全栈的自我修养 ———— web项目中部署jwt令牌

已于 2024-03-03 11:05:51 修改
阅读量710 收藏 6
点赞数 24
文章标签: 前端 java 开发语言 web vue js spring boot
于 2024-03-02 21:52:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_82752568/article/details/136422665
版权

Jwt是用于前后端数据传输的安全性,话不多说,直击上思路!

一、项目背景

vue  + springboot

二、后端实现

1、引入jwt依赖库

        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.18.1</version> <!-- 请使用最新版本 -->
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-api</artifactId>
            <version>0.11.3</version> <!-- 使用你需要的版本 -->
        </dependency>

2、分发令牌

1、让这个createToken方法接受一个类用于携带这个jwt中的用户信息
但切记不要携带密码,因为jwt是可以被解密的!
去网上直接搜jwt解密你会搜到很多网页!!
2、verifyToken是检验jwt是否存在或者合法的工具,用于第三步的过滤器

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.example.spring.props.billProps.User;
import lombok.extern.slf4j.Slf4j;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

	/**
	* 密码
	**/
    private static final String SECRET = "密码";

    /**
     * 过期时间
     **/
    private static final long EXPIRATION = 1800L;
public static String createToken(User user) {
        String permission = null;
        // 重新定义分发userType
        //过期时间
        Date expireDate = new Date(System.currentTimeMillis() + EXPIRATION * 10000);//毫秒
        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");
        String token = JWT.create()
                .withHeader(map)// 添加头部
                //可以将基本信息放到claims中
                .withClaim("username", user.getUsername())
                .withClaim("userType", user.getUserType())
                .withClaim("permission",permission)
                .withExpiresAt(expireDate) //超时设置,设置过期的日期
                .withIssuedAt(new Date()) //签发时间
                .sign(Algorithm.HMAC256(SECRET)); //SECRET加密
        return token;
    }
    

    private static final Logger logger = LoggerFactory.getLogger(当前类名.class);
        /**
     * 校验token并解析token
     */
     
    public static Map<String, Claim> verifyToken(String token) {
        DecodedJWT jwt = null;
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
            jwt = verifier.verify(token);
        } catch (Exception e) {
            logger.error(e.getMessage());
            logger.error("token解码异常");
            //解码异常则抛出异常
            return null;
        }
        return jwt.getClaims();
    }

3、过滤器

拦截前端传过来的请求,并验证Headers中Authorization里面的jwt


import com.auth0.jwt.interfaces.Claim;
import jakarta.servlet.*;
import jakarta.servlet.annotation.WebFilter;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;

import java.io.IOException;
import java.util.Map;

@Slf4j
@Component
@WebFilter(filterName = "JwtFilter", urlPatterns = "/secure/*")
public class jwtFilter implements Filter
{
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        final HttpServletRequest request = (HttpServletRequest) req;
        final HttpServletResponse response = (HttpServletResponse) res;
        response.setCharacterEncoding("UTF-8");
        //获取 header里的token
        final String token = request.getHeader("Authorization");
        if ("OPTIONS".equals(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
            chain.doFilter(request, response);
        } 
        下面这里用于直接通行某些请求,如登陆请求,就不需要jwt验证
        // else if (request.getRequestURI().endsWith("/login/login")) {
        //    chain.doFilter(req, res);} 
        else {

            if (token == null) {
                response.getWriter().write("没有token!");
                return;
            }

            Map<String, Claim> userData = 类名.verifyToken(token);
            if (userData == null) {
                response.getWriter().write("token不合法!");
                return;
            }
            chain.doFilter(req, res);
        }
    }

    @Override
    public void destroy() {
    }
}

4、具体应用

import static com.example.spring.Tools.Jwt.Util.createToken;

