SpringBoot+JWT 实现接口登录验证

最新推荐文章于 2024-04-08 15:15:49 发布
最新推荐文章于 2024-04-08 15:15:49 发布
阅读量1.5k 收藏 8
点赞数 2
分类专栏: 点滴汇聚 文章标签: java jwt spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrYang_Wei/article/details/121677843
版权

 一、介绍

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。

1、头部(Header)

头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。

{"typ":"JWT","alg":"HS256"}

在头部指明了签名算法是HS256算法。 我们进行BASE64编码http://base64.xpcha.com/,编码后的字符串如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

2、载荷(playload)

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

(1)标准中注册的声明(建议但不强制使用)

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token。

(2)公共的声明

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

(3)私有的声明

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

这个指的就是自定义的claim。比如前面那个结构举例中的admin和name都属于自定的claim。这些claim跟JWT标准规定的claim区别在于:JWT规定的claim,JWT的接收方在拿到JWT之后,都知道怎么对这些标准的claim进行验证(还不知道是否能够验证);而private claims不会验证,除非明确告诉接收方要对这些claim进行验证以及规则才行。

定义一个payload:

{"sub":"1234567890","name":"John Doe","admin":true}

然后将其进行base64加密,得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

3、签证(signature)

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

header (base64后的)

payload (base64后的)

secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

二、实践(简单实现调用后台接口需要token验证)

1、引入依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

2、自定义注解

/**
 * @author yang
 * @date 2021年11月19日 11:09
 * 这个注解的作用是用来pass掉token 的 也就是不需要token验证的需求   
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
    boolean required() default true;
}
/**
 * @author yang
 * @date 2021年11月19日 11:10
 * 这个注解时候用来使用token 的
 */
@Target({ElementType.METHOD,ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserLoginToken {
    boolean required() default true;
}

3、创建获取Token的工具类

/**
 * @author yang
 * @date 2021年11月19日 11:12
 */
public class TokenUtil {
    /**
     * 生成token 的方法
     * @param user
     * @return
     */
    public static String  getToken(SysUser user){

        Date nowDate = new Date();
        //过期时间
        Date expireDate = new Date(nowDate.getTime() + 24*60*60*1000);
        String token = "";
        token = JWT.create().withAudience(user.getUserId().toString())
                .withExpiresAt(expireDate)
                .sign(Algorithm.HMAC256(user.getPassword()));
        return token;
    }
}

Algorithm.HMAC256():使用HS256生成token,密钥则是用户的密码,唯一密钥的话可以保存在服务端。withAudience()存入需要保存在token的信息,这里我把用户ID存入token

4、创建拦截器,来拦截相应的请求

/**
 * @author yang
 * @date 2021年11月19日 11:19
 */
public class AuthenticationInterceptor implements HandlerInterceptor {

    @Autowired
    SysUserService userService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //进入方法之前进行的操作
        //获取token
        String token  =  request.getHeader("token");
        //如果不是映射到方法直接通过
        if(!(handler instanceof HandlerMethod)){
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        if(method.isAnnotationPresent(PassToken.class))
        {
            PassToken passToken = method.getAnnotation(PassToken.class);
            if(passToken.required()){
                return true;
            }
        }
        String userId = null;
        if(method.isAnnotationPresent(UserLoginToken.class))
        {
            UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class);
            if(userLoginToken.required()){
                if(token == null){
                    throw new RuntimeException("无token,请重新登录");
                }
                //获取token的userid
                try{
                    userId = JWT.decode(token).getAudience().get(0);
                }
                catch (JWTDecodeException e){
                    throw new RuntimeException("token已过期,请重新请求");
                }
                SysUser user = userService.getUser(Long.parseLong(userId));
                if(user==null){
                    throw new RuntimeException("用户不存在");
                }
                //验证token
                JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
                try{
                    jwtVerifier.verify(token);
                }catch (JWTVerificationException e){
                    throw new RuntimeException("token已过期,请重新请求");
                }

                return true;
            }
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        //方法处理之后但是并未渲染视图的时候进行的操作
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        //渲染视图之后进行的操作
    }
}

method.isAnnotationPresent(PassToken.class) 这里就看到我们的注解的作用了,利用的是java 的反射机制,看是否有这样的注解,有进就行相关的操作

