Spring 中的 Token 验证

最新推荐文章于 2023-04-24 09:44:37 发布
最新推荐文章于 2023-04-24 09:44:37 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: Java SpringBoot 文章标签: Token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LinzhiQQQ/article/details/80632296
版权

在 Java Web 工程项目中,登录等操作是非常常见的,那么登陆之后要做的第一件事就是要记住这个登录状态,那么常规且一般的操作是怎么做的呢?

1.账号密码验证

2.验证通过,往 session 里赛用户信息

但是今天要介绍另一个高级的身份验证方法 : token

那么为什么要使用 token 而不直接使用 session 呢?首先,token 相对session安全性更好,另外这种方法兼容性更高

那么来讲讲 Token 的基本流程

1.用户输入登录信息

2.后台获取登录信息并且验证账号密码正确

3.后台取用户 id 通过 Jwt 的算法得出一个 jwt 字符串

4.后台往 cookie 里放入 jwt

5.前台收到cookie 之后,在后面的访问操作里要在 http header 里加入 Authorization : token

6.后台过滤器过滤需要验证的请求,在请求里找 Authorization 信息,提取出来后做 jwt 验证,未过期则可访问

 

JwtUtil.java

 

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtUtil {
    static final String SECRET = "ThisIsASecret";

    public static String generateToken(String username) {
        HashMap<String, Object> map = new HashMap<>();
        //you can put any data in the map
        map.put("username", username);
        String jwt = Jwts.builder()
                .setClaims(map)
                .setExpiration(new Date(System.currentTimeMillis() + 86_400_000L))// 24 hour 86400000 ms
                .signWith(SignatureAlgorithm.HS512, SECRET)
                .compact();
        return "Bearer "+jwt; //jwt前面一般都会加Bearer
    }

    public static void validateToken(String token) {
        try {
            // parse the token.
            Map<String
最低0.47元/天 解锁文章
LinzhiQQQ
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot】44、SpringBoot整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
SpringBoot】46、SpringBoot整合JWT实现Token验证(拦截器篇)
热门推荐
Asurplus
02-28 21万+
前言 上篇文章我们已经实现了使用自定义注解验证 token 信息,这样我们就会发现,当我们需要验证的接口较多时,我们需要每个方法上面都加上 @JwtToken 这个注解,也是非常麻烦, 本片文章,我们继续使用拦截器来实现 token 信息的验证 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot整合JWT实现Token验证(整合篇) 如果对自定义注解验证 token 信息感兴趣的朋友,可以看看我的这篇博客:【SpringBoot】四十五、Spr
3.Spring Security实现JWT token验证
相互学习 共同进步
04-24 3285
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解的权限表达式* 实际可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
Spring Security使用token
超频化石鱼的博客
09-12 1万+
单点登录与多点登录 单点登录:同一个账号在同一时间只有一个token有效。一旦生成新的token,所有旧token失效。 多点登录:同一个账号在同一时间可多次登录,每次登陆都会获得一个token。这些token的有效期是隔离的,不受新生成token的影响。 对于token,若要实现单点登录,则必须将所有token保存在服务端。这实际上与token服务端不负责保存的本质相悖。若要实现单点登录,建议使用session。 下面将实现多点登录。 原理与思路 Spring Security的认证与授权是分开的:
springboot + spring security验证token进行用户认证
孟林洁的博客
11-23 6万+
核心组件 SecurityContextHolder SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder。SecurityContextHolder默认是使用ThreadLoc...
Spring boo 拦截器 验证token
weixin_57467236的博客
08-21 844
Spring boot 拦截器 + token验证 + Vue
SpringCloud利用网关拦截做Token验证(JWT方式)
My52Hz
10-11 3万+
SpringCloud利用网关拦截做Token验证(JWT方式) 2018年09月29日 15:51:50 19八9 阅读数:23更多 &lt;div class="tags-box space"&gt; &lt;span c...
SpringSecurity 实现token 认证
qq_45535340的博客
06-07 4580
实现token 认证
Spring项目使用Jwt完成Token验证
服务员的博客
10-24 4592
一、什么是JWT?为什么使用JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 随着技术的发展,分布式web应用的普及,通过se.
Spring Cloud Feign统一设置验证token实现方法解析
08-18
在微服务架构token验证是非常重要的安全机制之一,本文将主要介绍如何使用Spring Cloud Feign统一设置验证token实现方法解析。 首先,我们需要了解Feign组件的工作机制。Feign组件是一个基于Annotation的接口...
Spring Cloud Gateway使用Token验证详解
08-26
主要介绍了Spring Cloud Gateway使用Token验证详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java token验证和注解方式放行
08-28
"java token验证和注解方式放行"的主题涉及了两个关键概念:Token验证和基于注解的权限管理。Token通常用于验证用户身份,防止未授权的访问。下面我们将深入探讨这两个主题。 首先,Token验证是一种常见的身份验证...
spring-token:整合JWT,springspringMVC,实现基于token验证
05-11
整合JWT,springspringMVC,实现基于token验证 因为CSDN博客上 这篇文章好多小伙伴希望我分享一下源码, 我这边就这个功能单独拉出来写了一个小示例供大家分享。 因为这篇博客讲的是基于JWT和springspringMVC的...
SpringSecurity Jwt Token 自动刷新的实现
08-19
在上面的代码,我们使用了io.jsonwebtoken.Jwts类来生成和解析Token,并使用Spring Security来保护系统的各种资源。在TokenAuthenticateFilter,我们判断Token是否合法,如果Token失效,那么使用refreshToken来...
Spring Boot 的前后台数据交互方式
LinzhiQQQ的博客
12-02 1万+
Java Web 项目里的前台与后台之间的交互是一个重点 今天记录Spring 框架下前后台数据交互的方式 1.Form 表单 + request 方式 前端提交表单   &lt;div class="container" &gt; &lt;form action="/admin/login" method="post"&gt; &lt;input type=".
MyBatis 插入失败后爆出 500 ,如何捕获异常?
LinzhiQQQ的博客
12-02 8623
我们在使用 Mybatis 的时候,会出现以下场景 数据表里有一些字段被设置为了 不可为 null 但是我们的用户在提交表单的时候没有提交所需的 字段数据 然后 Mybatis 在数据库做操作的时候就出错了,然而它却直接给页面返回了一个 500 当然了,我们是一定不希望用户看到 500 的 那怎么办呢?当然是把这个错误给捕获了,然后把它处理掉,给用户返回提示,而不是500 但是大家会发...
SpringBoot + Redis 以及在工具类里注入 Service(Redis)
LinzhiQQQ的博客
12-02 3886
现在的场景是需要做 token 验证,那么用户退出登录之后,我们给他设置一个新的 token,然后当用户拿着已经注销了的token再进行访问验证时,到 Redis 里查看对比两个token是否一致,如果不一致说明token已过期 所以现在我们需要在 验证 token 的 Class 里面使用 RedisService 从数据库里拿出 token 做对比 由于工具类是 静态的方法,并且也不是 c...
Java 使用Redis做数据缓存
LinzhiQQQ的博客
12-02 3384
我们在做后端服务的时候,要非常注重性能,比如我们一个项目,大家回频繁地打开某一个页面的时候,回频繁地去后台请求数据库访问数据,重复地查询一样的数据,这样一想,在数据库里那部分数据没有被更新的情况下还重复地去查询,是不是觉得有点浪费资源了呢?是的,那么我们就要想办法把那些不必要每次都从数据库里拿的数据(更新频率低)做缓存,不要每次访问页面都去查询一次。 我们使用 Redis 来实现缓存 1.引入...
springcloud 排除token 验证
最新发布
06-02
Spring Cloud,可以通过配置来排除Token验证,即在特定的请求验证Token,可以通过以下步骤实现: 1. 在Spring Security的配置,添加`HttpSecurity`的配置,配置不需要验证Token的请求: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenProvider jwtTokenProvider; @Override protected void configure(HttpSecurity http) throws Exception { // 排除不需要验证Token的请求 http.authorizeRequests() .antMatchers("/api/public/**").permitAll() .anyRequest().authenticated() .and().apply(new JwtConfigurer(jwtTokenProvider)); } } ``` 2. 在需要排除Token验证的请求,添加`@PermitAll`注解: ``` @RestController @RequestMapping("/api/public") public class PublicController { @Autowired private PublicService publicService; @GetMapping("/info") @PermitAll public String getInfo() { return publicService.getInfo(); } } ``` 通过以上步骤,就可以在特定的请求排除Token验证。需要注意的是,`@PermitAll`注解需要在`org.springframework.security.access.annotation`包,需要添加对应的依赖: ``` <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-access-core</artifactId> <version>${spring-security.version}</version> </dependency> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值