    @PostMapping("/login")
    public Result login(@RequestBody User user) {
        User res = loginService.login(user);
        if (res == null) {
            return Result.error("该账号未被注册");
        } else if (res.getStatue() == 1) {
            if (user.getPhoneNumber() != null) {
                String jwt = createToken(res);
                return Result.success(jwt);
            } else if (user.getPassword() != null) {
                log.info(user.getPassword());
                log.info(res.getPassword());
                if (user.getPassword().equals(res.getPassword())) {
                    String jwt = createToken(res);
                    return Result.success(jwt);
                } else {
                    return Result.error("密码错误");
                }
            } else {
                return Result.error("登陆错误");
            }
        } else if (res.getStatue() == 0) {
            return Result.error("该账户已停用");
        } else {
            return Result.error("登陆错误");
        }
    }

5、测试结果

如下data米面携带的信息即为携带我们信息的jwt令牌
在这里插入图片描述

三、前端实现

1、保存jwt令牌于localStorage

在前端执行完登陆操作后,如后端的测试结果一样我们会得到一个jwt令牌

   localStorage.setItem('jwt', jwt)

2、给请求添加jwt令牌

在请求发出去之前我们需要拦截者请求
并给这个axios请求添加上一个名为Authorization的headers,内容就是jwt

import axios from "axios";
import { jwtDecode } from "jwt-decode";
import router from '@/router';

export const request = axios.create({
  headers: { "Content-Type": "application/json" },
  timeout: 20000,
});

request.interceptors.request.use(
  (config) => {
    const jwt = localStorage.getItem("jwt");
   // 如果是登陆处的
	if(如果当前页面是登陆界面则直接返回config不要添加jwt){
	      if (jwt) {
      		// 在此可以验证jwt是否存在或者是否过期
          config.headers.Authorization = `${jwt}`;
      } else {
      // 返回登陆处
      }   
	} else {
	  return config
	}

    return config
  },
  (error) => {
    return Promise.reject(error);
  }
);

