JWT+SpringBoot+SpringMVC参数解析器

已于 2024-01-09 09:55:30 修改
阅读量134 收藏
点赞数
文章标签: spring boot spring java chrome 安全
于 2023-01-13 19:41:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Galaxy_0/article/details/128662511
版权

简介

大家以前都使用过session存储信息,有的交给容器创建,有的存储到mysql或者redis,这次项目用到了JWT,我们把用户的信息和登录的过期时间都封装到一个token字符串里,客户端每次请求只需要在头信息里携带token即可,话不多说,下面是目录结构.

一.annonation注解

package com.demo.annotation;

import java.lang.annotation.*;

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface IgnoreLogin {
}

该注解主要作用是过滤掉请求拦截器,使用该注解就不会对该请求进行拦截(权限校验),具体使用下面讲.

package com.demo.annotation;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 登录用户信息
 */
@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginUser {}

该注解作用是SpringMVC参数解析器,类似于RequestBody注解(希望大家了解springmvc的参数解析机制),和我们后面的resolver相关联.

二.bean实体类

package com.demo.bean;

public class User {private long userId;private String userName;private String password;忽略get/set
}

我们的用户信息

package com.demo.bean;

public class Business {private String str;private int num;忽略get/set
}

我们的业务参数

三.config配置信息

package com.demo.config;

import com.demo.interceptor.AuthorizationInterceptor;
import com.demo.resolver.UserArgumentResolver;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import java.util.List;

/**
 * MVC配置
 */
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {@Autowiredprivate AuthorizationInterceptor authorizationInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(authorizationInterceptor).addPathPatterns("/**");//注入我们自定义的拦截器,拦截所有请求}@Overridepublic void addArgumentResolvers(List<HandlerMethodArgumentResolver> resolvers) {resolvers.add(new UserArgumentResolver());//注入我们的用户参数解析器}
}

四.controller

package com.demo.controller;

import com.demo.annotation.IgnoreLogin;
import com.demo.annotation.LoginUser;
import com.demo.bean.Business;
import com.demo.bean.User;
import com.demo.util.JwtUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;

@RestController
public class UserController {private Logger logger = LoggerFactory.getLogger(getClass());@Autowiredprivate JwtUtils jwtUtils;@PostMapping(value = "/login")@IgnoreLoginpublic String login() {//在此 我们不做登录检验 假设检验成功User user = new User();user.setUserId(9527);user.setUserName("小星星");return jwtUtils.generateToken(user);//这里只是为了测试只返回token,(请求不含IgnoreLogin注解时需要将token放在头信息里)}@PostMapping("/business")public User business(@RequestBody Business business, @LoginUser User user) {//在业务逻辑可以使用注解将我们的user注入进来logger.info("用户信息参数id:{},姓名:{}", user.getUserId(), user.getUserName());logger.info("我们的业务参数:{},{}", business.getStr(), business.getNum());return user;}
}

可以看到当我们登陆成功后我们可以生成一个token字符串返回给客户端,这个字符串包含了用户信息和时间信息(jwt机制),同时我们做了一个模仿业务的请求,business是我们的业务参数,user是我们根据客户端上发的token解析出来的,下面会讲到如何解析.可以看到只要我们需要user的参数,我们就可以直接使用LoginUser注解和User就可以直接得到,非常方便,客户端并不需要将我们的用户信息参杂到我们的业务参数中.相对安全。

五.exception

package com.demo.exception;

public class RRException extends RuntimeException {private static final long serialVersionUID = 1L;private String msg;private int code = 500;

}

这里我就不解析了,根据需求可以和客户端协商相应的错误码

六.interceptor拦截器

package com.demo.interceptor;

import com.demo.annotation.IgnoreLogin;
import com.demo.exception.RRException;
import com.demo.util.JwtUtils;
import io.jsonwebtoken.Claims;

import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 权限(Token)验证
 */
@Component
public class AuthorizationInterceptor extends HandlerInterceptorAdapter {@Autowiredprivate JwtUtils jwtUtils;public static final String USER_KEY = "user";private Logger logger = LoggerFactory.getLogger(getClass());@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {if (!(handler instanceof HandlerMethod) || ((HandlerMethod) handler).getMethodAnnotation(IgnoreLogin.class) != null) {//如果不是HandlerMethod或者忽略登录logger.info("无需token校验,handler:{}", handler);return true;}//获取用户凭证String token = request.getHeader(jwtUtils.getHeader());if (StringUtils.isBlank(token)) {token = request.getParameter(jwtUtils.getHeader());}//凭证为空if (StringUtils.isBlank(token)) {throw new RRException(jwtUtils.getHeader() + "不能为空", HttpStatus.UNAUTHORIZED.value());}Claims claims = jwtUtils.getClaimByToken(token);if (claims == null || jwtUtils.isTokenExpired(claims.getExpiration())) {throw new RRException(jwtUtils.getHeader() + "失效,请重新登录", HttpStatus.UNAUTHORIZED.value());}//设置userId到request里,后续根据userId,获取用户信息request.setAttribute(USER_KEY, jwtUtils.getUser(claims));return true;}
}

我们会过滤掉不是HandlerMethod的请求和带有IgnoreLogin的注解(并不是所有方法都需要校验,例如登录请求,支付回调请求),我们会取出客户端发出的token,解析出来并判断是否过期,没有token或者已过期我们可以需要返回一个错误码给客户端然后重新登录,当我们校验成功后我们会取出用户信息放入到request里(后面会在参数解析器里解析出来),这也是这个拦截器的精髓,既能校验又能获取用户的信息.

七.resolver参数解析器

package com.demo.resolver;

import com.demo.annotation.LoginUser;
import com.demo.bean.User;
import com.demo.interceptor.AuthorizationInterceptor;
import org.springframework.core.MethodParameter;
import org.springframework.web.bind.support.WebDataBinderFactory;
import org.springframework.web.context.request.NativeWebRequest;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.method.support.ModelAndViewContainer;

import javax.servlet.http.HttpServletRequest;

/**
 * 用户参数解析器
 */
public class UserArgumentResolver implements HandlerMethodArgumentResolver {@Overridepublic boolean supportsParameter(MethodParameter parameter) {return parameter.hasParameterAnnotation(LoginUser.class);}@Overridepublic Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {HttpServletRequest request = webRequest.getNativeRequest(HttpServletRequest.class);User user = (User) request.getAttribute(AuthorizationInterceptor.USER_KEY);return user;}
}

springmvc的参数解析器,需要继承HandlerMethodArgumentResolver,有两个方法,第一个就是支持什么类型的参数,可以看到我们支持拥有LoginUser注解的参数,第二个方法是从request里取出我们在拦截器中放入的user并返回,这样就实现了user对象的注入.

八.JwtUtils

package com.demo.util;

import com.alibaba.fastjson.JSONObject;
import com.demo.bean.User;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * jwt工具类
 */
@Component
@ConfigurationProperties(prefix = "jwt")
public class JwtUtils {private Logger logger = LoggerFactory.getLogger(getClass());private long expire;private String secret;private String header;/** * 生成jwt token */public String generateToken(User user) {Date nowDate = new Date();//过期时间Date expireDate = new Date(nowDate.getTime() + expire * 1000);return Jwts.builder().setHeaderParam("typ", "JWT").setSubject(JSONObject.toJSONString(user)).setIssuedAt(nowDate).setExpiration(expireDate).signWith(SignatureAlgorithm.HS512, secret).compact();}/** * 解析出来claim * @param token * @return */public Claims getClaimByToken(String token) {try {return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();} catch (Exception e) {logger.debug("validate is token error ", e);return null;}}/** * 得到user * @param claims * @return */public User getUser(Claims claims) {return JSONObject.parseObject(claims.getSubject(), User.class);}/** * token是否过期 * @return true:过期 */public boolean isTokenExpired(Date expiration) {return expiration.before(new Date());}public String getSecret() {return secret;}public void setSecret(String secret) {this.secret = secret;}public long getExpire() {return expire;}public void setExpire(long expire) {this.expire = expire;}public String getHeader() {return header;}public void setHeader(String header) {this.header = header;}
}

expire过期时间,secret密钥,header头信息名称 这些数据在application.yml里,这里我们会根据User对象生成一个token字符串,根据token取出claims对象,这里就包含了我们的过期时间和之前我们所存的user信息.

九.springboot启动和yml参数

package com.demo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class SpringBootStart {public static void main(String[] agrs) {SpringApplication.run(SpringBootStart.class, agrs);}
}

application.yml
jwt:#加密秘钥secret: f4e2e5203fg45sf45g4de581c0f9eb5#token,单位秒expire: 6000header: token

十.总结

代码随少,五脏俱全,在这里我们梳理一下流程.

1:用户上发登录请求,我们会返回一个token(包含校验信息和用户信息).
2:客户端上发请求需要携带token到头信息里服务器需要验证.
3:服务器拦截请求取出token并进行解析,把user信息存入到request中.
4:在springmvc我们增加了参数解析器,将user从request取出并返回,这时候就完成了参数的解析和注入.
5:可以在controller逻辑代码使用我们的user对象了.

在这里插入图片描述

网络安全苏柒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot整合SpringMVC+MyBatis——入门篇
qq_35357664的博客
05-10 1206
SpringBoot整合SpringMVC+MyBatis 使用SpringBoot+SpringMVC+MyBatis整合实现一个对数据库中的user表的CRUD的操作先创建表USERCREATE TABLE USER (      id INT(11) NOT NULL AUTO_INCREMENT PRIMARY KEY,       NAME VARCHAR(50) DEFAULT NUL...
SpringBoot+JWT+Spring Security实现登录鉴权
lsl520hah的博客
11-04 1353
1、配置pom文件,添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency...
在线JWT Token解析解码工具
热门推荐
林夕
02-13 1万+
1:2:3:
springboot 整合 JWT 和请求拦截,实现利用 token 做请求安全拦截校验,且实现阻止并发登录
Johnson_7的博客
09-15 3051
springboot 整合 JWT 和请求拦截,实现利用 token 做请求安全拦截校验,且实现阻止并发登录
后端代码解析工具类(until)JwtUtils
最新发布
2201_75464794的博客
05-29 779
个人理解这个JwtUtils类实现了一系列与JWT(JSON Web Token)相关的功能,主要包括:生成JWT:类提供了几种方法来生成JWT,可以基于用户的主体信息(如用户名),也可以包括用户的角色权限,以及可以设置自定义的过期时间。解析JWT:类提供了一个方法来解析传入的JWT,并返回一个Claims对象,这个对象包含了JWT中的所有声明(如主体、过期时间、自定义声明等)。校验JWT:在解析JWT的过程中,类会自动校验JWT的有效性,包括签名是否正确,以及JWT是否过期。
SpringBoot】1、SpringBoot整合JWT实现Token验证
qq_24099547的博客
04-10 7842
单点登录
SpringBoot + jwt 详解+使用案例
zkcJava的博客
08-26 9213
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案
Spring Boot+Jwt+AOP+自定义注解实现接口的权限控制
LT19990304的博客
06-20 2051
之前在项目中通过自定义拦截器+自定义注解进行权限校验,拦截器代码过于臃肿!!!于是想到了使用面向切面的方法!!
基于Web+springboot的社区医院管理服务系统.zip
03-22
下面将详细解析其中涉及的技术点和系统架构。 首先,系统的基础架构是基于Web技术,这通常指的是HTML、CSS和JavaScript,它们是构建网页内容、样式和交互性的基石。在后端,使用了SpringBoot框架,它简化了Java应用...
基于uniapp+springboot的校园失物招领系统微信小程序.zip
03-20
尽管SpringBoot已经足够强大,但在这个项目中,可能部分模块仍使用了SSM来处理特定的需求,如复杂的数据查询或自定义的拦截器。 4. **微信小程序**: 微信小程序是一种无需下载安装即可使用的应用,它实现了应用...
SpringBoot+Bolg+ SSM
05-21
在这个项目中,SpringBoot作为基础框架,Bolg代表博客功能,而SSM则是SpringSpringMVC和MyBatis的简称,它们是Java Web开发中的经典组件。 **SpringBoot** 是Spring框架的扩展,它简化了Spring应用的初始搭建以及...
基于springboot+web的机动车号牌管理系统源码数据库.doc
03-09
Spring负责依赖注入,SpringMVC负责控制器层,MyBatis则用于持久层操作。 #### 三、核心功能模块解析 机动车号牌管理系统主要包括以下几个核心功能模块: 1. **牌照换补申请管理**:支持用户在线提交牌照更换或...
基于SSM(springmvc+spring+mybatis)+Mysql图书管理系统.zip
12-25
下面将详细解析该项目的核心技术和实现过程。 首先,SpringMVCSpring框架的一部分,负责处理HTTP请求和响应,它通过模型-视图-控制器(MVC)架构模式来组织应用代码。SpringMVC提供了一个灵活的请求映射机制,...
JWT工具使用
市民景先生
03-08 460
ps:base64编码不是加密,只是把铭文信息换成不可见字符串,但主要通过一些工具就可以可以把base4破解成明文,所以不能放重要内容进去。:当前服务器的ip地址(Linux中配置代理服务器的ip),主要用户对JWT生成字符串的时候进行加密。:用户自定义信息,通过解析jwt可以获取对应内容。:主要是JWT相关配置参数比如签名。
Spring Authorization Server入门 (六) 自定义JWT中包含的内容与资源服务jwt解析器
云逸的博客
06-07 3760
最后经过两个简单的配置实现了自定义的token内容与解析器,这也正是框架灵活与支持高度自定义的体现,实际上这些操作的代码部分都比较少,多的是理论部分,结合文档与源码能够更好的理解框架,文档中对于某些类的应用一般会有详细的说明与示例存在。
生成和解析JWT令牌的工具类
leiguanfa的博客
05-15 529
使用JWT令牌需导入依赖。
golang简单的jwt生成器和解析器brianvoe/sjwt库实践
qq_32421489的博客
07-25 460
golang简单的jwt生成器和解析器brianvoe/sjwt库实践
jwt使用详解
u013029883的博客
08-10 1951
认证机制介绍 1.1HTTP Basic Auth HTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password 这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。 例如,提供的用户名是 bill 、口令是 123456 ,则拼接后的结果就是 bill:123456 ,然后再将其用Base64编码,得到 YmlsbD
JWTJWT JWS JWE | 结构与生成规则 | 在线JWS解析工具
Juruo@Security
05-04 3404
JWT JWS JWE | 数据结构 | 在线JWS解析工具
使用Spring-security+jwt+springboot+mysql+jpa或mybatisplus完成RBAC权限管理
04-25
使用Spring-security jwtSpring Boot、MySQL以及JPA或MyBatis Plus来完成RBAC权限管理是可行的。RBAC(Role-Based Access Control)权限管理是一种广泛使用的准则,用于控制基于角色的权限访问。它允许为用户的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值