JWT令牌在项目中的实战操作

于 2024-07-23 18:20:25 发布
阅读量414 收藏 4
点赞数 18
分类专栏: Java前后端开发 文章标签: JWT令牌 spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79840586/article/details/140640257
版权

一.什么是JWT令牌?

JWT,全称JSON Web Token,官网(https://jwt.io/),定义了一种间接的,自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。

通俗来讲,我们可以通过JWT令牌来实现对于用户登录权限的校验以此达到安全性。

二.JWT令牌的组成:

  • 第一部分:Header(头),记录令牌类型以及签名算法等。eg:{"alg"="HS256","type"="JWT"}
  • 第二部分:Payload(有效载荷),携带一些自定义信息以及默认信息等。eg:{"id":"1","username"="Tom"}
  • 第三部分:Signature(签名),防止Token被篡改,确保安全性。将header,payload,并加入指定秘钥,通过指定签名算法计算而来。(可以用Base64编码解码工具来解析第一第二部分,第三部分不能解析,因为第三部分是根据数字签名后的结果)

三.JWT令牌操作流程:

首先在浏览器发起请求执行登录操作,此时访问登录接口,若登录成功后会生成一个JWT令牌,并将生成的JWT令牌返回给前端,前端拿到JWT令牌会将其储存起来,后序每一次的请求都会将这个JWT令牌携带到服务端,而服务端则会进行统一拦截,拦截到这个请求会判断是否携带JWT令牌,若没有携带过来则拒绝访问,若携带过来则判断JWT令牌是否有效,如果JWT令牌有效,统一拦截器就会放行,以此来进行请求对应接口的处理。 

 总结来看就是两步骤: ①生成JWT令牌     ②校验JWT令牌

四.JWT令牌的具体实现:

1.pom.xml配置文件引入依赖:

<dependency>
     <groupId>io.jsonwebtoken</groupId>
     <artifactId>jjwt</artifactId>
     <version>0.9.1</version>
</dependency>

通过此操作,可以导入依赖内的Jwts工具类。

2.JWT令牌的生成与解析:

(1)下面代码是在SpringBoot测试类中生成JWT令牌的步骤:

@SpringBootTest
public class JwtTest {

    @Test
    public void testCreateJwt(){
        //定义map集合来封装自定义数据
        Map<String,Object> claims = new HashMap<>();
        claims.put("id","1");
        claims.put("username","Tom");
        //创建JWT令牌
        String jwt = Jwts.builder()
                .signWith(SignatureAlgorithm.HS256,"秘钥") //指定数字签名的算法 , 秘钥
                .setClaims(claims)  //设置自定义数据
                .setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))  //设置JWT令牌有效期 -> 1h
                .compact();  //拿到一个字符串类型的JWT令牌
        //输出JWT令牌
        System.out.println(jwt);
    }
}

(2)下面代码是在SpringBoot测试类中解析JWT令牌的步骤:

@SpringBootTest
public class JwtTest {

    @Test
    public void testParseJwt(){
        Claims claims = Jwts.parser()
                .setSigningKey("秘钥")  //给予前面自己生成JWT令牌所设置的签名秘钥才可以解析JWT令牌
                .parseClaimsJws("Jwt令牌字符串")  //Jwt令牌字符串
                .getBody();  //拿到第二部分内容
        //输出解析的Jwt令牌内容
        System.out.println(claims);//{name=tom, id=1, exp=1670467224}
    }
}

我们需要注意解析Jwt令牌需要使用相同的签名秘钥以及要在有效时间内才可以解析若JWT令牌解析校验时候出错,则说明JWT令牌被篡改或失效了,令牌非法。

五.JWT令牌在项目中的具体实现操作:

1.导入JwtUtil工具类:

在utils包下导入:

public class JwtUtil {
    public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {
        // 指定签名的时候使用的签名算法,也就是header那部分
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        // 生成JWT的时间
        long expMillis = System.currentTimeMillis() + ttlMillis;
        Date exp = new Date(expMillis);

        // 设置jwt的body
        JwtBuilder builder = Jwts.builder()
                // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setClaims(claims)
                // 设置签名使用的签名算法和签名使用的秘钥
                .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置过期时间
                .setExpiration(exp);

        return builder.compact();
    }

    public static Claims parseJWT(String secretKey, String token) {
        // 得到DefaultJwtParser
        Claims claims = Jwts.parser()
                // 设置签名的秘钥
                .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置需要解析的jwt
                .parseClaimsJws(token)
                .getBody();
        return claims;
    }

}

这个工具类仔细对比上面所讲解的JWT令牌的生成与解析其实是一样的,只不过有变量的值需要我们调用方法传参过来。

2.在application.yml文件配置相关信息:

sky:
  jwt:
    # 设置jwt签名加密时使用的秘钥
    admin-secret-key: itcast
    # 设置jwt过期时间
    admin-ttl: 7200000
    # 设置前端传递过来的令牌名称
    admin-token-name: token

