如何简单创建JWT令牌和过滤器和拦截器

最新推荐文章于 2024-06-16 07:30:00 发布
最新推荐文章于 2024-06-16 07:30:00 发布
阅读量737 收藏 11
点赞数 13
分类专栏: java 文章标签: java 服务器 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yosoo_/article/details/138532629
版权

摘要:在实际项目中,可以根据需要选择使用过滤器或拦截器来实现JWT认证。过滤器适用于全局性的请求和响应处理,而拦截器则更适用于框架内部的请求处理。两者各有优缺点,具体选择取决于项目的需求和架构。

 第一步:添加jwt和fastjson的依赖



<!--jwt-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
<!--JSON-->
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.76</version>
</dependency>

第二步:编写生成和解析JWT令牌的工具类

 相关代码和注释如下

package com.example.jwttest.jwtUtils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.Map;


public class jwtUtils {

    //创建jwt
    public static String getJwt(Map<String, Object> claims){

       String jwt =  Jwts.builder()//创建jwt的方法
                .addClaims(claims)//存放相关信息,通过参数传入
                .setExpiration(new Date(System.currentTimeMillis() + 43200000L))//设置过期时长
                .signWith(SignatureAlgorithm.HS256,"test")//前者是加密方式,后者是token的密钥
                .compact();
       return jwt;//返回生成的jwt令牌

    }

    //解析jwt
    public static Claims parseJwt(String jwt){

       Claims claims =  Jwts.parser()//解析jwt的方法
                .setSigningKey("test")//通过密钥获取token
                .parseClaimsJws(jwt)
                .getBody();
        return claims;
    }
}

 第三步:编写过滤器或拦截器

过滤器实现Filter接口,拦截器通常有两个类,一个同过滤器类似的解析token的接口,实现的是

HandlerInterceptor接口,还有一个类是配置类,可以定义需要拦截的路径和不需要拦截的路径;

它们都遵循如下步骤: 

 

 

过滤器的相关代码和注释
 

import com.example.jwttest.Result.Result;
import com.example.jwttest.jwtUtils.jwtUtils;
import org.springframework.util.StringUtils;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;


@WebFilter(urlPatterns = "/*")//过滤的路径
public class filter implements Filter {
    
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) servletRequest;//需要强转为HttpServlet
        HttpServletResponse response = (HttpServletResponse) servletResponse;

        //获取请求路径
        String url = request.getRequestURL().toString();

        //1.含有login的路径放行
        if (url.contains("login")){
            filterChain.doFilter(request,response);
            return;
        }
        //2.获取请求头中的token
        String header = request.getHeader("test");
           //判断token是否为null或者是空字符串
        if (!StringUtils.hasLength(header)){
            Result result = Result.error("未登录");
            //转json格式返回错误信息给客户端
            String jsonString = JSONObject.toJSONString(result);
            response.setContentType("application/json;charset=utf-8");
            response.getWriter().write(jsonString);
            return;
        }
        //3.解析token
        try {
            jwtUtils.parseJwt(header);
        } catch (Exception e) {
            Result result = Result.error("未登录");
            String jsonString = JSONObject.toJSONString(result);
            response.setContentType("application/json;charset=utf-8");
            response.getWriter().write(jsonString);
            return;
        }
        //4.放行
        filterChain.doFilter(request,response);
    }

 

 补充:为什么要强转为 HttpServletRequest和HttpServletResponse?因为ServletRequest中只提供了获取基本信息的方法,没有获取用户请求类型的方法。filter过滤器它在Servlet规范中定义,因此是Java EE标准的一部分,拦截器HandlerInterceptor是SpringMVC提供的。
 

拦截器的相关代码和注释
 

拦截器
 

 

package com.example.jwttest.Interceptor;

import com.alibaba.fastjson.JSONObject;
import com.example.jwttest.Result.Result;
import com.example.jwttest.jwtUtils.jwtUtils;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class Interceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //获取请求路径
        String url = request.getRequestURL().toString();
        //获取请求头
        String header = request.getHeader("test");

