Spring Boot 实现权限管理(下)

一介输生2025-04-17 9:41

方案2:Spring Boot + Spring Security + JWT

从第一种方法你们肯定已经看出来了,权限控制的核心就是获取当前用户所拥有的权限,只要我们提供用户数据来源可以不实现 UserDetailsService,所以就有了这第二种方法的JWT。

(1)添加依赖 首先需要在 pom.xml 文件中添加 io.jsonwebtoken 库的依赖:

xml 复制代码 
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

(2)创建 JWT 工具类

java 复制代码 
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.function.Function;

@Component
public class JwtUtil {

    // 密钥,用于签名和验证 JWT,应妥善保管
    private static final String SECRET_KEY = "yourSecretKey";
    // JWT 的过期时间,这里设置为 10 小时
    private static final long EXPIRATION_TIME = 1000 * 60 * 60 * 10;

    // 根据用户详细信息生成 JWT
    // 这里的userDetails可以是你自己定义的用户类
    public String generateToken(UserDetails userDetails) {
        //自定义的声明
        Map<String, Object> claims = new HashMap<>();
        //鉴权所需的权限角色
        //userDetails.getIdentities()是List<String>的角色字符串列表
        claims.put("identities",userDetails.getIdentities());
        return createToken(claims, userDetails.getId());
    }

    // 创建 JWT 的具体方法
    private String createToken(Map<String, Object> claims, String subject) {
        return Jwts.builder()
               .setClaims(claims)//自定义的声明
               .setSubject(subject)//存的用户id
               .setIssuedAt(new Date(System.currentTimeMillis()))
               .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
               .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
               .compact();
    }


    //解析jwt
    public Claims extractAllClaims(String token) {
        return Jwts.parserBuilder()
                .setSigningKey(SECRET_KEY)
                .build()
                .parseClaimsJws(token)
                .getBody();
    }
}

(3)创建TokenFilter 创建TokenFilter过滤器来验证并解析jwt,从而获取权限信息

java 复制代码 
@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
        //获取token
        final String authorizationHeader = request.getHeader("Authorization");
        // 没有带token直接过去
        if(authorizationHeader == null){
            chain.doFilter(request, response);
        }
        //解析token
        String jwt = null;
        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            jwt = authorizationHeader.substring(7);
            Claims claims;
            try {
                claims = jwtUtil.extractAllClaims(jwt);
            } catch (IllegalArgumentException e) {
                //解析 JWT 时发生其他错误
                System.out.println("Unable to get JWT Token");
            } catch (ExpiredJwtException e) {
                //JWT 已过期
                System.out.println("JWT Token has expired");
            }
        }
        //取出权限角色列表
        Object identitiesObj = claims.get("identities");
        List<GrantedAuthority> authorities = new ArrayList<>();
        if (identitiesObj instanceof List) {
            List<?> identitiesList = (List<?>) identitiesObj;
            for (Object obj : identitiesList) {
                if (obj instanceof String) {
                    authorities.add(new SimpleGrantedAuthority((String) obj));
                }
            }
        }
        String userId = claims.getSubject();
        //将 Authentication 对象设置到 SecurityContextHolder 中后,Spring Security 就能在后续的授权过程中使用这些权限信息了。
        Authentication authentication = new UsernamePasswordAuthenticationToken(userId, null, authorities);
        SecurityContextHolder.getContext().setAuthentication(authentication);
        chain.doFilter(request, response);
    }
}

(4)配置 Spring Security

java 复制代码 
@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/login", "/public/​**​").permitAll()  // 公开接口
                .requestMatchers("/user/​**​").hasAuthority("user") // 需具体权限
                .anyRequest().authenticated()                         // 其他接口需登录
            )

        return http.build();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();  // 密码加密
    }
}

现在就实现jwt的权限管理了。

对比2种方法总结:​​ ​​✅ 优点​​ ​​灵活性高​​:角色和权限可动态配置。 ​​易于扩展​​:支持方法级和 URL 级权限控制。 ​​适合单体应用​​:数据库存储权限,管理方便。 ​​❌ 缺点​​ ​​微服务架构下重复鉴权​​:每个服务需单独校验权限(可结合 ​​Gateway + JWT​​ 优化)。

相关推荐
DDDDDouble1 分钟前
<二>Sping-AI alibaba 入门-记忆聊天及持久化
java·人工智能
拖孩15 分钟前
微信群太多,管理麻烦?那试试接入AI助手吧~
前端·后端·微信
一切顺势而行19 分钟前
kafka总结
java
Humbunklung24 分钟前
Rust枚举:让数据类型告别单调乏味
开发语言·后端·rust
radient32 分钟前
Golang-GMP 万字洗髓经
后端·架构
蓝倾33 分钟前
如何使用API接口实现淘宝商品上下架监控?
前端·后端·api
舂春儿34 分钟前
如何快速统计项目代码行数
前端·后端
Pedantic35 分钟前
我们什么时候应该使用协议继承?——Swift 协议继承的应用与思
前端·后端
Codebee36 分钟前
如何利用OneCode注解驱动,快速训练一个私有的AI代码助手
前端·后端·面试
martinzh37 分钟前
用Spring AI搭建本地RAG系统:让AI成为你的私人文档助手
后端
热门推荐
01Java学习第十五部分——MyBatis02集群聊天服务器---MySQL数据库的建立03Coze扣子平台完整体验和实践(附国内和国际版对比)04基于odoo17的设计模式详解---装饰模式05使用Ruby接入实时行情API教程06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解07Everything文件检索工具 几秒检索几百G的文件08基于odoo17的设计模式详解---单例模式09DeepSeek各版本说明与优缺点分析10【无标题】