使用JWT认证登录流程

最新推荐文章于 2024-06-02 22:57:30 发布
最新推荐文章于 2024-06-02 22:57:30 发布
阅读量427 收藏 8
点赞数 10
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YfaWu/article/details/134989177
版权

使用JWT认证登录流程

作者是初学者,本文是根据我自己的练习小项目编写测试,从逻辑上来讲其实有很多地方应该改动,但我只为实现对应简单流程功能,如有错误请告知立刻修改。

流程如下:

1、首先在pom文件中导入JWT的maven依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.5</version>
    <scope>runtime</scope>
</dependency>

2、编写JWT的工具类

这个工具类里只有生成token方法和解析token方法变成自己要拿取的信息。

/**
 * @Author: wxy
 * @Date: 2023/12/12 17:29
 * @Description: jwt工具类
 */
public class JWTUtil {
    /**
     * token过期时间
     */
    private static final long EXPIRE_TIME = 7 * 24 * 60 * 60 * 1000;

    /**
     * 自动生成的密钥
     */
    private static final SecretKey TOKEN_SECRET_KEY = Keys.secretKeyFor(SignatureAlgorithm.HS256);

    /**
     * 使用jwt生成token
     * @param customerDTO 客户id和客户姓名
     * @return token
     */
    public static String generateToken(CustomerDTO customerDTO) {
        HashMap<String, Object> header = new HashMap<>(1);
        header.put("type", "jwt");

        HashMap<String, Object> claims = new HashMap<>(2);
        claims.put("id", customerDTO.getId());
        claims.put("name", customerDTO.getName());

        Date now = new Date();
        Date expireTime = new Date(System.currentTimeMillis() + EXPIRE_TIME);

        return Jwts.builder()
                .setHeader(header)
                .setClaims(claims)
                .setIssuedAt(now)
                .setExpiration(expireTime)
                .signWith(TOKEN_SECRET_KEY)
                .compact();
    }

    /**
     * 解析token获得携带的信息
     * @param token token
     * @return 包含客户id和name的dto
     */
    public static R parseToken(String token) {
        if(StringUtils.isNotBlank(token)){
            Claims claims = null;
            try {
                claims = Jwts.parserBuilder()
                        .setSigningKey(TOKEN_SECRET_KEY)
                        .build()
                        .parseClaimsJws(token)
                        .getBody();
            } catch (Exception e) {
                e.printStackTrace();
                return R.fail("token解析错误");
            }
            Long id = Long.valueOf(claims.get("id").toString());
            String name = claims.get("id").toString();
            CustomerDTO dto = new CustomerDTO();
            dto.setId(id);
            dto.setName(name);
            return R.success(dto);
        }
        return R.fail();
    }

}

3、编写登录的接口和逻辑层

这里的逻辑就是拿客户端传来的信息去数据库中去比对,比对成功生成token并保存到redis中。

/**
 * @Author: wxy
 * @Date: 2023/12/13 17:05
 * @Description: 登录控制器
 */
@RestController
@RequiredArgsConstructor
public class LoginController {

    private final LoginService loginService;

    /**
     * 登录接口
     * @param customerDTO 用来接收id和name的dto
     * @return 是否登录成功的信息
     */
    @PostMapping("/login")
    public R login(@RequestBody CustomerDTO customerDTO) {
        return loginService.login(customerDTO);
    }

}

/**
 * @Author: wxy
 * @Date: 2023/12/14 08:42
 * @Description: 登录业务逻辑层
 */
@Service
@RequiredArgsConstructor
public class LoginService {

    private final CustomerMapper customerMapper;
    private final StringRedisTemplate stringRedisTemplate;

    /**
     * 登录接口
     * @param customerDTO 用来接收id和name的dto
     * @return 是否登录成功的信息
     */
    public R login(CustomerDTO customerDTO) {
        LambdaQueryWrapper<Customer> wrapper = new LambdaQueryWrapper<>();

        if (customerDTO.getId() != null){
            wrapper.eq(Customer::getId, customerDTO.getId());
        }
        if(StringUtils.isNotBlank(customerDTO.getName())){
            wrapper.eq(Customer::getName, customerDTO.getName());
        }

        Customer customer = customerMapper.selectOne(wrapper);

        String token = null;
        if (customer != null) {
            // 生成token
            token = JWTUtil.generateToken(customerDTO);
            // 将token存入redis并设置7天过期时间
            stringRedisTemplate.opsForValue()
                    .set(TokenPrefixConstant.TOKEN_REDIS_PREFIX, token, 7, TimeUnit.DAYS);
            System.out.println("token = " + token);
            return R.success("登录成功", token);
        }
        return R.fail(401,"登录失败,请输入正确的id和姓名!");
    }

