Jwt(Json web token)——使用token的权限验证方法 & 用户+角色

于 2024-05-12 03:38:59 发布
阅读量955 收藏 10
点赞数 16
分类专栏: 程序员 文章标签: java 面试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84689725/article/details/138738491
版权

最后

各位读者,由于本篇幅度过长,为了避免影响阅读体验,下面我就大概概括了整理了

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

需要这份系统化的资料的朋友,可以点击这里获取

import cn.hutool.json.JSONUtil;
import com.tianju.auth.dto.HttpResp;
import com.tianju.auth.dto.ResultCode;
import com.tianju.auth.util.JwtUtil;
import com.tianju.auth.util.PrivsCheck;
import io.jsonwebtoken.ExpiredJwtException;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.annotation.Annotation;
import java.lang.reflect.Method;
import java.util.Date;

@Component
@Slf4j
public class AuthInterceptor implements HandlerInterceptor {
/**
*
* @param request 请求
* @param response 响应
* @param handler =>handler>:class org.springframework.web.method.HandlerMethod
* com.tianju.auth.controller.UserController#findAllUsernames()
* 类 的 findAllUsernames() 方法
* Method method = handlerMethod.getMethod();// controller里面的方法findAllUsernames 对象
* Annotation[] annotations = method.getDeclaredAnnotations();// 可以获得该方法上的所有注解
* @return 是否拦截
* @throws Exception token过期异常
*/
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String token = request.getHeader(“token”);
response.setContentType(“text/html;charset=utf-8”);
if (token==null){ // 如果没有token,返回false
response.getWriter().write(
JSONUtil.toJsonStr(
HttpResp.results(
ResultCode.USER_NOT_LOGIN_ERROR, new Date(),“用户没有登陆异常”
)));
return false;
}
// 存在的用户,检验token是否过期

    try {
        // 正常情况
        String username = JwtUtil.getClaim(token, "username");
        String privs = JwtUtil.getClaim(token, "privs");
        // 判断是否能够访问当前的方法
        log.info("用户权限{}",privs);
        // handler:com.tianju.auth.controller.UserController#findAllUsernames()
        log.debug("handler:{}",handler);
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();// controller里面的方法findAllUsernames 对象
        Annotation[] annotations = method.getDeclaredAnnotations();// 可以获得该方法上的所有注解
        /\*\*

* @org.springframework.web.bind.annotation.GetMapping(path=[], headers=[], name=, produces=[], params=[], value=[/findAllUsernames], consumes=[])
* @io.swagger.annotations.ApiOperation(code=200, notes=, hidden=false, authorizations=[@io.swagger.annotations.Authorization(scopes=[@io.swagger.annotations.AuthorizationScope(scope=, description=)], value=)], httpMethod=, tags=[查询所有用户名], extensions=[@io.swagger.annotations.Extension(name=, properties=[@io.swagger.annotations.ExtensionProperty(parseValue=false, name=, value=)])], responseHeaders=[@io.swagger.annotations.ResponseHeader(name=, responseContainer=, description=, response=class java.lang.Void)], response=class java.lang.Void, responseReference=, responseContainer=, produces=, nickname=, ignoreJsonView=false, position=0, protocols=, consumes=, value=findAllUsernames)
* @com.tianju.auth.util.PrivsCheck(value=findAllUsernames)
*/
// for (Annotation annotation: annotations) {
// /**
// * @org.springframework.web.bind.annotation.GetMapping(path=[], headers=[], name=, produces=[], params=[], value=[/findAllUsernames], consumes=[])
// * @io.swagger.annotations.ApiOperation(code=200, notes=, hidden=false, authorizations=[@io.swagger.annotations.Authorization(scopes=[@io.swagger.annotations.AuthorizationScope(scope=, description=)], value=)], httpMethod=, tags=[查询所有用户名], extensions=[@io.swagger.annotations.Extension(name=, properties=[@io.swagger.annotations.ExtensionProperty(parseValue=false, name=, value=)])], responseHeaders=[@io.swagger.annotations.ResponseHeader(name=, responseContainer=, description=, response=class java.lang.Void)], response=class java.lang.Void, responseReference=, responseContainer=, produces=, nickname=, ignoreJsonView=false, position=0, protocols=, consumes=, value=findAllUsernames)
// * @com.tianju.auth.util.PrivsCheck(value=findAllUsernames)
// */
// }
PrivsCheck annotation = method.getDeclaredAnnotation(PrivsCheck.class);
System.out.println(annotation.value());
if (privs.contains(annotation.value())){ // 有此权限
return true;
}else {
response.getWriter().write(
JSONUtil.toJsonStr(
HttpResp.results(
ResultCode.USER_ACCESS_ERROR, new Date(),“对不起权限不足”
)));
return false;
}

