使用Spring Boot和Spring Security构建安全的RESTful API:JWT与OAuth2实战

最新推荐文章于 2025-12-03 08:47:28 发布
原创 最新推荐文章于 2025-12-03 08:47:28 发布 · 335 阅读 · 9 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#Spring Boot #Spring Security #JWT #OAuth2 #RESTful API

使用Spring Boot和Spring Security构建安全的RESTful API

引言

在现代Web开发中,安全性是一个不可忽视的重要方面。尤其是在构建RESTful API时,如何确保用户身份验证和授权是开发者必须面对的挑战。本文将介绍如何使用Spring Boot和Spring Security结合JWT(JSON Web Token)和OAuth2来构建一个安全的RESTful API。

技术栈

  • 核心框架: Spring Boot, Spring Security
  • 身份验证与授权: JWT, OAuth2
  • 数据库: H2 (用于演示)
  • 构建工具: Maven

项目初始化

首先,我们需要创建一个Spring Boot项目。可以通过Spring Initializr快速生成项目骨架。以下是项目的pom.xml依赖配置:

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-api</artifactId>
        <version>0.11.5</version>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-impl</artifactId>
        <version>0.11.5</version>
        <scope>runtime</scope>
    </dependency>
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-jackson</artifactId>
        <version>0.11.5</version>
        <scope>runtime</scope>
    </dependency>
    <dependency>
        <groupId>com.h2database</groupId>
        <artifactId>h2</artifactId>
        <scope>runtime</scope>
    </dependency>
</dependencies>

配置Spring Security

接下来,我们需要配置Spring Security以启用JWT和OAuth2支持。以下是一个简单的安全配置类:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeRequests()
            .antMatchers("/api/public/**").permitAll()
            .anyRequest().authenticated()
            .and()
            .oauth2ResourceServer().jwt();
    }

    @Bean
    public JwtDecoder jwtDecoder() {
        return NimbusJwtDecoder.withPublicKey(publicKey()).build();
    }

    private RSAPublicKey publicKey() {
        // 生成或加载公钥
    }
}

实现JWT生成与验证

为了生成和验证JWT,我们需要一个工具类。以下是一个简单的实现:

@Component
public class JwtTokenProvider {

    private String jwtSecret = "your-secret-key";
    private long jwtExpirationInMs = 3600000; // 1小时

    public String generateToken(Authentication authentication) {
        UserPrincipal userPrincipal = (UserPrincipal) authentication.getPrincipal();
        Date now = new Date();
        Date expiryDate = new Date(now.getTime() + jwtExpirationInMs);

        return Jwts.builder()
                .setSubject(Long.toString(userPrincipal.getId()))
                .setIssuedAt(new Date())
                .setExpiration(expiryDate)
                .signWith(SignatureAlgorithm.HS512, jwtSecret)
                .compact();
    }

    public Long getUserIdFromJWT(String token) {
        Claims claims = Jwts.parser()
                .setSigningKey(jwtSecret)
                .parseClaimsJws(token)
                .getBody();

        return Long.parseLong(claims.getSubject());
    }

    public boolean validateToken(String authToken) {
        try {
            Jwts.parser().setSigningKey(jwtSecret).parseClaimsJws(authToken);
            return true;
        } catch (Exception ex) {
            // 处理异常
        }
        return false;
    }
}

实现OAuth2支持

OAuth2是一种授权框架,可以用于第三方应用访问用户资源。以下是一个简单的OAuth2配置:

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("client-id")
                .secret("client-secret")
                .authorizedGrantTypes("password", "refresh_token")
                .scopes("read", "write")
                .accessTokenValiditySeconds(3600)
                .refreshTokenValiditySeconds(86400);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManager);
    }
}

测试API

最后,我们可以编写一个简单的控制器来测试我们的API:

@RestController
@RequestMapping("/api")
public class ApiController {

    @GetMapping("/public/hello")
    public String publicHello() {
        return "Hello, Public!";
    }

    @GetMapping("/private/hello")
    public String privateHello() {
        return "Hello, Private!";
    }
}

