Jwt-Spring-Security-JPA

Jwt-Spring-Security-JPA

JWT结合Spring Security和JPA实现的认证系统演示

该项目展示了基于JWT、Spring Security和JPA的后端认证系统实现。系统支持邮箱注册、多设备管理、JWT黑名单、邮箱验证和密码重置等功能。项目集成Swagger文档和自定义异常处理,提供API使用说明。这是一个功能完善的认证系统演示,可供开发人员学习参考。

JWTSpring SecurityJPA认证APIGithub开源项目

Jwt-Spring-Security-JPA

GitHub

一个演示项目,解释使用Spring Security和MySQL JPA进行JWT(Json Web Token)认证的后端认证。

支持以下功能:

  • 支持管理员的常规电子邮件/用户名注册。
  • 使用Spring Security进行常规登录并生成JWT令牌。
  • 支持多设备登录和注销。
  • 用于在用户注销时将JWT令牌列入黑名单的内存存储。
  • 基于过期的电子邮件验证。注册时发送邮件。
  • 如果旧的确认邮件过期,重新发送电子邮件确认邮件。
  • 忘记密码功能,包括密码重置令牌验证。
  • 利用Spring security保护的管理员URL。
  • 临时JWT过期后刷新JWT令牌。
  • 在注册过程中检查用户名/电子邮件的可用性。


JWT

JSON Web Tokens是一种开放的行业标准RFC 7519方法,用于在两方之间安全地表示声明。


Swagger文档

该项目已配置Swagger文档,暴露了带有模式的API

应用运行后可在http://localhost:9004/swagger-ui访问。

image


异常处理

  • 该应用在必要时抛出自定义异常,这些异常通过控制器通知捕获。然后返回适当的错误响应给调用者
  • 此外,实体使用JSR-303验证约束进行验证。

入门

<h4> 克隆应用程序 </h4>
$ git clone https://github.com/isopropylcyanide/Jwt-Spring-Security-JPA.git $ cd Jwt-Spring-Security-JPA
<h4> 创建MySQL数据库 </h4>
$ create database login_db
<h4> 根据您的MySQL安装更改MySQL用户名和密码 </h4>
  • 根据您的mysql安装,在src/main/resources/application.properties中编辑spring.datasource.usernamespring.datasource.password属性
  • 根据您的邮件服务器,在src/main/resources/mail.properties中编辑spring.mail.usernamespring.mail.password属性
<h4> 运行应用程序 </h4>
./mvnw spring-boot:run # 适用于UNIX/Linux操作系统 mvnw.cmd spring-boot:run # 适用于Windows操作系统
  • 服务器将在server.port:9004上启动,并为您创建表。
  • 每次运行应用程序都会重置您的状态。要避免这种情况,请修改spring.jpa.hibernate.ddl-auto: update

API

<details> <summary>注册用户</summary>
curl --location --request POST 'localhost:9004/api/auth/register' \
--header 'Content-Type: application/json' \
--data-raw '{
    "email": "amangarg1995sep@gmail.com",
    "password": "amangarg",
    "registerAsAdmin": true
}'

image

⚠️ 如果您两次重新注册同一电子邮件,您将收到"电子邮件已使用"错误

</details>
<details> <summary>未验证用户登录</summary>
curl --location --request POST 'localhost:9004/api/auth/login' \
--header 'Content-Type: application/json' \
--data-raw '{
    "email": "amangarg1995sep@gmail.com",
    "password": "amangarg",
    "deviceInfo": {
        "deviceId": "D1",
        "deviceType": "DEVICE_TYPE_ANDROID",
        "notificationToken": "N1"
    }
}'

image

</details>
<details> <summary>确认用户电子邮件验证令牌</summary>
curl --location --request GET 'localhost:9004/api/auth/registrationConfirmation?token=bcbf8764-dbf2-4676-9ebd-2c74436293b9' \
--header 'Content-Type: application/json' \
--data-raw '{
    "email": "a@b.com",
    "password": "HI12",
    "deviceInfo": {
        "deviceId": "D1",
        "deviceType": "DEVICE_TYPE_ANDROID",
        "notificationToken": "N1"
    }
}'

image

⚠️ 如果您传递错误的令牌,您将收到"令牌不匹配错误"

