基于Spring Boot 3与JWT构建现代化登录认证机制

已于 2024-04-11 14:02:57 修改
阅读量528 收藏 4
点赞数 2
分类专栏: springboot 文章标签: spring boot jwt
于 2024-03-26 22:28:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yaml4/article/details/137057267
版权

Spring Boot 3 整合 JWT(JSON Web Tokens)用于登录开发涉及多个步骤。JWT 是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。这些信息可以被验证和信任,因为它们是数字签名的。

以下是一个简单的步骤指南,用于在 Spring Boot 3 应用中整合 JWT:

第一种方式

1. 添加依赖

首先,在你的 pom.xml 文件中添加 Spring Boot Web 和 JWT 相关的依赖:

<dependencies>  
    <!-- Spring Boot Web Starter -->  
    <dependency>  
        <groupId>org.springframework.boot</groupId>  
        <artifactId>spring-boot-starter-web</artifactId>  
    </dependency>  
    <!-- JWT Library, 例如 jjwt -->  
    <dependency>  
        <groupId>io.jsonwebtoken</groupId>  
        <artifactId>jjwt</artifactId>  
        <version>你的jjwt版本号</version>  
    </dependency>  
    <!-- 如果jdk大于1.8 则需要导入以下依懒 -->  
     <dependency>  
        <groupId>javax.xml.bind</groupId>  
        <artifactId>jaxb.api</artifactId>  
        <version>2.3.1</version>  
    </dependency>  

    <!-- 其他依赖 -->  
</dependencies>

注意:你的jdk版本如果为1.8导入第一个就行,大于1.8就要导入两个。 

2. 配置 JWT

JWT(JSON Web Token)工具类在实际开发中通常包含以下一些常用方法:

  1. 生成JWT:用于生成JWT令牌并返回令牌字符串。
  2. 解析JWT:用于解析JWT令牌,验证签名,并获取其中的声明信息。
  3. 验证JWT:用于验证JWT的有效性,包括验证签名、过期时间等。
  4. 刷新JWT:用户还在操作,马上要快过期时,延长其有效期(无感刷新)。
  5. 其他辅助方法:例如获取JWT中的特定声明信息,验证JWT是否包含某个声明,等等。                  
2.1、创建 JWT 工具类

创建一个工具类,用于生成和验证 JWT,配置 JWT 的密钥和有效期等:

​
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.nio.charset.StandardCharsets;
import java.util.Date;
import java.util.Map;
 
 
/**
 * @author Yun
 */
public class JwtUtils {
 
    private static final String SIGN_KEY = "你的密钥";// 加密密钥
 
    private static final long EXPIRE_TIME = 2 * 60 * 60 * 1000; //到期时间,2小时,单位毫秒
    private static final byte[] SECRET_KEY = SIGN_KEY.getBytes(StandardCharsets.UTF_8); //编码格式
 
    /**
     * 生成token令牌
     * @param claims JWT第二部分负载 payload 中存储的内容
     * @param subject 主题(用户类型)
     * @return token
     */
    public static String generateToken(Map<String,Object> claims, String subject) {
        return Jwts.builder()
                .setId(Claims.ID)//设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为令牌的唯一标识。
                .setIssuedAt(new Date())//设置签发时间
                .setSubject("yun")//设置主题,一般为用户类型
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)//设置签名算法,使用HS256算法 
                .addClaims(claims)//设置负载
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE_TIME))//设置令牌过期时间
                .compact();//生成令牌
    }
 
    /**
     * 解析token令牌
     * @param token token令牌
     * @return 负载
     */
    public static Claims parseToken(String token) {
 
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
    }
 
    /**
     *  验证token令牌
     * @param token 令牌
     * @return 是否有效
     */
    public static boolean validateToken(String token) {
        try {
            Jwts.parser()
                    .setSigningKey(SECRET_KEY)
                    .parseClaimsJws(token)
                    .getBody();
 
            return true;
        } catch (Exception e) {
            return false;
        }
    }
 
    /**
     * 刷新Token
     * @param token 旧的Token令牌
     * @return 新的Token令牌
     */
    public static String refreshToken(String token) {
        try {
            // 解析旧的Token,获取负载信息
            Claims claims = parseToken(token);
            // 生成新的Token,设置过期时间和签名算法等参数
            return generateToken(claims, claims.getSubject());
        } catch (Exception e) {
            throw new RuntimeException("无法刷新令牌!", e);
        }
    }
 
