SpringBoot安全实战:集成JWT与OAuth2构建企业级认证系统

最新推荐文章于 2026-04-25 17:30:00 发布
原创 最新推荐文章于 2026-04-25 17:30:00 发布 · 881 阅读 · 19 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#spring boot #安全 #后端

🎓博主介绍:Java、Python、js全栈开发 “多面手”,精通多种编程语言和技术,痴迷于人工智能领域。秉持着对技术的热爱与执着,持续探索创新,愿在此分享交流和学习,与大家共进步。
📖DeepSeek-行业融合之万象视界(附实战案例详解100+)
📖全栈开发环境搭建运行攻略:多语言一站式指南(环境搭建+运行+调试+发布+保姆级详解)
👉感兴趣的可以先收藏起来,希望帮助更多的人
在这里插入图片描述

SpringBoot安全实战:集成JWT与OAuth2构建企业级认证系统

一、引言

在当今数字化的时代,企业级应用系统的安全性至关重要。用户认证与授权作为系统安全的第一道防线,直接关系到用户数据的安全和系统的稳定运行。Spring Boot作为一个广泛应用的Java开发框架,提供了丰富的安全特性。而JWT(JSON Web Token)和OAuth2则是目前在认证与授权领域被广泛使用的技术。本文将详细介绍如何在Spring Boot项目中集成JWT与OAuth2,构建一个企业级的认证系统。

二、JWT与OAuth2简介

2.1 JWT简介

JWT是一种用于在网络应用间安全传递声明的开放标准(RFC 7519)。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部包含了令牌的类型和使用的签名算法;载荷包含了声明,声明是关于实体(通常是用户)和其他数据的声明;签名则是用于验证消息在传递过程中没有被更改。

JWT的优点包括:

  • 无状态:不依赖于服务器端的会话状态,适合于分布式系统。
  • 可扩展性:可以在载荷中添加自定义的声明。
  • 跨域支持:可以在不同的域名之间传递。

2.2 OAuth2简介

OAuth2是一种授权框架,用于允许用户授权第三方应用访问其在另一个服务提供商上的资源,而无需共享其凭证。OAuth2定义了四种授权模式:授权码模式(Authorization Code)、简化模式(Implicit)、密码模式(Resource Owner Password Credentials)和客户端模式(Client Credentials)。

OAuth2的优点包括:

  • 安全性高:通过令牌进行授权,避免了直接传递用户的敏感信息。
  • 灵活性强:支持多种授权模式,可以根据不同的应用场景选择合适的模式。

三、Spring Boot项目搭建

3.1 创建Spring Boot项目

可以使用Spring Initializr(https://start.spring.io/)来创建一个新的Spring Boot项目。在创建项目时,需要添加以下依赖:

  • Spring Web
  • Spring Security
  • Spring Boot DevTools

3.2 项目结构

创建好项目后,项目的基本结构如下:

src
├── main
│   ├── java
│   │   └── com
│   │       └── example
│   │           └── demo
│   │               ├── DemoApplication.java
│   │               ├── controller
│   │               │   └── UserController.java
│   │               ├── service
│   │               │   └── UserService.java
│   │               └── security
│   │                   ├── JwtAuthenticationFilter.java
│   │                   ├── JwtAuthorizationFilter.java
│   │                   ├── JwtTokenProvider.java
│   │                   └── SecurityConfig.java
│   └── resources
│       ├── application.properties
│       └── static
│           └── index.html
└── test
    └── java
        └── com
            └── example
                └── demo
                    └── DemoApplicationTests.java

四、集成JWT

4.1 添加JWT依赖

pom.xml中添加JWT相关的依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

4.2 创建JWT工具类

创建一个JwtTokenProvider类,用于生成和验证JWT令牌:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

@Component
public class JwtTokenProvider {

    @Value("${jwt.secret}")
    private String secret;

    @Value("${jwt.expiration}")
    private long expiration;

    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();
        return doGenerateToken(claims, userDetails.getUsername());
    }

    private String doGenerateToken(Map<String, Object> claims, String subject) {
        return Jwts.builder()
               .setClaims(claims)
               .setSubject(subject)
               .setIssuedAt(new Date(System.currentTimeMillis()))
               .setExpiration(new Date(System.currentTimeMillis() + expiration * 1000))
               .signWith(SignatureAlgorithm.HS512, secret)
               .compact();
    }

    public boolean validateToken(String token, UserDetails userDetails) {
        final String username = getUsernameFromToken(token);
        return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
    }

    public String getUsernameFromToken(String token) {
        final Claims claims = getAllClaimsFromToken(token);
        return claims.getSubject();
    }

    private Claims getAllClaimsFromToken(String token) {
        return Jwts.parser()
               .setSigningKey(secret)
               .parseClaimsJws(token)
               .getBody();
    }

    private boolean isTokenExpired(String token) {
        final Date expiration = getExpirationDateFromToken(token);
        return expiration.before(new Date());
    }

    private Date getExpirationDateFromToken(String token) {
        final Claims claims = getAllClaimsFromToken(token);
        return claims.getExpiration();
    }
}

