查看所有数据库 三、列的数据类型3.1 字符串3.2 数值3.3 时间日期3.4 空3.5 int 和 varchar问题总结&#xff1a; 四、字段属性4.1 UnSigned4.2 ZEROFILL4.3 Auto_InCre…

python的re正则表达式

华子目录 什么是正则表达式元字符字符集字符集与元字符的综合使用 数量规则指定匹配次数边界处理分组匹配贪婪匹配非贪婪匹配re.S转义字符re.search()re.sub()实例常见的匹配模式 什么是正则表达式 正则表达式是一个特殊的字符序列&#xff0c;它能帮助你方便的检查一个字符串…

nmap原理与使用

kali的命令行中可以直接使用 nmap 命令&#xff0c;打开一个「终端」&#xff0c;输入 nmap 后回车&#xff0c;可以看到 nmap 的版本&#xff0c;证明 nmap 可用。 一、端口扫描 扫描主机的「开放端口」&#xff0c;在nmap后面直接跟主机IP&#xff08;默认扫描1000个端口&am…