51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

经过我翻来覆去的思想斗争了一个月,最后做出了一个明智的决定

作者: 码农小胖哥
开发 开发工具
最近写了几个Spring Boot组件,项目用什么功能就引入对应的依赖,配置配置就能使用,香的很!那么Spring Security能不能也弄成模块化,简单配置一下就可以用上呢?

[[395754]]

最近写了几个Spring Boot组件,项目用什么功能就引入对应的依赖,配置配置就能使用,香的很!那么Spring Security能不能也弄成模块化,简单配置一下就可以用上呢?JWT得有,RBAC动态权限更得有!花了小半天就写了个组件,用了一个月感觉还不错。是我一个人爽?还是放出来让大家一起爽?经过我翻来覆去的思想斗争了一个月,最后做出了一个明智的决定,放出来让想直接上手的同学直接使用。源码地址就在下面:

https://gitee.com/felord/security-enhance-spring-boot

用法

集成

这就是一个Spring Boot Starter,你自己打包、安装。然后引用到项目:

  1. <dependency> 
  2.             <groupId>cn.felord.security</groupId> 
  3.             <artifactId>security-enhance-spring-boot-starter</artifactId> 
  4.             <version>${version}</version> 
  5.         </dependency> 

另外你需要集成Spring Cache,比如Redis Cache:

  1. <dependency> 
  2.       <groupId>org.springframework.boot</groupId> 
  3.       <artifactId>spring-boot-starter-cache</artifactId> 
  4.   </dependency> 
  5.   <dependency> 
  6.       <groupId>org.springframework.boot</groupId> 
  7.       <artifactId>spring-boot-starter-data-redis</artifactId> 
  8.   </dependency> 
  9.   <dependency> 
  10.       <groupId>org.apache.commons</groupId> 
  11.       <artifactId>commons-pool2</artifactId> 
  12.   </dependency> 

JWT会被缓存到以usrTkn为key的缓存中,如果你想定制的话,自行实现一个JwtTokenStorage并注入Spring IoC就可以覆盖下面的配置了:

  1. @Bean 
  2.     @ConditionalOnMissingBean 
  3.     public JwtTokenStorage jwtTokenStorage() { 
  4.         return new SpringCacheJwtTokenStorage(); 
  5.     } 

你应该去了解如何自定义Spring Cache的过期时间。

数据库表设计

然后是数据库表设计,这里简单点弄个RBAC的设计,仅供参考,你可以根据你们的业务改良。

用户表:

user_id username password
1312434534 felord {noop}12345

角色表:

role_id role_name role_code
12343667867 管理员 ADMIN

用户角色关联表:

user_role_id user_id role_id
12354657777 1312434534 12343667867

一个用户可以持有多个角色,一个角色在一个用户持有的角色集合中是唯一的。

资源表:

resources_id resources_name resource_pattern method
12543667867 根据ID获取商品 /goods/{goodsId} GET

资源其实就是我们写的Spring MVC接口,这里支持ANT风格,但是尽量具体,为了灵活性考虑不推荐使用通配符。

角色资源表:

role_res_id role_id resources_id
4545466445 12343667867 12543667867

一个资源可以关联多个角色,一个角色不能重复持有一个资源。

实现UserDetailsService

实现用户加载服务接口UserDetailsService是Spring Security开发的必要步骤,跟我以前的教程差不多。

  1. @Override 
  2. public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { 
  3.  
  4.     UserInfo userInfo = this.lambdaQuery() 
  5.             .eq(UserInfo::getUsername, username).one(); 
  6.  
  7.     if (Objects.isNull(userInfo)) { 
  8.         throw new UsernameNotFoundException("用户:" + username + " 不存在"); 
  9.     } 
  10.  
  11.     String userId = userInfo.getUserId(); 
  12.     boolean enabled = userInfo.getEnabled(); 
  13.  
  14.     Set<String> roles = iUserRoleService.getRolesByUserId(userId); 
  15.     roles.add(“"ANONYMOUS"”); 
  16.     Set<GrantedAuthority> roleSet = roles.stream() 
  17.             .map(role -> new SimpleGrantedAuthority("ROLE_" + role)) 
  18.             .collect(Collectors.toSet()); 
  19.     return new SecureUser(userId, 
  20.             username, 
  21.             userInfo.getSecret(), 
  22.             enabled, 
  23.             enabled, 
  24.             enabled, 
  25.             enabled, 
  26.             roleSet); 

这里要说一下里面为啥要内置一个ANONYMOUS角色给用户。如果希望特定的资源对用户全量开放,可配置对应的权限角色编码为ANONYMOUS。当某个资源的角色编码为ANONYMOUS时,即使不携带Token也可以访问。一般情况下匿名能访问的资源不匿名一定能访问,当然你如果不希望这样的规则存在干掉就是了。

