国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

Spring Boot單點登錄實踐

2年前作者:FeereBug分類:Toy博客閱讀(21)違法舉報

這篇具有很好參考價值的文章主要介紹了Spring Boot單點登錄實踐。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

前言

在現(xiàn)代的Web應(yīng)用程序中,單點登錄(Single Sign-On)已經(jīng)變得越來越流行。單點登錄使得用戶只需要一次認(rèn)證即可訪問多個應(yīng)用程序,同時也提高了應(yīng)用程序的安全性。Spring Boot作為一種廣泛使用的Web開發(fā)框架,在單點登錄方面也提供了很好的支持。

在本文中,我們將使用Spring Boot構(gòu)建一個基本的單點登錄系統(tǒng)。我們將介紹如何使用Spring Security和JSON Web Tokens(JWTs)來實現(xiàn)單點登錄功能。本文假設(shè)您已經(jīng)熟悉Spring Boot和Spring Security。

什么是JWT?

在介紹實現(xiàn)單點登錄之前,讓我們先了解一下JWT。JWT是一種基于JSON格式的開放標(biāo)準(zhǔn)(RFC 7519),用于在不同的應(yīng)用程序之間安全地傳輸信息。它由三個部分組成:

  • 標(biāo)頭(Header):包含JWT的類型和使用的簽名算法。
  • 負(fù)載(Payload):包含實際的信息。
  • 簽名(Signature):使用私鑰生成的簽名,用于驗證JWT的真實性。

JWT通常在身份驗證過程中使用,以便在不需要存儲用戶信息的情況下驗證用戶身份。由于JWT是基于標(biāo)準(zhǔn)化的JSON格式構(gòu)建的,因此在多種編程語言中都可以輕松地實現(xiàn)和解析。

實現(xiàn)單點登錄

下面我們來介紹如何使用JWT實現(xiàn)基本的單點登錄系統(tǒng)。這個系統(tǒng)由兩個應(yīng)用程序組成:認(rèn)證應(yīng)用程序和資源應(yīng)用程序。用戶在認(rèn)證應(yīng)用程序上進(jìn)行一次身份驗證之后,就可以訪問資源應(yīng)用程序。

認(rèn)證應(yīng)用程序

我們首先需要構(gòu)建一個認(rèn)證應(yīng)用程序,用于認(rèn)證用戶信息并生成JWT。

添加依賴

首先,我們需要添加以下依賴:

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
  <groupId>io.jsonwebtoken</groupId>
  <artifactId>jjwt</artifactId>
  <version>0.9.1</version>
</dependency>

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-web</artifactId>
</dependency>
  • spring-boot-starter-security:用于提供基本的安全性支持。
  • jjwt:JSON Web Token的Java實現(xiàn)。
  • spring-boot-starter-web:用于提供Web應(yīng)用程序支持。
配置Spring Security

接下來,我們需要配置Spring Security。我們將使用Spring Security的默認(rèn)配置,并添加一個自定義的UserDetailsService來從數(shù)據(jù)庫中加載用戶信息。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

  @Autowired
  private UserDetailsService userDetailsService;

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
      .csrf().disable()
      .authorizeRequests()
        .antMatchers("/auth/**").permitAll()
        .anyRequest().authenticated()
      .and().formLogin()
        .loginPage("/auth/login")
        .successHandler(authenticationSuccessHandler())
        .failureHandler(authenticationFailureHandler())
        .permitAll()
      .and().logout()
        .logoutUrl("/auth/logout")
        .logoutSuccessUrl("/auth/login?logout")
        .invalidateHttpSession(true)
        .deleteCookies("JSESSIONID");
  }

  @Override
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
  }

  @Bean
  public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
  }

  @Bean
  public AuthenticationSuccessHandler authenticationSuccessHandler() {
    return new JWTAuthenticationSuccessHandler();
  }

