Настоящий бой! Spring Boot Security + вход в систему аутентификации с разделением архитектуры внешнего и внутреннего интерфейса JWT, есть еще люди, которые этого не знают?
Настоящий бой! Spring Boot Security + вход в систему аутентификации с разделением архитектуры внешнего и внутреннего интерфейса JWT, есть еще люди, которые этого не знают?

Идея разделения front-end и back-end аутентификации

Разделение клиентской и серверной части отличается от традиционных веб-сервисов, которые не могут использовать сеансы. Поэтому для генерации токенов мы используем механизм без сохранения состояния, такой как JWT. Общая идея заключается в следующем:

  1. Клиент вызывает интерфейс сервера Авторизоваться и вводит имя пользователя、пароль Авторизоваться,Авторизоваться Успех возвращает дваtoken,следующее:
    1. accessToken:Клиент несет этоtokenДоступ к ресурсам сервера
    2. refreshToken:обновить токен,По истечении срока действия accessToken,Клиенту необходимо использоватьrefreToken, чтобы снова получить accessToken. Таким образом, срок действия RefreshToken обычно больше, чем у AccessToken.
  2. передается в заголовке запроса клиентаaccessTokenДоступ к ресурсам сервера,Пара серверовaccessTokenПройти идентификацию(Проверка、Является ли оно недействительным….),Если этоaccessTokenЕсли нет проблем, отпусти ее.。
  3. accessTokenПосле истечения срока годности клиент должен иметь его с собой.refreshToken调用обновить токениз接口重新获取一个新изaccessToken

Строительство проекта

Чен использует Spring Boot рамка,Демо-проект имеет два новых модуля,Они естьcommon-basesecurity-authentication-jwt

1. модуль общей базы

Это абстрактный общедоступный модуль. Этот модуль в основном содержит несколько общедоступных классов. Каталог выглядит следующим образом:

2. модуль безопасности-аутентификации-jwt

Некоторые классы необходимо настроить, например класс глобальной конфигурации безопасности и класс конфигурации фильтра входа в систему Jwt. Каталог выглядит следующим образом:

3. Пять столов

Дизайн «Разрешения» часто имеет разные варианты дизайна в зависимости от потребностей бизнеса.,Используется ЧеномRBACспецификация,В основном включает в себя пять таблиц,Они естьПользовательская таблицалист персонажатаблица разрешенийпользователь<->лист персонажаРоль<->таблица разрешений,Как показано ниже:

SQL-код приведенных выше таблиц будет помещен в исходный код дела (поля этих таблиц не полностью предназначены для избежания хлопот, вы можете постепенно расширять их в соответствии с вашим бизнесом)

Фильтр аутентификации при входе

Существует множество способов написания логики интерфейса входа. Сегодня Чен представляет интерфейс входа, использующий определение фильтра.

Spring Securityформа по умолчанию Авторизоваться Сертифицированный фильтрUsernamePasswordAuthenticationFilter,Этот фильтр не применяется к Архитектуре по Разделению передней и задней части.,Итак, нам нужно настроить фильтр.

Логика очень проста,ссылкаUsernamePasswordAuthenticationFilterИзменить этот фильтр,Код выглядит следующим образом:

Обработчик успеха аутентификации

После успешной аутентификации вышеуказанного интерфейса фильтра,будет вызванAuthenticationSuccessHandlerПроцесс,Таким образом, мы можем настроить процессор успешной аутентификации для выполнения нашей собственной бизнес-обработки.,Код выглядит следующим образом:

Чен только что вернулсяaccessTokenrefreshToken,Прочую обработку бизнес-логики можно улучшить самостоятельно.

Обработчик сбоя аутентификации

Такой же,один раз Авторизоватьсянеудача,Например, ошибки имени пользователя или пароля и т. д.,будет вызванAuthenticationFailureHandlerПроцесс,Поэтому нам нужно настроить процессор на случай сбоя аутентификации.,Возвращает определенное значение на основе информации об исключении.JSONДанные клиенту,Код выглядит следующим образом:

Логика очень проста,AuthenticationExceptionСуществуют разные классы реализации,Просто верните конкретную подсказку в соответствии с типом исключения.