 
    /**
     * 从令牌中获取主题信息
     * @param token 令牌
     * @return 主题信息(用户类型)
     */
    public static String getSubjectFromToken(String token) {
        try {
            Claims claims = parseToken(token); // 解析令牌,获取负载信息
            return claims.getSubject(); // 返回主题信息
        } catch (Exception e) {
            throw new RuntimeException("无法从令牌中获取主题。", e);
        }
    }
 
}

​

3.  编写测试登录接口

在你的 test目录下创建JwtTest.java文件中,测试代码如下:

import com.mijiu.commom.util.JwtUtils;
import io.jsonwebtoken.Claims;
import org.junit.jupiter.api.Test;
 
import java.util.Map;
 
public class JwtTest {
 
    @Test
    public void testJwt() {
        // 设置JWT的payload
        Map<String, Object> claim = Map.of("username", "yun", "role", "admin");
 
        // 生成JWT
        String jwt = JwtUtils.generateToken(claim, "secret");
 
        System.out.println("JWT: " + jwt);
 
        // 解析JWT
        Claims claims = JwtUtils.parseToken(jwt);
 
        // 获取完整的payload
        String payload = claims1.toString();

        System.out.println("Payload: " + payload);
    }
}

第二种方式:交由spring容器管理依赖注入使用

配置文件

application.propertiesapplication.yml文件中配置JWT相关的属性,如密钥、过期时间等。

jwt:  
  secret: your-secret-key  你的密钥
  expiration: 86400000 # 1天,单位:毫秒
注意:此代码用到了lombok的@Data注解,来添加getter 和 setter 方法,请确保有该依赖

​
        <!--lombok-->
        <!-- ClassFormatException: Invalid byte tag in constant pool: 19
            lombok  版本过高 1.18.x 导致
        -->
        <!-- https://mvnrepository.com/artifact/org.projectlombok/lombok -->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.16.20</version>
            <scope>provided</scope>
        </dependency>

​

jwt工具类如下:

此代码用到了lombok的@Data注解,来添加getter 和 setter 方法,请确保有该依赖

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import lombok.Data;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;
 
 
import java.util.Date;
import java.util.Map;
 
 
/**
 * @author yun
 */
@Data
@Component
@ConfigurationProperties(prefix = "jwt")
public class JwtUtils {
 
    private String secret; //在application.yml中配置的密钥
    private  long expiration; //在application.yml设置的过期时间
 
 
    /**
     * 生成token令牌
     * @param claims JWT第二部分负载 payload 中存储的内容
     * @param subject 主题(用户类型)
     * @return token
     */
    public  String generateToken(Map<String,Object> claims, String subject) {
        return Jwts.builder()
                .setId(Claims.ID)//设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为令牌的唯一标识。
                .setSubject("yun")//设置主题,一般为用户类型
                .setIssuedAt(new Date())//设置签发时间
                .addClaims(claims)//设置负载
                .signWith(SignatureAlgorithm.HS256, secret)//设置签名算法
                .setExpiration(new Date(System.currentTimeMillis() + expiration))//设置令牌过期时间
                .compact();//生成令牌
    }
 
    /**
     * 解析token令牌
     * @param token token令牌
     * @return 负载
     */
    public  Claims parseToken(String token) {
 
        return Jwts.parser()
                .setSigningKey(secret)
                .parseClaimsJws(token)
                .getBody();
    }
 
    /**
     *  验证token令牌
     * @param token 令牌
     * @return 是否有效
     */
    public  boolean validateToken(String token) {
        try {
            Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
 
            return true;
        } catch (Exception e) {
            return false;
        }
    }
 
    /**
     * 刷新Token
     * @param token 旧的Token令牌
     * @return 新的Token令牌
     */
    public  String refreshToken(String token) {
        try {
            // 解析旧的Token,获取负载信息
            Claims claims = parseToken(token);
            // 生成新的Token,设置过期时间和签名算法等参数
            return generateToken(claims, claims.getSubject());
        } catch (Exception e) {
            throw new RuntimeException("无法刷新令牌!", e);
        }
    }
 
 
    /**
     * 从令牌中获取主题信息
     * @param token 令牌
     * @return 主题信息(用户类型)
     */
    public  String getSubjectFromToken(String token) {
        try {
            Claims claims = parseToken(token); // 解析令牌,获取负载信息
            return claims.getSubject(); // 返回主题信息
        } catch (Exception e) {
            throw new RuntimeException("无法从令牌中获取主题。", e);
        }
    }
 
}

创建登录接口

在你的 Controller 中,创建处理登录请求的接口:

import com.mijiu.commom.util.JwtUtils;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
 
import java.util.HashMap;
import java.util.Map;
 
/**
 * @author yun
 */
 
 
@RestController
@RequestMapping("/api/auth")
public class TestController {

    private final JwtUtils jwtUtils;

    public TestController(JwtUtils jwtUtils) {
        this.jwtUtils = jwtUtils;
    }
 
    @GetMapping("/get-token")
    public String getToken() {
        Map<String, Object> claims = new HashMap<>();
        claims.put("username", "yun");
        claims.put("role", "admin");
        return jwtUtils.generateToken(claims,"user");
    }

    @GetMapping("/parse-token/{token}")
    public  String parseToken(@PathVariable String token) {
        return jwtUtils.parseToken(token).toString();
 
    }
}

启动项目

在浏览器输入地址 请求jwt测试接口

生成token接口:localhost:8080/api/auth/get-token

复制token

请求解析token接口并路径传参传入复制的token:localhost:8080/api/auth/parse-token/你的token

Yaml墨韵
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDEA+Springboot+Mybatis+MySql+Swagger3.0+JWT权限验证 的实现 增、删、改、查
09-03
IDEA+Springboot+Mybatis+MySql+Swagger3.0+JWT权限验证 的实现 增、删、改、查
rest-security-demo:基于Spring BootSpring SecurityJWT的REST服务安全认证
01-29
基于Spring Boot / Spring Security / JWT的REST服务安全认证 项目介绍 预备知识 认证流程 运行演示 获取令牌 测试账号:user/123456 接口地址:http://localhost:8080/auth/ 访问需要认证的接口 接口地址:...
Springboot3: JWT认证支持
随风飘絮
10-20 2270
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。由三部分组成:1,头部(header): token类型和签名算法, json2,数据(payload): 存放实际需要传递的数据,json3,签名(Signature):base64编码过的header数据+"."+base64编码过的payload数据,服务端密钥,从头部获取签名算法,进行加密获得。
springboot3整合最新版jjwt(0.12.3)
m0_73376570的博客
01-31 1636
基于黑马的苍穹外卖,使用springboot3整合jjwt(0.12.3)
Springboot3.x测试JWT、OAuth2
rooney84的博客
05-15 2282
OAuth 是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。OAuth 在客户端与服务提供者之间,设置了一个授权层(authorization layer)。客户端不能直接访问服务提供者,只能访问授权层,以此将用户与客户端区分开来。客户端携带的令牌(token)用来指定权限范围和有效期,校验通过后,服务提供者根据令牌的权限范围和有效期,向客户端开放对应的资源。
一文搞懂JWT以及SpringBoot如何整合JWT
质胜文则野,文胜质则史。文质彬彬,然后君子。
10-09 1873
​ JSON Web Token (JWT)是⼀个开放标准(RFC 7519),它定义了⼀种紧凑的、⾃包含的⽅式,⽤于 作为JSON对象在各⽅之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
spring boot如何基于JWT实现单点登录详解
08-25
主要介绍了spring boot如何基于JWT实现单点登录详解,用户只需登录一次就能够在这两个系统中进行操作。很明显这就是单点登录(Single Sign-On)达到的效果,需要的朋友可以参考下
spring boot+jwt实现api的token认证详解
08-26
主要给大家介绍了关于spring boot+jwt实现api的token认证的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一学习学习吧
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
一个基于 Spring Boot 2.6.4 、 Spring Boot Jpa、 JWTSpring Security、Re
最新发布
05-22
