JWT学习笔记(二)权限校验

最新推荐文章于 2024-07-30 23:53:14 发布
最新推荐文章于 2024-07-30 23:53:14 发布
阅读量362 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Country_Booy/article/details/115606034
版权

文章目录

jwt格式实现权限校验

项目架构

在这里插入图片描述

项目依赖
   <!-- jwt工具包 -->
   <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.6.0</version>
    </dependency>
主要功能类
JwtUtils

创建解析token工具类

  • 创建token方法

        //签名私钥
    private String key = "laosan123456";
    //15分钟过期 1000*60*15 = 900000
    private Long ttl = 900000L;

	public String createJwt(String id, String name, Map<String, Object> map) {
        //设置失效时间
        long now = System.currentTimeMillis();//当前毫秒
        long exp = now + ttl;
        //创建jwtBuilder
        JwtBuilder jwtBuilder = Jwts.builder().setId(id).setSubject(name)
                .setIssuedAt(new Date())
                .signWith(SignatureAlgorithm.HS256, key);
        //根据map设置claims,即用户自定义数据
        for (Map.Entry<String, Object> entry : map.entrySet()) {
            jwtBuilder.claim(entry.getKey(), entry.getValue());
        }
        jwtBuilder.setExpiration(new Date(exp));
        //创建token
        String token = jwtBuilder.compact();
        return token;
    }

  • 解析token 方法

        public Claims parseJwt(String token) {
		return Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();
    }
UserController

用户登录接口即token相关功能验证

  • 用户登录

        /**
     * 用户登录
     */
    @PostMapping(value = "/login")
    public String login(@RequestBody Map<String, String> loginMap) {
        String username = loginMap.get("username");
        String password = loginMap.get("password");
        //TODO 数据库校验,成功则返回,此处没有走数据库在,直接判断用户名和密码是否相同
        if (!username.equals(password)) {
            return "用户名密码错误";
        }
        //登录成功设置基本信息
        Map<String, Object> map = new HashMap<>();
        // 设置用户基本信息
        map.put("userId", "123456123465");
        map.put("username", "laosan");
        // 设置用户可以访问的api权限信息;
        map.put("apis", "user.detail");
        return jwtUtils.createJwt("123", username, map);
    }

  • 用户详情接口

        /**
     * 获取用户基本信息,用于控制前台菜单,按钮的显示
     */
    @PostMapping(value = "/detail", name = "user.detail")
    public Object detail(HttpServletRequest request) {
        //claims从base中获取
        String userid = claims.getId();
        //TODO 根据userId从数据库中获取用户的角色、权限、菜单、按钮等信息
        Map<String, String> result = new HashMap<>();
        // TODO 以下数据从数据库中获取,
        result.put("menus", "app-menu");//菜单
        result.put("button", "app-delete"); //按钮
        return result;
    }
JwtInterceptor

jwt拦截器代码继承HandlerInterceptorAdapter类,并重写preHandle方法,用于校验当前用户是否有访问该接口的权限,此处根据PostMapping中name属性做权限判断;

  • 具体拦截器代码

        @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 通过request获取请求token信息
        String token = request.getHeader("token");
        //判断请求头信息是否为空
        if (!StringUtils.isEmpty(token)) {
            //解析token获取claims
            Claims claims = null;
            try {
                claims = jwtUtils.parseJwt(token);
            } catch (Exception e) {
                throw new Exception("token exception");
            }
            if (claims != null) {
                //通过claims获取到当前用户的可访问API权限字符串
                String apis = (String) claims.get("apis");
                HandlerMethod handlerMethod = (HandlerMethod) handler;
                //获取当前请求接口中的name属性
                String name = handlerMethod.getMethodAnnotation(RequestMapping.class).name();
                //判断当前用户是否具有响应的请求权限
                if (apis.contains(name)) {
                    request.setAttribute("claims", claims);
                    return true;
                } else {
                    throw new Exception("no permission");
                }
            }
        }
        throw new Exception("no token");
    }
UserConfig

拦截器配置类,继承WebMvcConfigurationSupport,并重写方法addInterceptors;

    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        //添加自定义拦截器
        registry.addInterceptor(jwtInterceptor).
                addPathPatterns("/**").//指定拦截器的url地址
                excludePathPatterns("/user/login");// 指定不拦截的url地址
    }
GlobalExceptionHandler

全局捕获异常类,主要助理拦截器代码抛出的异常,以固定格式返回给前台,此处可定义多种异常;

    @ExceptionHandler(value = Exception.class)
    @ResponseBody
    public String error(HttpServletRequest request, HttpServletResponse response, Exception e) {
        e.printStackTrace();
        return e.getMessage();
    }
简单测试
获取token
  • 获取token
    在这里插入图片描述
token异常

