如何实现实现简单的JWT令牌校验(1)

于 2024-05-14 10:25:42 发布
阅读量295 收藏 6
点赞数 4
分类专栏: 程序员 文章标签: java 数据库 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84972745/article/details/138843843
版权

此处我们选用jjwt的库

jjwt的优点是小巧轻量

但缺点是对JWT的一些细节包装不够, 比如 Claims只提供获取header,body

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

2.封装一个JwtUtil工具类

该类中有两个方法分别为createJWT(用于创建jwt)和parseJWT(用于Token解密)

createJWT方法:

JWT令牌由三部分组成形成一个Token,分别是

  • Header:用于记录令牌类型 签名算法等
  • Payload:用于携带一些自定义信息、默认信息等(可以理解为下方的claims)
  • Signature:防止Token被篡改、确保安全性

而在方法中我们则需要完成对这三部分的设置

parseJWT方法:

我们需要在该方法中将token进行解密取出其中的claims

public class JwtUtil {
    /**
     * 生成jwt
     * 使用Hs256算法, 私匙使用固定秘钥
     *
     * @param secretKey jwt秘钥
     * @param ttlMillis jwt过期时间(毫秒)
     * @param claims    设置的信息
     * @return
     */
    public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {
        // 指定签名的时候使用的签名算法,也就是header那部分
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
​
        // 生成JWT的时间
        long expMillis = System.currentTimeMillis() + ttlMillis;
        Date exp = new Date(expMillis);
​
        // 设置jwt的body
        JwtBuilder builder = Jwts.builder()
                // 设置claims
                .setClaims(claims)
                // 设置签名使用的签名算法和签名使用的秘钥
                .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置过期时间
                .setExpiration(exp);
        
        return builder.compact();
    }
​
    /**
     * Token解密
     *
     * @param secretKey jwt秘钥 此秘钥一定要保留好在服务端, 不能暴露出去, 否则sign就可以被伪造, 如果对接多个客户端建议改造成多个
     * @param token     加密后的token
     * @return
     */
    public static Claims parseJWT(String secretKey, String token) {
        // 得到DefaultJwtParser
        Claims claims = Jwts.parser()
                // 设置签名的秘钥
                .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims;
    }
​
}

3.编写JwtProperties属性类或常量类

为了代码的规范性 同时便于后续对代码的复用和维护 可以编写一个JWT相关属性类或常量类

此处我使用了@ConfigurationProperties注解 将属性写入yml配置文件中

@Component
@ConfigurationProperties(prefix = "study.jwt")
@Data
public class JwtProperties {

    /**
     * 管理端员工生成jwt令牌相关配置
     */
    private String SecretKey;
    private long Ttl;
    private String TokenName;

}

study:
  jwt:
    # 设置jwt签名加密时使用的秘钥
    secret-key: rookiezhang
    # 设置jwt过期时间
    ttl: 7200000
    # 设置前端传递过来的令牌名称
    token-name: token

4.声明一个token拦截器类

该拦截器主要是对一些动态方法进行拦截并进行JWT校验 如Controller方法

/**
 * jwt令牌校验的拦截器
 */
@Component
@Slf4j
public class JwtTokenInterceptor implements HandlerInterceptor {

    @Autowired
    private JwtProperties jwtProperties;

    /**
     * 校验jwt
     *
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //判断当前拦截到的是Controller的方法还是其他资源
        if (!(handler instanceof HandlerMethod)) {
            //当前拦截到的不是动态方法,直接放行
            return true;
        }

        //1、从请求头中获取令牌
        String token = request.getHeader(jwtProperties.getTokenName());

        //2、校验令牌
        try {
            log.info("jwt校验:{}", token);
            Claims claims = JwtUtil.parseJWT(jwtProperties.getSecretKey(), token);
            Long userId = Long.valueOf(claims.get(userId).toString());
            log.info("当前用户id:", userId);
            // 将员工Id存入当前线程
            BaseContext.setCurrentId(userId);
            //3、通过,放行
            return true;
        } catch (Exception ex) {
            //4、不通过,响应401状态码
            response.setStatus(401);
            return false;
        }
    }
}
## 最后

**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/2e0b9796c1587de5f3fe6b9eed6791dd.png)

![img](https://img-blog.csdnimg.cn/img_convert/f770b9a0a38050b3f62a608613d62495.png)

![img](https://img-blog.csdnimg.cn/img_convert/80d9ee8e45f991aaf95ffd58ceb69ba1.png)

![img](https://img-blog.csdnimg.cn/img_convert/9bc2ff7552db5ef2a4c70af706678362.png)

![img](https://img-blog.csdnimg.cn/img_convert/d6cdae00217aff598a712e66f627adda.png)

