JWT整合Springboot

最新推荐文章于 2024-05-30 22:15:00 发布
最新推荐文章于 2024-05-30 22:15:00 发布
阅读量1k 收藏 12
点赞数 28
分类专栏: 程序员 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84048554/article/details/137803712
版权

“alg”: “HS256”,

“typ”: “JWT”

}

Payload

  • 令牌的第二部分是有效负载,其中包含声明。声明是有关实体

  • (通常是用户)和其他数据的声明。同样的,它会使用 Base64 编码组成 JWT 结构的第二部分

{

“sub”: “1234567890”,

“name”: “John Doe”,

“admin”: true

}

Signature

  • 前面两部分都是使用 Base64 进行编码的,即前端可以解开知道里面的信息。Signature 需要使用编码后的 header 和 payload以及我们提供的一个密钥,然后使用 header 中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过

  • 如:HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload),secret);

签名目的

最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。

信息安全问题

在这里大家一定会问一个问题:Base64是一种编码,是可逆的,那么我的信息不就被暴露了吗?

是的。所以,在JWT中,不应该在负载里面加入任何敏感的数据。在上面的例子中,我们传输的是用户的User ID。这个值实际上不是什么敏感内容,一般情况下被知道也是安全的。但是像密码这样的内容就不能被放在JWT中了。如果将用户的密码放在了JWT中,那么怀有恶意的第三方通过Base64解码就能很快地知道你的密码了。因此JWT适合用于向Web应用传递一些非敏感信息。JWT还经常用于设计用户认证和授权系统,甚至

实现Web应用的单点登录。

在这里插入图片描述

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VooaYcxY-1637927753210)(JWT.assets/20201022130536633.png)]

2.使用JWT

引入依赖

com.auth0

java-jwt

3.4.0

生成token

@Test

void contextLoads() {

HashMap<String, Object> map = new HashMap<>();

Calendar instance=Calendar.getInstance();

instance.add(Calendar.SECOND,200);

//获取token

String token = JWT.create().withHeader(map) //header,默认,可以不写

.withClaim(“userId”, 23)

.withClaim(“username”, “xpp”) //palyload

.withExpiresAt(instance.getTime()) //指定令牌的过期时间

.sign(Algorithm.HMAC256(“xpp@ll”));//签名,指定秘钥

System.out.println(token);

}

生成结果

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2Mzc5MDM2OTksInVzZXJJZCI6MjMsInVzZXJuYW1lIjoieHBwIn0.dnWldEBILZpt7Upz762VcMm-uTU9HI5jK-AHk3XyX0s

根据令牌和签名解析数据

@Test

public void test(){

//创建验证对象

JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(“xpp@ll”)).build();

//验证token

DecodedJWT verify = jwtVerifier.verify(“eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2Mzc5MDM2OTksInVzZXJJZCI6MjMsInVzZXJuYW1lIjoieHBwIn0.dnWldEBILZpt7Upz762VcMm-uTU9HI5jK-AHk3XyX0s”);

//获取存入palyload的信息

Date expiresAt = verify.getExpiresAt();

System.out.println(expiresAt);

System.out.println(verify.getClaim(“userId”).asInt());

}

常见异常信息

  • SignatureVerificationException: 签名不一致异常

  • TokenExpiredException: 令牌过期异常

  • AlgorithmMismatchException: 算法不匹配异常

  • InvalidClaimException: 失效的payload异常

3.整合Springboot

引入依赖

com.auth0

java-jwt

3.4.0

org.mybatis.spring.boot

mybatis-spring-boot-starter

2.1.3

org.projectlombok

lombok

1.18.12

com.alibaba

druid

1.1.19

mysql

mysql-connector-java

5.1.38

配置

server.port=8989

spring.application.name=jwt

spring.datasource.type=com.alibaba.druid.pool.DruidDataSource

spring.datasource.driver-class-name=com.mysql.jdbc.Driver

spring.datasource.url=jdbc:mysql://localhost:3306/jwt?characterEncoding=UTF-8

spring.datasource.username=root

spring.datasource.password=root

mybatis.type-aliases-package=com.baizhi.entity

mybatis.mapper-locations=classpath:com/baizhi/mapper/*.xml

logging.level.com.baizhi.dao=debug

数据库表

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pbT5Xx0M-1637927753266)(JWT.assets/image-20211126185747996.png)]

