JWT入门,登录案例的实现,踩雷与解析.

最新推荐文章于 2024-07-03 11:39:49 发布
最新推荐文章于 2024-07-03 11:39:49 发布
阅读量930 收藏 2
点赞数
分类专栏: JWT java maven 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ryan_black/article/details/103706325
版权
java 同时被 3 个专栏收录
35 篇文章 0 订阅
订阅专栏
maven
8 篇文章 0 订阅
订阅专栏
JWT
2 篇文章 0 订阅
订阅专栏
一个晚上就搞一个JWT,各种采坑要自闭了.

就怕自己继续自闭,写一个笔记,记录一下JWT入门用法:

1.环境:

pom.xml中写入坐标:
<!--jwt依赖-->
        <dependency>
            <groupId>commons-beanutils</groupId>
            <artifactId>commons-beanutils</artifactId>
            <version>1.9.3</version>
        </dependency>

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>

        <dependency>
            <groupId>joda-time</groupId>
            <artifactId>joda-time</artifactId>
            <version>2.9.7</version>
        </dependency>
JWT所需工具类:

在这里插入图片描述

JwtUtils:
public class JwtUtils {
    /**
     *  私钥加密token
     * @param data 需要加密的数据(载荷内容)
     * @param expireMinutes 过期时间,单位:分钟
     * @param privateKey 私钥
     * @return
     */
    public static String generateToken(Object data, int expireMinutes, PrivateKey privateKey) throws Exception {
        //1 获得jwt构建对象
        JwtBuilder jwtBuilder = Jwts.builder();
        //2 设置数据
        if( data == null ) {
            throw new RuntimeException("数据不能为空");
        }
        BeanInfo beanInfo = Introspector.getBeanInfo(data.getClass());
        PropertyDescriptor[] propertyDescriptors = beanInfo.getPropertyDescriptors();
        for (PropertyDescriptor propertyDescriptor : propertyDescriptors) {
            // 获得属性名
            String name = propertyDescriptor.getName();
            // 获得属性值
            Object value = propertyDescriptor.getReadMethod().invoke(data);
            if(value != null) {
                jwtBuilder.claim(name,value);
            }
        }
        //3 设置过期时间
        jwtBuilder.setExpiration(DateTime.now().plusMinutes(expireMinutes).toDate());
        //4 设置加密
        jwtBuilder.signWith(SignatureAlgorithm.RS256, privateKey);
        //5 构建
        return jwtBuilder.compact();
    }

    /**
     * 通过公钥解析token
     * @param token 需要解析的数据
     * @param publicKey 公钥
     * @param beanClass 封装的JavaBean
     * @return
     * @throws Exception
     */
    public static <T> T  getObjectFromToken(String token, PublicKey publicKey,Class<T> beanClass) throws Exception {
        //1 获得解析后内容
        Claims body = Jwts.parser().setSigningKey(publicKey).parseClaimsJws(token).getBody();
        //2 将内容封装到对象JavaBean
        T bean = beanClass.newInstance();
        BeanInfo beanInfo = Introspector.getBeanInfo(beanClass);
        PropertyDescriptor[] propertyDescriptors = beanInfo.getPropertyDescriptors();
        for (PropertyDescriptor propertyDescriptor : propertyDescriptors) {
            // 获得属性名
            String name = propertyDescriptor.getName();
            // 通过属性名,获得对应解析的数据
            Object value = body.get(name);
            if(value != null) {
                // 将获得的数据封装到对应的JavaBean中
                BeanUtils.setProperty(bean,name,value);
            }
        }
        return bean;
    }
}
RasUtils:
public class RasUtils {

    /**
     * 从文件中读取公钥
     *
     * @param filename 公钥保存路径,相对于classpath
     * @return 公钥对象
     * @throws Exception
     */
    public static PublicKey getPublicKey(String filename) throws Exception {
        byte[] bytes = readFile(filename);
        return getPublicKey(bytes);
    }

    /**
     * 从文件中读取密钥
     *
     * @param filename 私钥保存路径,相对于classpath
     * @return 私钥对象
     * @throws Exception
     */
    public static PrivateKey getPrivateKey(String filename) throws Exception {
        byte[] bytes = readFile(filename);
        return getPrivateKey(bytes);
    }

    /**
     * 获取公钥
     *
     * @param bytes 公钥的字节形式
     * @return
     * @throws Exception
     */
    public static PublicKey getPublicKey(byte[] bytes) throws Exception {
        X509EncodedKeySpec spec = new X509EncodedKeySpec(bytes);
        KeyFactory factory = KeyFactory.getInstance("RSA");
        return factory.generatePublic(spec);
    }

