SpringBoot+SpringSecurity+JWT實現系統認證與授權示例

Posted on by

1. Spring Security簡介

Spring Security是Spring的一個核心項目,它是一個功能強大且高度可定制的認證和訪問控制框架。它提供瞭認證和授權功能以及抵禦常見的攻擊,它已經成為保護基於spring的應用程序的事實標準。

Spring Boot提供瞭自動配置,引入starter依賴即可使用。
Spring Security特性總結:

  • 使用簡單,提供Spring Boot starter依賴,極易與Spring Boot項目整合。
  • 專業,提供CSRF防護、點擊劫持防護、XSS防護等,並提供各種安全頭整合(X-XSS-Protection,X-Frame-Options等)。
  • 密碼加密存儲,支持多種加密算法
  • 擴展性和可定制性極強
  • OAuth2 JWT認證支持
  • … …

2. JWT簡介

JWT(Json web token),是為瞭在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準(RFC 7519).該token被設計為緊湊且安全的,特別適用於分佈式站點的單點登錄(SSO)場景。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息,以便於從資源服務器獲取資源,也可以增加一些額外的其它業務邏輯所必須的聲明信息(例如,權限信息)。一旦用戶被授予token,用戶即可通過該token訪問服務器上的資源。

https://jwt.io/,該網站提供瞭一個debuggr,便於初學者學習理解JWT。

3. Spring Boot整合Spring Security

註意本篇文章演示使用JDK和Spring Boot的版本如下:
Spring Boot:2.7.2
JDK:11
不同的Spring Boot版本配置不同,但是原理相同。

在Spring Boot項目的pom.xml文件中加入下面的依賴:

<!-- Spring Security的Spring boot starter,引入後將自動啟動Spring Security的自動配置 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!-- 下面的依賴包含瞭OAuth2 JWT認證實現 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>

以上兩個依賴即可。

4. 配置Spring Security使用JWT認證

註意: 不同的Spring Boot版本配置不同,但是原理相同,本文使用的是Spring Boot:2.7.2。

主要是配置HttpSecurity Bean生成SecurityFilterBean,配置如下:

import com.nimbusds.jose.jwk.JWK;
import com.nimbusds.jose.jwk.JWKSet;
import com.nimbusds.jose.jwk.RSAKey;
import com.nimbusds.jose.jwk.source.ImmutableJWKSet;
import com.nimbusds.jose.jwk.source.JWKSource;
import com.nimbusds.jose.proc.SecurityContext;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.oauth2.jwt.JwtDecoder;
import org.springframework.security.oauth2.jwt.JwtEncoder;
import org.springframework.security.oauth2.jwt.NimbusJwtDecoder;
import org.springframework.security.oauth2.jwt.NimbusJwtEncoder;
import org.springframework.security.oauth2.server.resource.authentication.JwtAuthenticationConverter;
import org.springframework.security.oauth2.server.resource.authentication.JwtGrantedAuthoritiesConverter;
import org.springframework.security.oauth2.server.resource.web.BearerTokenAuthenticationEntryPoint;
import org.springframework.security.oauth2.server.resource.web.access.BearerTokenAccessDeniedHandler;
import org.springframework.security.web.SecurityFilterChain;

import java.security.interfaces.RSAPrivateKey;
import java.security.interfaces.RSAPublicKey;

/**
 * Spring Security 配置
 *
 * @author cloudgyb
 * @since 2022/7/30 18:31
 */
@Configuration(proxyBeanMethods = false)
@EnableMethodSecurity
public class WebSecurityConfigurer {
    //使用RSA對JWT做簽名,所以這裡需要一對秘鑰。
    //秘鑰文件的路徑在application.yml文件中做瞭配置(具體配置在下面)。
    @Value("${jwt.public.key}")
    private RSAPublicKey key; 
    @Value("${jwt.private.key}")
    private RSAPrivateKey priv;

     /**
      * 構建SecurityFilterChain bean
      */
    @Bean
    SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
        //"/login"是系統的登錄接口,所以需要匿名可訪問
        http.authorizeRequests().antMatchers("/login").anonymous();
        //其他請求都需認證後才能訪問
        http.authorizeRequests().anyRequest().authenticated()
                .and()
                