DROP TABLE IF EXISTS user;

CREATE TABLE user (

id int(11) NOT NULL AUTO_INCREMENT COMMENT ‘主键’,

name varchar(80) DEFAULT NULL COMMENT ‘用户名’,

password varchar(40) DEFAULT NULL COMMENT ‘用户密码’,

PRIMARY KEY (id)

) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

实体类

@Data

@Accessors(chain=true)

public class User {

private String id;

private String name;

private String password;

}

开发DAO接口和mapper.xml

@Mapper

public interface UserDAO {

User login(User user);

}

select * from user where name=#{name} and password = #{password}

开发Service 接口以及实现类

public interface UserService {

User login(User user);//登录接口

}

@Service

@Transactional

public class UserServiceImpl implements UserService {

@Autowired

private UserDAO userDAO;

@Override

@Transactional(propagation = Propagation.SUPPORTS)

public User login(User user) {

User userDB = userDAO.login(user);

if(userDB!=null){

return userDB;

}

throw new RuntimeException(“登录失败~~”);

}

}

编写JWT工具类

/**

  • @Auther: xppll

  • @Date: 2021/11/26 13:25

*/

public class JWTUtils {

//秘钥

private static final String TOKEN = “xpp@ll”;

/**

  • 生成token(head.playload.sing)

  • @param map 用户传过了的信息,例如id等

  • @return

*/

public static String getToken(Map<String, String> map) {

Calendar instance = Calendar.getInstance();

//设置默认7天过期

instance.add(Calendar.DATE, 7);

//创建jwt builder

JWTCreator.Builder builder = JWT.create();

//payload

map.forEach((k, v) -> {

builder.withClaim(k, v);

});

//指定令牌过期时间

String token = builder.withExpiresAt(instance.getTime())

//sign,传入加密盐

.sign(Algorithm.HMAC256(TOKEN));

return token;

}

/**

  • 验证token合法性

  • @param token

*/

public static void verify(String token) {

JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);

}

/**

  • 获取token信息方法

  • @param token

  • @return

*/

public static DecodedJWT getTokenInfo(String token) {

DecodedJWT verify = JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);

return verify;

}

}

开发controller

/**

  • @Auther: xppll

  • @Date: 2021/11/26 14:07

*/

@RestController

@Slf4j

public class UserController {

@Autowired

private UserService userService;

@GetMapping(“/user/login”)

public Map<String, Object> login(User user) {

Map<String, Object> map = new HashMap<>();

try {

User userDB = userService.login(user);

//用来存放payload

Map<String, String> payload = new HashMap<>();

payload.put(“id”, userDB.getId());

payload.put(“name”, userDB.getName());

//生成JWT的令牌

String token = JWTUtils.getToken(payload);

map.put(“state”, true);

map.put(“msg”, “成功”);

//成功返回token信息

map.put(“token”, token);

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

如果你觉得这些内容对你有帮助,可以扫码获取!!(备注Java获取)

img

最后

每年转战互联网行业的人很多,说白了也是冲着高薪去的,不管你是即将步入这个行业还是想转行,学习是必不可少的。作为一个Java开发,学习成了日常生活的一部分,不学习你就会被这个行业淘汰,这也是这个行业残酷的现实。

如果你对Java感兴趣,想要转行改变自己,那就要趁着机遇行动起来。或许,这份限量版的Java零基础宝典能够对你有所帮助。

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
mg-8FjyPRXR-1713211230232)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

如果你觉得这些内容对你有帮助,可以扫码获取!!(备注Java获取)

img

最后

每年转战互联网行业的人很多,说白了也是冲着高薪去的,不管你是即将步入这个行业还是想转行,学习是必不可少的。作为一个Java开发,学习成了日常生活的一部分,不学习你就会被这个行业淘汰,这也是这个行业残酷的现实。

如果你对Java感兴趣,想要转行改变自己,那就要趁着机遇行动起来。或许,这份限量版的Java零基础宝典能够对你有所帮助。

[外链图片转存中…(img-fEtVmjk4-1713211230232)]

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!

