Java基于JWT实现Token登录验证+自定义异常

于 2024-05-10 11:02:10 发布
阅读量879 收藏 12
点赞数 16
文章标签: java 服务器 jetty
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TimerShaft/article/details/138654856
版权

一、JWT是什么?

1、先看利用token登录的实现流程:

1、客户端使用账号密码登录
2、服务端接受到请求验证账号和密码
3、服务端验证请求后,会生成一个token,并把token返回给客户端
4、客户端收到token,并存储起来,在每次请求的时候带上这个token,可以在head中携带
5、服务端接受到请求后,验证token,如果验证成功,则返回请求数据

2、JWT介绍:

JWT代表JSON Web Token,是一种用于在网络上安全地传输信息的开放标准(RFC 7519)。它以紧凑和自包含的方式表示信息,通常用于在用户和服务之间传递身份验证和授权信息。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。

3、JWT的验证流程:

1、解析Token: 首先,将收到的JWT分割成头部、载荷和签名三个部分。这个过程通常会使用编程语言中相应的库或函数来完成。

2、验证头部和签名: 获取JWT中的头部和载荷信息后,根据头部中指定的加密算法和使用的密钥(通常是一个密钥或公钥)对头部和载荷进行签名验证。验证过程会使用相同的算法和密钥来生成签名,并将生成的签名与JWT中的签名进行比较,以确认JWT的完整性和真实性。

3、检查有效期和其他声明: JWT中的载荷部分可能包含了诸如令牌的过期时间(Expiration Time)等声明。在验证过程中,需要检查这些声明以确保令牌在有效期内,并可能进行其他额外的声明验证,如角色、权限等。

4、可选的其他验证步骤: 根据需求,还可以进行其他的验证步骤,比如验证令牌是否在黑名单中,是否与存储的用户信息匹配等。

JWT的验证流程主要依赖于对JWT规范和实现的理解,以及使用的编程语言或框架提供的相应功能。在验证JWT时,确保密钥的安全性是非常重要的,因为泄露密钥可能会导致令牌被篡改或伪造。

二、使用步骤

1.user数据库(代码演示是配置在yml文件上)

在这里插入图片描述

2.项目结构

在这里插入图片描述

3.相关依赖

  <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot</artifactId>
            <version>2.5.2</version>
        </dependency>

        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.18.2</version>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.48</version>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.0</version>
        </dependency>

        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.5.1</version>
        </dependency>

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.83</version>
        </dependency>
    </dependencies>

4.代码

User:

@Data
@TableName("user")
public class User {
    @TableId(type = IdType.AUTO)
    private Long id;

    @TableField(value = "user_name")
    private String userName;

    @TableField(value = "password")
    private String password;
}

UserDao:

@Mapper
public interface UserDao extends BaseMapper<User> {
}

UserService:


public interface UserService {

    User loing(String userName, String userPassword);

    List<User> getUserList();

}

UserServiceImpl:

@DS("master")
@Service
public class UserServiceImpl implements UserService {

    @Resource
    private UserDao userDao;

    @Value("${login.userName:admin}")
    private String name;
    @Value("${login.password:123456}")
    private String password;

    @Override
    public User loing(String userName, String userPassword) {
//        //查表方式
//        Map<String, Object> map = new HashMap<>();
//        map.put("user_name", userName);
//        map.put("password", userPassword);
//        List<User> users = userDao.selectByMap(map);
//        if (CollectionUtils.isEmpty(users)){
//            return null;
//        }
//        return users.get(0);
        if (Objects.equals(userName,name) && Objects.equals(userPassword,password)){
            User user = new User();
            user.setUserName(name);
            user.setPassword(password);
            return user;
        }
        return null;
    }

    @Override
    public List<User> getUserList() {
        return userDao.selectList(null);
    }

}

TokenUtil:

public class TokenUtil {
    /**
     * 设置延期的时间 x分钟
     * x*1000*60
     */
    private static final long EXPIR_DATE = 60000;
//    private static final long EXPIR_DATE = 3600000;

