Um den JWT-basierten REST-API-Sicherheitsmechanismus in Spring-Boot-Anwendungen zu implementieren, müssen Sie zun?chst verstehen, dass der Server den JWT nach dem Einmeldung des Benutzer ausgeht. Der Client tr?gt das Token im Autorisierungskopf nach nachfolgenden Anforderungen, und der Server überprüft die Gültigkeit des Tokens über einen benutzerdefinierten Filter. 2. Fügen Sie Spring-Boot-Starter-Security, Spring-Boot-Starter-Web und JJWT-API, JJWT-IMPL und JJWT-Jackson-Abh?ngigkeiten in Pom.xml hinzu; 3. Erstellen Sie eine JWTUTIL -Werkzeugklasse, um JWT zu generieren, zu analysieren und zu überprüfen, einschlie?lich Methoden zum Extrahieren von Benutzernamen, zur Ablaufzeit, zum Generieren von Token und überprüfen Sie, ob das Token gültig ist. V. Wenn das Token gültig ist, setzt die Authentifizierung in SecurityContext fest. 5. Konfigurieren Sie die SecurityConfig -Klasse, deaktiviert CSRF, setzt /authentifizieren und /registrieren Sie Pfade zur Freigabe, und andere Anforderungen ben?tigen eine Authentifizierung und konfiguriert eine staatenlose Sitzungsverwaltung, um JwTrequestFilter zur Filterkette hinzuzufügen. 6. Bietet AuthController, um Authentifizierungsanforderungen zu bearbeiten, Anmeldeinformationen über AuthenticationManager zu überprüft, JWT zu erzeugen und Authresponse nach dem Erfolg zurückzusetzen. 7. Implementiert BenutzerdetailsService zum Laden von Benutzerinformationen zur Authentifizierung. 8. Zu den besten Verfahren geh?ren die Verwendung von HTTPS, die Vermeidung von hartcodierten Schlüssel, die Festlegung einer angemessenen Ablaufzeit, das Speichern von sensiblen Informationen in der Nutzlast, die überprüfung von Emittenten und Publikum und die Verwendung von JWKs in verteilten Systemen. Durch die Integration von Spring Security und JWT kann eine staatenlose und skalierbare Sicherheitsarchitektur implementiert werden, was nachfolgende Rollenberechtigungen und Aktualisierung von Token -Mechanismen unterstützt.

Die Sicherung von Java Rest -APIs ist eine kritische Voraussetzung für moderne Webanwendungen, insbesondere bei der Verwendung der staatenlosen Authentifizierungsmechanismen wie JSON Web Tokens (JWT). Die Frühlingssicherheit in Kombination mit JWT bietet eine robuste und flexible M?glichkeit, Ihre Endpunkte zu schützen. Hier erfahren Sie, wie Sie es effektiv in einer Spring -Boot -Anwendung implementieren k?nnen.

1. Verstehen der Architektur

Vor dem Tauchen in Code ist es wichtig, den Fluss zu verstehen:

• Der Benutzer sendet Anmeldeinformationen (z. B. Benutzername und Passwort).
• Der Server best?tigt sie und gibt einen JWT zurück.
• Der Kunde enth?lt diesen JWT in den Authorization (als Bearer <token></token> ) für nachfolgende Anfragen.
• Der Server validiert das Token für jede Anforderung mit einem Filter, bevor er Zugriff zul?sst.

FRINDE SECORY behandelt die Authentifizierung und Autorisierung, w?hrend ein benutzerdefinierter Filter abf?llt, um die JWT zu validieren.

2. Fügen Sie die erforderlichen Abh?ngigkeiten hinzu

In Ihrem pom.xml enthalten::

 <Depecies>
    <De vorangehen>
        <gruppeID> org.springframework.boot </Groupid>
        <artifactid> Spring-Boot-Starter-Security </artifactid>
    </abh?ngig>
    <De vorangehen>
        <gruppeID> org.springframework.boot </Groupid>
        <artifactid> Spring-Boot-Starter-Web </artifactid>
    </abh?ngig>
    <De vorangehen>
        <gruppeID> io.jsonWebtoken </Groupid>
        <artifactid> jjwt-api </artifactid>
        <version> 0.11.5 </Version>
    </abh?ngig>
    <De vorangehen>
        <gruppeID> io.jsonWebtoken </Groupid>
        <artifactid> jjwt-impl </artifactid>
        <version> 0.11.5 </Version>
        <Scope> Laufzeit </Scope>
    </abh?ngig>
    <De vorangehen>
        <gruppeID> io.jsonWebtoken </Groupid>
        <artifactid> jjwt-jackson </artifactid>
        <version> 0.11.5 </Version>
        <Scope> Laufzeit </Scope>
    </abh?ngig>
</Abh?ngigkeiten>

3. Erstellen Sie die JWT -Dienstprogrammklasse

Diese Klasse übernimmt die Token -Generation, -Validierung und -Extraktion.