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
2401_84972745
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JJWT使用详解
qq_45332753的博客
02-17 2万+
JJWT使用详解 开始本文以前最好对JWT已经有一定的了解,这样会更方便您的阅读,本文仅仅对开源项目的使用文档进行汉化,更方便进行阅读和使用。 简介 JJWT旨在成为最易于使用和理解的库,用于在JVM和Android上创建和验证JSON Web令牌JWT) Maven依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId&gt
JWT详解、JJWT使用、token 令牌
xiao2431的专栏
09-22 5544
JWT及JSON Web Token,是一种在两方之间以紧凑、可验证的形式传输信息的方式。此信息可以验证和信任,因为它是数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。
JJWT使用完全指南
oscar999的专栏
08-23 2867
JJWT,是一款适用于 Java 和 Android 的 JSON Web Token(JWT)库。 JJWT, 也称为Java JWT ,全称是 Java JSON Web Token。 JJWT完全基于 JWT、JWS、JWE、JWK 和 JWA RFC 规范以及 Apache 2.0 许可条款下的开源。该库由 Okta 的高级架构师 Les Hazlewood 创建,由一个贡献者社区支持和维护。
JWT的讲解以及JJWT的使用(另附JWT工具类)
枯木何日可逢春
09-03 9134
1. 什么是JWT JSON Web Token(JWT)是一个轻量级的认证规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。其本质是一个token,是一种紧凑的URL安全方法,用于在网络通信的双方之间传递。 2. JWT的构成 一个JWT实际上就是一个字符串,它由三部分组成:头部、载荷与签名 2.1 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等 头部可以被表示成一个JSON对象 {"typ":"JWT","alg":"HS256"} 在
jwt使用详解
u013029883的博客
08-10 1878
认证机制介绍 1.1HTTP Basic Auth HTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password 这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。 例如,提供的用户名是 bill 、口令是 123456 ,则拼接后的结果就是 bill:123456 ,然后再将其用Base64编码,得到 YmlsbD
JAVA实现登录校验JWT令牌实现
最新发布
05-06
JWT令牌工具类
tomcat-jwt-security:基于JWT令牌实现安全阀
05-10
该项目旨在将JWT令牌身份验证功能引入Tomcat 8 ,从而将身份验证过滤器实现为Tomcat Valve。 JWT操作基于项目。 对于Tomcat 7,请使用或克隆。 基于Valve的身份验证应该可以与放置在web.xml文件中的Java标准安全...
Springboot 整合 JWT + Redis 实现双Token 校验Demo
11-23
本教程将详细解释如何整合Spring Boot与JWT(JSON Web Token)以及Redis来实现双Token校验,确保用户会话的安全性和效率。 首先,JWT是一种轻量级的身份验证机制,它允许服务器通过生成一个包含必要信息的令牌(如...
Node.JS如何实现JWT原理
10-14
jwt是json web token的简称,本文介绍它的原理,最后后端用nodejs自己实现如何为客户端生成令牌token和校验token
Vue路由之JWT身份认证的实现方法
12-10
JWT 实际上是一个令牌(Token),服务器会将一些元数据、指定的secret进行签名并生成token,并返回给客户端,客户端得到这个服务器返回的令牌后,需要将其存储到 Cookie 或 localStorage 中,此后,每次与服务器通信...
jjwt-api-0.11.2-API文档-中文版.zip
05-07
赠送jar包:jjwt-api-0.11.2.jar; 赠送原API文档:jjwt-api-0.11.2-javadoc.jar; 赠送源代码:jjwt-api-0.11.2-sources.jar; 赠送Maven依赖信息文件:jjwt-api-0.11.2.pom; 包含翻译后的API文档:jjwt-api-0.11.2-javadoc-API文档-中文(简体)版.zip; Maven坐标:io.jsonwebtoken:jjwt-api:0.11.2; 标签:jsonwebtoken、api、jjwt、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
JJWT简介(翻译)
weixin_34082854的博客
11-09 594
Java JWT: JSON Web Token for Java and AndroidJJWT的是在JVM上创建和验证JSON Web Token(JWTs)的库。JJWT是基于JWT、JWS、JWE、JWK和JWA RFC规范的Java实现。这个库是由Okta的Les Hazlewood创建的,现在由一个贡献者社区维护。 什么是JSON Web TokenJWT是一种在两方之间传输信息的方法...
2021-09-30 JWT与JJWT - yahya
yahya·小阳的博客
10-01 240
jwt 是什么 jwt(Json web token)是json对象的编码表示,json对象由零个或多个名称/值对组成,其中名称是string,值为任意json值。 JWT有助于(例如在URL中)发送这样的信息,可以被信任为不可读(即加密的)、不可修改的(即签名)和URL - safe(即Base64编码的)。 jwt 的组成 Header: 标题包含了令牌的元数据,包含签名、加密算法的类型 Claims: Claims包含您想要签署的任何信息 JSON Web Signature (JWS): 在head
JJWT三种算法的工具类实现
qq_39217714的博客
02-18 1503
JJWT三种签名算法的工具类实现
还在直接用JWT做鉴权?JJWT真香
Java笔记虾
09-09 442
点击关注公众号,利用碎片时间学习jwt是什么?JWTs是JSON对象的编码表示。JSON对象由零或多个名称/值对组成,其中名称为字符串,值为任意JSON值。JWT有助于在clear(例如在...
Java的JJWT实现JWT
YelloJesse的博客
12-25 673
1 什么是 JJWT JJWT 是一个提供端到端的 JWT 创建和验证的 Java 库。永远免费和开源 (Apache License,版本2.0),JJWT 很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。 2 token 的创建 2.1 引入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> &lt
token学习笔记(JWT、jjwt的使用及案例实现
Tian208的博客
01-25 5541
1. 首先、了解什么是会话 2. 会话跟踪的主要技术 3. Token 令牌学习 3.1 流程图 3.2 token 3.3 JWT(JSON web Tokens)Json web 令牌(规范) 3.4 JWT结构 3.5 JWT需要的依赖 3.6 JWT的获取与验证流
学成在线-第18天-讲义-用户授权 v1.21
08-03
1、用户认证通过,认证服务向浏览器cookie写入token( 身份令牌) 2、前端携带token请求用户中心服务获取jwt令牌 3、前端携带cookie中的身

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值