export default request;
鲜虾鱼板面428
关注
  • 24
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
全栈小项目————包括用户登录、用户注册、后台管理系
08-03
在本项目,我们将探索一个全栈Web应用的构建,主要涵盖了用户登录、用户注册以及后台管理系统的关键功能。这个项目采用的技术栈是Node.js作为后端开发语言,MongoDB作为数据库,非常适合初学者和毕设项目。下面...
php-jwt:在PHP使用JSON Web令牌JWT)的便捷库
02-23
php-jwt 一个方便的库,用于在PHP使用JSON Web令牌JWT)。 该库符合的规定,但不允许未签名的JWT(“无”算法)除外,并且对以下声明具有内置支持: aud (受众群体)主张-exp (到期时间)索赔-iat (在iat发出...
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
综上所述,这个项目提供了一个完整的示例,展示了如何在.NET6 Web API集成JWT鉴权,并通过Swagger进行接口测试。这对于学习和实践Web API的安全开发具有很高的参考价值。开发者可以根据这个模板进行扩展,添加...
frank_jwt:RustJSON Web令牌实现
02-05
JSON Web Token(JWT)是一种广泛使用的身份验证和授权机制,它允许在客户端和服务端之间安全地传输信息。在Rust编程语言,`frank_jwt`是一个库,专门用于处理和实现JWT。这个库提供了创建、解析和验证JWT的功能,...
Jwt:.Net和.Net Core的JSON Web令牌实现
04-08
.Net的JSON Web令牌 提供对JWT的支持。 该库旨在提出高性能的JWT原语。 配套 包裹 版本 描述 JsonWebToken 带有JWT原语的Nuget包。 将此包用于常见的JWT用法。 JsonWebToken.OAuth2 具有和原语的Nuget软件包。 ...
WHAT - NextJS 的路由系统和 react-router-dom
weixin_58540586的博客
07-04 929
不,Next.js 的路由系统并不基于。Next.js 本身内置了自己的路由系统,并且在其生命周期和工作方式上与有所不同。
Javafx利用fxml变换场景的小细节
最新发布
2301_80311013的博客
07-09 492
在这个代码,在JavaFX,FXMLLoader是用来加载FXML文件并将其转换为Java对象(例如控制器类)的工具。当您使用FXMLLoaderFXMLLoader在整个过程,FXMLLoader是使用JavaFX的后台线程(也称为JavaFX线程)来执行这些操作的,这是为了保持UI线程的响应性。这意味着在用户界面(UI)线程,您不会看到任何阻塞,即使FXMLLoader正在执行耗时的操作。当FXMLLoader完成加载并调用load()方法时,它会返回一个Parent。
HTML_表单 和 表单案例
secret010的博客
07-05 274
【代码】HTML_表单 和 表单案例。
前端javascript的排序算法之插入排序
峰会路转的博客
07-09 85
【代码】前端javascript的排序算法之插入排序。
vue父子组件通信实现模糊搜索功能
某站同名 专注毕设项目和免费教程分享
07-09 500
模糊搜索功能 每个网站都要用得到
Haproxy搭建Web群集
wkysdhr的博客
07-08 708
Haproxy 是目前比较流行的一种群集调度工具,同类群集调度工具有很多,如LVS 和Nginx。相比较而言,LVS 性能最好,但是搭建相对复杂;Nginx的upstream模块支持群集功能,但是对群集节点健康检查功能不强,高并发性能没有 Haproxy好。
Vue2前端实现数据可视化大屏全局自适应 Vue实现所有页面自适应 Vue实现自适应所有屏幕
weixin_41346436的博客
07-04 149
Vue.js创建一个数据大屏,并使其能够自适应不同屏幕大小,通常涉及到布局的响应式设计、CSS媒体查询、以及利用Vue的事件系统来处理窗口大小变化。通过以上步骤,我们创建了一个使用Vuetify布局的响应式数据大屏,它能够根据屏幕宽度动态调整其内容的布局。Vuetify的v-flex组件允许我们轻松地创建响应式的网格布局,而Vuex和全局事件总线则帮助我们在窗口大小变化时更新应用状态和组件布局。在实际项目,你可能还需要处理更复杂的响应式设计挑战,例如在不同的屏幕尺寸下显示不同的内容或布局。
JS混淆基本类型和原理
朴拙科技的博客
07-06 563
混淆技术为JS代码提供了一定程度的保护,但同时也给代码的维护和逆向工程带来了挑战。了解和掌握这些混淆技术的原理和解析方法,可以帮助开发者更好地保护或理解JS代码。然而,需要注意的是,混淆并不是万无一失的安全措施,它更多的是增加了攻击者理解代码的难度。在进行逆向工程时,应始终遵守法律法规,尊重知识产权,不要用于非法目的。
​​ 翻页 上一页/下一页
szzlh123456789的博客
07-09 77
【代码】​​ 翻页 上一页/下一页。
音乐播放器
m0_73755059的博客
07-05 571
【代码】音乐播放器。
图片压缩代码和实际操作页面
英雄汉孑的博客
07-05 957
轻盈视界,高清依旧 —— 智能图片压缩,大容量,小体积,精彩不打折
前端如何让网页页面完美适配不同大小和分辨率屏幕
rolling_kitten的博客
07-09 212
安装postcss,项目根目录新建配置文件postcss.config.js,记得别用exclude排除node_modules,否则postcss无法将包里的px样式也一起转为vw;对于el-message组件,单独在项目的index.html文件的style里,设置 .el-message { font-size: 16px;推荐使用postcss插件,它会自动将项目所有的px单位统一转换为vw(包括npm安装的第三方组件),从而实现适配
web APIs】快速上手Day05(Bom操作)
学习是最低成本的投资
07-04 391
BOM、定时器-延迟函数、JS执行机制、location对象、navigator对象、history对象、本地存储localStorage、数组map 、join方法、综合案例-学生就业信息表实现页面刷新数据不丢失
web api core jwt 刷新令牌
05-01
Web API Core JWT是使用JSON Web令牌认证机制的一个框架。JWT是一种标准的令牌格式,它允许交互方通过令牌在两个系统之间进行身份验证和授权。JWT由三部分组成:头部、有效载荷和签名,并通过Base 64编码进行编码和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值