 @Komponente
?ffentliche Klasse jwtutil {

    private endgültige String Secret_key = "yoursecretkeyThatislonlontenoughforhs512"; // Verwenden Sie einen starken Schlüssel
    private endgültige int abiration_time = 86400000; // 24 Stunden

    public String extractUnername (String Token) {
        Return ExtractClaim (Token, Ansprüche :: GetUbject);
    }

    public date extractexpiration (String Token) {
        Return ExtractClaim (Token, Ansprüche :: GetExpiration);
    }

    public <t> t extractClaim (String Token, Funktion <Ansprüche, t> caalresolver) {
        endgültige Ansprüche Ansprüche = ExtractAllClaims (Token);
        Return ClaimResolver.Apply (Ansprüche);
    }

    private Ansprüche ExtractAllClaims (String Token) {
        return jwts.parser ().
    }

    private boolean isTokenexpired (String Token) {
        return extractexpiration (token) .beefore (neues Datum ());
    }

    public String GeneratEToken (UserDetails UserDetails) {
        Karte <String, Object> Ansprüche = new HashMap <> ();
        createToken zurückgeben (Ansprüche, userDetails.getUnername ());
    }

    private String createToken (MAP <String, Objekt> Ansprüche, String -Betreff) {
        return jwts.builder ()
                .SetClaims (Ansprüche)
                SETSUSBICT (Subjekt)
                .setISEDAT (neues Datum (System.currentTimemillis ()))
                .setExpiration (neues Datum (System.CurrentTimemillis () expiration_time))
                .Signwith (SignatureAlgorithm.HS512, Secret_key)
                .kompakt();
    }

    public boolean validatEToken (String Token, UserDetails UserDetails) {
        Final String userername = extractUserName (Token);
        return (userername.equals (userDetails.getUnername ()) &&! isTokenExpired (token));
    }
}

4. Benutzerdefinierte JWT -Authentifizierungsfilter

Dieser Filter l?uft vor den meisten Frühlingssicherheitsprüfungen und best?tigt die JWT über den Authorization .

 @Komponente
Public Class JwTrequestFilter erstreckt sich einst einPerRequestFilter {

    @Autowired
    private userdetailsService userDetailsService;

    @Autowired
    Privat JWTUTIL JWTUTIL;

    @Override
    Protected Void Dofilterinternal (httpServletRequest -Anforderung, HttpServletResponse -Antwort, Filterchain -Kette)
            l?st ServletException aus, ioException {

        Final String AuthorizationHeader = Request.Getheader ("Autorisierung");

        String username = null;
        String jwt = null;

        if (AuthorizationHeader! = NULL && AuthorizationHeader
            Jwt = AuthorizationHeader.substring (7);
            userername = jwtutil.extractractusername (jwt);
        }

        if (Benutzername! = NULL && SecurityContextHolder.getContext ().
            UserDetails userDetails = this.userDetailsService.loadUserByUserName (Benutzername);

            if (jwtutil.validatetoken (jwt, userdetails)) {
                UserernamepasswordAuthenticationToken authToken = new usernamepasswordAuthenticationToken (
                        UserDetails, Null, userDetails.getAuthorities ());
                AuthToken.SetDetails (neue WebAuthenticationDetailsSource (). BuildDetails (Anfrage));
                SecurityContextHolder.getContext (). SetAuthentication (authToken);
            }
        }
        chain.dofilter (Anfrage, Antwort);
    }
}

5. Konfigurieren Sie die Federsicherheit

überschreiben Sie WebSecurityConfigurerAdapter (oder verwenden Sie eine komponentenbasierte Konfiguration in neueren Versionen).