3.在config包下创建JWT令牌的配置属性类来封装配置文件的配置项:

(这里开启了驼峰,所以可以忽略两文件的属性名不同)

@Component
@ConfigurationProperties(prefix = "sky.jwt")
@Data
public class JwtProperties {
    /**
     * 管理端员工生成jwt令牌相关配置
     */
    private String adminSecretKey;
    private long adminTtl;
    private String adminTokenName;
}

4.在登录接口使用JWT令牌操作:

@RestController
@RequestMapping("/admin/employee")
@Slf4j
@Api(tags = "员工相关接口")
public class EmployeeController {

    @Autowired
    private EmployeeService employeeService;
    @Autowired
    private JwtProperties jwtProperties;

    @PostMapping("/login")
    @ApiOperation(value = "员工登录")
    public Result<EmployeeLoginVO> login(@RequestBody EmployeeLoginDTO employeeLoginDTO) 
    {
        log.info("员工登录:{}", employeeLoginDTO);
        //根据前端请求的数据在数据库中查询账号是否存在
        Employee employee = employeeService.login(employeeLoginDTO);

        //判断是否登录成功,若失败则抛出异常
        if(employee == null){
            throw new LoginFailedException(MessageConstant.LOGIN_FAILED);
        }
        //登录成功后,生成jwt令牌
        Map<String, Object> claims = new HashMap<>();
        claims.put("EmpId", employee.getId());
        String token = JwtUtil.createJWT(
                jwtProperties.getAdminSecretKey(),
                jwtProperties.getAdminTtl(),
                claims);
        //将token等信息封装并返回给前端
        //这里EmployeeLoginVO类上加了@Builder注解,所以可以通过调用builder().属性(属性值).build()来创建类对象
        EmployeeLoginVO employeeLoginVO = EmployeeLoginVO.builder()
                .id(employee.getId())
                .userName(employee.getUsername())
                .name(employee.getName())
                .token(token)
                .build();
        return Result.success(employeeLoginVO);
    }
}

5.JWT令牌的拦截器:

我们前面在登录接口生成了JWT令牌,所以我们需要再其他接口开校验JWT令牌的合法性。

若成功直接放行return true,若失败则响应401状态码并return false。

@Component
@Slf4j
public class JwtTokenAdminInterceptor implements HandlerInterceptor {

    @Autowired
    private JwtProperties jwtProperties;
    //此方法会在方法执行前执行
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("当前线程的id:" + Thread.currentThread().getId());
        //判断当前拦截到的是Controller的方法还是其他资源
        if (!(handler instanceof HandlerMethod)) {
            //当前拦截到的不是动态方法,直接放行
            return true;
        }

        //1、从请求头中获取令牌
        String token = request.getHeader(jwtProperties.getAdminTokenName());

        //2、校验令牌
        try {
            log.info("jwt校验:{}", token);
            //解析并获取JWT令牌第二部分内容
            Claims claims = JwtUtil.parseJWT(jwtProperties.getAdminSecretKey(), token);
            //获取JWT令牌第二部分的id值
            Long empId = Long.valueOf(claims.get(JwtClaimsConstant.EMP_ID).toString());
            log.info("当前员工的id:{}", empId);
            //利用线程记录id值(后面再获取数据库中自增的id加的代码)
            BaseContext.setCurrentId(empId);
            //3、通过,放行
            return true;
        } catch (Exception ex) {
            //4、不通过,响应401状态码
            response.setStatus(401);
            return false;
        }
    }
}

好了,JWT令牌的使用就到这里了,记得三连支持,感谢收看!!!