                //采用JWT認證無需session保持,所以禁用掉session管理器
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                //login接口可能來自其他站點,所以對login不做csrf防護
                .csrf((csrf) -> csrf.ignoringAntMatchers("/login"))
                //配置認證方式為JWT,並且配置瞭一個JWT認證裝換器,用於去掉解析權限時的SCOOP_前綴
                .oauth2ResourceServer().jwt().jwtAuthenticationConverter(
                        JwtAuthenticationConverter()
                );
        //配置認證失敗或者無權限時的處理器
        http.exceptionHandling((exceptions) -> exceptions
                .authenticationEntryPoint(new BearerTokenAuthenticationEntryPoint())
                .accessDeniedHandler(new BearerTokenAccessDeniedHandler())
        );
         //根據配置生成SecurityFilterChain對象
        return http.build();
    }


    /**
     * JWT解碼器,用於認證時的JWT解碼 
     */
    @Bean
    JwtDecoder jwtDecoder() {
        return NimbusJwtDecoder.withPublicKey(this.key).build();
    }
    /**
     * JWT編碼器,生成JWT
     */
    @Bean
    JwtEncoder jwtEncoder() {
        JWK jwk = new RSAKey.Builder(this.key).privateKey(this.priv).build();
        JWKSource<SecurityContext> jwks = new ImmutableJWKSet<>(new JWKSet(jwk));
        return new NimbusJwtEncoder(jwks);
    }
    
    /**
     * JWT認證解碼時,去掉Spring Security對權限附帶的默認前綴SCOOP_
     */
    @Bean
    JwtAuthenticationConverter JwtAuthenticationConverter() {
        final JwtGrantedAuthoritiesConverter jwtGrantedAuthoritiesConverter = new JwtGrantedAuthoritiesConverter();
        jwtGrantedAuthoritiesConverter.setAuthorityPrefix("");
        final JwtAuthenticationConverter jwtAuthenticationConverter = new JwtAuthenticationConverter();
        jwtAuthenticationConverter.setJwtGrantedAuthoritiesConverter(jwtGrantedAuthoritiesConverter);
        return jwtAuthenticationConverter;
    }
}

application.yml

jwt:
  private.key: classpath:app.key
  public.key: classpath:app.pub

上邊的配置需要在Spring Boot項目的Resource目錄下生成一對RSA秘鑰。
可以使用下面的網站進行生成:http://tools.jb51.net/password/rsa_encode/,註意: 密鑰格式使用 PKCS#8,私鑰密碼為空。

還有一點需要說明,我在代碼中使用瞭Spring Boot的值註入:

@Value("${jwt.public.key}")
 private RSAPublicKey key; 
@Value("${jwt.private.key}")
private RSAPrivateKey priv;

有沒有很好奇Spring Boot是如何將yaml文件中的字符串對應的文件轉換為RSAPublicKey和RSAPrivateKey ?
其實是Spring Security幫我們做瞭處理,在Spring Security中幫我們實現瞭一個轉換器ResourceKeyConverterAdapter,具體可以閱讀相關源碼來更深入的瞭解。

至此我們的項目已經支持JWT認證瞭。
但是用戶需要在請求頭Authorization中攜帶合法的JWT才能通過認證,進而訪問服務器資源,那麼如何給用戶頒發一個合法的JWT呢?
很簡單,可以提供一個登錄接口,讓用戶輸入用戶名和密碼,匹配成功後頒發令牌即可。

其實並不是必須這樣做,還有其他方式,比如我們調用第三方接口,我們經常的做法是先去第三方申請,申請通過後我們就可以得到一個令牌。這個過程和上面的登錄通過後頒發一個令牌是一樣的,都是通過合法的途徑獲得一個令牌!