    /**
     * 设置token的秘钥
     */
    private static final String TOKEN_SECRET = "kb_resource_qwe12300czx";


    /**
     * 获取token
     *
     * @param userName
     * @param passWord
     * @return
     */
    public static String getTokenSecret(String userName, String passWord) {
        String token = "";
        try {
            // 过期时间
            Date date = new Date(System.currentTimeMillis() + EXPIR_DATE);
            // 设置头部信息
            Map<String, Object> head = new HashMap<>();
            head.put("typ", "JWT");
            head.put("alg", "HS256");

            // 设置秘钥
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);

//            JWT.create().setHeader()
            // 生成签名

            token = JWT.create()
                    .withHeader(head)
                    .withClaim("userName", userName)
                    .withClaim("passWord", passWord)
                    .withExpiresAt(date)
                    .sign(algorithm);
        } catch (Exception e) {
           throw new RuntimeException(e);
        }
        return token;
    }

    /**
     * 验证token
     *
     * @param token
     * @return
     */
    public static DecodedJWT verify(String token) {
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            JWTVerifier verifier = JWT.require(algorithm).build();
            return verifier.verify(token);
    }
}

全局异常&自定义异常

@Setter
@Getter
public class MeException extends Exception {
    private String msg;
    private int code = 500;
    private Map<String, Object> map;

    public MeException(String msg) {
        super(msg);
        this.msg = msg;
    }

    public MeException(String msg, Throwable cause) {
        super(msg, cause);
        this.msg = msg;
    }

    public MeException(String msg, int code) {
        super(msg);
        this.msg = msg;
        this.code = code;
    }

    public MeException(String msg, int code, Map<String, Object> map) {
        super(msg);
        this.msg = msg;
        this.code = code;
        this.map = map;
    }

}

@RestControllerAdvice
public class GlobalExceptionHandler
{
    private static final Logger log = LoggerFactory.getLogger(GlobalExceptionHandler.class);


    /**
     * 业务异常
     */
    @ExceptionHandler(MeException.class)
    public Object handleServiceException(MeException e, HttpServletRequest request)
    {
        log.error(e.getMessage(), e);
        return ApiResponse.error(e.getMessage());
    }

}

ApiResponse:

@Data
public class ApiResponse {
    private int status;
    private String msg;
    private Object data;

    public ApiResponse(int status, String msg, Object data) {
        this.status = status;
        this.msg = msg;
        this.data = data;
    }

    // Getters and Setters

    // Optional: You can also add static methods to create common response objects.
    public static ApiResponse success(Object data) {
        return new ApiResponse(200, "Success", data);
    }

    public static ApiResponse error(String message) {
        return new ApiResponse(500, message, null);
    }
}

LoginController:

@Controller
@RequestMapping("/login")
public class LoginController {


    @Resource
    private UserService userService;

    @RequestMapping("/toLogin")
    @ResponseBody
    public ApiResponse toLogin(String userName, String userPassword, HttpServletResponse response){
        User user = userService.loing(userName, userPassword);
        JSONObject jsonObject = new JSONObject();

        if(user == null){
            return ApiResponse.error("账号或者密码错误,请重试!");
        }

        String token = TokenUtil.getTokenSecret(userName, userPassword);
        jsonObject.put("token", token);
        response.setHeader("token", token);
        Cookie cookie = new Cookie("token", token);
        cookie.setPath("/");
        response.addCookie(cookie);

        return ApiResponse.success(jsonObject);
    }

    @UserLoginToken
    @RequestMapping("/list")
    @ResponseBody
    public ApiResponse list(){
        List<User> userList = userService.getUserList();
        return  ApiResponse.success(userList);
    }
//    @UserLoginToken
    @RequestMapping("/test")
    @ResponseBody
    public ApiResponse test(){
        return  ApiResponse.success("请求成功");
    }

}

UserLoginToken(自定义注解)