记得开心一点嘛
关注
  • 18
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
jwt的实现 ,实战项目可直接使用
07-13
在实际项目JWT 通常用于实现单点登录(SSO)系统,用户在登录后会获得一个 JWT,然后在后续的请求携带这个令牌,服务器通过验证令牌来确定用户的身份。同时,JWT 还可用于实现权限控制,将用户的权限信息编码...
jwt-demo token实战
12-06
"jwt-token"标签表明项目会涵盖JWT令牌的创建、验证和管理。这可能包括: 1. **创建JWT**:使用JWT库(如Java的jjwt或Node.js的jsonwebtoken)生成带有特定数据的令牌。 2. **验证JWT**:服务器端接收JWT后,使用...
一篇文章让你学会JWT令牌认证
Java是世界上最好的语言
12-18 1939
用户每次访问后台的时候,如果是一些需要认证的链接,都需要识别用户身份,比如用户抢单、用户心等,在传统项目用的是Session,但在微服务不建议使用Session,使用JWT令牌。 1. 初识JWT JWT简称JSON Web Token ,也就是通过json形式作为web应用的令牌,用在各方之间安全的将信息作为json对象传输,在数据传输过程还可以完成数据加密,签名相关处理 。 JWT令牌作用: 身份授权:这是使用jwt的最常见方案,一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该领牌
JWT令牌实现登陆校验
weixin_54039182的博客
03-06 960
JWT令牌实现登陆校验
OAuth2.0实战,使用JWT令牌认证
终码一生
12-15 5115
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! 今天这篇文章介绍一下OAuth2.0如何集成JWT颁发令牌,这也是目前企业主流的令牌形式。 文章目录如下: 什么是JWT? OAuth2.0体系令牌分为两类,分别是透明令牌、不透明令牌。 不透明令牌则是令牌本身不存储任何信息,比如一串UUID,上篇文章使用的InMemoryTokenStore就类似这种。 因此资源服务拿到这个令牌必须调调用认证授权服务的接口进行令牌的校验,高并发的情况下延迟很高,性能很低,正如上篇
OAuth2.0实战 使用JWT令牌认证
Pastxu的小屋
05-03 859
什么是JWT? OAuth2.0体系令牌分为两类,分别是透明令牌、不透明令牌。 不透明令牌则是令牌本身不存储任何信息,比如一串UUID,上篇文章使用的InMemoryTokenStore就类似这种。 因此资源服务拿到这个令牌必须调调用认证授权服务的接口进行令牌的校验,高并发的情况下延迟很高,性能很低,正如上篇文章资源服务器配置的校验,如下: 透明令牌本身就存储这部分用户信息,比如JWT,资源服务可以调用自身的服务对该令牌进行校验解析,不必调用认证服务的接口去校验令牌JWT相信大..
实战!退出登录时如何借助外力使JWT令牌失效?
码猿技术专栏
12-30 867
大家好,我是不才陈某~这是《Spring Cloud 进阶》第17篇文章,往期文章如下:五十五张图告诉你微服务的灵魂摆渡者Nacos究竟有多强?openFeign夺命连环9问,这谁受得了?...
JWT 令牌
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
06-21 419
本篇来了解下JWT令牌相关的知识,和传统JSESSIONID相比,差别还是很大的,一起来看看吧。
实战!openFeign如何实现全链路JWT令牌信息不丢失?
码猿技术专栏
01-18 426
大家好,我是不才陈某~这是《Spring Cloud 进阶》第20篇文章,往期文章如下:五十五张图告诉你微服务的灵魂摆渡者Nacos究竟有多强?openFeign夺命连环9问,这谁受得了?...
关于项目添加JWT工具类的具体实战包含jwt的讲解
qq_42400763的博客
08-14 376
现在很多网站在做身份验证的时候基本上都会使用JWT工具类.首先我们得先知道什么是JWT.JWT是用来干什么的,怎么用,用完之后有什么效果? 什么是JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声
【渗透测试】JWT令牌漏洞攻击
网络安全从业者的学习笔记
06-05 895
JSON Web Token(JWT),是一种用户身份凭证,常用作身份验证、会话处理和访问控制机制。若能控制JWT,则有可能造成身份伪造等漏洞攻击。
java+spring-boot-jwt + spring security集成实战项目.zip
08-17
这个实战项目涵盖了从基础概念到实际应用的完整流程,旨在帮助开发者深入理解这三者在实际开发的应用。 首先,Java作为一门广泛使用的编程语言,以其强大的类库和跨平台特性,在企业级应用开发占据着重要地位。...
JWT 实战教程_jwt_
10-01
JWT在Spring Boot的整合是常见的应用场景,尤其是在构建RESTful API时,它能提供无状态的身份验证。 JWT由三部分组成:Header、Payload(载荷)和Signature(签名)。Header通常包含令牌类型("typ"为JWT)和算法...
Java 电商项目实战.zip
08-17
在本Java电商项目实战,你将深入了解到Java在电子商务领域的应用,以及如何构建一个完整的电商系统。这个项目涵盖了从数据库设计、后端服务开发到前端界面实现的多个环节,对于提升你的Java编程技能和实际项目经验...
Spring纯注解开发
Admans的专栏
07-18 847
Spring3.0引入了纯注解开发的模式,框架的诞生是为了简化开发,那注解开发就是简化再简化。Spring的特性在整合MyBatis方面体现的淋漓尽致哦注解开发前,配置Bean时是在xml里将class分别写在Bean标签里,然后起id,就像这样注解开发后,配置Bean时首先将xml里的标签删掉,然后在类上添加@Component注解即可在xml文件来写一个扫描包的注解标签,对象就装进IOC容器里了component-scan:component意为组件,scan意为扫描。
Vue 3 和 SpringBoot 实现文件分片上传示例
最新发布
exlink2012的专栏
07-22 272
实现分片上传,并使用Spring Boot在后端保存文件。前端将文件分片并逐个上传到后端,后端接收到所有分片后再进行合并,最终保存为一个完整文件。
SpringBoot集成EasyExcel实现模板写入多个sheet导出
LynneZoe的博客
07-18 463
SpringBoot集成EasyExcel实现模板写入多个sheet导出。
SpringBoot new方式创建出来的类对象 @Value()注入的问题
阿潘是个程序猿的博客
07-18 336
ew方式创建出来的类对象获取springboot配置文件属性
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

记得开心一点嘛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值