Конфигурация аутентификацииEntryPoint

AuthenticationEntryPointЭтот интерфейс должен бытьПользователь не прошел аутентификацию для доступа к защищенным ресурсамчас,будет вызванcommence()метод Процесс,Например, токен, передаваемый клиентом, подделан.,Поэтому нам необходимо настроитьAuthenticationEntryPointВозврат конкретной подсказки,Код выглядит следующим образом:

AccessDeniedHandlerКонфигурация

AccessDeniedHandler这处理器当认证成功изпользовательдоступ受保护из资源,ноНедостаточно разрешений,войдет в этот процессор для обработки,Мы можем реализовать этот процессор для возврата клиенту конкретной оперативной информации.,Код выглядит следующим образом:

Конфигурация UserDetailsService

UserDetailsService这个类是用来加载пользователь信息,включатьимя пользователяпарольРазрешенияРольсобирать….Существует методследующее:

Язык кода:javascript
копировать
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

В логике аутентификации Spring Security вызовет этот метод для загрузки подробной информации о пользователе на основе имени пользователя, переданного клиентом. Логика, которую необходимо выполнить с помощью этого метода, следующая:

  • пароль匹配
  • 加载Разрешения、Рольсобирать

Нам нужно реализовать этот интерфейс,отбаза данных加载пользователь信息,Код выглядит следующим образом:

из которыхLoginServiceоснован наимя пользователяотбаза данных Запроситьпароль、Роль、Разрешения,Код выглядит следующим образом:

UserDetailsЭто тоже интерфейс,Определено несколько методов,все вокругимя пользователяпарольРазрешения+Рольсобирать这三个属性,Таким образом, мы можем реализовать расширение этих полей этого класса.,SecurityUserКод выглядит следующим образом:

расширятьUserDetailsServiceРеализация этого класса обычно включает в себя5Чжан Бяо,Они естьПользовательская таблицалист персонажатаблица разрешенийпользователь<->Роль Таблица соответствияРоль<->Разрешения Таблица соответствия,Внедрения на предприятии должны следоватьRBACправила дизайна。Чен подробно представит это правило позже.。

Фильтр проверки токена

Заголовок запроса клиента содержит токен, и сервер должен анализировать и проверять токен для каждого запроса, поэтому необходимо определить фильтр токенов. Основная логика этого фильтра следующая:

  • от请求头中获取accessToken
  • верноaccessTokenанализировать、Проверка、Проверьте срок годности
  • Если проверка прошла успешно, аутентификация будет сохранена в ThreadLocal, что облегчит последующее прямое получение данных пользователя.

Вышеупомянутое — это лишь самая основная логика. В реальной разработке существуют определенные процессы, такие как помещение подробной информации пользователя в атрибут Request и кэш Redis, чтобы добиться эффекта имитации ретрансляции токена.

Код для проверки фильтра выглядит следующим образом:

Обновить интерфейс токена

accessTokenодин раз过期,Клиент должен нестиrefreshTokenПолучить токен,Традиционные веб-сервисы размещаются в файлах cookie.,Только серверу необходимо завершить обновление,Совершенно неосведомленное обновление токена,но Разделение передней и задней части Архитектурадолжен находиться у клиентаrefreshTokenОбновление интерфейса вручную。

Код выглядит следующим образом:

Основная логика очень проста и заключается в следующем:

  • проверятьrefreshToken
  • РегенерироватьaccessTokenrefreshTokenВернуться к клиенту。

Уведомление:В реальном производствеrefreshTokenКак генерируются токены、шифрование Алгоритм можно комбинировать сaccessTokenдругой。

Фильтр аутентификации при входе接口Конфигурация

上述定义了一个认证过滤器JwtAuthenticationLoginFilter,Это фильтр для Авторизоваться,но并没有注入加入Spring В цепочке фильтров Безопасности необходимо определить конфигурацию, Код выглядит следующим образом:

Язык кода:javascript
копировать
/**
 * @author Публичный аккаунт: Колонка технологий Code Ape
 * Класс конфигурации для фильтра Авторизоваться
 */
@Configuration
public class JwtAuthenticationSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {

    /**
     * userDetailService
     */
    @Qualifier("jwtTokenUserDetailsService")
    @Autowired
    private UserDetailsService userDetailsService;

    /**
     * Авторизоваться процессор успеха
     */
    @Autowired
    private LoginAuthenticationSuccessHandler loginAuthenticationSuccessHandler;

    /**
     * Авторизоваться обработчик ошибок
     */
    @Autowired
    private LoginAuthenticationFailureHandler loginAuthenticationFailureHandler;

    /**
     * шифрование
     */
    @Autowired
    private PasswordEncoder passwordEncoder;

    /**
     * Настройте фильтр интерфейса Авторизоваться в цепочку фильтров.
     * 1. Настроить Авторизоваться обработчики успеха и неудачи
     * 2. Настройте пользовательский userDetailService (из базы Получить данные пользователя в data)
     * 3. Настройте пользовательские фильтры для весны В цепочке фильтров безопасности настройте его перед UsernamePasswordAuthenticationFilter.
     * @param http
     */
    @Override
    public void configure(HttpSecurity http) {
        JwtAuthenticationLoginFilter filter = new JwtAuthenticationLoginFilter();
        filter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
        //Обработчик успешной аутентификации
        filter.setAuthenticationSuccessHandler(loginAuthenticationSuccessHandler);
        //Обработчик ошибки аутентификации
        filter.setAuthenticationFailureHandler(loginAuthenticationFailureHandler);
        //Используем DaoAuthenticationProvider напрямую
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        //Устанавливаем userDetailService
        provider.setUserDetailsService(userDetailsService);
        //Устанавливаем алгоритм шифрования
        provider.setPasswordEncoder(passwordEncoder);
        http.authenticationProvider(provider);
        //Добавьте этот фильтр в UsernamePasswordAuthenticationFilter перед выполнением
        http.addFilterBefore(filter, UsernamePasswordAuthenticationFilter.class);
    }
}

Вся логика естьpublic void configure(HttpSecurity http)В этом методе,следующее:

  • Установить обработчик успешной аутентификацииloginAuthenticationSuccessHandler
  • настраивать认证неудача处理器loginAuthenticationFailureHandler
  • настраиватьuserDetailServiceкласс реализацииJwtTokenUserDetailsService
  • Установить алгоритм шифрования пароляEncoder
  • ВоляJwtAuthenticationLoginFilterЭтот фильтр добавляется в цепочку фильтров.,Присоединяйтесь напрямую кUsernamePasswordAuthenticationFilterдо этого фильтра。

Глобальная конфигурация Spring Security

Вышеуказанное настраивает только фильтр входа в систему, и вам также необходимо выполнить некоторые настройки в классе глобальной конфигурации, а именно:

  • Настройка применения фильтра Авторизоваться
  • Разрешить интерфейс Авторизации и интерфейс обновления токена без перехвата
  • КонфигурацияAuthenticationEntryPointAccessDeniedHandler
  • Запрещатьsession,Разделение передней и задней части+JWTМетод не обязателенsession
  • Воляtokenпроверять过滤器TokenAuthenticationFilterДобавить в цепочку фильтров,надеватьUsernamePasswordAuthenticationFilterДо。

Полная конфигурация выглядит следующим образом:

Язык кода:javascript
копировать
/**
 * @author Публичный аккаунт: Колонка технологий Code Ape
 * @EnableGlobalMethodSecurity Включите аннотацию для проверки Разрешения
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private JwtAuthenticationSecurityConfig jwtAuthenticationSecurityConfig;
    @Autowired
    private EntryPointUnauthorizedHandler entryPointUnauthorizedHandler;
    @Autowired
    private RequestAccessDeniedHandler requestAccessDeniedHandler;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                //Запрещать表单Авторизоваться,Разделение передней и задней часть бесполезна
                .disable()
                //Применяем настройку фильтра Авторизоваться, настраиваем разделение
                .apply(jwtAuthenticationSecurityConfig)

