spring secuity（三更草堂）

一、介绍

spring security是spring家族的一个安全管理框架，适用于大中型项目。
shiro也是一个安全管理框架，但他适用于小型项目。

安全框架主要做两件事：
认证：验证当前访问系统的是不是本系统的用户，并且要确认具体是哪个用户

授权：判断登录后的用户是否有权限进行某个操作

二、快速入门

首先添加依赖，启动项目即可：

        
        
            org.springframework.boot
            spring-boot-starter-security
        

启动后，控制台会有登录密码，用户名为user

访问：

四、jwt（b站-编程不良人） 1.什么是jwt？

官网地址: https://jwt.io/introduction/

JWT是Json Web Token，也就是通过JSON的形式作为web应用中的令牌，用于在各方之间安全的将信息作为JSON对象传输，在传输过程中还可以完成数据加密、签名等相关处理。

2.JWT能做什么？ 1.）授权

一旦用户登录以后，每个后续请求将包含JWT。单点登录是当今广泛使用jwt’的一项功能，因为他的开销很小，并且可以在不同的域中轻松使用。

2.）信息交换

在各方之间安全的传输信息，通过对jwt进行签名（使用公钥/私钥对），所以可以确保发件人是他们所说的人，此外由于签名是使用标头和有效负载计算的，因此您还可以验证内容是否遭到篡改.

3.）session的缺点

我们知道，http协议是无状态的协议（不会保持用户的登录状态），为了防止每一次请求跳转的时候都要重新登录，前期我们是通过session来保持用户的登录状态。

但是通过session保持用户的登录状态有以下几个缺点：
①session是保存在服务器端的内存当中，随着登录用户的不断增多，服务器端需要的内存会比较大，造成成本增加。

②如果是分布式项目还要涉及到分布式session方案的设计。

③由于session是通过cookie传输sessionid来进行工作的，如果cookie被截取，用户很容易遭受到跨站请求伪造的攻击。

④在前后端分离的情况下，前端的请求会经过很多的中间件，每次请求转发都会到服务器验证，造成服务器压力增大

4.）基于jwt的认证流程和jwt认证的优势

认证流程：

①前端通过Web表单将自己的用户名和密码发送到后端的接口。
这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加
密的传输（https协议），从而避免敏感信息被嗅探。

②后端核对用户名和密码成功后，将用户的id等其他信息作为
JWT Payload（负载），将其与头部分别进行Base64编码拼接后
签名，形成一个JWT(Token)。形成的JWT就是一个形同lll.zzz.xxx
的字符串。 token head.payload.singurater
③
后端将JWT字符串作为登录成功的返回结果返回给前端。前端可
以将返回的结果保存在localStorage或sessionStorage上，退出登录
时前端删除保存的JWT即可。

④前端在每次请求时将JWT放入HTTP Header中的Authorization位。
(解决XSS和XSRF问题) HEADER

⑤后端检查是否存在，如存在验证JWT的有效性。例如，检查签名
是否正确；检查Token是否过期；检查Token的接收方是否是自己（可选）。

⑥验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作，
返回相应结果。

优势：
①简洁(Compact): 可以通过URL，POST参数或者在HTTP header发送，
因为数据量小，传输速度也很快

②自包含(Self-contained)：负载中包含了所有用户所需要的信息，
避免了多次查询数据库

③因为Token是以JSON加密的形式保存在客户端的，所以JWT是跨语
言的，原则上任何web形式都支持。

④不需要在服务端保存会话信息，特别适用于分布式微服务。

5.）jwt的结构

jwt是由标头、有效载荷、签名组成。

①标头

• 标头通常由两部分组成：令牌的类型（即JWT）和所使用的签名算法，例如HMAC SHA256或RSA。它会使用 Base64 编码组成 JWT 结构的第一部分。

• 注意:Base64是一种编码，也就是说，它是可以被翻译回原来的样子来的。它并不是一种加密过程。

举例：

{
  "alg": "HS256",
  "typ": "JWT"
}

②有效载荷（不要放用户的敏感信息）

• 令牌的第二部分是有效负载，其中包含声明。声明是有关实体
• （通常是用户）和其他数据的声明。同样的，它会使用
  Base64 编码组成 JWT 结构的第二部分