这里我们的token 是在请求头中被传过来的。

主要流程

1.从 http 请求头中取出 token,
2.判断是否映射到方法
3.检查是否有passtoken注释,有则跳过认证
4.检查有没有需要用户登录的注解,有则需要取出并验证
5.认证通过则可以访问,不通过会报相关错误信息
 

5、配置springmvc 的拦截器

/**
 * @author yang
 * @date 2021年11月19日 11:22
 */
@Configuration
public class WebMvcConfigration implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor()).addPathPatterns("/rest/**");

    }
    @Bean
    public AuthenticationInterceptor authenticationInterceptor(){
        return new AuthenticationInterceptor();
    }
}

 这里我拦截的是/rest/下的所以请求,大家根据自己实际的请求路径进行修改。这里突然想到一个坑,有的博客会去用@EnableWebMvc这个注解,当你使用这个注解时候,会取消到springboot 的默认配置,所以请谨慎使用。

6、mvc阶段(主要是Controller,其他就不介绍了)

/**
 * @author yang
 * @date 2021年11月19日 11:27
 */
@RequestMapping("/rest")
@RestController
public class UserController extends BaseController {

    @Autowired
    private SysUserService sysUserService;

    @PassToken
    @PostMapping(value = "/login2")
    public Object login(SysUser sysUser ){

        //用户登录
        BooleanResult booleanResult = sysUserService.login(sysUser.getLoginName(),sysUser.getPassword());

        SysUser user = (SysUser) booleanResult.getObject();

        String token = TokenUtil.getToken(user);
        return token;
    }

    @UserLoginToken
    @RequestMapping("/getmessage")
    public String getmessage(){
        return "你已经通过验证";
    }


}

这里应该有两个方法,login 使用来登录验证的 加上注解 就不需要token 字段,getmessage 使用来模拟我们那些需要token的方法,加上注解后,就需要token