}

4、编写JWT的拦截器

这个拦截器的逻辑是从客户端的请求头中拿取token并和redis中的token进行比对,成功就调用接口,不成功就返回自定义的JSON信息。

/**
 * @Author: wxy
 * @Date: 2023/12/13 16:39
 * @Description: jwt拦截器
 */
@RequiredArgsConstructor
public class JWTInterceptor implements HandlerInterceptor {

    private final StringRedisTemplate stringRedisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        try {
            String token = request.getHeader("Authorization");
            if (StringUtils.isNotBlank(token)) {
                String redisToken = stringRedisTemplate.opsForValue().get(TokenPrefixConstant.TOKEN_REDIS_PREFIX);
                if (redisToken != null && redisToken.equals(token)) {
                    return true;
                }
            }
            response.setCharacterEncoding("UTF-8");
            response.setContentType("application/json; charset=utf-8");
            LinkedHashMap<String, Object> res = new LinkedHashMap<>();
            res.put("code", 401);
            res.put("message", "认证失败,token已失效请重新登录!");
            res.put("data", Collections.emptyList());
            PrintWriter out = response.getWriter();
            out.append(new JSONObject(res).toString());

        } catch (Exception e) {
            e.printStackTrace();
        }

        return false;
    }
}

5、编写JWT拦截器配置类

这里的逻辑是添加自定义拦截器,并设置拦截的路径和不拦截的路径,这里有一个比较容易出错的地方,在上面的拦截器中我直接注入StringRedisTemplate,但是不能用,返回的NPE,在查阅了一些资料和视频后,我个人理解大概应该是拦截器在spring的bean实例化之前初始化的,我需要给他实例化一下并把stringRedisTemplate通过构造器注入进去。

/**
 * @Author: wxy
 * @Date: 2023/12/13 16:57
 * @Description: jwt拦截器配置类
 */
@Configuration
@RequiredArgsConstructor
public class InterceptorConfig implements WebMvcConfigurer {

    private final StringRedisTemplate stringRedisTemplate;

    @Bean
    public JWTInterceptor jwtInterceptor() {
        return new JWTInterceptor(stringRedisTemplate);
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor(stringRedisTemplate))
                .addPathPatterns("/**")
                .excludePathPatterns("/login");
    }
}

6、总结

到这里应该流程已经结束了,我这个大概的逻辑流程就是:

成功:

  • 携带信息登录 => 登录成功返回token => 客户端携带token访问其他接口

失败:

  • 携带信息登录 => 登录信息不成功直接返回登录失败信息
  • 携带token信息不对或者已经失效 => token信息不对或者失效返回重新登录信息

其实还有很多的东西没有添加,比如双token,一个access_token一个refresh_token,refresh_token的过期时间比access_token多一段时间,当access_token失效时,校验refresh_token再重新生成双token,就不用再重新登录获取token,从而提高体验。