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserLoginToken {

    boolean required() default true;
}

LoginrequiredInterceptor

@Component
public class LoginrequiredInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        String token = request.getHeader("token");

        if(handler instanceof HandlerMethod){
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();

            if (method.isAnnotationPresent(UserLoginToken.class)) {
                UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class);

                if(userLoginToken.required()){
                    if(token == null){
                        throw new RuntimeException("token为空,请重新登录");
                    }else{
                        //查询用户是否存在
                        // 验证token
                        try {
                            TokenUtil.verify(token);
                        } catch (Exception e) {
                            if (e instanceof TokenExpiredException || e instanceof InvalidClaimException) {
                                // 触发刷新AccessToken的操作
                                throw new MeException("登录令牌鉴权失败,令牌超时");
                            } else {
                                // 签名失效的场景
                                throw new MeException("登录令牌鉴权失败," + e.getMessage());
                            }
                        }
                        return  true;
                    }
                }
            }
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }
}

WebMvcConfig

@Component
public class WebMvcConfig implements WebMvcConfigurer {

    @Resource
    private LoginrequiredInterceptor loginrequiredInterceptor;


    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginrequiredInterceptor)
                .excludePathPatterns("/login/toLogin")
                .addPathPatterns("/**");
    }

}

三、测试

1.token过期时间校验,自定义异常

在这里插入图片描述
在这里插入图片描述

TimerShaft
关注
  • 16
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
全网超细--Java实现Token登录验证步骤实现
最新发布
欢迎来到快乐懒洋洋的博客
05-08 1712
2、后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串。5、后端检查前端传过来的JWT Token验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等。6、验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果。
Java基于JWT实现Token登录验证
HRSR1314的博客
11-18 1207
Java基于JWT实现Toekn登录验证,内部有自定义注解,HandlerInterceptor、WebMvcConfigurer用法。
Java简单快速入门JWTtoken生成与验证
greatming666的博客
09-08 8208
java jwt简单了解并快速上手
Java实现Token登录验证(基于JWTtoken认证实现)
热门推荐
javaeEEse的博客
02-28 2万+
文章目录一、JWT是什么?二、使用步骤1.项目结构2.相关依赖3.数据库3.相关代码三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中
Java实战:JWT Token认证授权方案
oandy0的博客
02-23 1314
本文将详细介绍如何在Spring Boot应用程序中实现JWT(JSON Web TokenToken认证授权
JAVA使用JWT生成token
熙熙小学姐
10-23 2377
JWT(JSON Web Token)简而言之,JWT是一个加密的字符串,JWT传输的信息经过了数字签名,因此传输的信息可以被验证和信任。一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。
基于springboot+springSecurity+jwt实现的基于token的权限管理
02-24