        //判断请求头是否为空字符串或null
        if (!StringUtils.hasLength(header)){
            Result result = Result.error("未登录");
            //因为前端是json数据,要将返回信息通过阿里巴巴的fastjson转为json格式
            String jsonString = JSONObject.toJSONString(result);
            response.setContentType("application/json;charset=utf-8");
            response.getWriter().write(jsonString);
            return false;
        }
        //用jwt工具类解析token,
        try {
            jwtUtils.parseJwt(header);
        } catch (Exception e) {
            Result result = Result.error("未登录");
            String jsonString = JSONObject.toJSONString(result);
            response.setContentType("application/json;charset=utf-8");
            response.getWriter().write(jsonString);
            return false;
        }
        //所有通过再放行
        return true;
    }
}
 

配置类 实现 WebMvcConfigurer接口
 

 
 

package com.example.jwttest.Webconfig;

import com.example.jwttest.Interceptor.Interceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;


@Configuration
public class config implements WebMvcConfigurer {

    @Autowired
    private Interceptor interceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(interceptor)
                .addPathPatterns("/**")//拦截全部路径
                .excludePathPatterns("/login");//不拦截的路径
    }
}

 

总结:在现实中使用拦截器居多。拦截器用return实现拦截和放行,可以直接配置类中设置想拦截的路径和不想拦截的路径。过滤器拦截与放行通过dofilter方法,拦截器更灵活方便。过滤器范围更广。

                

        

        

    

  


    

      

        

            

              
                
                  Yosoo_
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
全局过滤器实现Jwt校验

				
			

			

				

					陆续将以前写过的技术博客统一搬运到csdn
				

				

					03-21
					
					445
					
				

			

		

		

			
				
但是问题是如果后台有3个机器 那么你用jwt不影响 因为第一台机器登录成功 给你token 你拿着token如果第二次访问 遇到其他机器还是可以通过。但是session就有问题了如果你第二次遇到其他机器 其他几次不认识这个session id 所以还需要其他的手段来补足 比如拷贝session。为什么要进化 因为在分布式微服务中 会有很多个系统和服务相互配合 我们一般会用一个独立的网关服务来控制所有的请求入口。(jwt是一段token 它是登录的时候根据用户id生成的 也就说id一样 token就一样)

			
		

	



                

            
              



	

		

			

				
					
JWT令牌&&拦截器

					
最新发布

				
			

			

				

					weixin_64308540的博客
				

				

					07-31
					
					854
					
				

			

		

		

			
				
JWT令牌&&拦截器

			
		

	



              


  
              

                


	

		

			

				
					
jwt自定义认证过滤器

				
			

			

				

					an715396887的博客
				

				

					08-09
					
					445
					
				

			

		

		

			
				
JWT自定义认证过滤器的作用是在请求到达后端服务器之前对JWT令牌进行验证和解析,以确保请求的合法性和身份的真实性。验证令牌的有效性:通过检查令牌的签名和过期时间等信息,确保令牌是有效且未过期的。解析令牌获取用户信息:从令牌中提取用户身份信息,如用户名、角色或权限等,以便后续的身份验证和授权操作。进行身份验证:根据令牌中的用户信息,进行用户身份的验证,确保用户是合法的、存在的。设置用户上下文:将验证通过的用户信息存放在上下文中,以便在后续的请求处理过程中使用,如获取当前用户信息、进行权限控制等。

			
		

	





	

		

			

				
					
jwt配合拦截器做安全验证-使用xml配置文件

				
			

			

				

					qq_33517683的博客
				

				

					11-15
					
					794
					
				

			

		

		

			
				
做一个项目,用到了jwt验证,使用拦截器拦截验证,为日后方便,决定将不需要拦截的路径写到xml文件中。
    文件格式如下:

	
	不需要拦截的url
	        城市
		/city/cityByProvince
		/city/cityName
		/city/citys
		
		区域
		/district/cityByProvince
		/district/district

			
		

	



		

			
		



	

		

			

				
					
JWT过滤器

				
			

			

				

					samgreat911的博客
				

				

					12-05
					
					470
					
				

			

		

		

			
				
security 的认证实现


 * </ul&g

			
		

	





	

		

			

				
					
微服务的登录校验(gateway过滤器or拦截器实现)

				
			

			

				

					12-21
				

			

		

		

			
				
本文将探讨两种实现登录校验的方法:使用Gateway过滤器Spring MVC拦截器,这两种方法都可以有效地解决权限管理和登录状态验证的问题。  **过滤器(Filter)** 过滤器是基于Servlet规范的组件,它可以拦截所有请求...

