说明
- 这是一个比较详尽的SpringSecurity整合JWT的例子(代码直接可以运行,关键代码都有很详细的注释)
- 本文并没有使用spring oauth2,不要搞混
- 本文中的原理解释只是大概的介绍,在代码中有非常多的注释,配合本文食用更佳
DEMO地址 https://github.com/nixuechao/security-jwt
运行demo
什么也不需要配置,直接运行就行,提供了一个testController,运行期望如下
/**任何人都能访问
* @return
*/
@GetMapping("/publicMsg")
public String getMsg(){
return "you get the message!";
}
/**登录的用户才能访问
* @return
*/
@GetMapping("/innerMsg")
public String innerMsg(){
return "you get the message!";
}
/**管理员(admin)才能访问
* @return
*/
@GetMapping("/secret")
public String secret(){
return "you get the message!";
}
登录流程-关键类介绍
-
JwtLoginFilter 自定义的登录过滤器,把它加到SpringSecurity的过滤链中,拦截登录请求它干的事有
设置登录的url,请求的方式,其实也就是定义这个过滤器要拦截哪个请求
调用JwtAuthenticationProvider进行登录校验
校验成功调用LoginSuccessHandler,校验失败调用LoginSuccessHandler
-
JwtAuthenticationProvider 自定义的认证器,账号密码对不对等校验就是它干的,主要功能
首先规定自己支持校验那种凭证(Authentication)
进行用户校验,调用JwtUserDetailServiceImpl 查询当前用户(JwtUser),判断用户账号密码是否正确,用户是否过期,被锁定等等
若用户校验失败则抛异常给JwtLoginFilter,JwtLoginFilter捕获异常调用登录失败的处理类(LoginFailureHandler)
若用户校验成功,则生成一个已认证的凭证,也就是Authentication,对应本例的JwtLoginToken 并返回给JwtLoginFilter,JwtLoginFilter拿到凭证后调用登陆成功的处理类LoginSuccessHandler
-
JwtLoginToken 它就是上面说的凭证,继承自Authentication
- 保存当前用户的认证信息,如认证状态,用户名密码,拥有的权限等
-
JwtUser 用户实体,实现UserDetails,UserDetails为springSecurity默认的用户实体抽象
- 主要需要实现UserDetails的几个方法,如获取用户名,密码,获取用户冻结状态等
-
JwtUserDetailServiceImpl UserDetailsService的实现,提供根据用户名查询用户信息的功能
JwtAuthenticationProvider在进行登录信息校验时就会通过它查询用户信息
-
LoginFailureHandler 登录失败的处理类,被JwtLoginFilter调用,JwtLoginFilter捕获到异常,就会调用它,并且把异常信息传给它
LoginSuccessHandler 登录成功的处理类,被JwtLoginFilter调用,并把JwtAuthenticationProvider创建的凭证(JwtLoginToken)传给它,它就可以根据凭证里的认证信息进行登录成功的处理,如生成token等
token校验-关键类介绍
在登录过程中,登录成功,调用LoginSuccessHandler生成了token返回给前端,那么登录成功后访问其他路径,如何根据token进行权限校验呢
-
JwtKeyConfig 自定义的一个配置类,配置jwt,我这里的签名验证用的是RSA加密,在这里配置了密钥对
-
JwtHeadFilter 实现token校验的核心,这是自定义的过滤器,主要是请求通过过滤器时,会对其携带的token进行解析和校验
- 获取请求中携带的token
- 若没有获取到token则return,调交给接下来的过滤器链处理
- 若有token,但是校验失败,进行校验失败处理
- 若token校验成功,通过从token中获取的用户信息生成一个凭证(Authentication),并放置到SecurityContext
在上面的2中没有获取到token为什么这么处理,首先springSecurity判断用户是否认证成功的标志是SecurityContext中是否有凭证(Authentication),在过滤链中,最后部分有一个匿名过滤器(AnonymousAuthenticationFilter),请求经过这个过滤器,若SecurityContext中没有凭证,会被设置一个匿名凭证.
最后决定请求是否通过的过滤器是FilterSecurityInterceptor,它会调用WebExpressionVoter来决定当前用户是否是否有权限访问url,若没有权限就会抛出AccessDeniedException,当抛出这个异常时就会有两种处理条件,若SecurityContext 中的凭证是匿名的就表示请求中没有token,需要登录,若凭证不是匿名的就表示当前用户没有权限访问次URL.
上面这个判断逻辑发生在ExceptionTranslationFilter过滤器中,抛出异常时对应的操作可以在WebSecurityConfigurerAdapter中的configure方法中配置
......
http
//身份验证入口,当需要登录却没登录时调用
//具体为,当抛出AccessDeniedException异常时且当前是匿名用户时调用
//匿名用户: 当过滤器链走到匿名过滤器(AnonymousAuthenticationFilter)时,
//会进行判断SecurityContext是否有凭证(Authentication),若前面的过滤器都没有提供凭证,
//匿名过滤器会给SecurityContext提供一个匿名的凭证(可以理解为用户名和权限为anonymous的Authentication),
//这也是JwtHeadFilter发现请求头中没有jwtToken不作处理而直接进入下一个过滤器的原因
.exceptionHandling().authenticationEntryPoint((request, response, authException) -> {
response.setContentType("application/json;charset=UTF-8");
response.getWriter().write("需要登陆");
})
//拒绝访问处理,当已登录,但权限不足时调用
//抛出AccessDeniedException异常时且当不是匿名用户时调用
.accessDeniedHandler((request, response, accessDeniedException) -> {
response.setContentType("application/json;charset=UTF-8");
response.getWriter().write("没有权限");
})
......
转载请注明出处
