说明

这是一个比较详尽的SpringSecurity整合JWT的例子(代码直接可以运行,关键代码都有很详细的注释)本文并没有使用spring oauth2,不要搞混本文中的原理解释只是大概的介绍,在代码中有非常多的注释,配合本文食用更佳 DEMO地址

运行demo

什么也不需要配置,直接运行就行,提供了一个testController,运行期望如下

 /**任何人都能访问 * @return */ @GetMapping("/publicMsg") public String getMsg(){ return "you get the message!"; } /**登录的用户才能访问 * @return */ @GetMapping("/innerMsg") public String innerMsg(){ return "you get the message!"; } /**管理员(admin)才能访问 * @return */ @GetMapping("/secret") public String secret(){ return "you get the message!"; }

登录流程-关键类介绍

JwtLoginFilter 自定义的登录过滤器,把它加到SpringSecurity的过滤链中,拦截登录请求它干的事有设置登录的url,请求的方式,其实也就是定义这个过滤器要拦截哪个请求调用JwtAuthenticationProvider进行登录校验校验成功调用LoginSuccessHandler,校验失败调用LoginSuccessHandler

JwtAuthenticationProvider 自定义的认证器,账号密码对不对等校验就是它干的,主要功能首先规定自己支持校验那种凭证(Authentication)进行用户校验,调用JwtUserDetailServiceImpl 查询当前用户(JwtUser),判断用户账号密码是否正确,用户是否过期,被锁定等等若用户校验失败则抛异常给JwtLoginFilter,JwtLoginFilter捕获异常调用登录失败的处理类(LoginFailureHandler)若用户校验成功,则生成一个已认证的凭证,也就是Authentication,对应本例的JwtLoginToken 并返回给JwtLoginFilter,JwtLoginFilter拿到凭证后调用登陆成功的处理类LoginSuccessHandlerJwtLoginToken 它就是上面说的凭证,继承自Authentication保存当前用户的认证信息,如认证状态,用户名密码,拥有的权限等JwtUser 用户实体,实现UserDetails,UserDetails为springSecurity默认的用户实体抽象主要需要实现UserDetails的几个方法,如获取用户名,密码,获取用户冻结状态等JwtUserDetailServiceImpl UserDetailsService的实现,提供根据用户名查询用户信息的功能 JwtAuthenticationProvider在进行登录信息校验时就会通过它查询用户信息LoginFailureHandler 登录失败的处理类,被JwtLoginFilter调用,JwtLoginFilter捕获到异常,就会调用它,并且把异常信息传给它LoginSuccessHandler 登录成功的处理类,被JwtLoginFilter调用,并把JwtAuthenticationProvider创建的凭证(JwtLoginToken)传给它,它就可以根据凭证里的认证信息进行登录成功的处理,如生成token等

token校验-关键类介绍

在登录过程中,登录成功,调用LoginSuccessHandler生成了token返回给前端,那么登录成功后访问其他路径,如何根据token进行权限校验呢

JwtKeyConfig 自定义的一个配置类,配置jwt,我这里的签名验证用的是RSA加密,在这里配置了密钥对JwtHeadFilter 实现token校验的核心,这是自定义的过滤器,主要是请求通过过滤器时,会对其携带的token进行解析和校验获取请求中携带的token若没有获取到token则return,调交给接下来的过滤器链处理若有token,但是校验失败,进行校验失败处理若token校验成功,通过从token中获取的用户信息生成一个凭证(Authentication),并放置到SecurityContext

在上面的2中没有获取到token为什么这么处理,首先springSecurity判断用户是否认证成功的标志是SecurityContext中是否有凭证(Authentication),在过滤链中,最后部分有一个匿名过滤器(AnonymousAuthenticationFilter),请求经过这个过滤器,若SecurityContext中没有凭证,会被设置一个匿名凭证.

最后决定请求是否通过的过滤器是FilterSecurityInterceptor,它会调用WebExpressionVoter来决定当前用户是否是否有权限访问url,若没有权限就会抛出AccessDeniedException,当抛出这个异常时就会有两种处理条件,若SecurityContext 中的凭证是匿名的就表示请求中没有token,需要登录,若凭证不是匿名的就表示当前用户没有权限访问次URL.

上面这个判断逻辑发生在ExceptionTranslationFilter过滤器中,抛出异常时对应的操作可以在WebSecurityConfigurerAdapter中的configure方法中配置

......http //身份验证入口,当需要登录却没登录时调用 //具体为,当抛出AccessDeniedException异常时且当前是匿名用户时调用 //匿名用户: 当过滤器链走到匿名过滤器(AnonymousAuthenticationFilter)时, //会进行判断SecurityContext是否有凭证(Authentication),若前面的过滤器都没有提供凭证, //匿名过滤器会给SecurityContext提供一个匿名的凭证(可以理解为用户名和权限为anonymous的Authentication), //这也是JwtHeadFilter发现请求头中没有jwtToken不作处理而直接进入下一个过滤器的原因 .exceptionHandling().authenticationEntryPoint((request, response, authException) -> { response.setContentType("application/json;charset=UTF-8"); response.getWriter().write("需要登陆"); }) //拒绝访问处理,当已登录,但权限不足时调用 //抛出AccessDeniedException异常时且当不是匿名用户时调用 .accessDeniedHandler((request, response, accessDeniedException) -> { response.setContentType("application/json;charset=UTF-8"); response.getWriter().write("没有权限"); }) ......