    /**
     * 获取密钥
     *
     * @param bytes 私钥的字节形式
     * @return
     * @throws Exception
     */
    public static PrivateKey getPrivateKey(byte[] bytes) throws Exception {
        PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(bytes);
        KeyFactory factory = KeyFactory.getInstance("RSA");
        return factory.generatePrivate(spec);
    }

    /**
     * 根据密文,生存rsa公钥和私钥,并写入指定文件
     *
     * @param publicKeyFilename  公钥文件路径
     * @param privateKeyFilename 私钥文件路径
     * @param secret             生成密钥的密文
     * @throws Exception
     */
    public static void generateKey(String publicKeyFilename, String privateKeyFilename, String secret) throws Exception {
        KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
        SecureRandom secureRandom = new SecureRandom(secret.getBytes());
        keyPairGenerator.initialize(1024, secureRandom);
        KeyPair keyPair = keyPairGenerator.genKeyPair();
        // 获取公钥并写出
        byte[] publicKeyBytes = keyPair.getPublic().getEncoded();
        writeFile(publicKeyFilename, publicKeyBytes);
        // 获取私钥并写出
        byte[] privateKeyBytes = keyPair.getPrivate().getEncoded();
        writeFile(privateKeyFilename, privateKeyBytes);
    }

    private static byte[] readFile(String fileName) throws Exception {
        return Files.readAllBytes(new File(fileName).toPath());
    }

    private static void writeFile(String destPath, byte[] bytes) throws IOException {
        File dest = new File(destPath);

        //创建父文件夹
        if(!dest.getParentFile().exists()){
            dest.getParentFile().mkdirs();
        }
        //创建需要的文件
        if (!dest.exists()) {
            dest.createNewFile();
        }

        Files.write(dest.toPath(), bytes);
    }


}

2.写入测试数据,生成文件:

随便写一个测试类直接运行:
public class TestJwt {
    private static final String pubKeyPath = "D:\\temp\\password.pub";
    private static final String priKeyPath = "D:\\temp\\password.pri";
    @Test
    public void testDemo01() throws Exception {
        //生成公钥和私钥
        RasUtils.generateKey(pubKeyPath,priKeyPath,"123");
    }
    @Test
    public void testGetRas() throws Exception {
        //获得公钥和私钥
        PublicKey publicKey = RasUtils.getPublicKey(pubKeyPath);
        PrivateKey privateKey = RasUtils.getPrivateKey(priKeyPath);

        System.out.println(publicKey);
        System.out.println(privateKey);
    }
}
运行第一个方法即可自动生成数据文件,那个"123"随便写,就是加密差不多意思.

在这里插入图片描述

3.登录的过滤器:

在这里插入图片描述

@Component
public class LoginFilter extends ZuulFilter {

    @Override
    public String filterType() {
        return "pre";
    }

    @Override
    public int filterOrder() {
        return 1;
    }

    @Override
    public boolean shouldFilter() {
        //获得工具类(请求上下文对象)
        RequestContext requestContext = RequestContext.getCurrentContext();
        //通过工具类获得request对象
        HttpServletRequest request = requestContext.getRequest();
        //通过请求对象判断是否在登录页面(在登录页面才能点击登录使用登录方法)
        //如果不是就放行,进行登录判断,如果是,就不需要登录判断
      
        String requestURI = request.getRequestURI();
		
		//-------------------------------------------------------------------------------------------
		//StringBuffer requestURL = request.getRequestURL();注意了,这里非常重要,必须获取的是URI而不是URL,因为我们下面if中
		//写的就是URI,如果获取URL下面就需要改成http://localhost:端口号/网关前缀/服务名/一级路径/二级路径.....
		//-------------------------------------------------------------------------------------------


//        System.out.println(requestURI);
        if ("/api/userservice/user/login".equals(requestURI)){
            return false;
        }
        return true;
    }

    //设置一个存放密码的地址
    private static final String pubKeyPath = "D:\\temp\\password.pub";

    @Override
    public Object run() throws ZuulException {
        //获得工具类(请求上下文对象)
        RequestContext requestContext = RequestContext.getCurrentContext();
        //通过工具类获得request对象
        HttpServletRequest request = requestContext.getRequest();
        //根据请求头获取token
        String token = request.getHeader("authorization");
        try {
            JwtUtils.getObjectFromToken(token, RasUtils.getPublicKey(pubKeyPath), User.class);
        } catch (Exception e) {
            e.printStackTrace();
            //如果没有找到匹配的数据
            //不允许放行
            requestContext.setSendZuulResponse(false);
            requestContext.setResponseStatusCode(403);	//这里是你希望在前台响应的错误响应码
        }
        //放行
        return null;
    }
}

上面有横杠隔开的地方一定要读!!!