查询用户的权限集

实现用户角色权限方法Function

配置

最后就是配置了,跟我以前教程中的配置几乎一样,application.yaml的配置为:

  1. # jwt 配置 
  2. jwt: 
  3.   cert-info: 
  4.    # keytool 密钥的 alias  
  5.     alias: felord 
  6.     # 密匙密码 
  7.     key-password: i6x123akg15v13 
  8.     # 路径 这里是在resources 包下 
  9.     cert-location: jwt.jks 
  10.   claims: 
  11.     # jwt iss 字段值 
  12.     issuer: https://felord.cn 
  13.     # sub 字段 
  14.     subject: all 
  15.     # 过期秒数 
  16.     expires-at: 604800 

最后别忘记弄个配置类并标记@EnableSpringSecurity以启用配置:

  1. @EnableSpringSecurity 
  2. @Configuration(proxyBeanMethods = false
  3. public class SecurityConfiguration { 
  4.  
  5.     /** 
  6.      * Function function
  7.      * 
  8.      * @param resourcesService the resources service 
  9.      * @return the function 
  10.      */ 
  11.     @Bean 
  12.     Function<Set<String>, Set<AntPathRequestMatcher>> function(IResourcesService resourcesService){ 
  13.         return resourcesService::matchers; 
  14.     } 
  15.      
  16.     @Bean 
  17.     UserDetailsService userDetailsService(IUserInfoService userInfoService){ 
  18.         return userInfoService::loadUserByUsername;  
  19.     } 
  20.  

记得使用@EnableCaching开启并配置缓存。

使用

登录接口

  1. POST /login?username=felord&password=12345 HTTP/1.1 
  2. Host: localhost:8080 

然后会返回一对JWT,返回包含两个token主体

  • accessToken 用来日常进行请求鉴权,有过期时间。
  • refreshToken 当accessToken过期失效时,用来刷新accessToken。

结构为:

  2.   "accessToken": { 
  3.     "tokenValue"""
  4.     "issuedAt": { 
  5.       "epochSecond": 1616827822, 
  6.       "nano": 393000000 
  7.     }, 
  8.     "expiresAt": { 
  9.       "epochSecond": 1616831422, 
  10.       "nano": 393000000 
  11.     }, 
  12.     "tokenType": { 
  13.       "value""Bearer" 
  14.     }, 
  15.     "scopes": [ 
  16.       "ROLE_ADMIN"
  17.       "ROLE_ANONYMOUS" 
  18.     ] 
  19.   }, 
  20.   "refreshToken": { 
  21.     "tokenValue"""
  22.     "issuedAt": { 
  23.       "epochSecond": 1616827822, 
  24.       "nano": 393000000 
  25.     }, 
  26.     "expiresAt"null 
  27.   }, 
  28.   "additionalParameters": {} 

调用根据ID获取商品接口时加入Token:

  1. GET /goods/234355451 HTTP/1.1 
  2. Host: localhost:8080 
  3. Authorization: Bearer eyJraWQImFsZyI6IlJTMjU2In0.eyJzdWIiOiJ1NzgsImlhdCI6MTYxNjkxODk3OCwianRpIjoiNThlOTQktNGVlYzc3MDU0ZDk3In0.ZQcN0FX7_taohqPiC1KnoF7 

本文转载自微信公众号「码农小胖哥」,可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。

 

责任编辑:武晓燕 来源: 码农小胖哥
Spring Boot组件JWT
相关推荐
经过一个月探索,如何将 AST 操作得跟呼吸样自然
一直以来,前端同学们对于编译原理都存在着复杂的看法,大部分人都觉得自己写业务也用不到这么高深的理论知识,况且编译原理晦涩难懂,并不能提升自己在前端领域内的专业知识。

2021-11-18 07:29:56

AST操作ESBuild
一个前端程序员一个月原生 Android 开发体验
一个前端程序员的一个月原生Android开发体验。自从我写了Android应用后,上知乎的时间变得更长了。

2018-01-10 12:09:12

Android开发程序员
程序员一个月做出东西和三个月做出东西有什么区别?
一个程序员,同样的东西,一个月做出来和三个月做出来到底有什么不同呢?底层架构不同、可预见未来支持的扩展不同、优化不同,可以这么说,从某个角度上说,是完全两种东西。

2018-09-04 15:15:56

程序员开发时间
还有一个月 Windows 10新微软商店上线
微软接近为Windows10用户发布Windows11的新微软商店。这家软件制造商现在已经在发布预览环中向Windows10测试人员发布了这个新的应用商店,同时发布的还有即将到来的Windows1011月2021日更新的最终版本。

2021-10-28 05:39:14

Windows 10操作系统微软
一个月时间开发款跨平台软件
开发一款跨平台开源办公套件,可在在Windows、MacOSX、Linux和浏览器上运行,你要花多长时间?