    }catch (ExpiredJwtException e){
        // token过期
        response.getWriter().write(
                JSONUtil.toJsonStr(
                        HttpResp.results(
                                ResultCode.USER\_LOGIN\_TOKEN\_EXPIRED\_ERROR, new Date(),"token过期"
                        )));
        return false;

    }

}

}



> 
> 拦截器的配置AuthConfig.java文件
> 
> 
>

package com.tianju.auth.config;

import com.tianju.auth.interceptor.AuthInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class AuthConfig implements WebMvcConfigurer {

@Autowired
private AuthInterceptor authInterceptor;

@Override
public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(authInterceptor)
            .addPathPatterns("/api/\*\*")
            .excludePathPatterns("/api/user/login");
}

}


### controller层

package com.tianju.auth.controller;

import com.tianju.auth.dto.HttpResp;
import com.tianju.auth.dto.ResultCode;
import com.tianju.auth.entity.UserPrivs;
import com.tianju.auth.service.IUserService;
import com.tianju.auth.util.JwtUtil;
import com.tianju.auth.util.PrivsCheck;
import io.swagger.annotations.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletResponse;
import java.util.Date;
import java.util.List;

@RestController
@RequestMapping(“/api/user”)
@Api(tags = “用户api接口”)
public class UserController {

@Autowired
private IUserService userService;

@ApiOperation(value = "login",tags = "用户登录接口")
@ApiImplicitParams({
        @ApiImplicitParam(name = "username",value = "用户名",required = true),
        @ApiImplicitParam(name = "password",value = "密码",required = true)

})
@GetMapping("/login")
public HttpResp login(String username, String password, HttpServletResponse response){
    List<UserPrivs> users = userService.login(username, password);
    StringBuilder privs = new StringBuilder();
    users.forEach(userPrivs -> privs.append(userPrivs.getPrivsName()+","));
    System.out.println("用户权限:"+privs);
    privs.deleteCharAt(privs.length()-1);
    String token = JwtUtil.createToken(username, privs.toString(), 1000 \* 60);
    response.addHeader("token", token);
    return HttpResp.results(ResultCode.USER\_LOGIN\_SUCCESS,new Date(),username);
}

@GetMapping("/findAllUsernames")
@ApiOperation(value = "findAllUsernames",tags = "查询所有用户名")

// @PrivsCheck(“findAllUsernames”)
@PrivsCheck(“findX”) // 设置一个没有的权限
public HttpResp findAllUsernames(){
List allUsernames = userService.findAllUsernames();
return HttpResp.results(ResultCode.USER_QUERY_SUCCESS,new Date(),allUsernames);
}
}


### DTO返回给前端


#### 枚举类型的json化


![在这里插入图片描述](https://img-blog.csdnimg.cn/6fe0d51e15ef41faae80a973073b114c.png)



> 
> [@JsonFormat]( )(shape = JsonFormat.Shape.OBJECT)
> 
> 
>

package com.tianju.auth.dto;

import com.fasterxml.jackson.annotation.JsonFormat;
import io.swagger.annotations.ApiModelProperty;
import lombok.Getter;

/**
* 枚举类型,http请求的返回值
*/
// 枚举类型的json化,需要有get方法
@JsonFormat(shape = JsonFormat.Shape.OBJECT)
@Getter
public enum ResultCode {
BOOK_RUSH_SUCCESS(20010,“图书抢购成功”),
BOOK_RUSH_ERROR(3001,“图书抢购失败”),
LUA_SCRIPT_ERROR(3002,“Lua脚本操作失败”),
USER_FIND_ERROR(40010,“非法请求,布隆过滤器不通过”),
USER_FIND_SUCCESS(20010,“查询用户名成功”),
USER_QUERY_SUCCESS(25010,“查询所有用户名成功”),
USER_LOGIN_ERROR(40030,“用户登陆失败”),
USER_NOT_LOGIN_ERROR(40040,“用户没有登陆异常”),
USER_LOGIN_TOKEN_EXPIRED_ERROR(42040,“token已过期异常”),
USER_ACCESS_ERROR(45040,“用户权限异常”),
USER_LOGIN_SUCCESS(20020,“用户登陆成功”),
;

@ApiModelProperty("状态码")
private Integer code;

@ApiModelProperty("提示信息")
private String msg;

private ResultCode(Integer code,String msg){
    this.code =code;
    this.msg = msg;
}

}


#### 日期json问题



> 
> [@JsonFormat]( )(timezone = “GMT+8”)
> 
> 
>

package com.tianju.auth.dto;

import com.fasterxml.jackson.annotation.JsonFormat;
import io.swagger.annotations.ApiModel;
import io.swagger.annotations.ApiModelProperty;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

import java.io.Serializable;
import java.util.Date;

