minusd Jan 6 at 02:34

JWT-аутентификация при помощи Spring Boot 3 и Spring Security 6

Medium

15 min

56K

Website development*Java*API*

Tutorial

+10

Comments 12

MLedIum Jan 6 at 03:49

На протяжении нескольких лет в разных проектах видел подобное решение. При этом от Spring Security в основном берут только хранение состояния авторизации (SecurityContextHolder) и настройку доступов (MethodSecurity или настройка адресов в HttpSecurity).

Подобные варианты достаточно просты и отлично подходит для небольших проектов, но когда логика усложняется, вместо изучения технологии, добавляют костыли, полностью игнорируя гибкую архитектуру Spring Security.

TldrWiki Jan 6 at 11:08

После окончания срока действия токена предлагается снова вводить логин и пароль?

omich_xc Jan 6 at 15:38

Или использовать систему с двумя токена и. Первый будет аксесс, второй рефреш. По рефрешу можно обновить аксесс.

TldrWiki Jan 6 at 15:50

А в текущей реализации это невозможно сделать. Надо либо реализовывать вручную, а это костыль, либо oauth, а это полный отказ от текущей реализации. Или есть ещё варианты?

egribanov Jan 9 at 09:23

Я для пет проекта делал получение токена по RSA ключам, и рефреш токен (строка с имейлом и юникс временем истечения токена) аналогично шифровал ими. По идее не зная ключей токен не расшифруешь

TldrWiki Jan 9 at 18:01

Читайте, пожалуйста, комментарий. Сделать вручную можно, но это костыль. Речь о том, как средствами spring security сделать.

senglory Jan 6 at 14:27

Было бы неплохо показать как работать с refresh token

shalamberidze Jan 6 at 15:22

Статья хорошая, за UserDetails в базе спасибо, почерпнул кое что . Только одно замечание.

В 6 секюрити вроде токены проще сделаны

https://docs.spring.io/spring-security/reference/servlet/oauth2/index.html#oauth2-resource-server-access-token-jwt

Как я понимаю с фильтрами морочится уже не надо. И получаете принципала.

Просто они многое переименовали в AccessToken и JWT это одна из реализаций

spomprt Jan 6 at 15:38

Было бы круто увидеть реализацию с использованием Access и Refresh токенов

Serge1001 Jan 6 at 22:20

Интересно было бы посмотреть как сделать тоже самое в микросервисной архитектуре

Saycka Apr 24 at 09:25

Я что-то не правильно понял?

В JwtAuthenticationFilter извлекаем из токена username
Находим userDetails по этому username
Вызываем isTokenValid с этим userDetails и токеном,
в isTokenValid в частности опять извлекаем username из токена и сравниваем его с username из userDetails (которые найден по этому же username). Оно же, на сколько я понимаю, всегда совпадать будет.

Kirill-112 May 18 at 20:32

Огромное спасибо за статью! За то, что подробно всё разжевали, и, самое главное, за исходный код! Изучаю сейчас Spring Boot на одной платформе онлайн-образования, и там тема JWT была упомянута лишь вскользь. И, не смотря на это, в требованиях к проектной работе указано "желательно через JWT".

Отдельно стоит отметить, что сервис завёлся буквально с полпинка, что редкость. Обычно в подобных статьях подразумевается, что недостающий код читатели напишут сами. И ещё важный момент - никакой участок кода, который вы использовали из библиотек, не помечен как "deprecated". Тоже бы приятно удивлён. Возвращаясь к образовательной онлайн-платформе, в некоторых заданиях IDE кровоточила от количества deprecated-кода из их примеров.