			
		

	





	

		

			

				
					
JWT令牌验证

				
			

			

				

					尽力漂亮的博客
				

				

					10-12
					
					2344
					
				

			

		

		

			
				
JWT令牌验证1、jwt的由来及解决的问题2、jwt的细节处理
1、jwt的由来及解决的问题
2、jwt的细节处理
1、传统开发对资源的访问限制利用session完成图解


Map<String, Object> claims = new HashMap<String, Object>();
				claims.put("uname",user.getUname());...

			
		

	





	

		

			

				
					
spring boot 拦截器拦截/Filter 过滤session案例

				
			

			

				

					06-28
				

			

		

		

			
				
以下是创建拦截器过滤器的基本步骤:  1. **创建拦截器**:  - 实现`HandlerInterceptor`接口,覆盖`preHandle()`, `postHandle()`, 和 `afterCompletion()`方法。  - 在`preHandle()`中检查session中的登录信息。...

			
		

	





	

		

			

				
					
过滤器Filter和拦截器Interceptor

				
			

			

				

					qq_52702593的博客
				

				

					08-29
					
					196
					
				

			

		

		

			
				
实习中使用过的一些技术做成的笔记

			
		

	





	

		

			

				
					
JwtFilter (过滤器

				
			

			

				

					10000guo的博客
				

				

					01-07
					
					3336
					
				

			

		

		

			
				
JWTFilter&JWT&Filter

			
		

	





	

		

			

				
					
JWT创建和解析简单说明

				
			

			

				

					Wyndem的博客
				

				

					10-31
					
					1862
					
				

			

		

		

			
				
依赖:
Maven
&lt;dependency&gt;
    &lt;groupId&gt;io.jsonwebtoken&lt;/groupId&gt;
    &lt;artifactId&gt;jjwt-api&lt;/artifactId&gt;
    &lt;version&gt;0.10.5&lt;/version&gt;
&lt;/dependency&gt

			
		

	





	

		

			

				
					
JWT令牌过滤器Filter、拦截器Interceptor

				
			

			

				

					m0_46702681的博客
				

				

					06-16
					
					1646
					
				

			

		

		

			
				
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}

			
		

	





	

		

			

				
					
使用JWT实现用户单点登录的过滤器

				
			

			

				

					zzycheng的博客
				

				

					11-27
					
					511
					
				

			

		

		

			
				
@Component
@Log4j2
public class AuthorizeFilter implements GlobalFilter, Ordered{
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        //1.获取请求对象和响应对象
        ServerHttpRequest request = exchange.

			
		

	





	

		

			

				
					
Springjwt过滤器拦截器,aop,监听器,参数校验

				
			

			

				

					初心魏的博客
				

				

					05-25
					
					2946
					
				

			

		

		

			
				
OverrideSystem.out.println("过滤器2初始化");System.out.println("过滤器2前执行");System.out.println("过滤器2后执行");System.out.println("过滤器2毁灭");} }/*** 重写addCorsMappings() 解决跨域问题* 配置:允许http请求进行跨域访问* @Author 有梦想的肥宅*/

			
		

	





	

		

			

				
					
JWT拦截器以及自定义异常类

				
			

			

				

					m0_69423937的博客
				

				

					06-30
					
					199
					
				

			

		

		

			
				
这个里面的自定义放行注解。

			
		

	





	

		

			

				
					
SpringCloud Gateway 实现自定义全局过滤器 + JWT权限验证

				
			

			

				

					知道的越多 不知道的就越多
				

				

					08-09
					
					9340
					
				

			

		

		

			
				
1、gateway filter的生命周期Spring Cloud Gateway同zuul类似,有“pre”和“post”两种方式的filter。客户端的请求先经过“pre”类型的filter,然后将请求转发到具体的业务服务,收到业务服务的响应之后,再经过“post”类型的filter处理,最后返回响应到客户端pre类型的filter:在业务逻辑之前post类型的filter:在业务逻辑之后2、gateway filter的应用场景。...