/**
* 返回给前端的响应
* @param
*/
@ApiModel(“DTO返回数据”)
@Data
@NoArgsConstructor
@AllArgsConstructor
public class HttpResp implements Serializable {
private ResultCode resultCode;
@ApiModelProperty(“time”)
@JsonFormat(pattern = “yyyy-MM-dd hh:mm:ss”,timezone = “GMT+8”)
private Date time;
@ApiModelProperty(“results”)
private T result;

public static <T> HttpResp <T> results(
        ResultCode resultCode,
        Date time,
        T results){

    HttpResp httpResp = new HttpResp();
    httpResp.setResultCode(resultCode);
    httpResp.setTime(time);
    httpResp.setResult(results);
    return httpResp;
}

}


### 实体类-DAO

package com.tianju.auth.entity;

import com.baomidou.mybatisplus.annotation.TableField;
import com.baomidou.mybatisplus.annotation.TableName;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
@NoArgsConstructor
@AllArgsConstructor
@TableName(“user_privs_view”)
public class UserPrivs {
@TableField(“username”)
private String username;
@TableField(“password”)
private String password;
@TableField(“role_name”)
private String roleName;
@TableField(“privs_name”)
private String privsName;
}



> 
> dao
> 
> 
>

package com.tianju.auth.mapper;

import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.tianju.auth.entity.UserPrivs;
import org.apache.ibatis.annotations.Mapper;

@Mapper
public interface UserMapper extends BaseMapper {
}




# 总结

我们总是喜欢瞻仰大厂的大神们,但实际上大神也不过凡人,与菜鸟程序员相比,也就多花了几分心思,如果你再不努力,差距也只会越来越大。

面试题多多少少对于你接下来所要做的事肯定有点帮助,但我更希望你能透过面试题去总结自己的不足,以提高自己核心技术竞争力。每一次面试经历都是对你技术的扫盲,面试后的复盘总结效果是极好的!

![](https://img-blog.csdnimg.cn/img_convert/98b63c3cbc6b41e56f44ece7f6f353f5.webp?x-oss-process=image/format,png)

> **本文已被[CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)收录**

**[需要这份系统化的资料的朋友,可以点击这里获取](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**

序员相比,也就多花了几分心思,如果你再不努力,差距也只会越来越大。

面试题多多少少对于你接下来所要做的事肯定有点帮助,但我更希望你能透过面试题去总结自己的不足,以提高自己核心技术竞争力。每一次面试经历都是对你技术的扫盲,面试后的复盘总结效果是极好的!

[外链图片转存中...(img-hrrhr69X-1715456317302)]

