SpringSecurity - WebFlux环境下整合JWT使用 Token 认证授权

一、SpringSecurity - WebFlux

上篇文章我们讲解了SpringSecurity 在WebFlux环境下的动态角色权限的控制，本篇文章我们一起讲解下SpringSecurity 在WebFlux环境下整合JWT使用 Token 认证授权。

上篇文章地址：https://blog.csdn.net/qq_43692950/article/details/122511037

二、整合JWT使用 Token 认证授权

在关于SpringSecurity 在WebFlux环境下的使用，在前面的几篇文章中已经讲解了。在看本篇文章之前，最好已经看过本专栏的前面几篇关于SpringSecurity 的文章了，一些重复性的代码就不再写出来了。下面直接进入主题。

在开始之前我们先清楚一个问题，对于登录认证SpringSecurity 已经帮我们实现了，我们可以指定登录的路径，默认是x-www-form-urlencoded方式。所以我们不用编写登录的逻辑，但是有些情况下可能SpringSecurity所提供的不能满足我们的需求,比如我们是自定义的加密数据传输的情况，此时我们可以自己写一个登录接口，在该接口中颁发Token令牌出来，并设置ServerHttpSecurity对象的formLogin().disable()，下面的演示中是采用SpringSecurity 所提供的认证来进行演示。

编写JWT工具类

这里我将权限也放在了JWT中，如果需要动态变更用户权限的可以考虑放在Redis或其他NoSql数据库中，本文主要演示Jwt的使用：

@Data
@Component
public class JwtTool {private String key = "com.bxc";private long overtime = 1000 * 60 * 60;public String CreateToken(String userid, String username, List<String> roles) {long nowMillis = System.currentTimeMillis();Date now = new Date(nowMillis);JwtBuilder builder = Jwts.builder().setId(userid).setSubject(username).setIssuedAt(now).signWith(SignatureAlgorithm.HS256, key).claim("roles", roles);if (overtime > 0) {builder.setExpiration(new Date(nowMillis + overtime));}return builder.compact();}public boolean VerityToken(String token) {try {Claims claims = Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();if (claims != null) {return true;}} catch (Exception e) {e.printStackTrace();}return false;}public String getUserid(String token) {try {Claims claims = Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();if (claims != null) {return claims.getId();}} catch (Exception e) {e.printStackTrace();}return null;}public String getUserName(String token) {try {Claims claims = Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();if (claims != null) {return claims.getSubject();}} catch (Exception e) {e.printStackTrace();}return null;}public List<String> getUserRoles(String token) {try {Claims claims = Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();if (claims != null) {return (List<String>) claims.get("roles");}} catch (Exception e) {e.printStackTrace();}return null;}public String getClaims(String token, String param) {try {Claims claims = Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();if (claims != null) {return claims.get(param).toString();}} catch (Exception e) {e.printStackTrace();}return null;}
}

编写登录成功的Handler

我们可以在这里做办法Token令牌的逻辑：

@Component
public class LoginSuccessHandler implements ServerAuthenticationSuccessHandler {@AutowiredJwtTool jwtTool;@Overridepublic Mono<Void> onAuthenticationSuccess(WebFilterExchange webFilterExchange, Authentication authentication) {UserEntity user = (UserEntity) authentication.getPrincipal();String username = user.getUsername();List<GrantedAuthority> authorities = (List<GrantedAuthority>) user.getAuthorities();List<String> roles = authorities.stream().map(GrantedAuthority::getAuthority).collect(Collectors.toList());String token = jwtTool.CreateToken(String.valueOf(user.getId()), username, roles);JSONObject params = new JSONObject();params.put("code", 200);params.put("msg", "登陆成功！");params.put("username", username);params.put("role", roles);params.put("token", token);ServerWebExchange exchange = webFilterExchange.getExchange();ServerHttpResponse response = exchange.getResponse();response.getHeaders().setContentType(MediaType.APPLICATION_JSON);Mono<Void> ret = null;try {ret = response.writeAndFlushWith(Flux.just(ByteBufFlux.just(response.bufferFactory().wrap(params.toJSONString().getBytes("UTF-8")))));} catch (UnsupportedEncodingException e) {e.printStackTrace();}return ret;}
}

