• Spring Security JWT Authentication and Authorisation(一)


    Authentication (鉴权,完成用户身份的验证)

    Authorisation(授权)

    Security是必须的当设计和构建API,理解Spring Security和JWT很重要,你可以安全化你的API。

    在开始之前, 首先解释这个JWT验证机制如何工作。整个故事开始于当客户端发送一个HTTP请求到后端系统,后端系统运行在Springboot Apache Tomcat嵌入式服务器上。

    所以,仅仅对你是一个提醒,在一个Spring应用中第一件被执行的事情是Filter。每次你创建一个Filter,注意到它将是我们应用中第一件被执行的事情。在这样的情况下,第一件事情被执行的事情JWT Authentication  Filter。这仅仅是一个每个请求每次的过滤器。角色是证实和检查关于JWT token的一切。

    现在,我们来开始这个过程。第一件发生的事情是我们将有一个内部检查,来检查我们是否有一个JWT Token。如果Token丢失了,我们将发送一个403请求到客户端,原因是丢失JWT。

    在此之后将开始验证过程。这个验证过程将以这种方式启动,所以像这个内部执行的Filter将会首先做出一个调用使用UserDetailService来尝试从数据库中获取用户信息。基于用户Email,token主题,我们将从JWT Authentication中提炼。这个JWT Authentication域将检查JWT Token提取出Username或者是Email。我们称它为Subject当我们讨论JWT Token时,它将使用获取的Email来获取用户信息细节。

    一旦我们从得到了响应到JWT Authentication Filter。我们将做一些检查。如果用户不存在,我们将返回403到使用者。如果一切正常,我们将从数据库中得到用户信息。接着我们将开始一段验证过程。因为JWT token被为了专门的用户生成。所以我们想要基于用户来验证这个token。

    这里我们有Validate JWT过程或者机制,它将尝试调用JWT Service。这个JWT Service将采用User自己和Token参数。

    在这个验证过程执行之后,这里我们有两个案例场景。第一,token是无效的,例如token已到期,或者这个token不是专门为了这个特定的user。我们将返回一个403返回到用户。否则,我们将更新这个SecurityContextHolder。因为当我们从数据库中获取UserDetail'信息的时候,我们将能够设置这个SecurityContextHolder。我们将告诉Spring剩下的FilterChain这个User现在被授权。

    我们将更新Authentication管理器,每次我们检查用户对这个请求是否被授权时,答案将会为是。

    一旦SecurityContextHolder将被更新,它将自动的发送请求。发送给Dispatcher servlet,接着被发送给Controller,我们将做所有需要的检查,例如调用Service。接着我们将返回响应,例如,它可以是一个JWT,也可能是一个HTTP状态码200。任何过程将在Controller中执行。这就是 JWT Authentication机制工作。接下来是如何实现这些,如何实现这些步骤。

    start.spring.io

    最小的与Springboot3兼容的Java版本是Java17。

    所需要的依赖:

    Spring Web

    Spring Security

    Spring Data JPA

    PostgreSQL Driver

    Lombok

    现在,来建立应用和数据库的一个连接。修改application.property的文件名为application.yml。

    然后需要提供一些属性,首先是url,url: jdbc:postgresql://localhost:5432/name/

    连接字符串到数据库。在提供Data Source信息之后,希望给出其它的一些JPA属性。

    driver-class-name: org.postgresql.Driver

    这里需要告诉Spring,

    ddl-auto这里有一些选择,

    create-drop

    create

    none

    update

    validate

    这里将使用create-drop,因为每次开始应用时,我想要创建一个新的数据库,一个新的模式。当我停止了应用时,我希望销毁它。我总是希望以空的数据库开始。

    下一步,在JPA里面,你需要注意缩进。

    show-sql:true,当Spring Data JPA执行一个请求时.