2401_84048554
关注
  • 28
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT整合springboot的使用
qq_37857224的博客
08-10 1586
JWT是对session的改进 传统的session 用户:向服务器发送用户名和密码 服务器:验证通过,在当前对话(session)会存放一个用户的相关数据,比如用户角色,登录时间等等 服务器:返回一个session_id,写到用户的cookie 用户:之后的每一次请求,都会把cookie里的session_id传给服务器 服务器得到session_id,也就知道了用户的身份 其实,说到底,可以把session_id看成是用户的身份id JWT的改进 服务器索性不保存session数据,所有数据都保存在
JWT认证原理、流程整合springboot实战应用
01-18
JWT认证原理、流程整合springboot实战应用
SpringBoot整合JWT
热门推荐
AkiraNicky的博客
08-12 6万+
一. JWT简介 1. 什么是JWTJWT(JSONWeb Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 2. 为...
Jwt整合springboot
L1ak的博客
02-02 188
JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案! https://www.bilibili.com/video/BV1i54y1m7cP?p=1
一文搞懂JWT以及SpringBoot如何整合JWT
质胜文则野,文胜质则史。文质彬彬,然后君子。
10-09 1897
​ JSON Web Token (JWT)是⼀个开放标准(RFC 7519),它定义了⼀种紧凑的、⾃包含的⽅式,⽤于 作为JSON对象在各⽅之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
SpringBoot整合JWT
08-17 390
第一步:创建项目 Maven依赖
JWT整合Springboot(1)
2401_84097678的博客
05-03 892
对于面试还是要好好准备的,尤其是有些问题还是很容易挖坑的,例如你为什么离开现在的公司(你当然不应该抱怨现在的公司有哪些不好的地方,更多的应该表明自己想要寻找更好的发展机会,自己的一些现实因素,比如对于我而言是现在应聘的公司离自己的家更近,又或者是自己工作到达了迷茫期,想跳出迷茫期等等)Java面试精选题、架构实战文档你的支持,我的动力;祝各位前程似锦,offer不断!《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!编写测试接口。
Springboot项目整合JWT
qq_51770163的博客
03-19 1747
Springboot框架整合JWT拦截验证
JWT整合springboot 自定义定时更换秘钥
骑猪少年
01-08 4013
JWT整合springboot 自定义定时更换秘钥 jwt概要: JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串。 jwt是一种无状态token,可用于oss单点登录 JWT的数据结构以及签发的过程 JWT由三部分构成:hea
Jwt-整合SpringBoot
超级氯化钾的博客
05-24 89
文章目录pom文件+配置user-pojo-dao-service-controller准备 pom文件+配置 <!--jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</
jwtspringboot整合
06-03
jwtspringboot整合jwtspringboot整合jwtspringboot整合jwtspringboot整合
SpringBoot整合Shiro+JWT
05-15
本Demo案例为SpringBoot整合Shiro + JWT实现用户认证,代码注释全都有以及sql文件都已经打包,下载之后刷新pom依赖即可直接运行。
springboot整合JWT
11-26
springboot整合JWT
spring boot整合 knife4j 在线接口文档
我叫晨曦啊的博客
05-30 194
spring boot knife4j 在线接口文档
基于Spring Boot+Vue的广场舞团系统|文档|ppt 编号:701
paopaokaka_luck的博客
05-29 914
系统分为三个角色: 用户 管理员 社团后端使用Java编程语言的Springboot框架项目架构:B/S架构前端技术:Vue后端技术:Java 、mybatis、Spring boot运行环境:win10/win11、jdk1.8数据库:mysql5.7/8.0。
博客星球大冒险:用Spring BootJWT打造你的数字王国
最新发布
Geek_H
05-30 800
在这个实战项目中,我们从零基础出发,一步步构建了一个炫酷的个人博客系统,用Spring BootJWT打造了它的骨架和护盾。我们不仅赋予了它CRUD的超能力,还通过HTTPS和CORS等神秘仪式加固了它的安全。但故事远未结束,社区的力量和开源的魔法将如何引领它走向未来?人工智能、移动应用、社交功能...这些又将如何融入我们的乐园?跟随我们,一起揭开这个技术奇迹的神秘面纱,探索更多未知的可能!
spring boot+Lazy ORM+mysql】开发一个数据库管理系统实现对应数据库数据查看和修改
忙碌的吴小二博客
05-27 535
【代码】【spring boot+Lazy ORM+mysql】开发一个数据库管理系统实现对应数据库数据查看和修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值