编写登录失败的Handler

返回客户端一个友好的提示，这里我直接返回了登录失败，大家可以根据AuthenticationException这个类进行具体判断，返回具体的错误信息：

@Component
public class LoginFailedHandler implements ServerAuthenticationFailureHandler {@Overridepublic Mono<Void> onAuthenticationFailure(WebFilterExchange webFilterExchange, AuthenticationException e) {JSONObject params = new JSONObject();params.put("code", 400);params.put("msg", "登录失败！");ServerHttpResponse response = webFilterExchange.getExchange().getResponse();response.getHeaders().setContentType(MediaType.APPLICATION_JSON);Mono<Void> ret = null;try {ret = response.writeAndFlushWith(Flux.just(ByteBufFlux.just(response.bufferFactory().wrap(params.toJSONString().getBytes("UTF-8")))));} catch (UnsupportedEncodingException e0) {e0.printStackTrace();}return ret;}
}

编写JWT的过滤器

既然上面已经颁发了JWT的Token，那么请求来的第一步就要进行JWT的过滤和校验，如果OK在交给SpringSecurity将JWT的内容解析出来，所以这个过滤器只是一个教研JWT是否有效的作用，并没有对当前请求授权：

@Slf4j
@Component
public class JwtWebFilter implements WebFilter {@AutowiredJwtTool jwtTool;@Overridepublic Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {ServerHttpRequest request = exchange.getRequest();ServerHttpResponse response = exchange.getResponse();HttpHeaders header = response.getHeaders();header.add("Content-Type", "application/json; charset=UTF-8");String path = request.getPath().value();if (path.contains("/auth/login")){return chain.filter(exchange);}String token = exchange.getRequest().getHeaders().getFirst("token");if (StringUtils.isBlank(token)) {JSONObject jsonObject = setResultErrorMsg(401,"登录失效");DataBuffer buffer = response.bufferFactory().wrap(jsonObject.toJSONString().getBytes());return response.writeWith(Mono.just(buffer));}boolean isold = jwtTool.VerityToken(token);if (!isold) {JSONObject jsonObject = setResultErrorMsg(401,"登录失效");DataBuffer buffer = response.bufferFactory().wrap(jsonObject.toJSONString().getBytes());return response.writeWith(Mono.just(buffer));}String username = jwtTool.getUserName(token);if (com.alibaba.druid.util.StringUtils.isEmpty(username)) {JSONObject jsonObject = setResultErrorMsg(401,"登录失效");DataBuffer buffer = response.bufferFactory().wrap(jsonObject.toJSONString().getBytes());return response.writeWith(Mono.just(buffer));}return chain.filter(exchange);}private JSONObject setResultErrorMsg(Integer code,String msg) {JSONObject jsonObject = new JSONObject();jsonObject.put("code", code);jsonObject.put("message", msg);return jsonObject;}
}

解析JWT中用户信息，并授予角色权限信息

上面只是做了JWT的一个初步过滤，到这就要解析JWT中的信息，组建一个UsernamePasswordAuthenticationToken进行用户的授权，这里我又做了一遍JWT的校验，其实这里可以不做JWT的校验了，前面的过滤器已经校验过了，直接取内容即可，

@Slf4j
@Component
public class JwtSecurityContextRepository implements ServerSecurityContextRepository {@AutowiredJwtTool jwtTool;@Overridepublic Mono<Void> save(ServerWebExchange exchange, SecurityContext context) {return Mono.empty();}@Overridepublic Mono<SecurityContext> load(ServerWebExchange exchange) {String path = exchange.getRequest().getPath().toString();// 过滤路径if ("/auth/login".equals(path)) {return Mono.empty();}String token = exchange.getRequest().getHeaders().getFirst("token");if (StringUtils.isBlank(token)) {throw new DisabledException("登录失效！");}boolean isold = jwtTool.VerityToken(token);if (!isold) {throw new AccessDeniedException("登录失效！");}String username = jwtTool.getUserName(token);if (com.alibaba.druid.util.StringUtils.isEmpty(username)) {throw new AccessDeniedException("登录失效！");}Authentication newAuthentication = new UsernamePasswordAuthenticationToken(username, username);return new ReactiveAuthenticationManager() {@Overridepublic Mono<Authentication> authenticate(Authentication authentication) {return Mono.fromCallable(() -> {List<String> roles = jwtTool.getUserRoles(token);List<GrantedAuthority> authorities = roles.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList());UserEntity principal = new UserEntity();principal.setUsername(username);return new UsernamePasswordAuthenticationToken(principal, null, authorities);});}}.authenticate(newAuthentication).map(SecurityContextImpl::new);}
}