4.3 创建JWT过滤器

创建JwtAuthenticationFilterJwtAuthorizationFilter类,用于处理JWT的认证和授权:

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class JwtAuthorizationFilter extends OncePerRequestFilter {

    private final JwtTokenProvider jwtTokenProvider;
    private final UserDetailsService userDetailsService;

    public JwtAuthorizationFilter(JwtTokenProvider jwtTokenProvider, UserDetailsService userDetailsService) {
        this.jwtTokenProvider = jwtTokenProvider;
        this.userDetailsService = userDetailsService;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
        String header = request.getHeader("Authorization");
        String username = null;
        String authToken = null;
        if (header != null && header.startsWith("Bearer ")) {
            authToken = header.replace("Bearer ", "");
            try {
                username = jwtTokenProvider.getUsernameFromToken(authToken);
            } catch (Exception e) {
                logger.error("Error getting username from token", e);
            }
        } else {
            logger.warn("Couldn't find bearer string, will ignore the header");
        }
        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            UserDetails userDetails = userDetailsService.loadUserByUsername(username);
            if (jwtTokenProvider.validateToken(authToken, userDetails)) {
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
                        userDetails, null, userDetails.getAuthorities());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                logger.info("authenticated user " + username + ", setting security context");
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        }
        chain.doFilter(request, response);
    }
}

五、集成OAuth2

5.1 添加OAuth2依赖

pom.xml中添加OAuth2相关的依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>

5.2 配置OAuth2客户端

application.properties中配置OAuth2客户端信息:

spring.security.oauth2.client.registration.google.client-id=your-client-id
spring.security.oauth2.client.registration.google.client-secret=your-client-secret
spring.security.oauth2.client.registration.google.scope=openid,profile,email
spring.security.oauth2.client.provider.google.issuer-uri=https://accounts.google.com

5.3 配置OAuth2资源服务器

创建一个SecurityConfig类,配置OAuth2资源服务器:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
           .authorizeRequests()
               .antMatchers("/public/**").permitAll()
               .anyRequest().authenticated()
               .and()
           .oauth2Login()
               .and()
           .oauth2ResourceServer()
               .jwt();
        return http.build();
    }
}

六、构建企业级认证系统

6.1 用户认证流程

  1. 用户在客户端输入用户名和密码,发送登录请求到服务器。
  2. 服务器接收到请求后,验证用户名和密码。
  3. 如果验证通过,服务器使用JwtTokenProvider生成JWT令牌,并返回给客户端。
  4. 客户端将JWT令牌存储在本地,后续的请求都在请求头中携带该令牌。

6.2 用户授权流程

  1. 客户端发送请求到服务器,请求头中携带JWT令牌。
  2. 服务器接收到请求后,使用JwtAuthorizationFilter验证JWT令牌的有效性。
  3. 如果令牌有效,服务器从令牌中获取用户信息,并进行授权检查。
  4. 如果授权通过,服务器处理请求并返回响应;否则,返回403 Forbidden错误。

6.3 集成OAuth2认证

  1. 用户在客户端点击第三方登录按钮,客户端重定向到第三方认证服务器。
  2. 用户在第三方认证服务器上进行登录和授权。
  3. 第三方认证服务器返回授权码给客户端。
  4. 客户端使用授权码向第三方认证服务器换取访问令牌。
  5. 客户端将访问令牌发送到服务器,服务器使用OAuth2ResourceServer验证访问令牌的有效性。
  6. 如果令牌有效,服务器从令牌中获取用户信息,并进行授权检查。
  7. 如果授权通过,服务器处理请求并返回响应;否则,返回403 Forbidden错误。

七、总结

通过本文的介绍,我们详细了解了如何在Spring Boot项目中集成JWT与OAuth2,构建一个企业级的认证系统。JWT提供了一种无状态的认证方式,适合于分布式系统;OAuth2则提供了一种安全的授权机制,允许用户授权第三方应用访问其资源。通过将两者结合使用,可以提高系统的安全性和可扩展性。

SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 1万+
了解OAUTH2统一认证基本概念, 各种角色协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护扩展。
Spring Boot整合OAuth2,附详细注释
2401_84010865的博客
04-18 1498
**授权服务器配置@author 向振华*/@Autowired@Autowired@Autowired@Autowired/**配置令牌端点(内置的/oauth/* 接口)的安全约束*/@Overridesecurity// 允许访问/oauth/token授权接口// 开启/oauth/check_token访问/**配置客户端详情*/@Override// 读DB客户端详情// 客户端详情配置。
springboot集成oauth2JWT(授权码模式)
qq_38949960的博客
12-18 3247
参考链接: Spring security 系列15篇 Spring boot security 学习 Spring Security Oauth2 permitAll()还校验token 前言 网上oauth2相关的demo讲的很笼统,几乎都是内存配置的方式简单演示了一下。 这段时间踩了很多坑,因此整理出了这篇文章 本文解决了如下问题: 前后端分离方式,进行oauth2配置,登录成功失败等全部处理,全部返回json 使用oauth的数据库方式配置 去除框架中的权限判断默认前缀 ROLE_ 跨域问题,以
SpringBoot 集成 OAuth2.0 资源服务器授权服务器
最新发布
。。。
04-25 991
随着微服务和开放平台的兴起,OAuth2.0 已经成为 API 安全的事实标准。OAuth2.0 看似复杂,但理解了核心概念后,结合 Spring Security 的自动化配置,实现起来并不困难。上周有位读者在后台提问:“我们公司的系统要对外提供 API 接口,客户要求用 OAuth2.0 做安全认证,这该怎么实现呢?通过今天的文章,我们完整实现了 SpringBoot 集成 OAuth2.0 的授权服务器和资源服务器。登录成功后,会看到授权确认页面,点击"确认授权"后,会跳转到回调地址并显示授权码。
如何在 Spring Boot 中使用 OAuth2
Java徐师兄的博客
06-26 6412
OAuth2 是一种流行的授权协议,用于授权第三方应用程序访问受保护的资源。OAuth2 协议定义了四种角色:资源所有者、客户端、授权服务器和资源服务器。资源所有者是资源的拥有者,客户端是请求访问资源的应用程序,授权服务器是授权客户端访问资源的服务器,资源服务器是托管受保护资源的服务器。客户端向授权服务器发送请求,请求授权访问某个资源。授权服务器向资源所有者询问是否授权客户端访问该资源。如果资源所有者授权客户端访问该资源,则授权服务器向客户端颁发访问令牌。
Spring Boot 中的OAuth 2
探索er的博客
05-12 8411
Spring Boot 中的OAuth 2
SpringBoot安全框架深度整合:OAuth2+JWT实现企业级认证
梵心白莲的博客
05-02 1063
在当今数字化时代,企业级应用面临着越来越多的安全挑战。用户认证授权作为保障应用安全的关键环节,需要一套可靠且灵活的解决方案。Spring Boot作为一个流行的Java开发框架,为开发者提供了便捷的开发体验。而OAuth2JWT(JSON Web Token)的结合,能够为企业级应用提供强大的认证和授权功能。本文将深入探讨如何在Spring Boot中深度整合OAuth2JWT,实现企业级认证系统
企业级应用中的SpringSecurity认证实战
GreyWolf12的博客
01-09 921
我们公司最近在开发一个内部管理系统,需要满足不同部门员工的登录需求。由于系统涉及敏感数据,安全团队提出了几个硬性要求:必须支持第三方OAuth登录、实现多因素认证、提供单点登录能力,还要完整记录所有登录行为。特别是调试OAuth回调时,平台提供的临时域名完美解决了本地开发的痛点。这个系统不仅支持传统的用户名密码登录,还集成了多种高级认证功能,特别适合需要高安全性的企业级应用场景。为了让员工能使用熟悉的账号登录,我们首先集成了Google和GitHub的OAuth2.0认证。在实际开发中,我发现使用。
SpringBoot 3.x Oauth2服务器:安全认证新高度
gitblog_01061的博客
08-16 1182
在这个数据敏感的时代,身份验证授权成为了每个应用不可或缺的一部分。今天,我们来探索一个基于SpringBoot 3.x的强大开源项目——Oauth2 Server,它集成了最新的安全标准,为你的应用提供坚实的访问控制保障。 ## 项目介绍 Oauth2 Server是一个实现OAuth2协议的Spring Boot应用,旨在简化认证授权流程。通过利用JPA作为持久化层,该服务在启动时自动为...
springboot整合springsecurity+oauth2.0密码授权模式
qq_45072555的博客
01-15 7683
本文采用的springboot去整合springsecurity,采用oauth2.0授权认证,使用jwt对token增强。本文仅为学习记录,如有不足多谢提出。
Springboot整合OAuth2
qq_41566980的博客
08-28 9392