不知道令牌?:检查mail.properties中的电子邮件

仍然没有收到?:查看数据库中的email_verification_token#token

</details>
<details> <summary>使用有效凭据登录用户</summary>
curl --location --request POST 'localhost:9004/api/auth/login' \
--header 'Content-Type: application/json' \
--data-raw '{
    "email": "amangarg1995sep@gmail.com",
    "password": "amangarg",
    "deviceInfo": {
        "deviceId": "D1",
        "deviceType": "DEVICE_TYPE_ANDROID",
        "notificationToken": "N1"
    }
}'

image

⚠️ 如果您输入不正确的凭据,您将收到"凭据错误"错误

⚠️ 如果您的电子邮件未验证(参考上面的API),您将收到"未授权"错误

❔ 需要设备信息以启用多设备登录和注销功能。

</details>
<details> <summary>使用JWT令牌访问用户资源</summary>
curl --location --request GET 'localhost:9004/api/user/me' \
--header 'Authorization: Bearer eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiIxIiwiaWF0IjoxNjM1NjE0NTY4LCJleHAiOjE2MzU2MTU0Njh9.d8CJYduoC44njutphODoezheSt_so3Doc9g1RSiMaDU_qJwY0_3Ym4092hFkHsh-jbyB_9i66LbwSEE-szAgEw'

image

⚠️ 如果您输入无效的令牌(登录后获得),您将收到"JWT签名不正确"错误。

⚠️ 如果您输入格式错误的JWT令牌,您将收到"JWT签名格式错误"错误。

⚠️ 如果您输入过期的JWT令牌(默认:app.jwt.expiration),您将收到"JWT签名过期"错误,客户端应刷新JWT令牌。

image

</details>
<details> <summary>使用JWT令牌访问管理员资源</summary>
curl --location --request GET 'localhost:9004/api/user/admins' \
--header 'Authorization: Bearer eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiIxIiwiaWF0IjoxNjM1NjE0NTY4LCJleHAiOjE2MzU2MTU0Njh9.d8CJYduoC44njutphODoezheSt_so3Doc9g1RSiMaDU_qJwY0_3Ym4092hFkHsh-jbyB_9i66LbwSEE-szAgEw'

image

⚠️ 如果您注册用户时设置registerAsAdmin: false,那么您将收到"禁止访问"错误。 image

⚠️ JWT必须有效(与上述用户资源API相同的约束)

</details>
<details> <summary>用户注销</summary> ``` curl --location --request POST 'localhost:9004/api/user/logout' \ --header 'Authorization: Bearer eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiIxIiwiaWF0IjoxNjM1NjE0NTY4LCJleHAiOjE2MzU2MTU0Njh9.d8CJYduoC44njutphODoezheSt_so3Doc9g1RSiMaDU_qJwY0_3Ym4092hFkHsh-jbyB_9i66LbwSEE-szAgEw' \ --header 'Content-Type: application/json' \ --data-raw '{ "deviceInfo": { "deviceId": "D1", "deviceType": "DEVICE_TYPE_ANDROID", "notificationToken": "N1" } }' ```

图片

❔ 注销也会删除与设备关联的刷新令牌。在实际生产中,应该特别使该令牌失效。

⚠️ 如果未传递JWT,则会收到"Unauthorized"错误。

图片

⚠️ 如果尝试两次注销同一用户(未重启应用),将收到"Token Expired"错误。这是因为在注销时我们使JWT失效。

图片

⚠️ 如果尝试使用无效设备(比如D2)注销已登录用户,将收到"Invalid Device"错误。

图片

</details>
<details> <summary>为已注册用户请求重置密码链接</summary>
curl --location --request POST 'localhost:9004/api/auth/password/resetlink' \
--header 'Content-Type: application/json' \
--data-raw '{
    "email": "amangarg1995sep@gmail.com"
}'

