版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_35977237/article/details/79870274
1。启动项目,首先初始化
WebSecurityConfig
中的认证管理器
然后给认证管理器绑定提供者
第一个为自定义的ajax认证提供,第二个为jwt认证提供
2.重写
WebSecurityConfigurerAdapter
的配置项,为自己需要的进行配置
配置不需要携带token进行认证的路径
认证请求对登陆和刷新token放行,可以自定义添加更多不需要携带token的路径
然后对其他的路径都要求携带token
在认证token之前需要执行以下过滤器
(1)当执行登陆时,执行ajax登陆过滤器
传人登陆时的路径,成功后的处理器和失败后的处理器,以便于做不同的处理
(2)当执行其他路径时,调用jwt认证过滤器
设置需要跳过的token认路径和需要认证的路径
然后将失败处理器和
TokenExtractor还有设置好的跳过请求路径认证类一起交给
JwtTokenAuthenticationProcessingFilter
进行过滤,JwtTokenAuthenticationProcessingFilter会调用JwtHeaderTokenExtractor
用于从头提取授权令牌
可以扩展TokenExtractor接口并提供您的自定义实现,例如从URL提取令牌
到此
WebSecurityConfig
配置完成
3.客户端发送post请求到
SystemManagerController
/
userLogin
执行登陆请求以ajax方式,将用户名和密码封装为json格式
此处不是必须ajax和json,可以进行更改,一般配合security
为ajax和json
请求发出后先由跨域过滤器进行跨域响应参数处理
CORSFilter
客户端每次都会先发送一次options请求,进行跨域试探性请求
接着进入
AjaxLoginProcessingFilter
进行登录过滤处理
如果为options请求直接返回,接着会立即再发送一份客户端原始请求
这里为post请求
接下来认证处理器会找到认证提供类
AjaxAuthenticationProvider进行密码和账户的认证
此处处理业务逻辑,如果账户和密码比对成功则执行
创建的UserContext和你所需要的用户数据来填充它
认证成功后执行AjaxAwareAuthenticationSuccessHandler委托创建JWT令牌
进行创建token和传送需要的值
认证成功处理器会调用
JwtTokenFactory工厂同时创建token和创建刷新token
token采用三段式
第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).
头部声明加密的算法 这里采用的HS521,可以是其他的加密方式如HMAC SHA256
然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.
第二部分为载荷部分
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分
- 标准中注册的声明
- 公共的声明
- 私有的声明
标准中注册的声明
(建议但不强制使用) :
- iss: jwt签发者
- sub: jwt所面向的用户
- aud: 接收jwt的一方
- exp: jwt的过期时间,这个过期时间必须要大于签发时间
- nbf: 定义在什么时间之前,该jwt都是不可用的.
- iat: jwt的签发时间
- jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
在本项目中只用了其中的一小部分
然后将其进行base64加密,得到Jwt的第二部分。
第三部分是一个签证信息,这个签证信息由三部分组成:
- header (base64后的)
- payload (base64后的)
- secret
这个部分需要base64加密后的header和base64加密后的payload使用
.
连接组成的字符串,然后通过header中声明的加密方式进行加盐
secret
组合加密,然后就构成了jwt的第三部分。
将这三部分用
.
连接成一个完整的字符串,构成了最终的jwt:
注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
服务端完成响应,得到结果如下:
4.返回token后每次请求服务器都要带着token进行认证
当我们请求服务器时,需要携带自定义请求头
并且自定义认证请求头 的value值都需要以GuoAn 开头
请求同样会进行一次跨域试探
然后交由JwtTokenAuthenticationProcessingFilter进行认证
然后利用JwtHeaderTokenExtractor 从头提取令牌。然后交由JwtAuthenticationProvider 进行
验证访问令牌的签名
从Access令牌中提取身份和授权声明,并使用它们创建UserContext
如果访问令牌格式错误,过期或简单地如果令牌没有使用适当的签名密钥签名,则将抛出身份验证异常
认证成功后调用
JwtTokenAuthenticationProcessingFilter的
successfulAuthentication方法
最后响应到前台,至此结果完成