这个基于"springboot+springSecurity+jwt实现的基于token的权限管理"的示例项目,旨在帮助开发者理解和实践这些技术。 首先,Spring Boot是Spring框架的简化版,它提供了快速构建和部署应用程序的能力。通过自动...
spring boot+jwt实现api的token认证详解
08-26
以下是一个简单的Token验证方法: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.ExpiredJwtException; import io.jsonwebtoken.Jwts; public static boolean isExpiration(String token, ...
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
04-11
Spring Boot、Spring Security和JWT(JSON Web Token)是Java生态系统中的强大工具,用于构建安全、高效的应用。本项目结合了这三个技术,提供了基于token的权限管理系统,并附带源代码和相关文档,方便开发者理解和...
java 实现JWT 验证token
weixin_42596246的博客
12-28 881
要使用 Java 实现 JWT 验证 token,你需要以下步骤: 安装必要的依赖。JWT 通常使用第三方库来实现,例如 jjwt。你可以在项目中使用 Maven 或 Gradle 来安装这些依赖。 获取 token。在你的应用程序中,你需要从请求中获取 token。通常情况下,这个 token 会放在请求头中,例如 Authorization 头。 解码 token。使用 JWT 库中的方...
java jwt生成token并在网关设置全局过滤器进行token的校验并在给请求头设置参数及在微服务中解析参数
jjw_zyfx的博客
07-02 2092
java jwt生成token并在网关设置全局过滤器进行token的校验
Java工具类03: 使用JWT实现用户登录认证
mongo1944的博客
05-25 459
使用JWT实现用户登录认证
JWT实现单点登录(sso)功能
玩转Java
12-04 5656
单点登录描述: 单点登录主要时应用在微服务架构中,在任意一个子服务中输入用户的用户名,密码进行登录时, 在跳转到其他系统的时候,就无需在进行登录,直接可以识别出用户的身份,权限以及角色等信息 . . JWT:全称java web token, 本质时一组加密后的字符串 JWT有三部分组成: header + payload+ sign (头+载荷+签名), header记录: jwt使用的加密算法的类型,是一个json字符串,使用base64编码 payload载荷记录: 用户的用户名,用户角色,用户
实例详解:Java使用JWT和Redis实现高效单点登录(SSO)
Da_zhenzai的博客
10-25 2735
单点登录(Single Sign-On,简称SSO)是一种身份验证和访问控制机制,允许用户使用一组凭证(如登录名和密码)登录到多个应用程序中,而无需为每个应用程序单独进行身份验证。用户只需要登录一次就可以访问所有系统的应用和资源。相对于传统的每个系统都需要登录一次的方式,单点登录可以提高用户体验,降低用户的登录成本。在本文中,我们将通过使用JWT(JSON Web Token)和Redis来实现SSO功能,并提供详细的Java代码实例。通过结合JWT和Redis,我们可以轻松实现单点登录(SSO)的功能。
java使用jwt登录
qq_28085257的博客
12-06 297
1.maven引入包 <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version&
Java项目登录常见的验证方式
alofe_11的博客
03-29 301
session特点: //session存储在服务器,使http请求有状态 1. session的底层实现:cookie 强依赖cookie 2. session默认不支持集群/分布式/微服务架构 实现session共享,比较麻烦 3.移动端不支持session JWT特点: JWT使服务器无状态,存储在客户端 JWT支持集群/分布式/微服务架构 JWT的载荷可以存储一些额外的用户信息 JWT可以自认证,不需要重新数据库,重新用户信息 减少持久层的操作
JWT 实现登录
Dailyblue的专栏
06-24 8293
jwt 全称是 json web token。是由用户以用户名、密码登录,服务端验证后,会生成一个 token,返回给客户端,客户端在下次访问的过程中携带这个 token,服务端责每次验证这个token
springboot jwt实现token登陆权限认证的实现
08-09
Spring Boot是一个基于Spring框架的快速开发框架,JWT(Json Web Token)是一种认证和授权的机制。结合Spring Boot和JWT,我们可以实现基于Token登录权限认证。 首先,我们需要引入相关依赖,包括Spring Boot Starter Web、Spring Security和jjwtJava JWT库)等。 接下来,我们可以创建一个用户实体类,用于存储用户信息,包括用户名和密码等。同时,我们还需要创建一个用于生成Token的工具类。 在Spring Boot中,我们可以使用Spring Security来配置登录认证和权限控制。可以创建一个继承自WebSecurityConfigurerAdapter的类,并通过@EnableWebSecurity注解开启Spring Security的配置。 在配置类中,我们可以重写configure方法,来配置登录验证和权限控制。可以通过使用用户名和密码进行登录验证,并通过生成的Token进行权限控制。 在用户登录成功后,我们可以使用工具类生成Token,并将其返回给前端。前端在后续的请求中可以将Token带上,放在请求头中或者放在请求的参数中。 在后续的接口中,可以使用Spring Security的注解对接口进行权限控制,例如使用@PreAuthorize注解来标注只有特定权限的用户才能访问该接口。 在接口中,可以通过解析Token,并验证其合法性,来进行用户的权限认证。 总结起来,使用Spring Boot结合JWT可以简单快速地实现基于Token登录权限认证。通过自定义工具类生成Token和通过Spring Security的配置来实现登录认证和权限控制,可以保证接口的安全性和可控性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值