JAVA中Spring Security示例及常見問(wèn)題

更新時(shí)間：2025年07月29日 10:21:23 作者：真上帝的左手

文章概述Spring Security OAuth2與JWT模塊的版本兼容性及遷移建議,強(qiáng)調(diào)2.5.x支持JDK8但已棄用,推薦新項(xiàng)目使用SpringAuthorizationServer（Spring Boot3.x+）,并指出依賴沖突、配置示例及密鑰安全注意事項(xiàng),感興趣的朋友一起看看吧

前言

Spring Security‌

spring-security-oauth2
spring-security-jwt

一、spring-security-oauth2

各版本的名稱及發(fā)布日期：

版本	適用 Spring Boot	適用 Spring Security	狀態(tài)	備注‌
‌2.5.x	2.5.x - 2.7.x	5.5.x - 5.7.x	‌維護(hù)中	推薦穩(wěn)定版
‌2.4.x	2.4.x - 2.6.x	5.4.x - 5.6.x	已棄用	建議升級(jí)
‌2.3.x	2.3.x - 2.5.x	5.3.x - 5.5.x	已棄用	不推薦
‌2.2.x	2.2.x - 2.4.x	5.2.x - 5.4.x	已棄用	僅舊項(xiàng)目
‌2.1.x	2.1.x - 2.3.x	5.1.x - 5.3.x	已棄用	不推薦

Spring Boot 2.7.x + JDK 8‌的環(huán)境推薦版本‌

<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
    <version>2.5.2.RELEASE</version> <!-- 最新穩(wěn)定版 -->
</dependency>

Spring Security‌ 版本匹配

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-core</artifactId>
    <version>5.7.6</version> <!-- 推薦版本 -->
</dependency>

注意事項(xiàng)‌

Spring Security OAuth2 已棄用‌
官方推薦遷移到 ‌Spring Authorization Server‌（Spring Security 5.7+ 內(nèi)置）
新項(xiàng)目建議直接使用 spring-security-oauth2-authorization-server（Spring Boot 3.x+）
‌JDK 8 兼容性‌
- Spring Security OAuth2 2.5.x 仍支持 JDK 8
- 如需升級(jí)到 Spring Boot 3.x，需切換至 JDK 17+
‌常見問(wèn)題‌
- 如果遇到 NoSuchMethodError，檢查依賴沖突（如舊版 spring-security-jwt）
- 推薦使用 spring-security-oauth2-autoconfigure 簡(jiǎn)化配置

遷移建議‌

如果計(jì)劃升級(jí)，可參考以下路徑：

短期方案‌：繼續(xù)使用 OAuth2 2.5.x（維護(hù)模式）
長(zhǎng)期方案‌：遷移到 ‌Spring Authorization Server‌（需要 Spring Boot 3.x+）

Spring Authorization Server‌

二、spring-security-jwt

版本選擇‌
‌spring-security-jwt‌ 最終穩(wěn)定版：

    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-jwt</artifactId>
        <version>1.1.1.RELEASE</version> <!-- 官方最后維護(hù)版本 -->
    </dependency>

兼容性說(shuō)明‌：
- 需搭配 spring-security-oauth2 2.5.x 使用（如 2.5.2.RELEASE）。
- 不支持 Spring Boot 3.x 或 JDK 17+。

‌2. 基礎(chǔ)配置示例‌

‌JWT 密鑰配置‌
JwtConfig.java

@Configuration
public class JwtConfig {
    @Value("${jwt.secret}")
    private String secret;
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey(secret); // 設(shè)置簽名密鑰
        return converter;
    }
    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }
}

需在 application.properties 中配置 jwt.secret=your-256-bit-secret。
‌OAuth2 資源服務(wù)器配置‌
ResourceServerConfig.java

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/api/public/**").permitAll()
            .anyRequest().authenticated();
    }
}

‌3. 生成和解析 JWT 令牌‌

‌生成令牌（授權(quán)服務(wù)器端）‌
JwtTokenEnhancer.java

 class JwtTokenEnhancer implements TokenEnhancer {
    @Override
    public OAuth2AccessToken enhance(
        OAuth2AccessToken accessToken,
        OAuth2Authentication authentication) {
        Map<String, Object> additionalInfo = new HashMap<>();
        additionalInfo.put("organization", "example-org");
        ((DefaultOAuth2AccessToken) accessToken)
            .setAdditionalInformation(additionalInfo);
        return accessToken;
    }
}

‌解析令牌（資源服務(wù)器端）‌
JwtUtils.java

 class JwtUtils {
    public static Claims extractClaims(String token, String secret) {
        return Jwts.parser()
            .setSigningKey(secret.getBytes())
            .parseClaimsJws(token)
            .getBody();
    }
}

‌4. 注意事項(xiàng)‌

密鑰安全‌：
- 替換 JwtAccessTokenConverter 的簽名邏輯）。
依賴沖突‌：
- 避免引入 jjwt 舊版本（如 0.9.x），可能引發(fā) NoSuchMethodError。
遷移建議‌：
- 新項(xiàng)目推薦使用 spring-security-oauth2-authorization-server + jjwt 0.12.x。