github源码:

，最烦那些写文档只截图一半还不给源码的人，要不你就截全图，要不就给源码！

前言：

需要研究spring-security和jwt技术，搞了几天，现把成果记录下

环境

Springboot：2.1.3.RELEASE

spring-security：5.1.4.RELEASE

前后端分离

所需依赖3个，具体 pom 见源码

 <!--spring-security-->
 <dependency>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-security</artifactId>
 </dependency>
 <!--jwt-->
 <dependency>
 <groupId>io.jsonwebtoken</groupId>
 <artifactId>jjwt</artifactId>
 <version>0.9.0</version>
 </dependency>
 <!--lombok-->
 <dependency>
 <groupId>org.projectlombok</groupId>
 <artifactId>lombok</artifactId>
 <optional>true</optional>
 </dependency>
 

spring-security原理

从网上的各种不同方法综合一下形成了这一套完整框架，源码里每个类各司其职，很清晰知道是干什么的，现在讲一下spring-security原理及工作流程

图片中各个类的作用：

1 JwtUser类：实现Springsecurity的UserDetails类，此类必须有三个属性

private String username;

private String password;

//权限，类如ROLE_ADMIN

private Collection<? extends GrantedAuthority> authorities;

2 JwtUtils：jwt工具类

3 MD5Util：密码加密工具类

4 MyAccessDeniedHandler：实现Springsecurity的AccessDeniedHandler，Spring security权限不足处理类

5 MyAuthenticationException：实现Springsecurity的AuthenticationEntryPoint，Spring security其他异常处理类,比如请求路径不存在等

6 MyAuthenticationFailHandler： 实现Springsecurity的AuthenticationFailureHandler，Spring security登录失败处理类

7 MyAuthenticationSuccessHandler：实现Springsecurity的AuthenticationSuccessHandler，Spring security登录成功处理类

8 MyJwtTokenFilter： 继承Springsecurity的OncePerRequestFilter，token 过滤器，在这里解析token，拿到该用户角色，设置到springsecurity的上下文环境中，让springsecurity自动判断权限

9 MyUserDetailsService：实现Springsecurity的UserDetailsService，根据用户名获取数据库该用户信息，spring security在登录时自动调用

10 WebSecurityConfig： Spring security的总配置类，配置密码验证规则、拦截的url、登录接口地址、登录成功与失败后的处理器、各种异常处理器

总结：

spring-security工作流程就是

1自动识别登录接口路径（你配置的），自动进入账户密码判断方法，判断规则可自定义，密码验证通过后会进入spring security提供的MyAuthenticationSuccessHandler类，在这里重写方法，用HttpServletResponse自定义返回给前端内容，可以返回接口也可以返回html，随你，我这里返回jwt。验证失败同理。

这里说下 Spring security的账户密码判断逻辑，WebSecurityConfig继承WebSecurityConfigurerAdapter，注入configureAuthentication方法，重写matches方法自定义密码验证规则，返回boolean

@Autowired
 public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
 authenticationManagerBuilder
 // 设置UserDetailsService 获取user对象
 .userDetailsService(this.userDetailsService)
 // 自定义密码验证方法
 .passwordEncoder(new PasswordEncoder() {
 //这个方法没用
 @ Override 
 public String encode(CharSequence charSequence) {
 return "";
 }
 //自定义密码验证方法,charSequence:用户输入的密码，s:我们查出来的数据库密码
 @Override
 public boolean matches(CharSequence charSequence, String s) {
 String pass = MD5Util.string2MD5(charSequence.toString());
 System.out.println("用户输入密码:" + charSequence + "与数据库相同？" + s.equals(pass));
 return s.equals(pass);
 }
 });
 }
 

2登录成功后，前端携带jwt的token来访问接口，首先会进入我们配置的MyJwtTokenFilter 类继承自OncePerRequestFilter，这个OncePerRequestFilter就厉害了，可以说是所有filter的基类，所以最先执行，在这里我们写验证jwt的逻辑，验证通过后要告诉springsecurity，我们获取到的用户的权限，并把权限设置到springsecurity的上下文环境中，让它来给我们做权限的判断，这点最重要！！！！是springsecurity和jwt的整合纽带，主要代码如下：

if(JwtUtils.isTokenExpired(Claims)){//token过期
 System.out.println("token过期" + authToken);
 }else{
 System.out.println("token没过期，放行" + authToken);
 UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(UserDetails, null, UserDetails.getAuthorities());
 authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpServletRequest));
 logger.info(String.format("Authenticated userDetail %s, setting security context", username));
 SecurityContextHolder.getContext().setAuthentication(authentication);
 }
 

3springsecurity自动验证权限后，如果权限不足，会进入到我们配置的权限不足捕获异常类MyAccessDeniedHandler，其他错误的话进入另一个异常捕获类MyAuthenticationException，都可以自定义返回值

如何使用

具体见源码的– 说明.txt

本项目是Spring security5+Jwt的基础实例

功能：

1：验证用户登录账号密码是否正确，登录地址可以自定义配置，密码验证规则也是自定义，我这里只要是123456就行，验证成功与失败分别有不同的类来处理，登录成功后生成JWT返回

测试方法：

2：配置拦截除了”/test/**”以外的所有请求，登录地址配置好以后Spring security会自动设置为不拦截

3：配置了各种拦截器，具体看代码

使用方法

1登录获取jwt token(在Response Header里)，POST

2根据token 调用ROLE_ADMIN权限接口, GET ，返回权限不足，,MyUserDetailsService默认给用户加了ROLE_USER权限

根据token 调用无权限注解的接口, GET ，返回正常结果

根据token 调用ROLE_USER权限接口, GET ，返回正常结果

3调用不存在的接口，返回捕获异常

欢迎大家讨论点赞우박

附：

JWT通用类

坑

跨域问题，postman能拿到值，前端页面拿不到

1//解决spring security 跨域问题

2//解决X-Frame-Options: DENY问题，jwt过期时，自定义返回值时，前端拿不到返回值，postman可以看到有的

在configure(HttpSecurity httpSecurity)里加上

.and().headers().frameOptions().disable();

3 在异常处理类的HttpServletResponse里加Header

public static void httpHandle(int stats ,HttpServletRequest httpServletRequest, HttpServletResponse response, String str) throws
 IOException {
 /**
 * 注意这里加上跨域的配置
 */
 response.setHeader("Access-Control-Allow-Origin",httpServletRequest.getHeader("Origin"));
 response.setHeader("Access-Control-Allow-Credentials", "true");
 response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
 response.setHeader("Access-Control-Max-Age", "3600");
 response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
 response.setStatus(stats);
 response.setCharacterEncoding("UTF-8");
 response.setContentType("application/json; charset=utf-8");
 PrintWriter printWriter = response.getWriter();
 response.getWriter().write(str);
 printWriter.flush();
 }