图片

❔ 可以多次请求密码重置。重置令牌将多次生成,有效期为app.token.password.reset.duration

❔ 即使用户尚未验证其电子邮件,也可以为其请求密码重置。这对我们的演示案例来说是可以的。

⚠️ 如果尝试为未注册用户请求密码重置,将收到"No matching user"错误

</details>
<details> <summary>重置已注册用户的密码</summary>
curl --location --request POST 'localhost:9004/api/auth/password/reset' \
--header 'Content-Type: application/json' \
--data-raw '{
    "email": "amangarg1995sep@gmail.com",
    "password": "P1",
    "confirmPassword": "P1",
    "token": "880ab6f1-4b4b-4d04-92bd-8995b4063205"
}'

图片

⚠️ 如果新密码不匹配,将出现错误

⚠️ 如果密码重置令牌无效或属于其他用户,将收到"Password Reset Token Not Found"错误。

图片

⚠️ 如果尝试两次使用同一个密码重置令牌,将收到"Token Inactive"错误 图片

</details>
<details> <summary>刷新JWT令牌以延长登录会话</summary>
curl --location --request POST 'localhost:9004/api/auth/refresh' \
--header 'Content-Type: application/json' \
--data-raw '{
    "refreshToken": "d029e0fa-80f5-4768-837c-7e85a0f94960"
}'

图片

❔ 可以使用刷新令牌多次刷新JWT。这就是刷新的目的。刷新令牌的过期时间可以通过app.token.refresh.duration控制

⚠️ 如果传递无效的刷新令牌(通过登录获得),将收到"No token found"错误

图片

</details>
<details> <summary>检查电子邮件是否使用</summary>
curl --location --request GET 'localhost:9004/api/auth/checkEmailInUse?email=amangarg1995sep@gmail.com'

图片

❔ 该API可以不安全地访问,因此在生产环境中应进行速率限制,以防止DDOS攻击。

❔ 即使用户尚未验证其电子邮件,也可以为其请求密码重置。这对我们的演示案例来说是可以的。

⚠️ 如果尝试为未注册用户请求密码重置,将收到"No matching user"错误

</details>
<h3> 角色 </h3>
  • Spring Boot应用程序使用基于Spring Security的基于角色的授权
  • 表和角色数据应该在首次启动时默认创建。
  • 任何新注册应用程序的用户默认被分配ROLE_USER角色。
  • 如果未创建角色条目,请在数据库中执行以下SQL查询以插入USERADMIN角色。
INSERT INTO `login_db.role` (ROLE_NAME) VALUES ('ROLE_USER'); INSERT INTO `login_db.role` (ROLE_NAME) VALUES ('ROLE_ADMIN');

贡献

  • 请记住,该项目是一个演示,不应直接用于生产。
  • 请fork项目并根据您的用例进行调整。
  • 提交带有适当动机和测试计划的拉取请求。
  • Postman集合转储可在此处)获得。
  • 并非所有内容都在此演示项目的范围内。欢迎fork项目并扩展功能。
  • 该项目配备了JUnit,但大多数地方缺少测试。在这方面非常感谢您的贡献。

编辑推荐精选

Trae

Trae

字节跳动发布的AI编程神器IDE

Trae是一种自适应的集成开发环境(IDE),通过自动化和多元协作改变开发流程。利用Trae,团队能够更快速、精确地编写和部署代码,从而提高编程效率和项目交付速度。Trae具备上下文感知和代码自动完成功能,是提升开发效率的理想工具。