总结

本文详细介绍了如何使用Spring Boot和Spring Security结合JWT和OAuth2构建安全的RESTful API。通过实际代码示例,展示了从项目初始化到API测试的全过程。希望这篇文章能帮助你在实际项目中快速实现安全功能。

配置 Spring Security JWT(四)
qiuweifan的博客
03-29 1715
userDetail生成验证JWT的实用程序类详解
java dto 实例,如何通过ModelMapper将Java记录用作DTO?
weixin_27028523的博客
02-16 592
I'm refactoring my code. I want to use java records instead of java class in my DTO. To convert DTO to Entity, I'm using ModelMapper (version 2.3.5). When I try to get info about user (call method co ...
使用Spring BootSpring Security构建安全RESTful APIJWTOAuth2实战
intwei的博客
06-17 303
本文详细介绍了如何使用Spring BootSpring Security构建安全RESTful API,涵盖了JWTOAuth2的集成实战应用。通过本文的学习,读者可以掌握如何在项目中实现认证授权功能,从而提升应用的安全性。
构建安全RESTful APISpring BootSpring Security实战
intwei的博客
06-07 549
Spring Boot是一个基于Spring框架的快速开发框架,通过自动配置约定优于配置的原则,简化了Spring应用的开发部署。通过实现@Service@Autowired@Override本文介绍了如何使用Spring BootSpring Security构建安全RESTful API,从基础配置到高级特性的实现。通过合理的配置扩展,可以满足不同场景下的安全需求。
Spring Security + JWT token 做权限认证
热门推荐
xqt8888的专栏
08-29 1万+
前言 我的项目是用SpringBoot 搭建的一个App-Server,用来响应移动端的访问请求,设计的方式是前后端分离的 。本来对权限的做法是在请求里面加上token 字段,然后服务器端再对token做解析,得到userid,再根据userid 查找数据库,来判断当前用户是否有权限访问这个接口。token 是用的JWT;这样做除了每个接口都要写解析token 权限的判断代码外,感觉也没有其...
使用Java开发RESTful APIWeb服务:如何构建高效、安全的Web服务?
喵手的博客
12-03 1738
随着微服务架构的普及,构建高效、可扩展的Web服务变得尤为重要。在这些服务中,API扮演着至关重要的角色。通过RESTful API,客户端服务端之间可以进行无状态的通信,操作资源,实现数据交互。对于Java开发者来说,Spring Boot构建RESTful APIWeb服务的首选框架,因为它简化了开发过程,提升了生产力。
易语言源码易语言电脑配机系统软件
最新发布
06-24
易语言源码易语言电脑配机系统软件
逆向工程基于ARM64 ELF的字符串加密分析:Android二进制程序密文恢复动态解密算法逆向研究
06-24
内容概要:本文详细记录了对一个Android ARM64静态ELF文件中字符串加密机制的逆向分析过程。该ELF文件的所有字符串均被加密,无法通过常规strings命令或IDA直接识别。作者通过分析发现,加密字符串存储在.rodata段,其解密所需信息(包括密文地址、长度16位密钥)保存在.data.rel.ro段的40字节描述符中。核心解密函数sub_10F408采用自反的双pass流密码算法,结合固定密钥KEY_TERM(由.data段24字节数据计算得出),实现字节级非线性、位置长度相关的加密。文章还复现了完整的Python解密脚本,并揭示了该保护机制的本质为代码混淆而非强加密,最终成功批量解密全部956条字符串,暴露程序真实行为,如shell命令模板、设备标识篡改、网络重置等操作。此外,文中还提及未启用的自定义壳框架及其反dump设计。; 适合人群:具备逆向工程基础的安全研究人员、二进制分析人员及对ELF保护技术感兴趣的开发者。; 使用场景及目标:①学习ELF二进制中字符串加密的典型实现方式逆向突破口;②掌握从结构识别、函数追踪到算法还原的完整逆向流程;③理解“绑定二进制”的完整性校验设计及其局限性;④实践编写IDAPython脚本自动化提取解密敏感数据。; 阅读建议:此资源以实战案例驱动,不仅展示技术细节,更强调逆向思维验证方法,建议读者结合IDA调试环境,逐步跟随文中步骤进行动态分析算法验证,深入理解每一步的推理依据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Uranus^

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值