springboot+springsecurity+jwt

SpringBoot是一个开源的Java开发框架，它简化了Spring应用程序的创建和配置过程。SpringSecurity是Spring家族中的一个安全管理框架，用于在Web应用程序中实现认证和授权的功能。JWT是一种用于在客户端和服务器之间传递安全信息的开放标准。在SpringBoot和SpringSecurity的结合中，可以使用JWT来实现认证和授权的功能。 为了在SpringBoot中使用SpringSecurity和JWT，你需要进行以下几个步骤： 1. 引入相关依赖：在项目的pom.xml文件中添加SpringSecurity和JWT的依赖。 2. 创建一个实现了UserDetailsService接口的类：该类用于加载用户的信息，并将其提供给SpringSecurity进行认证。 3. 创建一个实现了JwtTokenUtil接口的类：该类用于生成和解析JWT Token。 4. 创建一个实现了AuthenticationEntryPoint接口的类：该类用于处理认证失败的情况。 5. 创建一个实现了JwtAuthenticationFilter类：该类用于在每个请求中验证JWT Token，并将用户的信息设置到SpringSecurity的上下文中。 6. 配置SpringSecurity：在SpringBoot的配置文件中配置SpringSecurity的相关属性，例如登录路径、认证路径和权限配置等。

### Spring Boot 结合 Spring Security、JWT 和 MyBatis 的集成方案 Spring Boot 提供了便捷的方式来构建现代化的应用程序，而通过集成 Spring Security 可以增强其安全性。JWT（JSON Web Token）作为一种轻量级的身份验证机制，在无状态的分布式环境中表现尤为出色[^2]。MyBatis 是一种持久层框架，能够简化数据库操作并提高灵活性。 以下是基于 Spring Boot 3 集成 Spring Security、JWT 和 MyBatis 的示例代码： #### 1. 添加依赖项 在 `pom.xml` 文件中引入必要的依赖库： ```xml <dependencies> <!-- Spring Boot Starter --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.5</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.5</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.5</version> <scope>runtime</scope> </dependency> <!-- MyBatis Plus --> <dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> <version>3.5.3</version> </dependency> <!-- MySQL Driver --> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <scope>runtime</scope> </dependency> </dependencies> ``` #### 2. 配置 JWT 工具类 创建用于生成和解析 JWT 的工具类： ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; public class JwtUtil { private static final String SECRET_KEY = "your-secret-key"; public String generateToken(String username) { return Jwts.builder() .setSubject(username) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); } public Claims extractAllClaims(String token) { return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody(); } } ``` #### 3. 自定义 UserDetailsService 实现 `UserDetailsService` 接口来加载用户信息： ```java @Service public class CustomUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; // 使用 MyBatis Mapper 或其他方式查询数据库 @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { com.example.domain.User userEntity = userRepository.findByUsername(username); if (userEntity == null) { throw new UsernameNotFoundException("User not found"); } return new org.springframework.security.core.userdetails.User( userEntity.getUsername(), userEntity.getPassword(), AuthorityUtils.createAuthorityList(userEntity.getRoles()) ); } } ``` #### 4. 安全配置类 配置 Spring Security 并启用 JWT 身份验证： ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailsService userDetailsService; @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/auth/login").permitAll() .anyRequest().authenticated() .and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(new JwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } } ``` #### 5. 登录控制器 提供登录接口以返回 JWT： ```java @RestController @RequestMapping("/auth") public class AuthController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtUtil jwtUtil; @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest request) { try { authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(request.getUsername(), request.getPassword()) ); String token = jwtUtil.generateToken(request.getUsername()); return ResponseEntity.ok(new AuthResponse(token)); } catch (BadCredentialsException e) { return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build(); } } } @Data class LoginRequest { private String username; private String password; } @Data class AuthResponse { private String token; public AuthResponse(String token) { this.token = token; } } ``` --- ###