  • 无token
    在这里插入图片描述

  • token无效
    在这里插入图片描述

权限校验

  • 无权限:login接口中apis没有该接口对应的权限;
    在这里插入图片描述

  • 有权限:login接口中apis有该接口对应的权限;
    在这里插入图片描述

三学加瓦
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity+JWT项目实战之Java权限管理实战(四)--角色权限判断
daimeijin的博客
07-24 540
前言 本文是参考尚学堂SpringSecurity精讲,仅作为学习记录使用。 这个系列设计到的技术点如下: SpringSecurity Oauth2 SpringSecurity + Oauth2 SpringSecurity +JWT SpringSecurity + Oauth2 SpringSecurity + Oauth2 + JWT 背景 除了之前讲解的内置权限控制。Spring Security 中还支持很多其他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否具有特定的要求。
微服务--权限校验jwt
qq_41171548的博客
06-03 1914
第一次写博客有点紧张,还有点小激动,话不多说直接切入正题什么是JWT(JSON WEB TOKENS)?JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签...
JWT权限验证
weixin_53216033的博客
06-29 974
JWT,全称JSON Web Tokens,是一种开放标准(RFC 7519)定义的方式,用于在双方之间安全地传输信息。这些信息可以包括用户的身份信息、角色、权限等。JWT通过编码、签名等方式保证传输的信息的安全性和可验证性。JWT不是一种只能做权限验证的工具,而是一种标准化的数据传输规范,所以只要是在系统之间进行简短而又需要一定安全保护的数据传输都可以使用JWT规范来传输。而规范是不受平台限制的,所以JWT是可以跨平台使用的。在JWT中,Claim(生称)的用途主要是存储和传递用户身份信息和其他相关数据。
利用JWT生成Token
tianwailaikewbb的专栏
03-01 911
开篇 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成的Token.JWT生成的Token有什么好处呢? 安全性比较高,加上密匙加密而且支持多种算法。 携带的信息是自定义的,而且可以做到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 本篇分3部分进行讲解。 什么是JWT JWT的代码实现 用H...
权限验证-JWT认证
Hello_super的博客
06-11 1143
JSON Web Token,通过数字签名的方式,以JSON对象为载体,在不同的服务终端之间安全的传输信息;
JWT学习笔记
01-21
JWT学习笔记 作为一名IT行业大师,我将详细解释JWT的概念、特点、优势和应用场景。 什么是JWT? JSON Web Token(JWT)是一种基于JSON的Web令牌,用于在各方之间安全地传输信息。它可以完成数据加密、签名等相关...
JWT学习笔记1
08-03
2. 目标端(如Alpha)从URL中提取Token,通过校验接口验证Token,通过后更新用户信息。 JWT的优势 1. 数据量小,传输速度快,适合移动设备和API交互。 2. 无需在服务端存储用户信息,降低了服务器负担,易于扩展,...
【JavaWeb学习笔记】登录实现与校验
07-28
博客文章 - 【javaweb学习笔记】登录实现与校验(md版):本文深入讲述了登录功能的设计与实现,从功能开发到登录校验的每个环节都进行了详细的阐述。内容涵盖会话技术的应用、会话跟踪方案的选择,以及两种常见的...
基于SpringBoot+JWT+Vue的权限管理系统.zip
06-22
基于SpringBoot+JWT+Vue的权限管理系统源码,基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot...
深入了解java-jwt生成与校验
10-16
主要介绍了深入了解java-jwt生成与校验,Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)...
jwt + spring security 登陆验证和权限管理
04-19
一个Spring Security+JWT认证和授权的demo,此demo为Spring安全性与OAuth(1a)和OAuth2结合使用提供了支持。它提供了在Spring安全编程模型和配置下实现分布式无状态授权。
Spring Security基于jwt实现权限校验
Instanceztt的博客
12-01 1440
在中我实现了基于jwt实现的认证,本文在此基础上继续实现权限认证 代码实现用户认证成功生成jwt时将权限信息加载到jwt中..................................................................................................定义和用于认证成功从jwt中解析jwt中的权限信息.....................................jwt校验成功后解析jwt并加载到安全上下文中.........
用户登录权限校验 JWT【详解】
朝阳39的博客
10-26 1725
JWT (json web token)是当前最流行的用户登录权限校验(用户认证鉴权)方案。
jwt权限验证原理
最新发布
ldw1986hf123的博客
07-30 259
通过对头部和载荷进行编码,然后用指定的算法和密钥生成的签名,用于验证数据的完整性和真实性,其中secret是密钥,不可泄漏,并且其生成也用到了头部信息和载荷信息。: 服务器在收到请求时,解码 JWT 头部和载荷,使用密钥验证签名是否正确。生成时,服务器将用户的身份信息(例如用户 ID 和角色)放入载荷中,并用密钥对其进行签名,生成完整的 JWT。1. JWT,全称是Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现。5.代码示例,工具类。JWT 的这三部分通过点(
jwt权限控制
weixin_42492790的博客
04-29 3309
权限管理 token 支持跨域访问 无状态 更适用CDN 去耦合 更适合移动应用 CRSF跨域伪造 性能 不需要登录页面做特殊处理 基于标准化 JSON Web Token(简称JWT)。 jwt JSON Web Token是一个非常轻巧的规范。这个规范允许我们是用jwt在用户和服务器之间传递安全可靠的信息。 token创建 1.导入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId&g
JWT权限管理
#秦晴的博客
11-20 664
JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 JWT组成 传统的token认证 JWT认证 JWT使用 1、授权中心和资源中心持有私钥和公钥 2、私钥颁发令牌 3、公钥验证令...
权限与认证:JWT
程序员架构进阶
06-03 333
一 背景 最近在做的一个项目中,需要自己开发权限与角色功能,所以就再次调研了一下认证和授权框架及方案,JWT也是其中之一。因此做本篇整理。 JWT简介及Token认证方案 2.1 简介 JWT,即JSON Web Tokens(JWT官网),也就是JSON结构的Web Token。完整描述参见rfc7519。 JSON Web Token (JWT) is a compact, URL-safe means of representing claims to be transfe...
Jwt 权限验证
lm759231639的博客
08-26 675
1.引入jwt需要的jar`` <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>2.2.0</version> </dependency> <depe...
pyhton jwt.verify_jwt校验原理
08-30
`jwt` 库提供了一些函数和方法来进行 JWT 的验证,其中最常用的是 `jwt.decode()` 和 `jwt.verify_jwt()` 函数。 `jwt.decode()` 函数用于解码和验证 JWT,并返回 JWT 中的 payload 数据。它接受三个参数:JWT 字符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值