2013-05-27 09:47:33

Java开发Java跨平台
微软一个月卖出4000万套Windows 7
自面世以来,这款集合了微软全球最强研发实力的产品受到的好评如潮——先期体验过Windows7超凡魅力的用户均对此款操作系统的功能设计和系统表现给予了高度肯定。

2009-11-23 08:52:02

Windows 7首月销量
Python 从入门到精通:一个月就够了!
对于许多未曾涉足计算机编程的领域「小白」来说,深入地掌握Python看似是一件十分困难的事。其实,只要掌握了科学的学习方法并制定了合理的学习计划,Python从入门到精通只需要一个月就够了!

2019-10-08 11:07:55

Python 开发编程语言
回望与七牛一个月邂逅:被幻觉击中
大学毕业,就进入一家创业公司好不好云服务行业到底有没有前景码农很累,天天加班,要不要转行打开知乎、百度知道,我很欣慰我并不孤单,因为这么多人有我一样的困惑。作为不懂技术的文科狗,最后竟然阴差阳错的进入七牛云。在进入七牛一个月,并且经历了年末的People’sweek后,我不得不承认,我喜欢上它了。

2016-01-11 19:38:51

七牛
使用Kotlin做开发一个月感想
有一类程序员,自己根本没体验过的东西,看了几篇哗众取宠的博文自己也来嘲讽,我称之为云程序员。就比如Kotlin,有人蹭热度写几篇类似“我为什么从kotlin又回到java”的博文,就把kotlin一通批判。

2019-04-01 14:17:36

kotlin开发Java
刚上市不到一个月滴滴,会从美国退市吗?
各路负面消息不断,有人认为,上市不到一个月的滴滴,很有可能从美国退市。滴滴真的会从美国退市吗

2021-07-20 08:57:26

滴滴上市网络安全审查
时隔一个月 10%Mac用户升级OS X 10.8
距离苹果最新的桌面操作系统OSX10.8MountainLion发布已经过去一个月了,在这一个月中究竟有多少人被新系统吸引选择了升级呢?

2012-08-31 16:40:24

Mac操作系统
使用sql日期函数获得一个月天数
使用借助sql日期函数,可以获取给定年份和月份的天数,下面就将为您介绍这种功能的实现,希望对您更好学习sql日期函数有所帮助。

2010-09-14 16:09:49

sql日期函数
35岁那年,做了一个面临失业决定
35岁CTO的一句话给我的感触实在是太深了,回想起我刚入职使用的技术和现在使用的技术,简直是千差万别,需求在不断的变难,而我们也在不断进步。

2022-12-05 18:17:06

技术
Windows 8预览版截止日期仅剩一个月
Windows8预览版截止日期仅剩一个月了,建议你抓紧时间升级至Windows8专业版(2013年1月31日之前仅需248元),或者是降级至Windows7。如果你没有在截止日期前迁移到完整版Windows,你的计算机就会每2小时重启一次。

2012-12-20 10:18:10

Windows 8
魔漫相机:上线一个月,下载量100万
现在市场上各式各样的应用让我们眼花缭乱,但是,要想做出一款让大家过目不忘的应用,着实不易,这不,下面这款应用,绝对让你惊奇。

2013-08-12 16:35:22

乔布斯缺席苹果一个月 临时CEO表现尚佳
苹果CEO史蒂夫·乔布斯离开苹果已经有1个月的时间,但这并未影响到苹果新产品的开发进度。

2009-02-16 09:15:49

苹果乔布斯CEO
提早一个月 教你现在就用上Office 2019新图标
随着Win10流畅性设计日益完善,原有的Office图标越来越显得老旧,几个月前,微软宣布将为最新版Office2019及Office365设计一套新图标,并展示了效果图,一些快速通道用户也已经开始收到带有新图标的测试版。

2019-03-11 08:36:00

Office 应用微软
一个月蹦出4国产Sora:“拍手”集体阵亡 | 全方位评测
对于各个选手来说,不仅要考验的是它们最终生成的质量,更关键的是画面一致性、是否符合给定prompt等更为细节的内容。

2024-08-05 09:25:00

AI测评
2020年最后一个月,1694件AI事件大盘点!哪些让人亮眼
总的来说,这一年人工智能的发展喜忧参半,其中有显著的进展,也有对技术滥用的新发现。新闻事件分析挖掘和搜索系统NewsMiner数据显示,人工智能领域共计发生1694件新闻事件,有值得关注的AI方面人物,有AI领域科研进展,也有学术会议方面的报告。本文详细的盘点了2020年AI事件。

2021-01-05 15:15:23

人工智能
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服