使用 JWT 令牌的 Spring Boot webflux 安全性
Posted
技术标签:
【中文标题】使用 JWT 令牌的 Spring Boot webflux 安全性【英文标题】:Spring boot webflux security with JWT token 【发布时间】:2020-07-18 14:56:23 【问题描述】:尝试使用 Spring boot webflux 设置基于 JWT 令牌的身份验证。
Spring boot 版本:- 2.3.0.BUILD-SNAPSHOT
技术栈:- Angular 9、Spring boot 2.3.0.BUILD-SNAPSHOT、Spring security、Spring security JWT
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-webflux</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-jwt</artifactId>
<version>1.1.0.RELEASE</version>
</dependency>
GUI 基于 Angular 9 并使用基于表单的身份验证。
来自 Angular 的调用需要 JWT,也需要直接调用 API。
WebSecurityConfig,
@Configuration
@EnableWebFluxSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private ServerSecurityContextRepository securityContextRepository;
@Bean
public SecurityWebFilterChain securitygWebFilterChain(ServerHttpSecurity http)
return http.exceptionHandling().authenticationEntryPoint((swe, e) ->
return Mono.fromRunnable(() ->
swe.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED);
);
).accessDeniedHandler((swe, e) ->
return Mono.fromRunnable(() ->
swe.getResponse().setStatusCode(HttpStatus.FORBIDDEN);
);
).and().csrf().disable().formLogin().disable().httpBasic().disable()
.authenticationManager(authenticationManager).securityContextRepository(securityContextRepository)
.authorizeExchange().pathMatchers(HttpMethod.OPTIONS).permitAll().pathMatchers("/login").permitAll()
.anyExchange().authenticated().and().build();
@Bean
public PBKDF2Encoder passwordEncoder()
return new PBKDF2Encoder();
PBKDF2编码器,
@Component
public class PBKDF2Encoder implements PasswordEncoder
@Value("$springbootwebfluxjjwt.password.encoder.secret")
private String secret;
@Value("$springbootwebfluxjjwt.password.encoder.iteration")
private Integer iteration;
@Value("$springbootwebfluxjjwt.password.encoder.keylength")
private Integer keylength;
/**
* More info (https://www.owasp.org/index.php/Hashing_Java)
*
* @param cs password
* @return encoded password
*/
@Override
public String encode(CharSequence cs)
try
byte[] result = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA512")
.generateSecret(
new PBEKeySpec(cs.toString().toCharArray(), secret.getBytes(), iteration, keylength))
.getEncoded();
return Base64.getEncoder().encodeToString(result);
catch (NoSuchAlgorithmException | InvalidKeySpecException ex)
throw new RuntimeException(ex);
@Override
public boolean matches(CharSequence cs, String string)
return encode(cs).equals(string);
身份验证管理器,
@Component
public class AuthenticationManager implements ReactiveAuthenticationManager
@Autowired
private JWTUtil jwtUtil;
@Override
public Mono<Authentication> authenticate(Authentication authentication)
String authToken = authentication.getCredentials().toString();
String username;
try
username = jwtUtil.getUsernameFromToken(authToken);
catch (Exception e)
username = null;
if (username != null && jwtUtil.validateToken(authToken))
Claims claims = jwtUtil.getAllClaimsFromToken(authToken);
List<String> rolesMap = claims.get("role", List.class);
List<Role> roles = new ArrayList<>();
for (String rolemap : rolesMap)
roles.add(Role.valueOf(rolemap));
UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(
username,
null,
roles.stream().map(authority -> new SimpleGrantedAuthority(authority.name())).collect(Collectors.toList())
);
return Mono.just(auth);
else
return Mono.empty();
SecurityContextRepository,
@Component
public class SecurityContextRepository implements ServerSecurityContextRepository
@Autowired
private AuthenticationManager authenticationManager;
@Override
public Mono<Void> save(ServerWebExchange swe, SecurityContext sc)
throw new UnsupportedOperationException("Not supported yet.");
@Override
public Mono<SecurityContext> load(ServerWebExchange swe)
ServerHttpRequest request = swe.getRequest();
String authHeader = request.getHeaders().getFirst(HttpHeaders.AUTHORIZATION);
if (authHeader != null && authHeader.startsWith("Bearer "))
String authToken = authHeader.substring(7);
Authentication auth = new UsernamePasswordAuthenticationToken(authToken, authToken);
return this.authenticationManager.authenticate(auth).map((authentication) ->
return new SecurityContextImpl(authentication);
);
else
return Mono.empty();
这是正确的方法吗?有没有更好的办法?
【问题讨论】:
您的代码写得很“无功能”。 Try/catch 从未在反应式编程中使用,因为它是阻塞的,而且您也不抛出异常,您返回包含异常的 Mono.errors()。在 Mono/Flux 的上下文中完成的事情越多,服务器就可以通过利用内容切换线程的能力进行优化。尝试从您的jwtUtil.getUsernameFromToken 和 flatMap 返回一个 Mono<String> 而不是结果。并在 jwtUtil.getUsernameFromToken 返回 Mono.empty 或 Mono.error 取决于您要如何处理它。
方法取决于您想要实现的目标。你的第一个问题是你必须知道那里发生了什么。我会建议你自己配置一个 AuthorizationWebFilter 并添加一个访问授权管理器来检查传入的令牌,你可以看看 github.com/soasada/kotlin-coroutines-webflux-security 我或多或少地解释了如何做到这一点(在 kotlin 中,但相同对于java)
@Nico,我没有看到获取控制器自定义声明的示例。我在令牌中设置了 2 个声明,并且在处理程序中需要相同的声明。
【参考方案1】:
我也遇到过同样的问题,经过大量研究,我制作了一个完全 100% 功能性的演示项目,实现了 webflux + webflux-security + 其他...... 你可以在这里找到完整的实现:https://github.com/eriknyk/webflux-jwt-security-demo
实现包含:
Spring webflux 使用 JWT + 验证层实现 Spring 安全性 用户注册演示端点 用户身份验证端点 模型到 dto 映射(使用 mapstruct) 使用 Postgresql 存储库实现的用户 R2db spring安全层中的用户验证,根据db中的用户记录进行【讨论】:
以上是关于使用 JWT 令牌的 Spring Boot webflux 安全性的主要内容,如果未能解决你的问题,请参考以下文章
使用 Stomp 在 Spring Boot 中访问 JWT 令牌
如何使用 jwt 公钥在 Spring Boot 中验证承载访问令牌
使用 JWT 令牌的 Spring Boot webflux 安全性
从 Spring Boot Rest Controller 访问 JWT 令牌