概述:Spring OAuth2有四种授权方式: 1、授权码模式(authorization code) 2、简化模式(implicit) 3、密码模式(resource owner password credentials) 4、客户端模式(client credentials) 其中用得比较多的是密码模式和客户端模式,下面就举例客户端模式,本示例项目中认证服务和资源服务是同一服务 参考文章地址 一、前期准备 1.引入maven依赖 2.数据库脚本导入 -- ----------------------
SpringBoot集成OAuth2技术
禅与计算机程序设计艺术
01-28 2455
1.背景介绍 1. 背景介绍 OAuth2 是一种授权协议,它允许用户授予第三方应用程序访问他们的资源,而无需将他们的凭据(如密码)传递给这些应用程序。这种授权协议在现代互联网应用程序中广泛使用,例如在社交网络、单点登录(SSO)和其他云服务中。 Spring Boot 是一个用于构建Spring 应用程序的快速开始搭建平台。它提供了一种简单的方法来配置 Spring 应用程序,使其易于...
权限管理 springboot集成springSecurity Oauth2 JWT
qq_50909707的博客
10-06 7939
实现SpringSecurity里的UserDetailsService接口的LoadUserByUsername方法便可以实现自定义登录逻辑。以下代码将实现用户名为admin,密码为123的登录。一旦使用了自定义登录逻辑,原本的user和打印的password登录将不再生效。此时,通过admin 123便可登录。对于登出SpringSecurity也提供了一个/logout的接口。
springbootspringsecurity整合OAuth2
足迹人生的博客
01-13 3201
springbootspringsecurity整合OAuth2
实战:使用SpringBoot进行OAuth2JWT认证
禅与计算机程序设计艺术
01-28 1839
1.背景介绍 1. 背景介绍 OAuth2JWT 是现代 Web 应用程序中的两种常见身份验证和授权方法。OAuth2 是一种授权代理模式,允许用户授予第三方应用程序访问他们的资源,而不需要暴露他们的凭据。JWT(JSON Web Token)是一种用于在不安全的网络中传输声明的开放标准(RFC 7519)。 Spring Boot 是一个用于构建Spring 应用程序的快速开始桌...
Springboot3.x测试JWTOAuth2
rooney84的博客
05-15 3946
OAuth 是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。OAuth 在客户端服务提供者之间,设置了一个授权层(authorization layer)。客户端不能直接访问服务提供者,只能访问授权层,以此将用户客户端区分开来。客户端携带的令牌(token)用来指定权限范围和有效期,校验通过后,服务提供者根据令牌的权限范围和有效期,向客户端开放对应的资源。
Spring Boot 实现OAuth2 + JWT认证
zhaoyang10的专栏
12-07 7167
8.整个方案中,access token是一种by reference token,不包含用户信息可以直接暴露在公网上;3.客户在访问微服务之前,先通过授权服务器登录获取access token,然后将access token和请求一起发送到网关;4.网关获取access token,通过授权服务器校验token,同时做token转换获取JWT token。6.JWT中可以存储用户会话信息,该信息可以传递给后台的微服务,也可以在微服务之间传递,用作认证授权等用途;......
SpringBoot 如何使用 OAuth2 进行认证和授权
it_xushixiong的博客
06-23 6106
在本文中,我们介绍了如何在 SpringBoot 中使用 OAuth2 进行认证和授权。我们首先介绍了 OAuth2 的基本概念和 Spring Security 和 Spring OAuth2 的相关知识,然后详细讲解了在 SpringBoot 中如何配置 Spring Security 和 OAuth2,以及如何创建控制器来处理 OAuth2 相关请求。通过本文的讲解,相信读者已经掌握了在 SpringBoot 中使用 OAuth2 进行认证和授权的。
Spring Boot OAuth2 整合详解
深圳市多克创新科技有限公司
10-19 2346
Spring Boot OAuth 2.0整合详解
springboot2整合oauth2
热门推荐
qq_37170583的博客
06-15 6万+
1.背景 项目由springboot1.5.X升级到springboot2.0.0后,导致各组件API以及依赖包发生了变化。 完整项目demo:https://gitee.com/zkane/springboot2-oauth2.git 2.spring security Spring Security 从入门到进阶系列教程网址:http://www.spring4all.com/ar...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

fanxbl957

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值