判断用户是否有权访问该接口

上面只是获取到了用户所以拥有的角色权限信息，下面还要判断访问的该接口所需的角色用户是否拥有，这个地方的逻辑在上篇文章中进行了讲解，可以参考下上篇文章：

@Component
public class AuthManagerHandler implements ReactiveAuthorizationManager<AuthorizationContext> {@AutowiredMeunMapper meunMapper;@AutowiredRoleMapper roleMapper;private AntPathMatcher antPathMatcher = new AntPathMatcher();@Overridepublic Mono<AuthorizationDecision> check(Mono<Authentication> authentication, AuthorizationContext object) {ServerHttpRequest request = object.getExchange().getRequest();String requestUrl = request.getPath().pathWithinApplication().value();List<MeunEntity> list = meunMapper.selectList(null);List<String> roles = new ArrayList<>();list.forEach(m -> {if (antPathMatcher.match(m.getPattern(), requestUrl)) {List<String> allRoleByMenuId = roleMapper.getAllRoleByMenuId(m.getId()).stream().map(r -> r.getRole()).collect(Collectors.toList());roles.addAll(allRoleByMenuId);}});if (roles.isEmpty()) {return Mono.just(new AuthorizationDecision(false));}return authentication.filter(a -> a.isAuthenticated()).flatMapIterable(a -> a.getAuthorities()).map(g -> g.getAuthority()).any(c -> {if (roles.contains(String.valueOf(c))) {return true;}return false;}).map(hasAuthority -> new AuthorizationDecision(hasAuthority)).defaultIfEmpty(new AuthorizationDecision(false));}@Overridepublic Mono<Void> verify(Mono<Authentication> authentication, AuthorizationContext object) {return null;}
}

编写无权访问的提示Handler

@Component
public class AccessDeniedHandler implements ServerAccessDeniedHandler {@Overridepublic Mono<Void> handle(ServerWebExchange serverWebExchange, AccessDeniedException e) {JSONObject params = new JSONObject();params.put("code", 403);params.put("msg", "权限不足！");ServerHttpResponse response = serverWebExchange.getResponse();response.getHeaders().setContentType(MediaType.APPLICATION_JSON);Mono<Void> ret = null;try {ret = response.writeAndFlushWith(Flux.just(ByteBufFlux.just(response.bufferFactory().wrap(params.toJSONString().getBytes("UTF-8")))));} catch (UnsupportedEncodingException e0) {e0.printStackTrace();}return ret;}
}

修改SecurityConfig配制

将上面所写的配制到SpringSecurity 中:

@Configuration
@EnableWebFluxSecurity
@EnableReactiveMethodSecurity
public class SecurityConfig {@AutowiredUserDetailService userDetailService;@AutowiredAuthManagerHandler authManagerHandler;@AutowiredAccessDeniedHandler accessDeniedHandler;@AutowiredLoginSuccessHandler loginSuccessHandler;@AutowiredLoginFailedHandler loginFailedHandler;@AutowiredLoginLoseHandler loginLoseHandler;@AutowiredJwtSecurityContextRepository jwtSecurityContextRepository;@AutowiredJwtWebFilter jwtWebFilter;//security的鉴权排除列表private static final String[] excludedAuthPages = {"/auth/login","/auth/logout"};@Beanpublic ReactiveAuthenticationManager authenticationManager() {UserDetailsRepositoryReactiveAuthenticationManager authenticationManager = new UserDetailsRepositoryReactiveAuthenticationManager(userDetailService);authenticationManager.setPasswordEncoder(passwordEncoder());return authenticationManager;}@BeanPasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}@BeanSecurityWebFilterChain webFluxSecurityFilterChain(ServerHttpSecurity http) throws Exception {http.authorizeExchange().pathMatchers(excludedAuthPages).permitAll()  //无需进行权限过滤的请求路径.pathMatchers(HttpMethod.OPTIONS).permitAll() //o.pathMatchers("/**").access(authManagerHandler).anyExchange().authenticated().and().addFilterAfter(jwtWebFilter, SecurityWebFiltersOrder.FIRST).securityContextRepository(jwtSecurityContextRepository).formLogin().loginPage("/auth/login").authenticationSuccessHandler(loginSuccessHandler).authenticationFailureHandler(loginFailedHandler).and().exceptionHandling().authenticationEntryPoint(loginLoseHandler).and().exceptionHandling().accessDeniedHandler(accessDeniedHandler).and().cors().disable().csrf().disable();return http.build();}
}

三、效果演示

不登录，直接访问http://localhost:8080/admin/test，会提示登录失效。
在这里插入图片描述
登录http://localhost:8080/auth/login，获取返回的Token：