5. 實現登錄接口

登錄接口隻有一個目的,就是給合法用戶頒發令牌!
登錄API接口:

@RestController
public class SysLoginController {
    private final SysLoginService sysLoginService;

    public SysLoginController(SysLoginService sysLoginService) {
        this.sysLoginService = sysLoginService;
    }

    @PostMapping("/login")
    public String login(@RequestBody LoginInfo loginInfo) {
        return sysLoginService.login(loginInfo);
    }
}

登錄邏輯實現:

@Service
public class SysLoginService {
    private final JwtEncoder jwtEncoder;
    private final SpringSecurityUserDetailsService springSecurityUserDetailsService;

    public SysLoginService(JwtEncoder jwtEncoder, SpringSecurityUserDetailsService springSecurityUserDetailsService) {
        this.jwtEncoder = jwtEncoder;
        this.springSecurityUserDetailsService = springSecurityUserDetailsService;
    }

    public String login(LoginInfo loginInfo) {
        //從用戶信息存儲庫中獲取用戶信息
        final UserDetails userDetails = springSecurityUserDetailsService.loadUserByUsername(loginInfo.getUsername());
        final String password = userDetails.getPassword();
        //匹配密碼,匹配成功生成JWT令牌
        if (password.equals(loginInfo.getPassword())) {
            return generateToken(userDetails);
        }
        //密碼不匹配,拋出異常,Spring Security發現拋出該異常後會將http響應狀態碼設置為401 unauthorized
        throw new BadCredentialsException("密碼錯誤!");
    }

    private String generateToken(UserDetails userDetails) {
        Instant now = Instant.now();
        //JWT過期時間為36000秒,也就是600分鐘,10小時
        long expiry = 36000L;
        String scope = userDetails.getAuthorities().stream()
                .map(GrantedAuthority::getAuthority)
                .collect(Collectors.joining(" "));
         //將用戶權限信息使用空格分割拼為字符串,放到JWT的payload的scope字段中,註意不要改變scope這個屬性,這是Spring Security OAuth2 JWT默認處理方式,在JWT解碼時需要讀取該字段,轉為用戶的權限信息!
        JwtClaimsSet claims = JwtClaimsSet.builder()
                .issuer("self")
                .issuedAt(now)
                .expiresAt(now.plusSeconds(expiry))
                .subject(userDetails.getUsername())
                .claim("scope", scope)
                .build();
        return this.jwtEncoder.encode(JwtEncoderParameters.from(claims)).getTokenValue();
    }
}

其他非核心代碼這裡就不貼出來瞭,我將代碼放到github上瞭,具體可以轉到https://github.com/cloudgyb/spring-security-study-jwt。

6. 測試

使用postman測試一下:
使用錯誤的密碼,會返回401 Unauthorized的狀態碼,表示我們認證失敗!

在這裡插入圖片描述

使用正確的用戶名和密碼:

在這裡插入圖片描述

返回瞭JWT令牌。

此時客戶端拿到瞭合法的令牌,接下來就可以訪問服務器上有權訪問的資源瞭。
我寫瞭一個測試接口:

@RestController
public class HelloController {

    @GetMapping("/")
    @PreAuthorize("hasAuthority('test')")
    public String hello(Authentication authentication) {
        return "Hello, " + authentication.getName() + "!";
    }
}

該接口需要用戶擁有"test"的權限,但是登錄用戶沒有該權限(隻有一個app的權限),此時調用該接口:
首先將上一步登錄獲得的令牌粘貼到token中:

在這裡插入圖片描述

我們發送請求得到瞭403 Forbidden的響應,意思就是我們沒有訪問權限,此時我們將接口權限改為“app”:

@RestController
public class HelloController {

    @GetMapping("/")
    @PreAuthorize("hasAuthority('app')")
    public String hello(Authentication authentication) {
        return "Hello, " + authentication.getName() + "!";
    }
}

重啟項目。再次發起請求:

在這裡插入圖片描述

我們已經可以正常訪問瞭!

Spring Security專業性很強,有些術語對於初學者可能有點難度,但是一旦掌握這些概念,你會喜歡上Spring Security的!

7. 源碼

這兒有一個可直接運行的demo供參考:https://github.com/cloudgyb/spring-security-study-jwt。

到此這篇關於SpringBoot+SpringSecurity+JWT實現系統認證與授權示例的文章就介紹到這瞭,更多相關SpringBoot SpringSecurity JWT認證授權內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: