springboot 整合 JWT 和请求拦截,实现利用 token 做请求安全拦截校验,且实现阻止并发登录

已于 2022-09-26 08:52:51 修改
阅读量3k 收藏 14
点赞数 1
文章标签: spring boot java spring
于 2022-09-15 09:43:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Johnson_7/article/details/126863987
版权

目录

一、导入依赖

二、编写 jwt 工具类,实现生成 token 和解析 token

三、在登录请求中向redis中添加token信息

1、先注入redis的接口类

2、在登录方法中生成token并插入redis,有效期一天

四、实现请求拦截器

1、编写自定义的请求拦截器

2、实现WebMvcConfigurer接口,重写实现其添加拦截器方法

五、测试总结

1、请求拦截

①正确 token

②错误的token

③空token

④从redis中删掉token

2、阻止并发登录

3、总结

一、导入依赖

导入 jwt 的依赖

<!--    jjwt-->
<dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.9.1</version>
</dependency>

二、编写 jwt 工具类,实现生成 token 和解析 token

jwt 工作流程

 可以传入具体的用户信息,方便解析校验

// Jwt工具类
public class JwtUtil {

    //private static long time = 1000*10;        // token 有效期为10秒
    private static long time = 1000*60*60*24;   // token 有效期为一天
    private static String signature = "admin";

    // 生成token ,三个参数是我实体类的字段,可根据自身需求来传,一般只需要用户id即可
    public static String createJwtToken(String operNo,String operName ,String organNo){
        JwtBuilder builder = Jwts.builder();
        String jwtToken = builder
                // header
                .setHeaderParam("typ","JWT")
                .setHeaderParam("alg","HS256")
                // payload 载荷
                .claim("operNo",operNo)
                .claim("operName",operName)
                .claim("organNo",organNo)
                .claim("date",new Date())
                .setSubject(operNo)
                .setExpiration(new Date(System.currentTimeMillis()+time))
                .setId(UUID.randomUUID().toString())
                // signature 签名信息
                .signWith(SignatureAlgorithm.HS256,signature)
                // 用.拼接
                .compact();
        return jwtToken;
    }

    // 验证token是否还有效,返回具体内容
    public static Claims checkToken(String token){
        if(token == null){
            return null;
        }
        JwtParser parser = Jwts.parser();
        try {
            Jws<Claims> claimsJws = parser.setSigningKey(signature).parseClaimsJws(token);
            Claims claims = claimsJws.getBody();
            System.out.println(claims.get("operNo"));
            System.out.println(claims.get("operName"));
            System.out.println(claims.get("organNo"));
            System.out.println(claims.getId());
            System.out.println(claims.getSubject()); // 签名
            System.out.println(claims.getExpiration()); // 有效期
            // 如果解析token正常,返回claims
            return claims;
        }catch (Exception e) {
            // 如果解析token抛出异常,返回null
            return null;
        }

    }

}

三、在登录请求中向redis中添加token信息

1、先注入redis的接口类

如果不知道怎么配置redis的可以去看这篇文章 => springboot整合redis并实现mybatis二级缓存

@Autowired
StringRedisTemplate redisTemplate;

2、在登录方法中生成token并插入redis,有效期一天

redis中key值使用字符串 "operToken" 加上用户 id 拼接而成,value 就是 token 的具体内容

也可以插入一个map,redis的键依旧为字符串 "operToken" 加上用户 id 拼接而成,map中的键为token版本号(可以更好的验证并发登录替换了token,不同的随机数即可),值为token的具体内容

// 插入JWT的token
String token = JwtUtil.createJwtToken(loginOper.getOperNo(),loginOper.getOperName(),loginOper.getOrganNo());
loginOper.setToken(token);
// 将JWT的token存入redis,有效期一天
redisTemplate.opsForValue().set("operToken"+loginOper.getOperNo(),token,1, TimeUnit.DAYS);

四、实现请求拦截器

三个请求拦截器

/**前置处理:在业务处理器处理请求之前被调用*/
	boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception;

	/**中置处理:在业务处理器处理请求执行完成后,生成视图之前执行。后处理(调用了Service并返回ModelAndView,但未进行页面渲染),有机会修改ModelAndView ,现在这个很少使用了*/
	void postHandle(
			HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView)
			throws Exception;

    /**后置处理:在DispatcherServlet完全处理完请求后被调用,可用于清理资源等*/
	void afterCompletion(
			HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
			throws Exception;

在请求处理之前,切面的给每个请求做一个校验,校验请求头中的token信息是否有效且信息正确

1、编写自定义的请求拦截器

先取出请求头中token的信息,然后判断这个token是否存在,如果存在再去校验这个token是否真实有效,如果有效再取出token中的用户信息,根据用户id来找出redis中的token,再判断redis中的token是否存在,不存在则说明过期了,如果存在则继续对比请求头中的token是否一致,不一致的话则说明token错误或者被别人并发登录,这里就没有办法判断具体是哪种情况,所以用map集合来存入redis就可以更大程度的判断出(先判断最新版本号的token是否和请求头中的相同,再判断过往版本号的token是否有相同,如果有则说明并发登录,如果没有则token错误。加入map之前需要判断map的大小是否超过一定数值,比如5,超过5则删除之前的数据;对map里键值对单独设置过期时也可以)当然,这还是不够精准

@Component // @Component注解一定要加上
public class Interceptor implements HandlerInterceptor {
    // 注入redis
    @Autowired
    StringRedisTemplate redisTemplate;

    // 处理请求之前执行
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 取出请求头中Authorization的信息,就是token内容,接下来就是各种判断
        String requestToken = request.getHeader("Authorization");
        if(!StringUtils.isEmpty(requestToken)){
            Claims claims = JwtUtil.checkToken(request.getHeader("Authorization"));
            if (claims != null) {
                String token = redisTemplate.opsForValue().get("operToken"+claims.get("operNo"));
                if(Boolean.TRUE.equals(redisTemplate.hasKey("operToken" + claims.get("operNo")))){
                    if(requestToken.equals(token)){
                        // token正确
                        return true;
                    }else {
                        // token错误,判为并发登录,挤下线
                        // 对应的修改响应头的状态,用于前端判断做出相应的策略
                        response.setStatus(411);
                        return false;
                    }
                }else {
                    // token不存在于redis中,已过期
                    response.setStatus(410);
                    return false;
                }
            }
            // 解析token中的用户信息claims为null
            response.setStatus(409);
            return false;
        }
        // requestToken为空
        response.setStatus(409);
        return false;
    }

    // 处理请求之后执行
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("处理请求之后执行");
    }

}

2、实现WebMvcConfigurer接口,重写实现其添加拦截器方法

@Component
public class InterceptorConfig  implements WebMvcConfigurer {
    // 注入自定义拦截器
    @Autowired
    private Interceptor interceptor;

    // 重写添加拦截器方法
    @Override
    public void addInterceptors(InterceptorRegistry registry){  // InterceptorRegistry 为拦截器注册对象
        registry.addInterceptor(interceptor)  // 注册自定义拦截器
        .addPathPatterns("/sys/basic-api/**")// 拦截的路径
        .excludePathPatterns(); // 不拦截的路径
    }
}

五、测试总结

1、请求拦截

给刚刚的自定义拦截器加上输出

然后进行测试

①正确 token

 可以发现是先打印输出结果,再执行请求,创建SqlSession

②错误的token

因为是错误的token,token校验是通过不了的,因此返回的用户信息也为空,打印完直接结束,没有执行请求

③空token

 打印完直接结束,没有执行请求

④从redis中删掉token

 redis中查不到token,判定为token过期

2、阻止并发登录

因为每次生成的token中都有随机id,所以每次登录时生成的token肯定都不一样

所以并发登陆以后,之前登录的用户再一次发送请求就会被验证拦截,根据返回的411状态码来判断账号已在别处登录

 

3、总结

利用token来实现请求拦截校验是完全没有问题的,但是现实中可以尽可能的多加几层校验,确保足够的安全

token的存储方式还是有很大的改进空间,虽然也能勉强实现阻止多并发登录,但是不够完善,不能精准判断出具体的错误情况,所以由此引出 spring security

传送门  ==> 前后端分离项目整合spring security,自定义登录验证接口,并精准有效阻止并发登录

Johnson_9
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
linglong扫描系统 JWT密钥硬编码 登录绕过漏洞复现
0xSec
04-27 541
linglong扫描系统 存在默认JWT密钥硬编码漏洞,未经身份验证验证得攻击者可构造JWT密钥绕着身份认证直接登录系统后台,造成信息泄露,使系统处于极不安全的状态。
springboot拦截html页面元素,SpringBoot+SpringSecurity 不拦截静态资源的实现
weixin_33613462的博客
06-05 1328
一、问题描述在 SpringBoot 中加入 SpringSecurity 中之后,静态资源总是被过滤,导致界面很难看:目录结构:二、问题解决正常不拦截资源,我查阅资料,基本都是重新 config 方法即可:package org.yolo.securitylogin.config;import org.springframework.context.annotation.Bean;import ...
Springboot 整合 JWT + Redis 实现Token 校验Demo
11-23
Springboot 整合 JWT + Redis 实现Token 校验Demo
SpringBoot(九)jwt + 拦截实现token验证
zhaojun的博客
07-31 7725
前面两篇文章的过滤器和拦截器,我们都提到过可以诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt拦截实现token权限验证。
Springboot实现登录功能(token、redis、登录拦截器、全局异常处理)
qq_64680177的博客
10-06 3689
1、前端调用登录接口,往接口里传入账号,密码2、根据账号判断是否有这个用户,如果有则继续判断密码是否正确3、验证成功后,则是根据账号,登录时间生成token(用JWT)4、将token存入Redis当中,用于token过期策略5、将token和用户信息返回给前端6、此后调用后端任何接口都会先判断发来请求token是否存在、有效(拦截实现)7、然后继续接下来的正常调用。
SpringBootSpringBoot+JWT实现登录权限控制(代码)
sfh2018的博客
07-02 4192
项目使用springboot+jwt实现权限控制,在此记录一下防止以后忘记。 一、准备LoginUser 和JwtUser LoginUser.java public class LoginUser { private Integer userId; private String username; private String password; private ...
Springboot继承JWT配置拦截器导致swagger无法访问
Sweet77
01-24 2103
在我的springboot项目中,继承jwt并且配置拦截器之后发现swagger无法正常访问,发现拦截器中只释放了登录页面路径。swagger路径依旧被拦截。 给拦截器中将swagger路径释放出来。 @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new TokenInterceptor()) //用于添加拦截
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
基于springboot+jwt实现刷新token过程解析
08-19
本文主要介绍了基于SpringBootJWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于SpringBoot+JWT实现刷新Token的过程,旨在为读者提供...
springboot + jwt + websocket + 拦截
09-02
在IT行业中,Spring BootJWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统中实现的一种中间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
springboot整和jwt、shiro、redis实现token自动刷新
08-19
下面将详细介绍如何在Spring Boot整合JWT、Shiro和Redis实现Token自动刷新。 JWT是一种轻量级的身份验证机制,它通过在客户端存储一个包含用户信息的令牌,每次请求时都将这个令牌发送到服务器进行验证。JWT由三...
Springboot 前后端分离项目中使用拦截器获取不到token或者token为空的问题(OPTION请求拦截问题)
weixin_45609613的博客
05-05 2510
目是前后端分离的,并且springboot也配置了跨域功能。但是配置了JWT功能、以及验证器验证之后却出现了获取不到jwt的问题。获取参数为 null。并且全局异常拦截失效,前端响应为cors跨域问题获取不到数据。使用postman可以正常请求并获取数据,考虑到是不是因为自己header中的jwt字段不是标准的header字段,尝试放到Authorization中也是null,并且全局拦截也是失效的。
八、SpringBoot登录接口+Token+拦截器编写超详细
最新发布
wuliaodedsimayua的博客
04-20 1256
在开发登录接口时你都需要什么,不会就是简单的将数据和后端数据对比吧,都对的话就进入没有就拒绝访问,那样的话是不是在忽悠小孩子呀~~~~~哈哈哈话不多说,开搞。
Laravel框架 配置 【JWT】 自动验证 放在【请求头】中的 【 token
努力努力再努力
08-22 1783
微信小程序开发 1、修改composer.json文件,在 require中添加: "tymon/jwt-auth": "^1.0.0-rc.1" 2. 运行以下命令,更新依赖: composer update 3. 运行以下命令, 生成jwt.php配置文件: php artisan vendor:publish --provider="Tymon\JWTAuth\Prov...
DRF + jwt + mysql 防止用户重复登录
什么都干的派森
11-19 4836
DRF + jwt + mysql 防止用户重复登录实现目标说明创建自定义用户模块安装配置djangorestframework-jwt模块编写 检查重复登录 的方法编写用户 注册 登录 和 修改密码 的方法通过postman测试用户的 合法性 和 唯一性 实现目标说明 1.djangorestframework + djangorestframework-jwt 实现用户的token登录 2.通...
SpringBoot+Redis 防止用户重复登录
weixin_43165220的博客
09-01 3541
防止用户重复登录,在redis中存储登录信息有两种方式:第一种是以用户名作为redis的key,用户信息作为value,用户信息里面包含了token;第二种是用户名和token分别为key,用户名对应的value是用户信息,token对应的value是用户名。...
SpringBoot整合JWT+Spring Security+Redis实现登录拦截(一)登录认证
郝南过的博客
12-25 2176
Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等。实际操作时经常需要实现XXXFilter来自定义的登录以及访问控制。什么是身份认证身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。常见的身份认证一般要求用户提供用户名和密码。
找工作再也不愁之面试题全覆盖-项目相关
墨家巨子@俏如来
12-19 2553
如果有人用脚本刷你们的短信接口怎么办 首先,可以设置图形验证码,流量错峰 其次,可以获取请求的ip地址,手机号,发送时间,并保存到发送短信记录的日志中,对于短时间多次请求的ip地址,手机号,可以拦截不执行发送手机验证码 再次,可以设置单位时间内发送短信的总数量,比如设定1秒最多只发送10条验证码。但这种方式会降低并发性 使用Nginx+Lua也可以防刷,和黑名单 非对称加密,什么是数字签名 非对称加密是一种算法,指的是加密和解密时使用不同的密钥,叫着公私钥 数字签名就是在非对称加密的基础上,使用私钥加密,
jwt如何防止token被窃取_SpringBoot系列之前后端接口安全技术JWT
weixin_39847437的博客
11-22 6116
作者|smileNicky来源 |cnblogs.com/mzq123/p/13278935.html1.什么是JWT?JWT的全称为Json Web Token (JWT),是目前最流行的跨域认证解决方案,是在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),JWT 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的W...
springboot使用JWT拦截实现登录验证
06-03
下面是一个使用 Spring BootJWT拦截实现登录验证的示例代码: 1. 添加 JWT 依赖 在 pom.xml 文件中添加以下依赖: ```xml <groupId>io.jsonwebtoken <artifactId>jjwt-api <version>0.11.2 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值