Entrar Ainda não tem acesso?
6
respostas

[Dúvida] Token JWT inválido ou expirado!

Referente ao curso Spring Boot 3: documente, teste e prepare uma API para o deploy

por Queren Hapuque Rocha B. Fernandes
| 267.4k xp | 33 posts
Analista de Suporte Técnico

Boa Tarde! Ao iniciar o curso 3 e criar os arquivos padrão da classe "Consultas" o meu projeto deu vários erros e por isso eu voltei os arquivos do curso anterior, apaguei o banco e criei a base de novo, porém agora o estou com erros de "Token JWT inválido ou expirado!" (Quando habilito o Bearer), e quando desabilitado aparece usuário ou senha incorretos/inexistentes.

Fiz o seguinte insert no banco (diretamente pelo workbench): INSERT INTO USUARIOS VALUES (1, "queren", "$2a$10$Y50UaMFOxteibQEYLrwuHeehHYfcoafCopUazP12.rqB41bsolF5.") Insira aqui a descrição dessa imagem para ajudar na acessibilidade

Insira aqui a descrição dessa imagem para ajudar na acessibilidade

Classe Autenticação Controller

package med.voll.api.controller;

import jakarta.validation.Valid;
import med.voll.api.domain.usuario.DadosAutenticacao;
import med.voll.api.domain.usuario.Usuario;
import med.voll.api.infra.security.DadosTokenJWT;
import med.voll.api.infra.security.TokenService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.ResponseEntity;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/login")
public class AutenticacaoController {

    @Autowired
    private AuthenticationManager manager;

    @Autowired
    private TokenService tokenService;

    @PostMapping
    public ResponseEntity efetuarLogin(@RequestBody @Valid DadosAutenticacao dados) {
        try {
            var authenticationToken = new UsernamePasswordAuthenticationToken(dados.login(), dados.senha());
            var authentication = manager.authenticate(authenticationToken);

            var tokenJWT = tokenService.gerarToken((Usuario) authentication.getPrincipal());

            return ResponseEntity.ok(new DadosTokenJWT(tokenJWT));
        } catch (Exception e) {
            e.printStackTrace();
            return ResponseEntity.badRequest().body(e.getMessage());
        }
    }

}
6 respostas
por Queren Hapuque Rocha B. Fernandes
| 267.4k xp | 33 posts
Analista de Suporte Técnico

Classe Autenticação Service

package med.voll.api.domain.usuario;
//classe que contém a lógica de autenticação do usuário

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
//anotação para que o spring reconheça que a classe se trata de um serviço e reconheça a mesma
@Service
public class AutenticacaoService implements UserDetailsService{
    //injeção de dependências
    @Autowired
    private UsuarioRepository repository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return repository.findByLogin(username);
    }
}

** Classe Dados Autenticação**

package med.voll.api.domain.usuario;

public record DadosAutenticacao(
        String login,
        String senha
) {
}

Classe Usuário

package med.voll.api.domain.usuario;

import jakarta.persistence.*;
import lombok.AllArgsConstructor;
import lombok.EqualsAndHashCode;
import lombok.Getter;
import lombok.NoArgsConstructor;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;
import java.util.List;

@Entity(name="Usuario")
@Table(name = "usuarios")
@Getter
@NoArgsConstructor
@AllArgsConstructor
@EqualsAndHashCode(of = "id")
public class Usuario implements UserDetails {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    private String login;
    private String senha;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        //retorna qual o perfil do usuário
        return List.of(new SimpleGrantedAuthority("ROLE_USER"));
    }

    @Override
    public String getPassword() {
        return senha;
    }

    @Override
    public String getUsername() {
        return login;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}
por Queren Hapuque Rocha B. Fernandes
| 267.4k xp | 33 posts
Analista de Suporte Técnico

Classe SecurityConfigurations

package med.voll.api.infra.security;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

//classe criada para concentrar todas as configurações de segurança.
//@configuration é para mostrar ao spring do que essa classe se trata
//@enablewebsecurity informa ao spring que vamos personalizar as configurações de segurança
//EnableMethodSecurity usado para fazer com que usuários específicos tenham permissões diferentes
@Configuration
@EnableWebSecurity
@EnableMethodSecurity(securedEnabled = true)
public class SecurityConfigurations {
    //método padrão: csrf (desabilita ataques do tipo cross-site),
    // sessionManagement(mostra como será o gerenciamento da sessão),
    //sessionCreationPolicy: qual a política de criação da sessão, definimos aqui que é stateless,
    //build: cria o objeto
    //bean ensina como o spring cria um objeto

    @Autowired
    private SecurityFilter securityFilter;