			
		

	





	

		

			

				
					
java 过滤器 + 拦截器 + JWT 原理以及实践

				
			

			

				

					CodeCow
				

				

					07-27
					
					2385
					
				

			

		

		

			
				
java 过滤器 + 拦截器 + JWT 原理以及实践

			
		

	





	

		

			

				
					
spring boot rest 接口集成 spring security(2) – JWT配置 -qikegu.com

				
			

			

				

					
				

				

					06-02
					
					475
					
				

			

		

		

			
				
Spring Boot 集成教程

Spring Boot 介绍
	Spring Boot 开发环境搭建(Eclipse)
	Spring Boot Hello World (restful接口)例子
	spring boot 连接Mysql
	spring boot配置druid连接池连接mysql
	spring boot集成mybatis(1)
	spring boot集成mybatis(2...

			
		

	





	

		

			

				
					
自定义拦截器+auth0  jwt 登录登出

				
			

			

				

					05-26
				

			

		

		

			
				
首先,需要了解什么是拦截器JWT拦截器是一个在请求处理之前或之后进行拦截拦截的组件,类似于过滤器,可以对请求进行预处理、后处理等。在 Spring 框架中,可以使用拦截器来实现一些通用的处理逻辑,例如身份验证、日志记录等。

JWT(JSON Web Token)是一种用于身份验证的标准,它可以在用户和服务器之间传递安全可靠的信息,并且不需要在服务器端存储用户的信息。JWT 由三部分组成:头部、载荷和签名。头部包含密算法和类型,载荷包含用户信息和过期时间等,签名用于验证数据的完整性和真实性。

接下来,我们来实现自定义拦截器JWT 身份验证。

1. 创建 Auth0 账号并创建应用

在 Auth0 官网注册账号并创建一个应用,获取应用的客户端 ID 和客户端密钥。

2. 添 Auth0 Spring Security 集成依赖

在 Maven 或 Gradle 中添 Auth0 Spring Security 集成依赖,以 Maven 为例:

```xml
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>auth0-spring-security-api</artifactId>
    <version>1.5.0</version>
</dependency>
```

3. 创建 JWTUtils 工具类

在项目中创建 JWTUtils 工具类,用于生成和解析 JWT。

```java
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Date;

public class JWTUtils {

    private static final long EXPIRE_TIME = 30 * 60 * 1000; // 过期时间,单位毫秒
    private static final String TOKEN_SECRET = "secret"; // 密钥

    /**
     * 生成 token
     *
     * @param userId 用户 ID
     * @return token
     */
    public static String createToken(String userId) {
        Date expireAt = new Date(System.currentTimeMillis() + EXPIRE_TIME);
        return JWT.create()
                .withIssuer("auth0")
                .withClaim("userId", userId)
                .withExpiresAt(expireAt)
                .sign(Algorithm.HMAC256(TOKEN_SECRET));
    }

    /**
     * 验证 token
     *
     * @param token token
     * @return 用户 ID
     */
    public static String verifyToken(String token) {
        DecodedJWT jwt = JWT.require(Algorithm.HMAC256(TOKEN_SECRET))
                .withIssuer("auth0")
                .build()
                .verify(token);
        return jwt.getClaim("userId").asString();
    }
}
```

