spring 集成 jwt实现api的token加密

最新推荐文章于 2022-09-09 16:00:10 发布
最新推荐文章于 2022-09-09 16:00:10 发布
阅读量798 收藏
点赞数
分类专栏: java 文章标签: jwt java


JWT 简介 - 推酷
1. 组成部分:
Header 头部:一般为token类型和加密算法
Payload 负载:一些用户信息和额外的声明数据
Signature 签名:签名需要使用编码后的header和payload以及一个秘钥 (很安全),前两段的结合加密
2:jar包依赖
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>1.5.1</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.7.0</version>
</dependency>
3:jwt加密和解密的工具类
package com.alienlab.news.utils;
import com.alibaba.fastjson.JSONObject;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.security.Key;
import java.util.Date;
/**
* Created by Msater Zg on 2017/3/13. jwt实现方式
*/
public class JwtUtils {
public static Claims parseJWT(String jsonWebToken, String base64Security) {
try {
Claims claims = Jwts.parser()
.setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))
.parseClaimsJws(jsonWebToken).getBody();
return claims;
} catch (Exception ex) {
return null;
}
}
前三个参数为自己用户token的一些信息比如id,权限,名称等。不要将隐私信息放入(大家都可以获取到)
public static String createJWT(String name, String userId, String role,
String audience, String issuer, long TTLMillis, String base64Security) {
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
//生成签名密钥 就是一个base64加密后的字符串?
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary (base64Security);
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm. getJcaName());
JSONObject jsonObject = new JSONObject();
jsonObject.put(“userName”, name);
jsonObject.put(“userLoginName”, userId);
//添加构成JWT的参数
JwtBuilder builder = Jwts.builder().setHeaderParam(“typ”, “JWT”)
.setIssuedAt(now) //创建时间
.setSubject(jsonObject.toString()) //主题,也差不多是个人的一些信息
.setIssuer(issuer) //发送谁
.setAudience(audience) //个人签名
.signWith(signatureAlgorithm, signingKey); //估计是第三段密钥
//添加Token过期时间
if (TTLMillis >= 0) {
//过期时间
long expMillis = nowMillis + TTLMillis;
//现在是什么时间
Date exp = new Date(expMillis);
//系统时间之前的token都是不可以被承认的
builder.setExpiration(exp).setNotBefore(now);
}
//生成JWT
return builder.compact();
}
}
4:使用的条件(该接口允许跨域 cors来配置跨域)
1:cors配置允许跨域
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
import java.util.ArrayList;
import java.util.List;
/**
* Created by Msater Zg on 2017/4/3.
*/
@Configuration
public class CorsConfig extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping(“/**”)
.allowedOrigins(“*”)
.allowCredentials(true)
.allowedMethods(“GET”, “POST”, “DELETE”, “PUT”)
.maxAge(3600);
}
private CorsConfiguration buildConfig() {
CorsConfiguration corsConfiguration = new CorsConfiguration();
List<String> list = new ArrayList<>();
list.add(“*”);
corsConfiguration.setAllowedOrigins(list);
corsConfiguration.addAllowedOrigin(“*”); // 1
corsConfiguration.addAllowedHeader(“*”); // 2
corsConfiguration.addAllowedMethod(“*”); // 3
return corsConfiguration;
}
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration(“/**”, buildConfig()); // 4
return new CorsFilter(source);
}
}
2:拦截器拦截方法获取token
1:拦截器配置
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
* Created by Msater Zg on 2017/4/5.
*拦截器
*/
public class ApiInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
System.out.println(“拦截了”);
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
System.out.println(“拦截了”);
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
System.out.println(“拦截了”);
}
}
2: 拦截器管理工具
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
/**
* Created by Msater Zg on 2017/4/5.
*拦截器管理工具
*/
@Configuration
public class MyWebAppConfigurer extends WebMvcConfigurerAdapter {
@Override
public void addInterceptors(InterceptorRegistry registry) {
//多个拦截器组成一个拦截器链
// addPathPatterns用于添加拦截规则
// excludePathPatterns用户排除拦截
registry.addInterceptor(new ApiInterceptor()).addPathPatterns(“/**”); //对来自/user/** 这个链接来的请求进行拦截
super.addInterceptors(registry);
}
}
5:token的发送与获取
ajax为例子:beforeSend:function(request) {
// token,为登陆时获取到
request.setRequestHeader(“token”,token);
},
后台获取:request.getHeader(“token”);
6:token验证机制
1:通过token解密是否成功可以判断token是否正确或者是否过期
2:解密完成,可以对比用户属性或者用户的固定token(缓存中或者放入数据库)

转载请注明原创出处


原创出自:

https://zhuanlan.zhihu.com/p/26436263
Kukie-YiQing
关注
专栏目录
spring boot+jwt实现apitoken认证详解
08-26
在本文中,我们将深入探讨如何使用Spring Boot和JWT(JSON Web Token)来实现APIToken认证。JWT是一种轻量级的身份验证和授权机制,它允许应用程序在客户端和服务器之间安全地传输信息,而无需在每次请求时进行...
Spring Cloud OAuth2(一) 搭建授权服务
weixin_30364325的博客
04-30 593
概要 本文内容主要为spring cloud 授权服务的搭建,采用jwt认证。 GitHub 地址:https://github.com/fp2952/spring-cloud-base/tree/master/auth-center/auth-center-provider 添加依赖 Spring Security 及 Security 的OAuth2 扩展 <depend...
SpringBoot】集成JWT实现用户认证
Horace's Blog
11-16 5114
初识JWT 1.什么是JWT JSON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,可以在客户端与服务器之间作为JSON对象安全地传输信息。 2.JWT使用场景 身份验证: 用户在登录以后,后续的每个请求都将包含JWT,允许用户访问该令牌允许的路由,服务和资源等。Session同样也可以实现这个功能,但是在使用Session的同时也会相应的...
springboot 缓存技术自定义key生成简单记录
plusme
04-22 8291
在我们开发中经常碰到一个方法总是执行的很慢,但是这个方法对数据的实时准确度要求不是很高的时候,我们可以使用缓存技术来优化。开始首先你的引入这个jar包 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-cach...
spring加密
aishuxi9261的博客
02-24 221
1、spring自带的加密算法,可以设置base64,也可以用盐值,例如: // MD5加密类 Md5PasswordEncoder md5 = new Md5PasswordEncoder(); // 密码密文 return md5.encodePassword(str, null); 2、下面是关于spring security的加密文章。 ...
SpringMVC使用JWT简单验证
laok186的博客
04-02 2333
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量...
SpringBoot集成JWT实现token验证的流程
10-15
标题中的“SpringBoot集成JWT实现token验证的流程”是指在SpringBoot应用中使用JWT(Json Web Token)技术来实现用户身份验证的过程。JWT是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式来安全地在各...
springboot+springSecurity+jwt实现的基于token的权限管理的一个demo
02-16
这个“springboot+springSecurity+jwt实现的基于token的权限管理的一个demo”旨在演示如何在Spring Boot应用中集成这些技术,以创建一个安全的、基于令牌的身份验证系统。 首先,Spring Boot是Java领域的一个快速...
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
最新发布
04-08
本项目基于Spring Boot、Spring Security以及JWT(JSON Web Tokens)技术,提供了一种实现基于token的权限管理的解决方案。下面将详细阐述这些关键技术及其相互间的协同工作。 **Spring Boot** Spring Boot是Spring...
JWT Token实现方法及步骤详解
09-07
Spring Security 中,可以使用 `spring-security-jwt` 模块来处理 JWT。其中,`JwtHelper` 类提供了一些基本操作,包括 JWT 的编码(`encode`)和解码(`decode`)方法。编码方法需要提供 payload 和一个签名器...
api接口安全机制设计(token令牌,JWT)
惟一||.唯一 的博客
09-05 1546
常见的安全问题以及解决方案 1.接口被大规模调用消耗系统资源,影响系统的正常访问,甚至系统瘫痪 解决方案: 获取 timestamp (时间戳), 设置接口失效时间 2.接口数据被黑客篡改(伪造请求) 解决方案: 对参数加密, 生成 token , 判断 token 是否正确 3.数据被黑客截取 解决方案: 使用 https , 用证书对数据进行加密, 即使数据被截取, 对黑客也没有意义...
spring boot 2 集成JWT实现api接口认证
gdjlc的专栏
03-20 652
JSON Web TokenJWT)是目前流行的跨域身份验证解决方案。 官网:https://jwt.io/ 本文使用spring boot 2 集成JWT实现api接口验证。 一、JWT的数据结构 JWT由header(头信息)、payload(有效载荷)和signature(签名)三部分组成的,用“.”连接起来的字符串。 JWT的计算逻辑如下: (1)signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(pay
避坑指南(八):Spring Cloud Oauth2 token_key端点404
热门推荐
银河架构师的博客
02-24 1万+
授权服务器基于Spring Cloud Oauth2创建后,配置TokenStore为JwtTokenStore,访问/oauth/token_key接口获取公钥,出现404错误。
(转载)SpringMVC 集成 JWT验证方式
qq_34749144的博客
06-26 1183
JWT官网: https://jwt.io/ 原文地址: https://www.cnblogs.com/ifindu-san/p/9890879.html 这里以java的ssm框架为例,集成jwt。 1.pom.xml 导入jwt的包 <!-- jwt --> <dependency> <groupId>com.auth0</groupId...
SpringMVCJWT token验证
scottfan的博客
05-23 1234
开发环境: MyEclipse 2017 CI 10 Spring 5.0 jar文件: jjwt-0.7.0.jar , jjwt-jackson-0.11.1.jar , jackson-annotations-2.10.0.jar ,jackson-core-2.10.0.jar ,jackson-databind-2.10.0.jar jar文件下载地址: https://repo1.maven.org/maven2/com/ jackson-annotations-2.10...
spring框架中的session,cookie,token令牌
苍煜
09-01 1912
前言: 他们的执行顺序:spring的注入是在filter和listener之后的,(顺序是这样的listener>>filter >> servlet >>spring) 一:Session 1:session种类简介 ServletContext ¨ 生命周期监听:ServletContextListener,它有两个方法,一个在出生时调用,一个在死亡时调用; ² voidcontextInitialized(Serv...
SpringBoot基于token的请求验证
一路向北的博客
09-09 4869
SpringBoot实现基于Token的请求验证
SpringToken整合详解
feiyangtianyao的专栏
05-29 5201
SpringToken整合详解 一、官方主页 Spring Security 二、概述 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某...
使用JWT实现单点登录
xiaoyaGrace的博客
02-26 503
首先介绍一下什么是JSON Web TokenJWT)? 官方文档是这样解释的:JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 虽然JWT可以加密以在各方之间提供保密,但...
Spring Boot + JWTAPI token认证详解与实战示例
本文将深入探讨如何在Spring Boot应用中使用JWT (JSON Web Tokens) 实现APItoken认证。JWT是一种轻量级的身份验证机制,特别适合于分布式系统,因为它允许在客户端存储加密过的令牌,从而减轻服务器端维护session...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值