  @Bean
  public AuthenticationFailureHandler authenticationFailureHandler() {
    return new JWTAuthenticationFailureHandler();
  }

}

在上述配置中,我們定義了一個路由表達(dá)式"/auth/**"允許匿名訪問,這意味著認(rèn)證應(yīng)用程序的登錄和注冊頁面可以被未經(jīng)身份驗證的用戶訪問。我們還定義了自定義的AuthenticationSuccessHandler和AuthenticationFailureHandler,用于在用戶身份驗證成功或失敗時生成JWT并將其返回給用戶。這些處理程序?qū)⒃谙乱徊街袑崿F(xiàn)。

實現(xiàn)自定義的AuthenticationSuccessHandler和AuthenticationFailureHandler

在上述配置中,我們使用了自定義的AuthenticationSuccessHandler和AuthenticationFailureHandler。讓我們來實現(xiàn)它們。

public class JWTAuthenticationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {

  private static final String JWT_SECRET = "secret";
  private static final long JWT_EXPIRATION_TIME = 864000000; // 10 days

  @Override
  public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
    Authentication authentication) throws IOException, ServletException {
    String username = authentication.getName();

    String token = Jwts.builder()
      .setSubject(username)
      .setExpiration(new Date(System.currentTimeMillis() + JWT_EXPIRATION_TIME))
      .signWith(SignatureAlgorithm.HS512, JWT_SECRET.getBytes())
      .compact();

    response.setHeader("Authorization", "Bearer " + token);
    response.getWriter().write("{\"token\":\"Bearer " + token + "\"}");
    response.setContentType("application/json");
  }

}

在上述代碼中,我們使用了JJWT庫來生成JWT。在onAuthenticationSuccess方法中,我們首先從Authentication對象獲取用戶名,然后使用用戶名創(chuàng)建JWT。我們設(shè)置JWT的有效期為10天,并使用HS512簽名算法對JWT進(jìn)行簽名,使用一個字符串作為密鑰。最后,我們將JWT作為Bearer令牌添加到響應(yīng)消息頭中,并封裝在JSON格式的響應(yīng)體中返回給客戶端。

public class JWTAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {

  @Override
  public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
    AuthenticationException exception) throws IOException, ServletException {
    response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
    response.getWriter().write("{\"error\":\"Bad credentials\"}");
    response.setContentType("application/json");
  }

}

在上述代碼中,我們將響應(yīng)代碼設(shè)置為401(未經(jīng)授權(quán)),并向響應(yīng)體中添加一個錯誤消息,以通知客戶端身份驗證失敗。

實現(xiàn)授權(quán)控制器

現(xiàn)在我們已經(jīng)創(chuàng)建了認(rèn)證應(yīng)用程序的基本安全性,讓我們來構(gòu)建資源應(yīng)用程序并實現(xiàn)授權(quán)控制器,以確保只有經(jīng)過身份驗證的用戶才可以訪問受保護(hù)的資源。我們將使用JWT來驗證用戶身份。

@RestController
public class ResourceController {

  private static final String JWT_SECRET = "secret";

  @GetMapping("/resource")
  public ResponseEntity<String> getResource(HttpServletRequest request) {
    String token = request.getHeader("Authorization").replace("Bearer ", "");
    if (isValidJWT(token)) {
      return ResponseEntity.ok("Protected resource");
    } else {
      return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
    }
  }

  private boolean isValidJWT(String jwt) {
    try {
      Jwts.parser().setSigningKey(JWT_SECRET.getBytes()).parseClaimsJws(jwt);
      return true;
    } catch (JwtException e) {
      return false;
    }
  }

}

在上述代碼中,我們使用了一個示例的受保護(hù)資源路徑"/resource",該路徑只允許經(jīng)過身份驗證的用戶訪問。我們從請求頭中提取Bearer令牌,并使用isValidJWT方法驗證令牌的真實性。如果JWT有效,則返回200響應(yīng)代碼和受保護(hù)的資源;否則返回401(未經(jīng)授權(quán))響應(yīng)代碼。