三、测试

1、我们先使用Postman调下/rest/getmessage接口,此时无token

2、接着调用/rest/login2接口生成token 

3、再次调/rest/getmessage,这次在请求的Headers中带入刚生成的token

 好,结束,收工,最后附上工程目录及请求图示

参考: springboot+jwt 实现登录验证_大白的博客-CSDN博客_jwt登录认证

MrYang_Wei
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+JWT实现接口验证
qq_45917176的博客
08-13 479
SpringBoot+JWT实现接口验证
基于springboot实现JWT登录拦截及验证(超详细版)
最新发布
Java程序员十六的博客
06-26 631
基于Springboot通过Jwt实现登录拦截及验证
SpringBoot+JWT实现单点登录解决方案
qinxun2008081的博客
07-04 1万+
SpringBoot+JWT实现单点登录解决方案
SpringBoot+JWT实现用户接口访问权限验证
qq_24138151的博客
08-05 1944
流程: 1.用户访问login接口验证用户身份信息,并生成token绑定用户信息,token返回前端 2.前端把token存入request header中访问后端接口即可成功,否则提示无权访问 代码部分: 1.JwtUtil类 (生成token,校验token等) /* * * @Author qy * <p> JWT工具类 </p> * @Param * @Return */ public class JwtUtil { // Token过期时间
vue+springboot实现JWT登录验证
xc9711的博客
04-08 1344
vue+springboot实现jwt登录验证,前后端逻辑皆给出
springboot+jwt 实现登录验证
大白的博客
05-15 1万+
jwt 简介 json web token ,简要说明:前端传验证信息到后端,后端验证通过,返回一个对象,只不过这个对象是被加密的,这样后端就可以为无状态的,每次请求的时候,请求头带上token ,里面封装了对象的信息,我们只需要用拦截器进行拦截,解析token,后端就可以知道是谁登录了界面,可以设置相应的超时时间,超时时间不应太长或者太短,根据实际情况而定,超时用户就需要从新登录 优点: 减少...
springboot+shiro+jwt实现登录+权限验证
liu649983697的专栏
03-06 1484
一、简介: JWT优点: 1.基于Token的身份认证是无状态的,服务器或者Session中不会存储任何用户信息-应用程序可以根据需要扩展和添加更多的机器,而不必担心用户登录的位置。 2.支持跨域访问: Cookie是不允许垮域访问的,token支持。 3.解耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在 你的API被调用的时候, 你可以进行Token生成调用即可。 4.更适用于移动应用: Cookie不支持手机端访问,token支持。 5.性能: token生成
SpringBoot+Shiro+Jwt实现登录认证
weixin_44740485的博客
05-08 1850
srpingboot这里就不再进行赘述,相信大家都非常的熟悉了 Shiro 一个安全框架,可以实现用户的认证和授权。比SpringSecurity要简单的多。 Jwt 我的理解就是可以进行客户端与服务端之间验证的一种技术,取代了之前使用 Session 来验证的不安全性 什么不适用 Session? 原理是,登录之后客户端和服务端各自保存一个相应的 SessionId,每次客户端发起请求的时候就得携带这个 SessionId 来进行比对 1、Session 在用户请求量大的时候服务器开销太大了 2
SpringBoot+jwt+shiro实现登录验证接口权限校验
zhang_199911的博客
11-10 7352
刚出炉的SpringBootJWT+Token+Shiro实现接口登录验证,权限管理(RBAC模型),源码详细,注释清晰~
Springboot+Spring-Security+JWT 实现用户登录和权限认证
热门推荐
congge
06-08 27万+
如今,互联网项目对于安全的要求越来越严格,这就是对后端开发提出了更多的要求,目前比较成熟的几种大家比较熟悉的模式,像RBAC 基于角色权限的验证,shiro框架专门用于处理权限方面的,另一个比较流行的后端框架是Spring-Security,该框架提供了一整套比较成熟,也很完整的机制用于处理各类场景下的可以基于权限,资源路径,以及授权方面的解决方案,部分模块支持定制化,而且在和oauth2.0进...
springboot + jwt + websocket + 拦截
09-02
在IT行业中,Spring Boot、JWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统中实现的一种中间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
通过这种方式,Spring Security会处理用户的登录认证,而JWT则负责在后续的API请求中传递用户信息,实现无状态的身份验证。Spring Security OAuth2库可以进一步扩展功能,例如实现OAuth2的授权流程,以便在多应用...
IDEA+Springboot+Mybatis+MySql+Swagger3.0+JWT权限验证实现 增、删、改、查
09-03
我们主要利用IntelliJ IDEA作为开发集成环境(IDE),Spring Boot作为核心框架,Mybatis作为持久层框架,MySQL作为数据库存储,Swagger3.0用于API文档的生成与管理,以及JWT(JSON Web Tokens)进行权限验证实现了...
SpringBoot+shiro+redis+jwt .zip
01-03
5. `UserServiceImpl.java`:用户服务接口实现,负责用户登录、权限验证等操作。 6. `RedisConfig.java`:`Redis`的相关配置,如连接池、序列化方式等。 7. `TokenManager.java`:JWT生成和验证的工具类,通常包括...
Linux(CentOS 8.0)下nginx安装与配置
MrYang_Wei
04-09 4501
首先请大家确保下各自的环境,我的Linux版本为CentOS 8.0,因为nginx版本的问题我捯饬了大半天,亲测我的linux上对nginx-1.10.1 ~1.10.3及以下版本存在兼容问题(make时一直报错,即使修改也不行)。 一、环境准备 1、安装gcc 安装 nginx 需要先将官网下载的源码进行编译,编译依赖 gcc 环境。安装指令如下: yum inst...
Linux下禅道安装及基础配置
MrYang_Wei
01-24 2394
Linux下禅道安装及基础配置
IDEA切换版本控制工具(git、svn)
MrYang_Wei
11-26 1987
今天版本库换位置了,但却一直没找到替换方式,后经请教成功搞定,在此记录,方便遇到相似问题的小猿... 1、首先点击File >> Settins >> Version Control 2、打开 Version Control 页面后可看到当前项目的版本控制工具 3、点击 VCS 列选择对应的版本工具即可 提示:即使你在 Version Control 中配置了多个版...