项目基于 Spring Boot 2.6.4、 Jpa、 Spring Security、Redis、Vue的前后端分离的后台管理系统,项目采用分模块开发方式, 权限控制采用 RBAC,支持数据字典与数据权限管理,支持一键生成前后端代码,支持动态路由
SpringBoot3】Spring Security 详细使用实例(简单使用、JWT模式)
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-23 1855
Spring Security 使用起来非常简单,只要引入相关依赖包,然后增加注解`@EnableWebSecurity`就可以。同时提供了丰富的扩展点,可以让你自定义权限校验策略。 常见的使用场景分两类: 1. 有session模式,通常是前端不分离的项目,使用cookie + session 模式存储以及校验用户权限; 2. 无session模式,通常是前后端分离项目,使用Jwt形式的Token校验权限
spring boot3.x结合spring security最新版实现jwt登录验证
qq_45635939的博客
09-02 1669
快速构建
SpringBoot3.0 + SpringSecurity6.0+JWT
热门推荐
胖胖爱吃肉~的博客
03-03 2万+
SpringBoot3.0 + SpringSecurity6.0+JWTSpring Security 是 Spring 家族中的一个安全管理框架。一般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作搭建一个SpringBoot工程① 设置父工程 添加依赖 配置文件application.yml ② 创建启动类 ③ 创建Controller 启动项目,查看接口文档地址:http://localhost:4
Spring Boot 3登录开发进阶:图形验证码接口的实现
Yaml4的博客
04-11 441
上文我们已经整合好了jwt,本文我们开始实现图形验证码接口的实现。
Spring Boot 3 + JWT + Security 联手打造安全帝国:一篇文章让你掌握未来!
Innocence_0的博客
03-06 1187
已经成为java后台权限校验的第一选择.今天就通过读代码的方式带大家深入了解一下Security,本文主要是基于开源项目[spring-security)来讲解Spring Security + JWT(Json Web Token).实现用户鉴权,以及权限校验.所有代码基于jdk17+构建.现在让我们开始吧!
Springboot3 + SpringSecurity + JWT + OpenApi3 实现认证授权
m0_71777195的博客
06-07 5466
目前全网最新的 Spring Security + JWT 实现双 Token 的案例!此项目由作者个人创作,可以供大家学习和项目实战使用,创作不易,转载请注明出处!该项目使用目前最新的 Sprin Boot3 版本,采用目前市面上最主流的 JWT 认证方式,实现双token刷新。温馨提示:SpringBoot3 版本必须要使用 JDK11 或 JDK19。
如何在springboot项目中使用JWT
weixin_51496936的博客
06-27 3726
开发初期,我试图用session来保存暂时需要保存或者暂时生成的数据,例如保存用户的账号密码记住用户登录的状态、保存各行政区的预约号球数量、保存用户当天取消预约次数等。但是使用session应用于前后端分离项目存在一定的弊端,例如由于session是存在与服务器的物理内存中,所以在分布式系统中,这种方式将会失效、因为session认证本质基于cookie,由于基于Cookie,而cookie无法跨域,所以session的认证也无法跨域,对单点登录不适用。该信息可以被验证和信任,因为它是数字签名的。
SpringBoot 3.2.0 基于Spring Security+JWT实现动态鉴权
大橘的博客
12-25 1642
基于SpringBoot3.2.0+Spring Security 6.2.0+JWT实现动态鉴权。完全基于Spring Security6.x的新配置方式,丝滑接入。
如何基于Spring Security与JWT实现单点登录
04-25
针对你的问题,我可以提供以下的一些思路: 1. 首先,你需要使用Spring Security来实现用户认证和授权。在Spring Security中,你可以配置多个AuthenticationProvider实现不同的认证方式。具体而言,你需要实现一个自定义的AuthenticationProvider,用于验证JWT令牌是否有效。在进行认证时,该AuthenticationProvider会获取到请求头中的JWT令牌,然后进行解析和验证,如果解析和验证成功,就会把该用户的信息构建成一个Authentication对象返回给Spring Security框架。 2. 其次,你需要使用JWT来生成令牌并将其发送给客户端。JWT(Json Web Token)是一种轻量级的身份认证机制,可以在不依赖于Session的情况下实现用户的身份认证和授权。在使用JWT时,你需要创建一个私钥和公钥对,私钥用于对JWT进行签名,公钥用于对JWT进行验证。当用户登录成功后,你需要使用私钥对用户的信息进行签名,生成一个JWT令牌,并将该令牌发送给客户端。客户端在以后的请求中需要将该令牌作为Authorization请求头的值发送给服务端。 3. 最后,你需要在服务端验证JWT令牌的有效性。在服务端接收到请求后,你需要从请求头中获取JWT令牌,并使用公钥对该令牌进行验证,验证成功后就可以获得该用户的信息。在接下来的业务逻辑中,你可以使用该用户的信息来进行权限判断等操作。 希望以上的思路对你有所帮助。如果你需要更加详细的实现步骤,可以参考Spring Security和JWT相关的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值