資源應(yīng)用程序

現(xiàn)在我們已經(jīng)創(chuàng)建了認(rèn)證應(yīng)用程序,讓我們來創(chuàng)建一個資源應(yīng)用程序,以便用戶可以在驗證后訪問它。資源應(yīng)用程序?qū)Ⅱ炞C用戶是否具有訪問受保護(hù)資源的權(quán)限。

配置Spring Security

我們首先需要配置Spring Security,以使資源應(yīng)用程序能夠驗證JWT并授予用戶訪問權(quán)限。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
      .csrf().disable()
      .authorizeRequests()
      .antMatchers("/resource").authenticated()
      .and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
      .and().addFilterBefore(new JWTAuthorizationFilter(), UsernamePasswordAuthenticationFilter.class);
  }

}

在上述配置中,我們定義了一個路由表達(dá)式"/resource",只有經(jīng)過身份驗證的用戶才能訪問。我們還將會話管理策略設(shè)置為STATELESS,以避免使用HTTP會話。

實現(xiàn)JWTAuthorizationFilter

接下來,我們需要實現(xiàn)JWTAuthorizationFilter,以驗證來自客戶端的JWT并將其與用戶信息相關(guān)聯(lián)。這將允許我們檢查用戶是否具有訪問資源的權(quán)限。

public class JWTAuthorizationFilter extends OncePerRequestFilter {

  private static final String JWT_SECRET = "secret";

  @Override
  protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
    FilterChain filterChain) throws ServletException, IOException {
    String authorizationHeader = request.getHeader("Authorization");

    if (authorizationHeader == null || !authorizationHeader.startsWith("Bearer ")) {
      filterChain.doFilter(request, response);
      return;
    }

    String jwt = authorizationHeader.replace("Bearer ", "");

    try {
      Jws<Claims> claimsJws = Jwts.parser().setSigningKey(JWT_SECRET.getBytes()).parseClaimsJws(jwt);

      String username = claimsJws.getBody().getSubject();

      List<GrantedAuthority> authorities = new ArrayList<>();
      UserDetails userDetails = new User(username, "", authorities);

      UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
        userDetails, null, userDetails.getAuthorities());

      SecurityContextHolder.getContext().setAuthentication(authentication);
    } catch (JwtException e) {
      throw new ServletException("Invalid JWT");
    }

    filterChain.doFilter(request, response);
  }

}

在上述代碼中,我們查詢Authorization頭以查找Bearer令牌。如果令牌不存在或不正確,則請求將繼續(xù)傳遞。否則,我們使用JJWT庫驗證JWT的真實性,并獲取用戶的用戶名。我們將用戶名創(chuàng)建為Spring Security的UserDetails對象并創(chuàng)建一個UsernamePasswordAuthenticationToken,用于將身份驗證信息設(shè)置為當(dāng)前Spring Security上下文的一部分。完成后,請求將繼續(xù)傳遞并授權(quán)用戶訪問資源。

測試

現(xiàn)在我們已經(jīng)創(chuàng)建了認(rèn)證應(yīng)用程序和資源應(yīng)用程序,讓我們對它們進(jìn)行測試。首先,我們在認(rèn)證應(yīng)用程序上注冊并登錄,以獲取JWT令牌。然后,我們將使用該令牌訪問資源應(yīng)用程序的受保護(hù)資源,并驗證我們是否可以成功訪問。

# Register and login to authentication application
$ curl -s -X POST -H "Content-Type: application/json" -d '{"username":"user","password":"password"}' http://localhost:8080/auth/signup
$ curl -s -X POST -H "Content-Type: application/json" -d '{"username":"user","password":"password"}' http://localhost:8080/auth/login

# Get JWT token
$ TOKEN=$(curl -si -X POST -H "Content-Type: application/json" -d '{"username":"user","password":"password"}' http://localhost:8080/auth/login | grep 'Authorization:' | awk '{print $2}')