AI工具TraeAI IDE协作生产力转型热门
问小白

问小白

全能AI智能助手,随时解答生活与工作的多样问题

问小白,由元石科技研发的AI智能助手,快速准确地解答各种生活和工作问题,包括但不限于搜索、规划和社交互动,帮助用户在日常生活中提高效率,轻松管理个人事务。

热门AI助手AI对话AI工具聊天机器人
Transly

Transly

实时语音翻译/同声传译工具

Transly是一个多场景的AI大语言模型驱动的同声传译、专业翻译助手,它拥有超精准的音频识别翻译能力,几乎零延迟的使用体验和支持多国语言可以让你带它走遍全球,无论你是留学生、商务人士、韩剧美剧爱好者,还是出国游玩、多国会议、跨国追星等等,都可以满足你所有需要同传的场景需求,线上线下通用,扫除语言障碍,让全世界的语言交流不再有国界。

讯飞智文

讯飞智文

一键生成PPT和Word,让学习生活更轻松

讯飞智文是一个利用 AI 技术的项目,能够帮助用户生成 PPT 以及各类文档。无论是商业领域的市场分析报告、年度目标制定,还是学生群体的职业生涯规划、实习避坑指南,亦或是活动策划、旅游攻略等内容,它都能提供支持,帮助用户精准表达,轻松呈现各种信息。

AI办公办公工具AI工具讯飞智文AI在线生成PPTAI撰写助手多语种文档生成AI自动配图热门
讯飞星火

讯飞星火

深度推理能力全新升级,全面对标OpenAI o1

科大讯飞的星火大模型,支持语言理解、知识问答和文本创作等多功能,适用于多种文件和业务场景,提升办公和日常生活的效率。讯飞星火是一个提供丰富智能服务的平台,涵盖科技资讯、图像创作、写作辅助、编程解答、科研文献解读等功能,能为不同需求的用户提供便捷高效的帮助,助力用户轻松获取信息、解决问题,满足多样化使用场景。

热门AI开发模型训练AI工具讯飞星火大模型智能问答内容创作多语种支持智慧生活
Spark-TTS

Spark-TTS

一种基于大语言模型的高效单流解耦语音令牌文本到语音合成模型

Spark-TTS 是一个基于 PyTorch 的开源文本到语音合成项目,由多个知名机构联合参与。该项目提供了高效的 LLM(大语言模型)驱动的语音合成方案,支持语音克隆和语音创建功能,可通过命令行界面(CLI)和 Web UI 两种方式使用。用户可以根据需求调整语音的性别、音高、速度等参数,生成高质量的语音。该项目适用于多种场景,如有声读物制作、智能语音助手开发等。

咔片PPT

咔片PPT

AI助力,做PPT更简单!

咔片是一款轻量化在线演示设计工具,借助 AI 技术,实现从内容生成到智能设计的一站式 PPT 制作服务。支持多种文档格式导入生成 PPT,提供海量模板、智能美化、素材替换等功能,适用于销售、教师、学生等各类人群,能高效制作出高品质 PPT,满足不同场景演示需求。

讯飞绘文

讯飞绘文

选题、配图、成文,一站式创作,让内容运营更高效

讯飞绘文,一个AI集成平台,支持写作、选题、配图、排版和发布。高效生成适用于各类媒体的定制内容,加速品牌传播,提升内容营销效果。

热门AI辅助写作AI工具讯飞绘文内容运营AI创作个性化文章多平台分发AI助手
材料星

材料星

专业的AI公文写作平台,公文写作神器

AI 材料星,专业的 AI 公文写作辅助平台,为体制内工作人员提供高效的公文写作解决方案。拥有海量公文文库、9 大核心 AI 功能,支持 30 + 文稿类型生成,助力快速完成领导讲话、工作总结、述职报告等材料,提升办公效率,是体制打工人的得力写作神器。

openai-agents-python

openai-agents-python

OpenAI Agents SDK,助力开发者便捷使用 OpenAI 相关功能。

openai-agents-python 是 OpenAI 推出的一款强大 Python SDK,它为开发者提供了与 OpenAI 模型交互的高效工具,支持工具调用、结果处理、追踪等功能,涵盖多种应用场景,如研究助手、财务研究等,能显著提升开发效率,让开发者更轻松地利用 OpenAI 的技术优势。

下拉加载更多