                .and()
                // Установить авторизацию для URL
                .authorizeRequests()
                // Здесь нужно разрешить странице Авторизоваться, PermitAll() означает отсутствие перехвата, /login Авторизоватьсяизurl,/refreshToken URL-адрес токена обновления                //TODO Здесь есть много URL-адресов, выпущенных в обычных проектах, таких как URL-адреса, связанные с чванством, URL-адреса серверной части друида и некоторые статические ресурсы.
                .antMatchers(   "/login","/refreshToken")
                .permitAll()
                //hasRole() указывает, что для доступа к ресурсу необходима указанная Роль
                .antMatchers("/hello").hasRole("ADMIN")
                // anyRequest() Все запросы   authenticated() должен быть аутентифицирован
                .anyRequest()
                .authenticated()

                //Обработка исключений: сбой аутентификации и недостаточное разрешение
                .and()
                .exceptionHandling()
                //Аутентификация не удалась, доступ к обработчику исключений запрещен
                .authenticationEntryPoint(entryPointUnauthorizedHandler)
                //Сертификация пройдена, но процессора Разрешения нет
                .accessDeniedHandler(requestAccessDeniedHandler)

                .and()
                //Отключаем сеанс, проверка JWT не требует сеанса
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)

                .and()
                //Настройте фильтр проверки TOKEN в цепочке фильтров, иначе он не вступит в силу и будет помещен перед UsernamePasswordAuthenticationFilter.
                .addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class)
                // закрыть csrf
                .csrf().disable();
    }

    // Пользовательский JWT Фильтр проверки токена
    @Bean
    public TokenAuthenticationFilter authenticationTokenFilterBean()  {
        return new TokenAuthenticationFilter();
    }

    /**
     * шифрованиеалгоритм
     * @return
     */
    @Bean
    public PasswordEncoder getPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

Аннотации очень подробные. Если вы не поняли, пожалуйста, прочтите внимательно.

Исходный код кейса загружен на GitHub, обратите внимание на Официальный аккаунт:Колонка технологий Code Ape,Ключевые слова ответа:9529 Возьми!

тест

1. Сначала тест Авторизовать интерфейс,postmanдоступhttp://localhost:2001/security-jwt/login следующим образом:

Как видите, два токена были успешно возвращены.

2. Заголовок запроса не содержит токена.,прямой запросhttp://localhost:2001/security-jwt/hello, следующим образом:

можно увидеть,Введено напрямуюEntryPointUnauthorizedHandlerэтот процессор。

3、нестиtokenдоступhttp://localhost:2001/security-jwt/hello, следующим образом:

После успешного доступа токен действителен.

4、Обновить интерфейс токенатест,нести一个过期из令牌доступследующее:

5、Обновить интерфейс токенатест,Проведение токена с истекшим сроком действия,следующее:

Как видите, два новых токена были успешно возвращены.

Отслеживание исходного кода

以上一系列из Конфигурация完全是ссылкаUsernamePasswordAuthenticationFilterэтот фильтр,Это способ формы веб-сервиса Авторизоваться.

Принцип Spring Security состоит из серии фильтров.,То же самое касается процесса Авторизации.,сначала вorg.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter#doFilter()метод,Выполнить сопоставление аутентификации,следующее:

attemptAuthentication()这个метод主要作用就是获取客户端传递изusername、password,упакованный вUsernamePasswordAuthenticationTokenсдаватьProviderManagerиз进行认证,Исходный кодследующее:

ProviderManagerОсновной процесс — вызов абстрактного классаAbstractUserDetailsAuthenticationProvider#authenticate()метод,Как показано ниже:

retrieveUser()метод就是调用userDetailService查询пользователь信息。Затем аутентифицируйте,После успешной или неудачной аутентификации,Для обработки будут вызваны соответствующие обработчики ошибок и успехов.

Подвести итог

Хотя Spring Security относительно тяжелый, его действительно легко использовать, особенно реализацию спецификации Oauth2.0, которая очень проста и удобна.