# Access protected resource in resource application
$ curl -s -H "Authorization: Bearer $TOKEN" http://localhost:8090/resource
Protected resource

通過測試,我們可以看到我們成功地訪問了資源應(yīng)用程序的受保護(hù)資源,并返回了正確的響應(yīng)。

總結(jié)

在本文中,我們使用Spring Boot,Spring Security和JWT實現(xiàn)了一個基本的單點登錄系統(tǒng)。我們介紹了JWT的概念,并演示了如何使用它來驗證用戶身份。我們還創(chuàng)建了一個認(rèn)證應(yīng)用程序和一個資源應(yīng)用程序,以演示如何在多個應(yīng)用程序之間共享用戶身份驗證信息。您可以將此范例用作基礎(chǔ)模板,進(jìn)一步擴(kuò)展它以適應(yīng)自己的應(yīng)用程序需求。文章來源地址http://www.zghlxwxcb.cn/news/detail-465328.html

到了這里,關(guān)于Spring Boot單點登錄實踐的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進(jìn)行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費用

相關(guān)文章

  • 【實踐篇】基于CAS的單點登錄實踐之路

    作者:京東物流?趙勇萍 上個月我負(fù)責(zé)的系統(tǒng)SSO升級,對接京東ERP系統(tǒng),這也讓我想起了之前我做過一個單點登錄的項目。想來單點登錄有很多實現(xiàn)方案,不過最主流的還是基于CAS的方案,所以我也就分享一下我的CAS實踐之路。 單點登錄的英文名叫做:Single Sign On(簡稱SSO)

    2023年04月13日
    瀏覽(20)

  • JWT 單點登錄探析:原理、用途與安全實踐

    JWT (JSON Web Token) 是目前最流行的跨域認(rèn)證解決方案,是 一種基于 Token 的認(rèn)證授權(quán)機(jī)制 。 從 JWT 的全稱可以看出,JWT 本身也是 Token,一種規(guī)范化之后的 JSON 結(jié)構(gòu)的 Token。 通過數(shù)字簽名的方式,以 JSON 對象為載體,在不同的服務(wù)終端之間安全的傳輸信息。 JWT 自身包含了身

    2024年02月03日
    瀏覽(13)
  • Java實現(xiàn)單點登錄(SSO)詳解:從理論到實踐

    Java實現(xiàn)單點登錄(SSO)詳解:從理論到實踐

    ??謝謝大家捧場,祝屏幕前的小伙伴們每天都有好運相伴左右,一定要天天開心哦!??? ????作者主頁: 喔的嘛呀???? ?? 帥哥美女們,我們共同加油!一起進(jìn)步!??? 目錄 引言 一、什么是單點登錄(SSO)? 二、SSO的工作原理 三、SSO的具體實現(xiàn) SSO的核心概念

    2024年04月16日
    瀏覽(21)

  • 從零開始學(xué)Spring Boot系列-前言

    在數(shù)字化和信息化的時代,Java作為一種成熟、穩(wěn)定且廣泛應(yīng)用的編程語言,已經(jīng)成為構(gòu)建企業(yè)級應(yīng)用的首選。而在Java生態(tài)系統(tǒng)中,Spring框架無疑是其中最為耀眼的一顆明星。它提供了全面的編程和配置模型,用于構(gòu)建企業(yè)級應(yīng)用。隨著Spring Boot的出現(xiàn),這一框架變得更加易于

    2024年02月22日
    瀏覽(35)
  • 【論壇java項目】第二章 Spring Boot實踐,開發(fā)社區(qū)登錄模塊:發(fā)送郵件、開發(fā)注冊功能、會話管理、生成驗證碼、開發(fā)登錄、退出功能、