 @Konfiguration
@EnableWebecurity
Public Class SecurityConfig erweitert WebSecurityConFigurerAdapter {

    @Autowired
    private userdetailsService userDetailsService;

    @Autowired
    Privat JwTrequestFilter JwTrequestFilter;

    @Bohne
    public passwayEncoder passwordEncoder () {
        Neue bcryptPasswordEnCoder () zurückgeben;
    }

    @Override
    Protected void configure (AuthenticationManagerBuilder Auth) l?st Ausnahme {aus {
        auth.userDetailsService (userDetailsService) .PasswordEnCoder (PasswordEnCoder ());
    }

    @Bohne
    @Override
    public AuthenticationManager AuthenticationManagerBean () l?st Ausnahme {aus {
        return Super.AuthenticationManagerBean ();
    }

    @Override
    Protected void configure (httpecurity http) l?st Ausnahme {aus
        http.csrf (). Disable ())
            .AuthorizeRequests ()
                .AntMatchers ("/authenticate"). erlaubensAll ()
                .AntMatchers ("/Register"). Genug ())
                .anyRequest (). authentifiziert ()
            .Und()
            .SessionManagement ()
                .SessioncreationPolicy (SessioncreationPolicy.stateless);

        http.addFilterBefore (jwtrequestFilter, usernamePasswordAuthenticationFilter.Class);
    }
}

HINWEIS: Verwenden Sie in Spring Boot 3 SecurityFilterChain Bean anstatt WebSecurityConfigurerAdapter zu erweitern.

6. Authentifizierungsendpunkt erstellen

 @Restcontroller
public class authcontroller {

    @Autowired
    Private AuthenticationManager AuthenticationManager;

    @Autowired
    private userdetailsService userDetailsService;

    @Autowired
    Privat JWTUTIL JWTUTIL;

    @Postmapping ("/authenticate")
    public responseentity <?> createAuthenticationToken (@RequestBody Authrequest Authrequest) l?st Ausnahme {aus {
        versuchen {
            AuthenticationManager.Authenticate (
                Neue usernamepasswordAuthenticationToken (Authrequest.getUnername (), Authrequest.getPassword ())
            );
        } catch (badcredentialSexception e) {
            Neue Ausnahme ("falscher Benutzername oder Passwort", e);
        }

        endgültige userDetails userDetails = userDetailsService.loadUserByUserName (authrequest.getUnername ());
        endgültige Zeichenfolge jwt = jwtutil.generatetoken (userDetails);

        return responseentity.ok (neue Authresponse (jwt));
    }
}

Mit DTOs:

 public class authrequest {
    privater String -Benutzername;
    privates Zeichenfolgenkennwort;
    // Getter und Setzer
}

public class authresponse {
    privates String -Token;
    public authresponse (String token) {this.token = token; }
    // Getter
}

7. UserDetailsService -Implementierung

 @Service
?ffentliche Klasse MyUSerDetailsService implementiert UserDetailsService {

    @Autowired
    private userrepository userrepository;

    @Override
    public userdetails loadUserByusername (String -Benutzername) {
        User user = userrepository.findbyusername (Benutzername)
                .Orelsethrow (() -> Neue usernamenotFoundException ("Benutzer nicht gefunden"));

        Rückgabe neuer org.springframework.security.core.userDetails.user (
                user.getUnername (), user.getPassword (), New ArrayList <> ());
    }
}

8. Best Practices und Sicherheitstipps

• Verwenden Sie HTTPS in der Produktion - JWTs sind empfindlich.
• Halten Sie den geheimen Schlüssel sicher - niemals Hardcode in der Quelle; Verwenden Sie Umgebungsvariablen oder geheime Management -Tools.
• Setzen Sie angemessene Token-Ablaufzeiten -kurzlebige Token mit Aktualisierungstoken sind besser.
• Vermeiden Sie es, sensible Daten in der JWT-Nutzlast zu speichern -es ist base64-codiert, nicht verschlüsselt.
• Validieren Sie den Emittenten- und Publikumsansprüchen in Apps für Produktionsqualit?t.
• Erw?gen Sie , JWKs (JSON -Web -Key -Sets) für verteilte Systeme zu verwenden.

Zusammenfassung

Durch die Kombination von Spring Security und JWT erhalten Sie eine saubere, staatenlose M?glichkeit, REST -APIs zu sichern. Die Schlüsselkomponenten sind:

• Ein JWT -Dienstprogramm zur Erstellung/Validierung von Token
• Ein Filter, der Anfragen abfing und authentifiziert
• Richtige Konfiguration der Feder Sicherheitskonfiguration
• Ein Anmeldendpunkt für die Ausgabe von Token

Dieses Setup ist weit verbreitet, skalierbar und integriert sich gut in Frontend -Frameworks und mobile Apps.

Sobald das Fundament vorhanden ist, wird die Ausweitung von Rollen, Berechtigungen oder das Hinzufügen von Aktualisierungstoken im Grunde genommen überschaubar.

Das obige ist der detaillierte Inhalt vonSicherung von Java Rest -APIs mit Frühlingssicherheit und JWT. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!