下面使用返回的Token，再次测试上面的接口：

如果访问一个无权限的接口：http://localhost:8080/common/test

喜欢的小伙伴可以关注我的个人微信公众号，获取更多学习资料！

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

#C语言-猜数字游戏
文章目录前言二、主函数结构三、菜单函数四、游戏函数五、所需头文件总结前言本篇文章介绍如何使用C语言完成猜数字游戏。一、游戏说明电脑生成一个1-100随机数，然后用户猜数字，猜大了提示猜大了，小了同样提示，猜正确…...
2024/4/14 18:56:00
如何规划服务器的虚拟化
虚拟化技术对于我们开发人员来讲，帮助是相当大的，它使得一个服务器，在逻辑上讲，不只再是一个服务器，但是同样，对于很多开发人员来说，一台服务器到底怎样规划虚拟机的个数以及虚拟机的配置才合理…...
2024/4/14 18:55:45
React Developer Tools：This is a restricted browser page.
...
2024/4/14 18:55:55
MFC中添加的ID资源号提示找不到声名问题
1.查看resource.h资源文件，基本上都是因为某些界面上的修改等原因造成了里面部分定义ID号值重复了才报的错，所以要在resource.h文件中手动修改成不一样的id值。...
2024/4/19 21:55:57
【js练习】找出水仙花数
<!DOCTYPE html> <html><head><meta charset"utf-8"><title>找出水仙花数</title><script>//定义一个空字符串保存水仙花数var str "";for(var i 100;i<1000; i){var a i % 10;var b (i/10)%10;b parse…...
2024/4/14 18:56:05
ARM64+树莓派4b+JLINK仿真器实验环境搭建指南
ARM64体系结构与编程，全球原创的ARM64实验，笨叔带队，等你哟！ ARM64体系结构与编程-yx音频：00:00/00:20 奔跑吧第三季视频课程实验设备清单硬件开发平台：树莓派4B （2G或者4G内存） …...
2024/4/14 18:55:40
算法做题记录十二
20. 有效的括号给定一个只包括 (，)，{，}，[，] 的字符串 s ，判断字符串是否有效。有效字符串需满足： 左括号必须用相同类型的右括号闭合。左括号必须以正确的顺序闭合。来源：力…...
2024/4/14 18:56:07
MATLAB怎样自定义一个函数（简单易懂）
本博大一，日常打卡。注意：自定义函数名必须与文件名必须一致举个例子（一个条件语句） function letGradeletterGrade(n) ninput(); if n9||n10letGradeA; elseif n8letGradeB; elseif n7letGradeC; elseif n6letGradeD; elsel…...
2024/4/25 16:54:51
13.3指针_野指针、空指针、万能指针
#include<stdio.h> int main() {//硬盘不小心格式化了，误删除了，为什么可以恢复呢？// //野指针 ：指向的空间不确定，不知道能不能访问int* p;{int age 18; //age出了块语句之后就释放了p &age; //p指向了局…...
2024/4/14 18:56:05
基于运放的电压放大电路设计
基于集成运放设计一传感器信号采集电路。传感器输出信号为交流形式，峰峰值在100mV以内，频率为1000Hz以内，模数转换器允许输入电压在0~3V，要求设计传感器与模数转换器之间的信号采集电路，实现传感器输出信号与ADC范围的…...
2024/4/14 18:55:40
共轭传热拓扑优化算例分享
文章目录简介：1.首先进入comsol2.建立几何模型3.设置物理场4.设置材料属性5.设置密度法拓扑优化的必要参数6.划分网格设置求解器7.计算结果展示简介： 最近在B站上看到了一个共轭传热的拓扑优化案例，感觉很有意思，但是up并没有直接…...
2024/4/14 18:56:26
算法竞赛——字符串算法
前言本文对算法竞赛中可能涉及字符串算法做一个功能说明。 1.Trie（字典树） 算法功能：判断一个字符串在模式串中出现的次数例题1：维护一个字符串集合，支持两种操作： I x 向集合中插入一个字符串 x&…...
2024/4/14 18:56:51
Dubbo实战_11_整合SpringBoot
提供服务者(user) 步骤1、配置提供者 application.properties #提供者配置 dubbo.application.nameboot-user-service-provider #dubbo.registry.protocolzookeeper #dubbo.registry.address127.0.0.1:2181 #上面两个也可写成一个 dubbo.registry.addresszookeeper://127.0.…...
2024/4/16 10:27:18
datapip使用之（4）——典型应用：为vue项目提供数据接口
关键字：datapip，vue，前后端分离，真实接口，Mock.js 前言：本篇举例介绍利用datapip为web项目的前端开发提供真实的数据交互服务，体验开发web项目几乎无需后端工作的高效性。后端无代码工具dat…...
2024/4/14 18:56:26
app端自动化POM（07）
POM及POM设计原理 POM(page object model)页面对象模型，主要应用于UI自动化测试框架的搭建，主流设计模式之一，页面对象模型：结合面向对象编程思路：把项目的每个页面当做一个对象进行编程非模型操作： po模…...
2024/4/14 18:56:51
【KMP】next数组理解
生成next数组时,knext[k],理解: while(k!-1 && s[k1] ! s[i])k next[k];当前公共前后缀无法继续延伸了,回溯一步,或者说收缩到上一个较短的公共前后缀位置, 继续尝试延伸(尝试匹配).具体讲,前缀串的右边界往左收缩,意味着后缀串的左边界往右收缩.收缩到哪个位置呢?当…...
2024/4/18 4:07:56
Chrome浏览器的options参数
options.add_argument(‘headless’) # 无头模式 options.add_argument(‘window-size{}x{}’.format(width, height)) # 直接配置大小和set_window_size一样 options.add_argument(‘disable-gpu’) # 禁用GPU加速 options.add_argument(‘proxy-server{}’.format(self.proxy…...
2024/4/25 20:51:27
5.SpringBoot数据源的自动配置
1.1 数据源的自动配置-HikariDataSource 1）、导入JDBC场景 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-jdbc</artifactId> </dependency>导入数据库驱动为什么导入JDBC…...
2024/5/5 5:17:38
LeetCode — 有效的括号(Java实现)
题目给定一个只包括 ‘(’，’)’，’{’，’}’，’[’，’]’ 的字符串 s ，判断字符串是否有效。有效字符串需满足： 左括号必须用相同类型的右括号闭合。左括号必须以正确的顺序闭合。示例…...
2024/5/5 4:23:51
C++的默认前三个成员函数小结
文章目录1.类的6个默认成员函数1.构造函数构造函数的概念特性实例构造函数的存在场景构造函数的重载全缺省方式及注意编译器生成的默认构造函数的作用成员变量的命名风格2.析构函数2.1概念2.2特性析构函数存在场景构造析构的顺序编译器生成的默认析构函数的作用编译器生成的默认…...
2024/4/15 8:08:08