    【論壇java項目】第二章 Spring Boot實踐,開發(fā)社區(qū)登錄模塊:發(fā)送郵件、開發(fā)注冊功能、會話管理、生成驗證碼、開發(fā)登錄、退出功能、

    ??如果對你有幫助的話?? ??為博主點個贊吧 ?? ??點贊是對博主最大的鼓勵?? ??愛心發(fā)射~?? bofryuzursekbiab——密碼 訪問郵箱域名 郵箱端口 賬號 密碼 協(xié)議 詳細(xì)配置 JavaMailSender 是 Spring Email 的核心組件,負(fù)責(zé)發(fā)送郵件 MimeMessage 用于封裝郵件的相關(guān)信息 MimeMessageHelper 用

    2024年02月06日
    瀏覽(34)
  • 深入理解SSO原理,項目實踐使用一個優(yōu)秀開源單點登錄項目(附源碼)

    深入理解SSO原理,項目實踐使用一個優(yōu)秀開源單點登錄項目(附源碼)

    深入理解SSO原理,項目實踐使用一個優(yōu)秀開源單點登錄項目(附源碼)。 一、簡介 單點登錄(Single Sign On),簡稱為 SSO。 它的解釋是在多個應(yīng)用系統(tǒng)中,用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。 ? 所謂一次登錄,處處登錄。同樣一處退出,處處退出。 ?

    2024年02月11日
    瀏覽(34)

  • spring security單點登錄跳過密碼驗證

    第一種方案:通過框架密碼驗證 考慮去掉BCryptPasswordEncoder的配置,直接明文校驗, 配置CustomPasswordEncoder 在單點登錄驗證方法中,先使用用戶名查詢到數(shù)據(jù)庫中存儲的全部用戶信息,使查詢出來的密碼和框架自動調(diào)用查詢方法得到的數(shù)據(jù)庫密碼通過CustomPasswordEncoder matches校驗

    2024年02月02日
    瀏覽(33)
  • Java開發(fā) - 單點登錄初體驗(Spring Security + JWT)

    Java開發(fā) - 單點登錄初體驗(Spring Security + JWT)

    目錄 ??????? 前言 為什么要登錄 登錄的種類 Cookie-Session Cookie-Session-local storage JWT令牌 幾種登陸總結(jié)? 用戶身份認(rèn)證與授權(quán) 創(chuàng)建工程 添加依賴 啟動項目 Bcrypt算法的工具 創(chuàng)建VO模型類 創(chuàng)建接口文件 創(chuàng)建XML文件 補(bǔ)充配置 添加依賴 添加配置 創(chuàng)建配置類 測試上面的配置

    2024年02月02日
    瀏覽(23)

  • 【Spring Boot】Spring Boot自動加載機(jī)制:簡化應(yīng)用程序的啟動

    在微服務(wù)盛行的今天,快速搭建和啟動應(yīng)用程序變得至關(guān)重要。Spring Boot作為Java生態(tài)系統(tǒng)中主流的框架,其自動加載機(jī)制使得開發(fā)者能夠快速構(gòu)建和啟動應(yīng)用程序。本文將詳細(xì)介紹Spring Boot的自動加載機(jī)制,并通過代碼示例加以說明。 首先,我們要了解Spring Boot自動加載機(jī)制

    2024年02月11日
    瀏覽(17)
  • Spring Boot與Kubernetes:現(xiàn)代云部署的完美組合

    Spring Boot與Kubernetes:現(xiàn)代云部署的完美組合

    ???? 博主貓頭虎(????)帶您 Go to New World??? ?? 博客首頁 ——????貓頭虎的博客?? ?? 《面試題大全專欄》 ?? 文章圖文并茂??生動形象??簡單易學(xué)!歡迎大家來踩踩~?? ?? 《IDEA開發(fā)秘籍專欄》 ?? 學(xué)會IDEA常用操作,工作效率翻倍~?? ?? 《100天精通Golang(基礎(chǔ)

    2024年02月09日
    瀏覽(17)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包