> **本文已被[CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)收录**

**[需要这份系统化的资料的朋友,可以点击这里获取](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**
2401_84689725
关注
  • 16
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于SpringBoot,Spring Security,JWT,Vue &amp; Element 的前后端分离权限管理系统
04-15
系统的核心技术包括SpringBoot、Spring Security、JSON Web Token (JWT)、Vue.js(以及Element UI)和Vue3。以下是对这些技术及其在项目中的应用的详细说明: 1. **SpringBoot**: SpringBoot是由Spring框架团队...
请求鉴权检验JWTToken
ili_ii的博客
05-29 817
前端鉴权方式 JWT
好消息,完整版的 jwt 鉴权机制来了呦
我本可以容忍阳光,如果我不曾见过太阳,然而阳光已使我荒凉,成为更新的荒凉。
09-27 211
一、是什么JWTJSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息在目前前后端分离的开发过程中,使用token鉴权机制用于身份验证是最常见的方案,流程如下:服务器当验证用户账号和密码正确的时候,给用户颁发一个令牌,这个令牌作为后续用户访问一些接口的凭证后续访问会根据这个令牌判断用户时候有权限进行访问Token,分成了三部分,头部(H...
jwt 的鉴权过程与安全性分析
weixin_46235143的博客
04-01 1250
JWTJSON Web Token)是一种基于标准JSON格式的轻量级身份认证和授权协议。JWT由三部分组成:Header(头部)、Payload(载荷)和Signature(签名)。下面简要介绍JWT使用过程:用户通过用户名和密码向服务器发送登录请求。服务器收到请求后,验证用户名和密码是否正确。如果验证通过,服务器将用户信息作为Payload(载荷)加入到JWT中,并设置过期时间等信息,然后使用加密算法生成Signature(签名)。
【万字长文】微服务整合Shiro+Jwt,源码分析鉴权实战
qq_47027235的博客
08-02 478
Shiro是什么,我这里就不多介绍了,全网也有好多是介绍ShiroJwt整合的教程,我想要写这篇文章,是因为有好多的内容,基本上都是类似的,自己想要的效果,我并没有找到合适的解决方案。支持RBAC通过JWT生成token,做到无状态能够动态的根据用户角色对当前请求路径进行鉴权,而不是使用Shiro提供的注解,把角色权限等信息写死对Shiro的异常进行统一捕获和处理Subject(主题):当前“用户”是谁,这个“用户”并不是我们现实世界中的人类,你可以这样理解,向Shiro发起操作的就是一个。
使用JWT生成Token进行接口鉴权实现方法
penriver的博客
09-24 2427
利用JWT进行鉴权的思路 用户发起登录请求。 服务器使用私钥创建一个jwt字符串,作为token; 服务器将这个token返回给浏览器; 在后续请求中,token作为请求头的内容,发给服务端。 服务端拿到token之后进行解密,正确解密表示此次请求合法,验证通过;解密失败说明Token无效或者已过期 返回响应的资源给浏览器 JWT介绍 什么是JWT JSON Web令牌(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,以JSON对象的形式在通信双方之间安全地传输信息。由于该
SpringBoot,Shiro,JWT,Vue &amp; Ant Design 前后端分离权限管理系统,预览地址.zip
02-22
这是一个基于现代技术栈的前后端分离权限管理系统的实现,整合了SpringBoot、Shiro、JWTJSON Web Token)以及前端的Vue.js和Ant Design。这个系统旨在提供安全、高效的用户认证和授权机制,同时实现了优雅的用户...
管理系统系列--SpringBoot,Shiro,JWT,Vue &amp; Ant Design 前后端分离权限管.zip
02-25
3. **JWTJSON Web Token)**:JWT是一种安全的身份验证机制,用于在客户端和服务器之间传输信息。在前后端分离的架构中,JWT通常用于生成和验证用户令牌,使得用户在登录后可以在一定时间内无须再次认证即可访问受...
(RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue &amp; 2Ele.zip
02-22
3. **JWT**(JSON Web Token):JWT是一种轻量级的身份验证机制,用于在不同域之间安全地传递信息。在Spring Security中,JWT通常用于生成和验证用户身份令牌,这样用户在每次请求时无需发送用户名和密码,只需携带...
基于SpringBoot,Spring Security,JWT,Vue &amp; Element 的前后端分离的.zip
02-04
3. **JSON Web Token (JWT)**: JWT是一种轻量级的身份验证标准,用于在客户端和服务器之间安全地传递信息。在前后端分离的应用中,当用户成功登录后,服务器会返回一个JWT,客户端将其存储在本地(通常是Cookie或...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
✅鉴权—cookie、session、tokenjwt、单点登录
weixin_62079735的博客
02-25 1099
鉴权必须了解的5个兄弟:cookie、session、tokenjwt、单点登录
Springboot集成JWT token实现权限验证
最新发布
abfwaaf的博客
04-14 1259
解释上面的过程,用户在登陆之前还没有token,登录之后,通过调用TokenUtils来生成token,并且返回给前端,至此,该用户就有了token,在之后的请求中首先会被Interceptor-Config类拦截下来,然后进入JwtInterceptor类进行token校验,成功后才会进入controller层,否则就会抛出401的异常(这里的异常是自己手动设置的),然后就会返回给前端,前端就会发生页面跳转,跳转到login页面。这里只提供一个例子,其他的地方都是一样的。
在springBoot中使用JWT实现1.生成token,2.接收前端token进行身份认证,3.通过token获取对象信息
weixin_48122970的博客
08-06 4298
在Spring MVC的配置中,可以通过实现WebMvcConfigurer接口的addInterceptors方法来注册自定义的HandlerInterceptor。通过使用HandlerInterceptor,我们可以实现一些与请求和响应相关的公共逻辑和功能,如身份验证、日志记录、参数解析、跨域处理等。拦截器提供了一种灵活的方式来对请求进行拦截和处理,帮助开发人员实现系统层面的功能和逻辑。
JWT鉴权中心 实现鉴权授权 刷新Token
yiyang1208的博客
12-05 1641
JWT鉴权授权 .net
jwt token 鉴权验证
404源码社区 - Admin404
02-16 4175
1. JWT介绍 本文是在TP6.0使用JWT的示例 JWT全称: JSON Web Token,以 token 的方式代替传统的cookie、session模式,用于各服务器、客户端传递信息及签名验证 2. 新增自定义函数fault() 在app/common.php中新增以下函数 /** * 抛出异常错误 * * @param string $msg * @param integer $code */ function fault(string $msg = "", $co...
JWT 实现 token 认证
javaTalk
06-15 6446
目录 一 什么是 JWTJWT 适用场景 2.1 认证 2.2 信息交换 三 几种认证方式 3.1 session 认证 3.2 token 认证 四 JWT 的数据结构 4.1 header 4.2 playload 4.3 signature 4.4 总结 五 JWT使用方式 六 JWT的优点 七 JWT使用注意 八 JWT 等待解决的问题 九 参...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值