Spring Boot+Vue全栈应用开发实践 课件26 Spring Security 与 JWT 全解

罗荣良SpringSecurity与JWT全解核心概念：SpringSecurity和JWT安全为什么重要—国家安全观？SpringSecurity=大楼保安负责拦截陌生人，检查证件。JWT(JSONWebToken)=通行证/工牌用户登录后发一张卡，以后凭卡进入，不用每次都问“你是谁”。为什么要换掉Session？传统Session模式：服务器要记账(内存压力大)，手机端不兼容，跨域很难搞。现代Token模式(JWT)：服务器不记账(无状态)，支持手机/网页多端，天然支持跨域。解剖JWT：它长什么样？三段式结构(用点.分隔)：1.头部(Header)：说明加密算法(HS256)。2.载荷(Payload)：存数据(如：用户ID、过期时间)。3.签名(Signature)：防伪印章(防止被篡改)。过滤器链(FilterChain)：请求->[过滤器1]->[过滤器2]->[我们要写的JWT过滤器]->...->Controller(业务代码)核心思想：层层把关。SpringSecurity的“安检流水线”代码第一步：引入依赖在pom.xml中添加：spring-boot-starter-securityjjwt(JavaJWT库)代码第二步：JWT工具类(JwtUtils)功能1：发证(生成Token)Jwts.builder().setSubject(username).signWith(key)功能2：验卡(解析Token)Jwts.parser().setSigningKey(key).parse(token)代码第三步：定义“安检员”(Filter)类名：JwtAuthenticationFilter逻辑：1.拦截请求。2.从请求头里找token。3.验证token是否有效。4.如果有效，告诉SpringSecurity"放行"。代码第四步：配置保安队(SecurityConfig)核心配置：跨站请求伪造CSRF(Cross-siterequestforgery)：关闭(因为我们不用Session)。Session：设置为STATELESS(无状态)。放行：/login接口允许任何人访问。注册过滤器：把写好的Filter加进去。整体交互流程图用户->登录(/login)->后端签发JWT->返回前端用户->携带JWT访问接口->过滤器校验->校验成功->访问Controller不要在Token里存密码！(Token是可以被解码看到的)。密钥(SecretKey)很重要，千万不能泄露，要写在配置文件里。用HTTPS防止Token在路上被截获。：安全小贴士小结本节小结：用SpringSecurity充当保安，用JWT充当通行证，实现了一套现代化的认证系统。配置项管理(application.yml)不要把密钥写死在代码里！1.不要在Payload存敏感信息(如密码)。2.Secret必须足够复杂，防止被暴力破解。3.HTTPS：Token在网络传输中需要HTTPS保护。常见安全误区测试工具类编写JUnit测试：1.生成一个Token。2.打印Token字符串。3.解析Token，看是否能还原出用户名。4.验证过期时间是否正确。本节小结与作业小结：Token结构、HS256签名、JwtUtils封装。作业：1.引入