springboot+JWT+Redis实现单点登录
05-25
单点登录(Single Sign-On,简称SSO)是一种身份验证技术,可以让用户只需一次登录,就可以访问多个应用程序。在实际开发中,我们可以使用Spring Boot、JWT和Redis来实现单点登录功能。 下面是实现单点登录的步骤: 1. 创建Spring Boot项目并引入所需依赖:spring-boot-starter-web、spring-boot-starter-data-redis和jjwt。 2. 创建一个User实体类,包含用户名和密码等信息。 3. 创建一个UserService,实现对用户信息的操作,包括注册、登录等。 4. 引入JWT依赖后,我们需要创建一个JWTUtil类,实现token的生成和解析。 5. 创建一个LoginController,用于处理用户的登录请求。在登录成功后,生成token并将其存储到Redis中。 6. 创建一个AuthController,用于验证用户的token是否有效。在验证成功后,可以获取用户信息并返回。 7. 在需要进行单点登录验证的应用程序中,只需要在请求中携带token,并调用AuthController进行验证即可。 具体实现细节可以参考以下代码示例: User实体类: ```java public class User { private String username; private String password; // 省略setter和getter方法 } ``` UserService接口: ```java public interface UserService { void register(User user); String login(String username, String password); } ``` UserService实现类: ```java @Service public class UserServiceImpl implements UserService { @Autowired private RedisTemplate<String, String> redisTemplate; @Override public void register(User user) { // 省略用户注册逻辑 } @Override public String login(String username, String password) { // 省略用户登录逻辑 // 登录成功后生成token并存储到Redis中 String token = JWTUtil.generateToken(username); redisTemplate.opsForValue().set(username, token, 30, TimeUnit.MINUTES); return token; } } ``` JWTUtil类: ```java public class JWTUtil { private static final String SECRET_KEY = "my_secret_key"; private static final long EXPIRATION_TIME = 3600000; public static String generateToken(String username) { return Jwts.builder() .setSubject(username) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); } public static String getUsernameFromToken(String token) { return Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody() .getSubject(); } } ``` LoginController: ```java @RestController public class LoginController { @Autowired private UserService userService; @PostMapping("/login") public ResponseEntity<String> login(@RequestBody User user) { String token = userService.login(user.getUsername(), user.getPassword()); return ResponseEntity.ok(token); } } ``` AuthController: ```java @RestController public class AuthController { @Autowired private RedisTemplate<String, String> redisTemplate; @GetMapping("/auth") public ResponseEntity<User> auth(@RequestHeader("Authorization") String token) { String username = JWTUtil.getUsernameFromToken(token); if (StringUtils.isEmpty(username)) { return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build(); } String redisToken = redisTemplate.opsForValue().get(username); if (!token.equals(redisToken)) { return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build(); } User user = new User(); user.setUsername(username); return ResponseEntity.ok(user); } } ``` 在请求中携带token的示例: ```java @Configuration public class RestTemplateConfig { @Bean public RestTemplate restTemplate() { RestTemplate restTemplate = new RestTemplate(); restTemplate.setInterceptors(Collections.singletonList((request, body, execution) -> { String token = // 从Redis中获取token request.getHeaders().add("Authorization", token); return execution.execute(request, body); })); return restTemplate; } } ``` 以上就是使用Spring Boot、JWT和Redis实现单点登录的步骤和示例代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值