SpringSecurity整合SpringBoot2实现JWT登录认证

对于JWT的解释,网上有很多,我就不多赘述，主要分为以下两个步骤：

• 用户登录生成Token返回给前端
• 前端在访问某些接口时需要该Token进行鉴权访问

---

编写登录接口,生成Token并返回前端

• 编写service层实现类利用AuthenticationManager的authenticate方法进行用户认证:

  • 将用户输入的用户名和密码传入一个实现Authentication接口的类对象(这里选用UsernamePasswordAuthenticationToken )

  //将用户输入的用户名和密码传入一个实现
   UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username,password);
          
  

  • 调用AuthenticationManager对象的authenticate方法,并传入一个Authentication接口对象:

   Authentication authenticate = authenticationManager.authenticate(authenticationToken);
  

  该AuthenticationManager对象需在SpringSecurity的配置类中注入:

  @Bean
  @Override
  public AuthenticationManager authenticationManagerBean() throws Exception {
      return super.authenticationManagerBean();
  }
  

  authenticate方法的返回值为一个Authentication对象,该对象可以调用getPrincipal()方法返回一个UserDetails对象,以便后续的生成Token、将用户信息存入Redis等 *** 作

  • 需要注意，UserDetails的实现类可以选用spring-security官方给我们写好的org.springframework.security.core.userdetails.User类,也可以自己写,重写的getAuthorities方法中需要返回一个GrantedAuthority集合

      private List<String> permissions;
  	@JSONField(serialize = false) //保存到Redis中会避免乱码问题
  	private List<SimpleGrantedAuthority> authorities;
      @Override
      public Collection<? extends GrantedAuthority> getAuthorities() {
          if(authorities!=null){
              return authorities;
          }
          //把permissions中String类型的权限信息封装成SimpleGrantedAuthority对象
         authorities = new ArrayList<>();
          for (String permission : permissions) {
              SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permission);
              authorities.add(authority);
          }
          return authorities;
      }
  

• 在使用AuthenticationManager进行认证授权时,肯定得有认证的依据,用户名和密码以及用户对应的权限角色等,因此我们需要编写UserDetailsService的实现类并重写loadUserByUsername方法,从数据库中取出用户的用户名密码以及对应权限，封装到UserDetials实现类对象中并返回；如果用的是官方的User类：

        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("role1,role2");
        return new User(username,new BCryptPasswordEncoder().encode(password),auths);

以上就完成了整个登录获取Token的过程

---

对用户访问某些接口时进行鉴权

• 首先应该在配置类中进行简单的鉴权配置:

		@Override
		protected void configure(HttpSecurity http) throws Exception {
        http
                //关闭csrf
                .csrf().disable()
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 对于登录接口 允许匿名访问
                .antMatchers("/user/login").anonymous()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();
     	}
     

• 编写一个Filter继承OncePerRequestFilter,重写doFilterInternal方法，主要用来解析请求中携带的Token并从Redis中获取用户的信息（UserDetails），最后封装到Authentication对象中，并存入SecurityContextHolder中以便后续的Filter使用：

       UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);

最后别忘了放行过滤器

filterChain.doFilter(request, response);

• 过滤器写好后需要在配置类中加入到SpringSecurity的过滤器链中：

        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);

这里将其加入到UsernamePasswordAuthenticationFilter的前面

---

在以上配置结束后，想要实现资源的权限设置还需要在Controller的接口方法上配置对应的权限：
- 首先在配置类中配置@EnableGlobalMethodSecurity注解

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

• 在接口方法上添加@PreAuthorize注解

    @RequestMapping("/hello")
    @PreAuthorize("hasAut0hority('system:dept:list')")
    public String hello(){
        return "hello";
    }

之后就可以根据访问接口的不同而要求不同的权限

---

以上就是SpringSecurity实现JWT认证的基本步骤