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        return http.csrf(csrf -> csrf.disable())
                .sessionManagement(sm -> sm.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                .authorizeHttpRequests(req -> {
                    req.requestMatchers(HttpMethod.POST, "/login").permitAll();
                    req.anyRequest().authenticated();
                })
                .addFilterBefore(securityFilter, UsernamePasswordAuthenticationFilter.class)
                .build();
    }


    //método criado para ensinar o spring injetar os objetos
    @Bean
    public AuthenticationManager authenticationManager (AuthenticationConfiguration configuration) throws Exception{
        return configuration.getAuthenticationManager();
    }

    @Bean
    //método para ensinar o spring qual o tipo de hash de senha
    public PasswordEncoder passwordEncoder(){

        return new BCryptPasswordEncoder();
    }


}
por Queren Hapuque Rocha B. Fernandes
| 267.4k xp | 33 posts
Analista de Suporte Técnico

Classe Security Filter

package med.voll.api.infra.security;

import jakarta.servlet.FilterChain;
import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import med.voll.api.domain.usuario.UsuarioRepository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import java.io.IOException;

//classe criada para definir o filtro de segurança
//o component mostra pro spring que é um componente que deve ser carregado
//está extendendo da classe que representa o filter
//a classe executa uma única vez o filtro    por requisição para validar
@Component
public class SecurityFilter extends OncePerRequestFilter {

    @Autowired
    private TokenService tokenService;

    @Autowired
    private UsuarioRepository repository;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //System.out.println("Filtro chamado");

        var tokenJWT = recuperarToken(request);

        //System.out.println(tokenJWT);
        if(tokenJWT != null){
            var subject = tokenService.getSubject(tokenJWT);
            //System.out.println(subject);
            var usuario = repository.findByLogin(subject);
            var authentication = new UsernamePasswordAuthenticationToken(usuario, null, usuario.getAuthorities());
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }


        //linha de código para que o spring continue seguindo o fluxo após o filtro
        filterChain.doFilter(request, response);
    }

    private String recuperarToken(HttpServletRequest request) {
        var authorizationHeader = request.getHeader("Authorization");
        if (authorizationHeader != null) {
            return authorizationHeader.replace("Bearer ", "").trim();
        }

        return null;
    }
}

Classe Token Service

package med.voll.api.infra.security;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTCreationException;
import com.auth0.jwt.exceptions.JWTVerificationException;
import med.voll.api.domain.usuario.Usuario;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Service;

import java.time.Instant;
import java.time.LocalDateTime;
import java.time.ZoneOffset;

@Service
public class TokenService {

    //anotação usada para informar ao spring que essa variável deve ler as informações do arquivo de config
    @Value("${api.security.token.secret}")
    private String secret;

    private static final String ISSUER = "API Voll.med";

    public String gerarToken(Usuario usuario) {
        //System.out.println(secret);
        try {
            var algoritmo = Algorithm.HMAC256(secret);
            return JWT.create()
                    //"dono do token
                    .withIssuer(ISSUER)
                    //pessoa relacionada com o token
                    .withSubject(usuario.getLogin())
                    //método para definir o tempo de expiração
                    .withExpiresAt(dataExpiracao())
                    //guarda o id do usuário
                    //.withClaim("id", usuario.getId())
                    .sign(algoritmo);
        } catch (JWTCreationException exception) {
            throw new RuntimeException("erro ao gerrar token jwt", exception);

        }
    }

    //método criado para verificar se o usuário está válido e devolver o usuário que está armazenado no token
    public String getSubject(String tokenJWT){
        try {
            var algoritmo = Algorithm.HMAC256(secret);
            return JWT.require(algoritmo)
                    .withIssuer(ISSUER)
                    .build()
                    //verifica se o token que está chegando está de acordo
                    .verify(tokenJWT)
                    .getSubject();
        } catch (JWTVerificationException exception) {
            throw new RuntimeException("Token JWT inválido ou expirado!");
        }
    }


    //método criado para validar o token para que o mesmo expire após 2h
    private Instant dataExpiracao() {
        return LocalDateTime
                .now().plusHours(2).toInstant(ZoneOffset.of("-03:00"));
    }
}
por Rodrigo da Silva Ferreira Caneppele
| 4975.3k xp | 8703 posts
Instrutor Instrutor

Oi!

Aparentemente, tudo ok.

Manda um print da requisição disparada no Insomnia.

por Queren Hapuque Rocha B. Fernandes
| 267.4k xp | 33 posts
Analista de Suporte Técnico

Insira aqui a descrição dessa imagem para ajudar na acessibilidade

Insira aqui a descrição dessa imagem para ajudar na acessibilidade

por Rodrigo da Silva Ferreira Caneppele
| 4975.3k xp | 8703 posts
Instrutor Instrutor

Na requisição de login você não deve enviar token, pois essa é a requisição para se obter um novo token da api. Desmarque o campo Enabled na aba Bearer.

E no json a senha deveria ser 123456, não?