logo标签列表

使用JWT令牌的Spring Boot WebFlux安全性

spring-bootspring-securityjwtspring-webflux
5

尝试使用Spring Boot WebFlux建立基于JWT令牌的身份验证。

Spring Boot版本:- 2.3.0.BUILD-SNAPSHOT

技术栈:- Angular 9,Spring Boot 2.3.0.BUILD-SNAPSHOT,Spring Security,Spring Security JWT

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-webflux</artifactId>
        </dependency>
<dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-jwt</artifactId>
            <version>1.1.0.RELEASE</version>
        </dependency>

GUI 是基于 Angular 9 的,使用基于表单的身份验证。

需要使用 JWT 对来自 Angular 的调用以及直接调用 API 的调用进行验证。

WebSecurityConfig

@Configuration
@EnableWebFluxSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private ServerSecurityContextRepository securityContextRepository;

    @Bean
    public SecurityWebFilterChain securitygWebFilterChain(ServerHttpSecurity http) {
        return http.exceptionHandling().authenticationEntryPoint((swe, e) -> {
            return Mono.fromRunnable(() -> {
                swe.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED);
            });
        }).accessDeniedHandler((swe, e) -> {
            return Mono.fromRunnable(() -> {
                swe.getResponse().setStatusCode(HttpStatus.FORBIDDEN);
            });
        }).and().csrf().disable().formLogin().disable().httpBasic().disable()
                .authenticationManager(authenticationManager).securityContextRepository(securityContextRepository)
                .authorizeExchange().pathMatchers(HttpMethod.OPTIONS).permitAll().pathMatchers("/login").permitAll()
                .anyExchange().authenticated().and().build();
    }

    @Bean
    public PBKDF2Encoder passwordEncoder() {
        return new PBKDF2Encoder();
    }

}

PBKDF2Encoder,

@Component
public class PBKDF2Encoder implements PasswordEncoder {
    @Value("${springbootwebfluxjjwt.password.encoder.secret}")
    private String secret;

    @Value("${springbootwebfluxjjwt.password.encoder.iteration}")
    private Integer iteration;

    @Value("${springbootwebfluxjjwt.password.encoder.keylength}")
    private Integer keylength;

    /**
     * More info (https://www.owasp.org/index.php/Hashing_Java)
     * 
     * @param cs password
     * @return encoded password
     */
    @Override
    public String encode(CharSequence cs) {
        try {
            byte[] result = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA512")
                    .generateSecret(
                            new PBEKeySpec(cs.toString().toCharArray(), secret.getBytes(), iteration, keylength))
                    .getEncoded();
            return Base64.getEncoder().encodeToString(result);
        } catch (NoSuchAlgorithmException | InvalidKeySpecException ex) {
            throw new RuntimeException(ex);
        }
    }

    @Override
    public boolean matches(CharSequence cs, String string) {
        return encode(cs).equals(string);
    }
}

AuthenticationManager,

@Component
public class AuthenticationManager implements ReactiveAuthenticationManager {

    @Autowired
    private JWTUtil jwtUtil;

    @Override
    public Mono<Authentication> authenticate(Authentication authentication) {
        String authToken = authentication.getCredentials().toString();

        String username;
        try {
            username = jwtUtil.getUsernameFromToken(authToken);
        } catch (Exception e) {
            username = null;
        }
        if (username != null && jwtUtil.validateToken(authToken)) {
            Claims claims = jwtUtil.getAllClaimsFromToken(authToken);
            List<String> rolesMap = claims.get("role", List.class);
            List<Role> roles = new ArrayList<>();
            for (String rolemap : rolesMap) {
                roles.add(Role.valueOf(rolemap));
            }
            UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(
                username,
                null,
                roles.stream().map(authority -> new SimpleGrantedAuthority(authority.name())).collect(Collectors.toList())
            );
            return Mono.just(auth);
        } else {
            return Mono.empty();
        }
    }
}

SecurityContextRepository,

@Component
public class SecurityContextRepository implements ServerSecurityContextRepository {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Override
    public Mono<Void> save(ServerWebExchange swe, SecurityContext sc) {
        throw new UnsupportedOperationException("Not supported yet.");
    }

    @Override
    public Mono<SecurityContext> load(ServerWebExchange swe) {
        ServerHttpRequest request = swe.getRequest();
        String authHeader = request.getHeaders().getFirst(HttpHeaders.AUTHORIZATION);

        if (authHeader != null && authHeader.startsWith("Bearer ")) {
            String authToken = authHeader.substring(7);
            Authentication auth = new UsernamePasswordAuthenticationToken(authToken, authToken);
            return this.authenticationManager.authenticate(auth).map((authentication) -> {
                return new SecurityContextImpl(authentication);
            });
        } else {
            return Mono.empty();
        }
    }

}

这是正确的方法吗?有更好的方法吗?

2
你的代码写得非常“非函数式”。在响应式编程中,永远不会使用try/catch,因为它是阻塞的,而且你也不会抛出异常,而是返回包含异常的Mono.errors()。在Mono/Flux的上下文中完成的任务越多,服务器就可以通过利用内容切换线程的能力来进行优化。相反地,请尝试从jwtUtil.getUsernameFromToken返回一个Mono<String>并对结果进行flatMap。在jwtUtil.getUsernameFromToken中,根据您想要处理的方式返回Mono.empty或Mono.error。 - Toerktumlare
1
方法取决于您想要实现什么。您的第一个问题是必须了解正在发生的情况。我建议您自己配置AuthorizationWebFilter,并添加访问授权管理器以检查传入的令牌,您可以参考https://github.com/soasada/kotlin-coroutines-webflux-security,其中我更多或更少地解释了如何做到这一点(使用kotlin,但对于java来说是相同的)。 - Nico
@Nico,我在控制器上没有看到获取自定义声明的示例。我正在令牌中设置2个声明,并需要在处理程序中使用相同的声明。 - user1578872
1个回答
8
我曾经遇到过同样的问题,经过大量研究后,我已经成功地实现了一个完全 100% 功能正常的演示项目,其中使用了 webflux + webflux-security 和其他技术... 你可以在这里找到完整的实现代码:https://github.com/eriknyk/webflux-jwt-security-demo
该实现包含以下内容:
- Spring webflux - 使用 JWT + 验证层实现的 Spring security - 用户注册演示端点 - 用户身份验证端点 - 模型到 DTO 映射 (使用 mapstruct) - 使用 Postgresql 存储库实现的 User R2db - 根据数据库中的用户记录在 Spring Security 层进行用户验证
非常感谢您创建那个演示! 我已经花费了无数的时间尝试让它正确地工作,但是有了您的示例,我在一个小时内就让它工作了。 - Michael
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接