也可以编写对应的工具从请求头信息中拿取用户信息来进行业务逻辑的编写会更加的方便。

黑风岭上的大当家
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【springboot开发JWT实现用户验证登录
idiotyi的博客
06-07 1568
JWT完整流程如下:用户使用账号和密码发起 POST 请求;服务器使用私钥创建一个 JWT;服务器返回这个 JWT 给浏览器;浏览器将该 JWT 串在请求头中像服务器发送请求;服务器验证该 JWT;返回响应的资源给浏览器。
JWT 实现登录
Dailyblue的专栏
06-24 8352
jwt 全称是 json web token。是由用户以用户名、密码登录,服务端验证后,会生成一个 token,返回给客户端,客户端在下次访问的过程中携带这个 token,服务端责每次验证这个token。
jwt 实现用户登录完整java
最新发布
qq_62383709的博客
06-02 941
保护所有受保护的接口增加jwt合法性逻辑 custom.interceptor.AuthenticationInterceptor。我们约定,前端登录后,后续请求都将JWT,放置于HTTP请求的Header中,其Header的key为。登录接口需要为登录成功的用户创建并返回JWT,本项目使用开源的JWT工具。创建JWT和工具类 common.utils.JwtUtil。用户登录的校验逻辑分为三个主要步骤,分别是。,配置如下,具体内容可参考。controller逻辑。编写mapper逻辑。
基于jwt的token验证、原理及流程
z_ssyy的博客
05-31 6121
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
Java用JJWT实现JWT
小龙在线
08-10 864
JWT编码分为三部分,前两部分是base64编码,第三段是加密字符串。
JWT实现单点登录
Shu0Shuo的博客
05-15 2061
舔狗的自我修养:怕你(服务器)太累(装太多session数据),所以我来承担!!
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
springboot + jwt 登录认证 + 实时日志显示
09-02
在本项目中,"springboot + jwt 登录认证 + 实时日志显示"是一个结合了Spring Boot、JWT(JSON Web Tokens)以及实时日志显示功能的综合应用。下面将详细阐述这三个关键知识点。 1. Spring Boot: Spring Boot是...
Python 基于jwt实现认证机制流程解析
09-16
### Python 基于JWT实现认证机制流程解析 ...通过以上步骤,我们已经完成了基于Python和Django框架使用JWT进行用户认证的基本流程。这种认证方式不仅简单高效,而且易于维护和扩展,非常适合现代Web应用的需求。
详解使用JWT实现单点登录(完全跨域方案)
10-16
JWT允许用户在多个相关应用或服务之间共享认证信息,而无需多次登录。本文将深入探讨JWT的原理、使用场景以及其结构。 JWT的核心在于它是一个包含签名的加密字符串,这个字符串包含了用户的相关信息,如用户ID、...
基于JWT实现SSO单点登录流程图解
08-18
基于JWT实现SSO单点登录流程图解是指使用JSON Web Token(JWT)来实现单点登录(SSO)的机制。在这种机制中,用户只需要登录一次,就可以访问多个应用服务器上的资源,而不需要再次登录。下面是基于JWT实现SSO单点...
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
【openresty】利用 JWT 实现令牌校验 | 模拟注册登录流程 | RunnerGo 自动化测试
Cauchy的博客
08-24 759
JWT(JSON Web Token)是一种基于 JSON 的开放标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递 json 对象,常用来实现分布式用户认证。它通常用于用户的登录鉴权,进行身份验证和信息交换。用户使用账号、密码登录,请求发送到 Authentication Server。Authentication Server 进行用户验证(查询数据库等),创建 JWT 字符串返回给客户端。客户端请求接口访问资源时,请求头携带 JWT
如何使用JWT做简单的登录操作
2401_83915900的博客
03-30 749
核心竞争力,怎么才能提高呢?成年人想要改变生活,逆转状态?那就开始学习吧~万事开头难,但是程序员这一条路坚持几年后发展空间还是非常大的,一切重在坚持。为了帮助大家更好更高效的准备面试,特别整理了《前端工程师面试手册》电子稿文件。
关于SpringBoot2.x集成SpringSecurity+JJWT(0.7.0-->0.11.5)生成Token登录鉴权的问题
eternally_zh128@sina.com的博客
10-12 570
The signing key's size is 24 bits which is not secure enough for the HS512 algorithm. The JWT JWA Specification (RFC 7518, Section 3.2) states that keys used with HS512 MUST have a size >= 512 bits (the key size must be greater than or equal to the hash o
JWT基础介绍
Alan0517
03-13 2265
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
基于JWT实现简单的用户登陆验证(超详细)
weixin_47025166的博客
06-20 9662
基于JWT实现简单的用户登陆验证
JWT—是什么?如何实现用户登录验证?
一起加油吧~
03-20 1341
这个部分需要 base64URL 加密后的 header 和 base64URL 加密后的 payload 使用 . 连接组成的字符串,然后通过header 中声明的加密算法 进行加secret组合加密,然后就得出一个签名哈希,也就是Signature,且无法反向解密。用户认证通过之后服务端会创建对应的session并存储,会生成一个唯一的session_id并返回给客户端,客户端在浏览器的Cookie中或其他方式(内存,但服务器重启后会丢失;nbf (Not Before):生效时间,在此之前是无效的。
一张流程图带你学会SpringBoot结合JWT实现登录功能
DaenCode的博客
08-05 688
JWT(JsonWebToken)是一种轻量级的跨域身份验证解决方案。通常被用于无状态身份验证机制,将用户信息签名打包进行传输。
jwt中token认证流程
04-28
JWT认证流程如下: 1. 用户向服务端发送用户名和密码进行登录请求。 2. 服务端验证用户名和密码,如果验证通过则生成一个JWT token并返回给客户端。JWT token通常包含用户的一些基本信息,如用户ID、角色、过期...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值