    希望添加一些属性,

    properties:
            hibernate:
                    format_sql: true

    我想要请求格式化。

    接着提供关于数据库的一些信息,

    database: postgresql

    告诉JPA我们正在使用哪个数据库。

    接着提供所使用的数据库平台

    database-platform: org.hibernate.dialect.PostgreSQLDialect

    这将帮助Spring执行和写更好的查询。

    以上是配置,接下来让我们实现security。

    当我们讨论 Authentication and Authorisation时,我们主要讨论的是Users。

    New -> JavaClass

    user.User

    可以创建一个user包,在其中创建一个User类。

    接着,我将添加一些Lombok注释来减少样板代码。因为当我们创建一个类时,我们需要Getters和Setters,需要constructors。

    @Data注释,等同于@Getter,@Setter , @RequiredArgsConstructor,@ToString,@EqualsAndHashCode。

    也使用@Builder注释。这个注释将帮助我们用一种简单的方式构建对象,使用Builder设计模式。

    也需要@NoArgsConstructor和@AllArgsConstructor注释。

    像这样就有了User类。现在让我们把这个User类设置为一个Entity。

    为了让这个User类为一个Entity,首先我们要添加的是这个Entity注释。因为我们在使用Springbbot3。确保这里的包是jakarta.persistence,它不再是javax.persistence。

    这也将会帮助你分辨是否用的是正确的版本。我们需要这个@Entity注解,因为这个User类已经被被作为PostgreSQL保留字。PostgreSQL已经有一个表称为User,所以我们不能够创建第二个称为User的表格。将使用@Table(name = "_user")注解。

    有一个红色的报错,“Persistent Entity  ‘User’ should have a primary key”。

    所以我们需要提供一个ID属性,@Id注解,所属的包是jakarta.persistence,它表明这个属性是类的唯一标识符。同时,我也希望这个ID是Auto  Incremented或者说Anto Generated。

    每次我们想要创建User的时候,我们不需要提供这个ID。

    我想要它自增。@GeneratedValue(strategy = )注解

    GenerationType的种类有:

    AUTO

    IDENTITY

    SEQUENCE

    TABLE

    UUID

    AUTO是默认的类型。IDENTITY意味着将使用一个身份识别号,例如一个AUTO INCREMENT。

    SEQUENCE表示我们将在数据库中创建一个序列,并且使用这个序列来增加。

    sequence号是数据库系统按照一定规则自增的数字序列,因为自增所以不会重复。

    如果你把GenerationType留为AUTO,hibernate将尝试检测对你最适合的选项。

    例如,如果我们使用PostgreSQL,它将默认选择SEQUENCE。如果你使用MYSQL,它将会选择TABLE,因为MYSQL不工作在SEQUENCE下,所以它将选择TABLE。默认是AUTO。

    现在,我们有了ENTITY,让我么尝试着开始应用,确保我们的表在数据库中被创建。

    Lombok requires enabled annotation processing

    Enable annotation processing

    现在应用被启动了,让我们看一下logs。

    schemas ->  public -> Tables -> _user

    Spring Security开始应用时,它将使用UserDetails。UserDetails接口包含一堆方法。每次你在Spring Security上工作时,你需要确保你正在提供给这个UserDetails,来使得Spring Security易于使用。

    class User implements UserDetails

    继承一些接口,所以让我们实现一堆方法。

    点击implement method

    getAuthorities返回一系列的角色。private Role role;。我们需要添加@Enumerated注释。

    这个注解会告诉Spring这是一个Enum。

    EnumType类型有:

    ORDINAL,意味着0,1,2。

    STRING。

    现在User已经完成了。接下来让我们继续为User类创建Repository。Repository是一个类,它负责与数据库交互。当在Spring Data JPA时,我们不需要创建一个类。我们需要的是创建一个Interface。

    为了让它成为一个Repository,我们需要的extends JpaRepository<>

    Spring Data JPA也有一堆可以使用的方法,例如save,findAll,findById等等。

    现在,我想要创建一个后面需要的方法。

    这个方法将尝试着通过email找到一个用户,因为email是独一无二的。

    当我们在这里检查我们的架构时,从HTTP中获取的第一件事情是这个JWT鉴权过滤器。

    所以我们接着来创建这个过滤器。

  • 相关阅读:
    sql server 多行数据合并一行显示
    10.18作业
    Kubernetes(k8s)上搭建一主两从的mysql8集群
    nginx 代理接口报404 问题排查
    坚持每天做一件事情的意义
    设置Unity URP管线中的渲染开关
    异或运算符 ^的好处--笔记
    IP-guard flexpaper远程命令执行漏洞复现 [附POC]
    vue单向绑定和双向绑定
    Centos7下harbor的安装部署
  • 原文地址:https://blog.csdn.net/tongbowen_123/article/details/133833095