У цій лекції розберемо:
- Як налаштувати Spring Boot для роботи з JWT.
- Реалізацію генерації JWT токенів при успішній автентифікації.
- Налаштування фільтра безпеки для перевірки токенів у запитах.
- Керування доступом до захищених ресурсів за допомогою JWT і Spring Security.
Готові? Заваріть каву і поїхали!
Налаштування Spring Boot для роботи з JWT
Спочатку створимо базовий проєкт Spring Boot. Переконайтесь, що ваш pom.xml або build.gradle містить необхідні залежності:
Залежності
Якщо ви використовуєте Maven, додайте це в ваш pom.xml:
<dependencies>
<!-- Spring Web -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- Spring Security -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!-- JWT библиотека -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
</dependencies>
Або, якщо ви використовуєте Gradle:
dependencies {
implementation 'org.springframework.boot:spring-boot-starter-web'
implementation 'org.springframework.boot:spring-boot-starter-security'
implementation 'io.jsonwebtoken:jjwt:0.9.1'
}
Ці залежності забезпечать усе необхідне для реалізації JWT автентифікації.
Генерація токенів JWT
Для початку згенеруємо JWT токени. Створимо клас JwtTokenUtil, який буде відповідати за створення і валідацію токенів.
Реалізація JwtTokenUtil
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
public class JwtTokenUtil {
private static final String SECRET_KEY = "secret"; // Секретний ключ (не використовуйте такі прості ключі в реальному житті!)
private static final long EXPIRATION_TIME = 1000 * 60 * 60 * 10; // 10 годин
// Генерація токена
public String generateToken(String username) {
Map<String, Object> claims = new HashMap<>(); // Тут можна додати кастомні дані
return Jwts.builder()
.setClaims(claims)
.setSubject(username) // Встановлюємо ім'я користувача як subject токена
.setIssuedAt(new Date()) // Дата генерації токена
.setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) // Час спливу
.signWith(SignatureAlgorithm.HS512, SECRET_KEY) // Використовуємо алгоритм HMAC-SHA512 для підпису
.compact();
}
// Валідація токена (перевіряємо, чи не сплив токен і чи співпадає користувач)
public boolean validateToken(String token, String username) {
final String tokenUsername = extractUsername(token);
return (username.equals(tokenUsername) && !isTokenExpired(token));
}
// Отримання імені користувача з токена
public String extractUsername(String token) {
return extractAllClaims(token).getSubject();
}
// Перевірка спливу токена
public boolean isTokenExpired(String token) {
return extractAllClaims(token).getExpiration().before(new Date());
}
// Отримання всіх claims (payload токена)
private Claims extractAllClaims(String token) {
return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody();
}
}
У цьому класі реалізовані основні методи для роботи з JWT. Тепер можна генерувати токени, валідовувати їх і діставати дані з payload.
Захист ресурсів за допомогою JWT
Тепер переходимо до налаштування безпеки. Будемо використовувати Spring Security для фільтрації запитів і перевірки токенів.
Налаштування фільтра безпеки
Додамо фільтр, який перехоплюватиме запити, витягуватиме JWT з заголовка запиту і перевірятиме його.
import jakarta.servlet.FilterChain;
import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;
import java.io.IOException;
@Component
public class JwtRequestFilter extends OncePerRequestFilter {
private final JwtTokenUtil jwtTokenUtil;
public JwtRequestFilter(JwtTokenUtil jwtTokenUtil) {
this.jwtTokenUtil = jwtTokenUtil;
}
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
FilterChain chain) throws ServletException, IOException {
final String authorizationHeader = request.getHeader("Authorization");
String username = null;
String jwt = null;
// Витягуємо токен із заголовка "Authorization: Bearer ..."
if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
jwt = authorizationHeader.substring(7);
username = jwtTokenUtil.extractUsername(jwt);
}
// Перевіряємо токен і встановлюємо контекст безпеки
if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
if (jwtTokenUtil.validateToken(jwt, username)) {
// Створити автентифікацію на основі токена (спрощений приклад)
UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(
username, null, new ArrayList<>()
);
auth.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(auth);
}
}
// Пропускаємо запит далі
chain.doFilter(request, response);
}
}
Цей фільтр виконуватиме перевірку токена для кожного запиту і додаватиме інформацію про користувача в контекст безпеки.
Конфігурація Spring Security
Створимо клас конфігурації безпеки, щоб зареєструвати наш JwtRequestFilter і налаштувати доступ до захищених ресурсів.
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
@Configuration
@EnableWebSecurity
public class SecurityConfig {
private final JwtRequestFilter jwtRequestFilter;
public SecurityConfig(JwtRequestFilter jwtRequestFilter) {
this.jwtRequestFilter = jwtRequestFilter;
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
public AuthenticationManager authenticationManager(HttpSecurity httpSecurity) throws Exception {
return httpSecurity.getSharedObject(AuthenticationManagerBuilder.class)
.build();
}
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeHttpRequests()
.requestMatchers("/authenticate").permitAll() // Відкритий доступ для автентифікації
.anyRequest().authenticated() // Усі інші запити потребують автентифікації
.and()
.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
return http.build();
}
}
Реалізація ендпоінта автентифікації
Створимо контролер, який прийматиме ім'я користувача і пароль, а потім повертатиме JWT при успішній автентифікації.
import org.springframework.web.bind.annotation.*;
@RestController
public class AuthController {
private final JwtTokenUtil jwtTokenUtil;
public AuthController(JwtTokenUtil jwtTokenUtil) {
this.jwtTokenUtil = jwtTokenUtil;
}
@PostMapping("/authenticate")
public String authenticate(@RequestBody AuthRequest authRequest) {
// Проста перевірка імені користувача (для демонстрації, у реальному житті використовуйте UserDetailsService)
if ("user".equals(authRequest.getUsername()) && "password".equals(authRequest.getPassword())) {
return jwtTokenUtil.generateToken(authRequest.getUsername());
} else {
throw new RuntimeException("Невірні облікові дані");
}
}
}
// DTO для запиту автентифікації
class AuthRequest {
private String username;
private String password;
// Getters і Setters
}
Тепер, відправивши POST-запит на /authenticate з правильними даними, ви отримаєте JWT, який можна використовувати для доступу до захищених ресурсів.
На цьому етапі маємо базовий додаток з JWT автентифікацією. Ми створили структуру, яку легко масштабувати під складніші проєкти. У реальному житті використовуй бази даних для зберігання користувачів і ролей, а також додавай більше рівнів перевірки безпеки.
ПЕРЕЙДІТЬ В ПОВНУ ВЕРСІЮ