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

③签名

• 前面两部分都是使用 Base64 进行编码的，即前端可以解开知
  道里面的信息。Signature 需要使用编码后的 header 和 payload
  以及我们提供的一个密钥，然后使用 header 中指定的签名算法
  （HS256）进行签名。签名的作用是保证 JWT 没有被篡改过

• 最后一步签名的过程，实际上是对头部以及负载内容进行签名，
  防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修
  改，再进行编码，最后加上之前的签名组合形成新的JWT的话，
  那么服务器端会判断出新的头部和负载形成的签名和JWT附带上
  的签名是不一样的。如果要对新的头部和负载进行签名，在不知
  道服务器加密时用的密钥的话，得出来的签名也是不一样的。

- 在这里大家一定会问一个问题：Base64是一种编码，
是可逆的，那么我的信息不就被暴露了吗？

• 是的。所以，在JWT中，不应该在负载里面加入任何敏感的
  数据。在上面的例子中，我们传输的是用户的User ID。这个值
  实际上不是什么敏 感内容，一般情况下被知道也是安全的。但
  是像密码这样的内容就不能被放在JWT中了。如果将用户的密
  码放在了JWT中，那么怀有恶意的第 三方通过Base64解码就能
  很快地知道你的密码了。因此JWT适合用于向Web应用传递一些
  非敏感信息。JWT还经常用于设计用户认证和授权系 统，甚至
  实现Web应用的单点登录。

以上显示的是未编码的信息，编码后的jwt是：xxxxx.yyyyy.zzzzz

6.）JWT的简单使用

引入依赖：

  com.auth0
  java-jwt
  3.4.0

public class JwtTest {



    
    @Test
    public void createTest(){
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND, 90);
        String token = JWT.create()
                .withClaim("username", "mcf")
                .withClaim("admin", true)
//                设置过期时间
                .withExpiresAt(instance.getTime())
//                设置签名
                .sign(Algorithm.HMAC256("token!Q2W#E$RW"));

        System.out.println(token);
    }


    
    @Test
    public void paraseInfo(){
        JWTVerifier build = JWT.require(Algorithm.HMAC256("token!Q2W#E$RW")).build();
        DecodedJWT verify = build.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhZG1pbiI6dHJ1ZSwiZXhwIjoxNjUxMTk4Mzg3LCJ1c2VybmFtZSI6Im1jZiJ9.tH5-qe60SUmBC_7cO-QJv-86PURd3QkiGYVhBafZs-I");
        System.out.println(verify.getClaim("username").asString());
        System.out.println(verify.getClaim("admin").asBoolean());
    }
}

可能出现的常见日常：
SignatureVerificationException: 签名不一致异常
TokenExpiredException: 令牌过期异常
AlgorithmMismatchException: 算法不匹配异常
InvalidClaimException: 失效的payload异常

7.）工具类

public class JWTUtils {
    private static String TOKEN = "token!Q@W3e4r";
    
    public static String getToken(Map map){
        JWTCreator.Builder builder = JWT.create();
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND,7);
        builder.withExpiresAt(instance.getTime());
        return builder.sign(Algorithm.HMAC256(TOKEN));
    }
    
    public static void verify(String token){
        JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);  // 如果验证通过，则不会把报错，否则会报错
    }
    
    public static DecodedJWT getToken(String token){
        return JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);
    }
}

五、自定义登录接口

spring security会把所有的请求都拦截，实际情况下，用户是可以进入登录页面的，所以我们需要把登录页面放行，让用户在登录页面进行登录操作。

同时，在以前的入门案例中，在springsecurity官方定义的登录界面进行用户认证，我们重写了官方定义的登录界面就要重写用户认证方面的问题：可以通过通过AuthenticationManager的authenticate方法来进行用户认证

注入AuthenticationManager

在业务逻辑中重新定义认证

六、利用过滤器拦截请求，验证token

在前面的自定义登录接口中，登录后会返回一个token，以后每次请求时请求头都会携带这个token，所以我们需要定义一个拦截器，拦截这些请求，验证token，查看是否已登录

①自定义过滤器：

②配置自定义过滤器，并将其置于授权过滤器之前

③结果