4.登录方法:

@RestController
@RequestMapping("/user")
public class UserController {
    @Resource
    private UserService userServiceImpl;
    //设置一个存放密码的地址
    private static final String priKeyPath = "D:\\temp\\password.pri";
    @PostMapping("/login")
    public BaseResult login(@RequestBody User user){
        User u = userServiceImpl.login(user);
        if (u == null){
            return BaseResult.error("用户名或者密码错误");
        }else{
            //正确登录之后就需要产生token
            String token = null;
            try {
                token = JwtUtils.generateToken(u,30, RasUtils.getPrivateKey(priKeyPath));
            } catch (Exception e) {
                e.printStackTrace();
            }
            return BaseResult.ok("登录成功").append("token",token);
        }
    }
}

5.前端我用的Vue,大概有两个地方需要改:

1.登录方法:
async login(){
            let {data} = await login(this.user)
            if (data.code == 1) {
                this.$message.success(data.message)
                //获得token,保存到sessionStorage
                sessionStorage.setItem('token',data.other.token)
                this.$router.push('/home')
            }else{
                this.$message.error(data.message)
            }
        }
2.api.js拦截器
// 3 配置拦截器
axios.interceptors.request.use(request=>{
    let token = sessionStorage.getItem('token')
    if(token){
        request.headers.authorization = token
    }
    return request
},error=>{})
axios.interceptors.response.use(response => {
    
    // 放行
    return response
}, error => {
    // 错误提示
    console.info(error)
    Message.error(error.message)
    return Promise.reject(error)
})

如上,如果一开始没有登录想进其他页面,没有权限所有的操作都会报403,只有在登录成功过一次之后才能正常使用页面内的操作.

异常&处理:

java.nio.file.NoSuchFileException: D:\temp\password.pub

系统没有找到该文件

java.security.spec.InvalidKeySpecException: java.security.InvalidKeyException: IOException: Short read of DER length

我出这个异常的时候因为我的token没有被取出来,token为null

在这里插入图片描述

Ryan_black
关注
专栏目录
V4-04 JWT快速入门+案例, Postman的使用(下篇), 单点登录雏形
pingzhuyan的博客
07-22 237
上篇:v4-04 cookie,session 有无状态会话区别,优缺点,单点登录的流程图(有无Redis) 单点登录流程图: ----------------------测试token的解析过程------------- 一段加密 头+ 负载+ 签名(秘钥)===> token 创建一个测试类 了解token的由来 1. 创建token(包含三部分信息: 头信息,负载信息 签名信息) package com.cy.jt; import io.jsonwebtok...
spring-boot系列,使用JWT实现登录认证、完整的前后台交互的系统设计案例
03-09
spring-boo框架,基于JWT、redis鉴权设计,使用restful风格设计开发,前台使用layui、bootstrap等
JWT入门案例
weixin_30533797的博客
05-09 204
1.什么是JWT?  JWT全称JSON Web Token。是为了在网络应用环境键传递声明而执行的一种基于JSON的开放标准。 2.JWT的使用场景?   授权:一旦用户登录,每个后续请求将包括JWT,允许用户访问该令牌允许的路由,服务和资源。单点登录是一种在广泛使用JWT的功能,因为它的开销很小,并且能够在不同的域中轻松使用。   信息交换:JSON Web令牌是在各方之间安全传输信息...
JWT入门
最新发布
伏颜的博客
07-03 351
JWT入门
4.JWT入门案例
DiKeLuoNa
12-10 75
Jwt入门案例
JWT登录的简单案例
工作随记
09-12 169
JWT登录的简单案例
JWT介绍和入门案例
生而为人我很抱歉
07-18 558
JWT全称为JSONWebToken,是目前最流行的跨域身份验证解决方案。JWT是为了在网络应用环境间传递声明而制定的一种基于JSON的开放标准。JWT特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可被加密。jjwt是一个提供JWT创建和验证的Java库。永远免费和开源(ApacheLicense,版本2.0),JJWT很容易使用和理解。jjwt的maven坐标...
Node.js使用jwt或session实现前后端身份认证
SongD1114的博客
04-03 1227
Node.js通过session或jwt身份认证
Python 生成 JWT(json web token) 及 解析方式_python jwt token解析(3)
m0_63174529的博客
04-27 1065
jwt_token = jwt.encode(token_dict, # payload, 有效载体“zhananbudanchou9527269”, # 进行加密签名的密钥algorithm=“HS256”, # 指明签名算法方式, 默认也是HS256headers=headers # json web token 数据结构包含两部分, payload(有效载体), headers(标头)
nodejs-简单登录案例入门初学
07-24
在这个“nodejs-简单登录案例入门初学”中,我们将探讨如何使用 Node.js 创建一个基础的用户登录系统。 首先,你需要安装 Node.js 开发环境。确保已经下载并安装了最新版本的 Node.js 和 npm(Node.js 包管理器)。...
基于Node.js和MongoDB 快速入门实现一个RESTful API
程序员光剑
07-29 1060
REST(Representational State Transfer) 是一种基于HTTP协议的设计风格,它可以让客户端轻松地获取所需资源。RESTful API(REpresentational State Transfer Application Programming Interface)是一种API开发规范,它定义了如何从服务器端获取数据、创建、更新或删除资源。Node.js是一个基于JavaScript运行环境的服务器编程语言,它被广泛应用于web后端开发领域。
JWT实例demo
02-01
JWT实例demo,TextJWT为测试实例,包含过滤器及相关jar包
jwt 例子 java_JWT入门案例
weixin_32525457的博客
02-17 332
1.什么是JWTJWT全称JSON Web Token。是为了在网络应用环境键传递声明而执行的一种基于JSON的开放标准。2.JWT的使用场景?授权:一旦用户登录,每个后续请求将包括JWT,允许用户访问该令牌允许的路由,服务和资源。单点登录是一种在广泛使用JWT的功能,因为它的开销很小,并且能够在不同的域中轻松使用。信息交换:JSON Web令牌是在各方之间安全传输信息的好方法。因为JWT可以签...
JWT极简入门-案例演示
Brave_heart4pzj的博客
08-13 1261
环境:IDEA开发工具,JDK8 pom <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> Java测试代码 import i
SpringBoot使用JWT入门级示例
JustryDeng
07-21 3065
声明:这只是一个入门级的JWT示例教学,欢迎各位朋友踊跃发言,一起探讨进步。 声明:本文不介绍JWT相关概念,也不比较JWT的各个类库,对相关概念、JWT各个类库感兴趣的朋友可 自行查阅相关资料;本文直接演示示例使用入门JWT。 提示:本人较懒,不想什么基本的东西都自己写,所以这里使用了JWT众多类库中的nimbus-jose-jwt类库。 本文中...
JWT案例
Mr-Jies
08-10 616
JWT案例为什么要使用JWT?基于JWT认证简单案例整合SpringBoot 为什么要使用JWT? 先来看看-传统的Session认证 基于JWT认证 简单案例 /** * @program: JWT * @author: Mr-Jies * @create: 2020-08-10 12:28 **/ public class JwtUtils { private static String sign = "$#g^SK0)(-#%"; /** * 获取tok
JWT身份认证-安全漏洞
weixin_43263019的博客
05-03 3588
一、JWT介绍 JWT(JSON Web Token) 是WEB上用于确认客户端和服务端用户身份认证的token令牌,保存了用户的登录信息。用户登录,由服务端用加密算法对JWT进行签发,前端发送带有用户信的JWT由服务端校验(用户名、失效等信息),并将令牌保存在前端本地。 JWT官网默认的示例,令牌采用 base64 编码,并由三部分组成 1、头部(Header),JWT元数据的JSON对象 { "alg":"HS256", # 签名使用的算法 "typ":"JWT" # token的类
JWT安全漏洞以及常见攻击方式
zzz6583zz的博客
06-13 1014
JWT即Json WebToken的缩写,顾名思义,是Token的一种。它常被用来在向服务器发起请求时用作身份认证。使用JWT作为身份认证的优势在于:它不需要在服务端去保留用户的认证信息。仅需要对该Token正确性进行校验即可,这就意味着基于token认证机制的应用,不需要去考虑用户在哪一台服务器登录了,为应用的扩展提供了便利。新技术带来便利的同时也会带来新的安全问题,如果JWT本身安全存在问题,那么整个身份认证机制就会得不到保障。JWT由三部分组成,类似于。
JWT与CAS实现SSO单点登录方案解析
"SSO单点登录方案大全.pdf是一份详尽介绍SSO单点登录...SSO单点登录方案大全.pdf提供了全面的SSO解决方案,无论是在同一公司内部还是跨公司的场景,都有相应的技术和实践案例可供参考,是理解和实施SSO的重要参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值