4. 创建 Auth0Config 配置类

在项目中创建 Auth0Config 配置类,用于配置 Auth0 的参数。

```java
import com.auth0.spring.security.api.JwtWebSecurityConfigurer;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

@Configuration
@EnableWebSecurity
public class Auth0Config {

    @Value(value = "${auth0.apiAudience}")
    private String apiAudience;

    @Value(value = "${auth0.issuer}")
    private String issuer;

    /**
     * 配置 Auth0 参数
     */
    public void configure(HttpSecurity http) throws Exception {
        JwtWebSecurityConfigurer.forRS256(apiAudience, issuer)
                .configure(http)
                .authorizeRequests()
                .antMatchers("/api/public/**").permitAll()
                .anyRequest().authenticated();
    }
}
```

5. 创建 Auth0Interceptor 拦截器

在项目中创建 Auth0Interceptor 拦截器,用于拦截请求并进行身份验证。

```java
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class Auth0Interceptor implements HandlerInterceptor {

    @Autowired
    private Auth0Client auth0Client;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String authorizationHeader = request.getHeader("Authorization");
        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            String token = authorizationHeader.substring(7);
            String userId = JWTUtils.verifyToken(token);
            if (userId != null) {
                request.setAttribute("userId", userId);
                return true;
            }
        }
        response.setStatus(401);
        return false;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
    }
}
```

6. 创建 Auth0Client 客户端

在项目中创建 Auth0Client 客户端,用于与 Auth0 进行交互,例如获取用户信息等。

```java
import com.auth0.client.auth.AuthAPI;
import com.auth0.client.mgmt.ManagementAPI;
import com.auth0.exception.Auth0Exception;
import com.auth0.json.auth.TokenHolder;
import com.auth0.json.mgmt.users.User;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

@Component
public class Auth0Client {

    @Value(value = "${auth0.domain}")
    private String domain;

    @Value(value = "${auth0.clientId}")
    private String clientId;

    @Value(value = "${auth0.clientSecret}")
    private String clientSecret;

    /**
     * 获取访问令牌
     *
     * @return 访问令牌
     * @throws Auth0Exception Auth0 异常
     */
    public String getAccessToken() throws Auth0Exception {
        AuthAPI authAPI = new AuthAPI(domain, clientId, clientSecret);
        TokenHolder tokenHolder = authAPI.requestToken("https://" + domain + "/api/v2/");
        return tokenHolder.getAccessToken();
    }

    /**
     * 根据用户 ID 获取用户信息
     *
     * @param userId 用户 ID
     * @return 用户信息
     * @throws Auth0Exception Auth0 异常
     */
    public User getUserById(String userId) throws Auth0Exception {
        ManagementAPI managementAPI = new ManagementAPI(domain, getAccessToken());
        return managementAPI.users().get(userId, null).execute();
    }
}
```

7. 配置拦截器和认证管理器

在 Spring 配置文件中配置拦截器和认证管理器。

```xml
<!-- 配置拦截器 -->
<mvc:interceptor>
    <mvc:mapping path="/api/**"/>
    <bean class="com.example.demo.interceptor.Auth0Interceptor"/>
</mvc:interceptor>

<!-- 配置认证管理器 -->
<bean class="org.springframework.security.authentication.AuthenticationManager"/>
```

8. 创建登录和登出接口

在控制器中创建登录和登出接口,用于生成和验证 JWT。

```java
import com.auth0.exception.Auth0Exception;
import com.auth0.json.mgmt.users.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;

@RestController
@RequestMapping("/api/auth")
public class AuthController {

    @Autowired
    private Auth0Client auth0Client;

    /**
     * 登录接口
     *
     * @param username 用户名
     * @param password 密码
     * @return token
     * @throws Auth0Exception Auth0 异常
     */
    @PostMapping("/login")
    public String login(@RequestParam String username, @RequestParam String password) throws Auth0Exception {
        // 根据用户名和密码验证用户身份,并获取用户 ID
        String userId = "user123";
        return JWTUtils.createToken(userId);
    }

    /**
     * 登出接口
     */
    @PostMapping("/logout")
    public void logout() {
        // 清除 token
    }
}
```

以上就是使用自定义拦截器和 Auth0 JWT 实现登录、登出的步骤。通过这种方式,可以实现简单、安全、可靠的用户身份验证,有效地保护用户的数据安全。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 4

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值