Исходный код кейса загружен на GitHub, обратите внимание на Официальный аккаунт:Колонка технологий Code Ape,Ключевые слова ответа:9529 Возьми!

boy illustration
Неразрушающее увеличение изображений одним щелчком мыши, чтобы сделать их более четкими артефактами искусственного интеллекта, включая руководства по установке и использованию.
boy illustration
Копикодер: этот инструмент отлично работает с Cursor, Bolt и V0! Предоставьте более качественные подсказки для разработки интерфейса (создание навигационного веб-сайта с использованием искусственного интеллекта).
boy illustration
Новый бесплатный RooCline превосходит Cline v3.1? ! Быстрее, умнее и лучше вилка Cline! (Независимое программирование AI, порог 0)
boy illustration
Разработав более 10 проектов с помощью Cursor, я собрал 10 примеров и 60 подсказок.
boy illustration
Я потратил 72 часа на изучение курсорных агентов, и вот неоспоримые факты, которыми я должен поделиться!
boy illustration
Идеальная интеграция Cursor и DeepSeek API
boy illustration
DeepSeek V3 снижает затраты на обучение больших моделей
boy illustration
Артефакт, увеличивающий количество очков: на основе улучшения характеристик препятствия малым целям Yolov8 (SEAM, MultiSEAM).
boy illustration
DeepSeek V3 раскручивался уже три дня. Сегодня я попробовал самопровозглашенную модель «ChatGPT».
boy illustration
Open Devin — инженер-программист искусственного интеллекта с открытым исходным кодом, который меньше программирует и больше создает.
boy illustration
Эксклюзивное оригинальное улучшение YOLOv8: собственная разработка SPPF | SPPF сочетается с воспринимаемой большой сверткой ядра UniRepLK, а свертка с большим ядром + без расширения улучшает восприимчивое поле
boy illustration
Популярное и подробное объяснение DeepSeek-V3: от его появления до преимуществ и сравнения с GPT-4o.
boy illustration
9 основных словесных инструкций по доработке академических работ с помощью ChatGPT, эффективных и практичных, которые стоит собрать
boy illustration
Вызовите deepseek в vscode для реализации программирования с помощью искусственного интеллекта.
boy illustration
Познакомьтесь с принципами сверточных нейронных сетей (CNN) в одной статье (суперподробно)
boy illustration
50,3 тыс. звезд! Immich: автономное решение для резервного копирования фотографий и видео, которое экономит деньги и избавляет от беспокойства.
boy illustration
Cloud Native|Практика: установка Dashbaord для K8s, графика неплохая
boy illustration
Краткий обзор статьи — использование синтетических данных при обучении больших моделей и оптимизации производительности
boy illustration
MiniPerplx: новая поисковая система искусственного интеллекта с открытым исходным кодом, спонсируемая xAI и Vercel.
boy illustration
Конструкция сервиса Synology Drive сочетает проникновение в интрасеть и синхронизацию папок заметок Obsidian в облаке.
boy illustration
Центр конфигурации————Накос
boy illustration
Начинаем с нуля при разработке в облаке Copilot: начать разработку с минимальным использованием кода стало проще
boy illustration
[Серия Docker] Docker создает мультиплатформенные образы: практика архитектуры Arm64
boy illustration
Обновление новых возможностей coze | Я использовал coze для создания апплета помощника по исправлению домашних заданий по математике
boy illustration
Советы по развертыванию Nginx: практическое создание статических веб-сайтов на облачных серверах
boy illustration
Feiniu fnos использует Docker для развертывания личного блокнота Notepad
boy illustration
Сверточная нейронная сеть VGG реализует классификацию изображений Cifar10 — практический опыт Pytorch
boy illustration
Начало работы с EdgeonePages — новым недорогим решением для хостинга веб-сайтов
boy illustration
[Зона легкого облачного игрового сервера] Управление игровыми архивами
boy illustration
Развертывание SpringCloud-проекта на базе Docker и Docker-Compose