JWT实现登陆认证及Token自动续期

已于 2023-05-06 15:19:11 修改
阅读量1.5k 收藏 5
点赞数 1
分类专栏: Work笔记 文章标签: 服务器 数据库 java Powered by 金山文档
于 2023-01-05 16:08:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zyw907155124/article/details/128565091
版权

认证流程

基于session的认证流程

  • 用户在浏览器中输入用户名和密码,服务器通过密码校验后生成一个session并保存到数据库

  • 服务器为用户生成一个sessionId,并将具有sesssionId的cookie放置在用户浏览器中,在后续的请求中都将带有这个cookie信息进行访问

  • 服务器获取cookie,通过获取cookie中的sessionId查找数据库判断当前请求是否有效

基于JWT的认证流程

  • 用户在浏览器中输入用户名和密码,服务器通过密码校验后生成一个token并保存到数据库

  • 前端获取到token,存储到cookie或者local storage中,在后续的请求中都将带有这个token信息进行访问

  • 服务器获取token值,通过查找数据库判断当前token是否有效

优缺点

JWT保存在客户端,在分布式环境下不需要做额外工作。而session因为保存在服务端,分布式环境下需要实现多机数据共享 session一般需要结合Cookie实现认证,所以需要浏览器支持cookie,因此移动端无法使用session认证方案

安全性

JWT的payload使用的是base64编码的,因此在JWT中不能存储敏感数据。而session的信息是存在服务端的,相对来说更安全

性能

经过编码之后JWT将非常长,cookie的限制大小一般是4k,cookie很可能放不下,所以JWT一般放在local storage里面。并且用户在系统中的每一次http请求都会把JWT携带在Header里面,HTTP请求的Header可能比Body还要大。而sessionId只是很短的一个字符串,因此使用JWT的HTTP请求比使用session的开销大得多

一次性

无状态是JWT的特点,但也导致了这个问题,JWT是一次性的。想修改里面的内容,就必须签发一个新的JWT

无法废弃

一旦签发一个JWT,在到期之前就会始终有效,无法中途废弃。若想废弃,一种常用的处理手段是结合redis

续签

如果使用JWT做会话管理,传统的cookie续签方案一般都是框架自带的,session有效期30分钟,30分钟内如果有访问,有效期被刷新至30分钟。一样的道理,要改变JWT的有效时间,就要签发新的JWT。

最简单的一种方式是每次请求刷新JWT,即每个HTTP请求都返回一个新的JWT。这个方法不仅暴力不优雅,而且每次请求都要做JWT的加密解密,会带来性能问题。另一种方法是在redis中单独为每个JWT设置过期时间,每次访问时刷新JWT的过期时间

选择JWT或session

我投JWT一票,JWT有很多缺点,但是在分布式环境下不需要像session一样额外实现多机数据共享,虽然seesion的多机数据共享可以通过粘性session、session共享、session复制、持久化session、terracoa实现seesion复制等多种成熟的方案来解决这个问题。但是JWT不需要额外的工作,使用JWT不香吗?且JWT一次性的缺点可以结合redis进行弥补。

功能实现

1.JWT所需依赖

<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.10.3</version>
</dependency>

2.JWT工具类

public class JWTUtil {
private static final Logger logger = LoggerFactory.getLogger(JWTUtil.class);
//私钥
private static final String TOKEN_SECRET = "123456";
/**
* 生成token,自定义过期时间 毫秒
*
* @param userTokenDTO
* @return
*/
public static String generateToken(UserTokenDTO userTokenDTO) {
try {
// 私钥和加密算法
Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
// 设置头部信息
Map<String, Object> header = new HashMap<>(2);
header.put("Type", "Jwt");
header.put("alg", "HS256");
return JWT.create()
.withHeader(header)
.withClaim("token", JSONObject.toJSONString(userTokenDTO))
//.withExpiresAt(date)
.sign(algorithm);
} catch (Exception e) {
logger.error("generate token occur error, error is:{}", e);
return null;
}
}
/**
* 检验token是否正确
*
* @param token
* @return
*/
public static UserTokenDTO parseToken(String token) {
Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
JWTVerifier verifier = JWT.require(algorithm).build();
DecodedJWT jwt = verifier.verify(token);
String tokenInfo = jwt.getClaim("token").asString();
return JSON.parseObject(tokenInfo, UserTokenDTO.class);
}
}

说明:

  • 生成的token中不带有过期时间,token的过期时间由redis进行管理

  • UserTokenDTO中不带有敏感信息,如password字段不会出现在token中

3.Redis工具类

public final class RedisServiceImpl implements RedisService {
/**
* 过期时长
*/
private final Long DURATION = 1 * 24 * 60 * 60 * 1000L;

@Resource
private RedisTemplate redisTemplate;

private ValueOperations<String, String> valueOperations;

@PostConstruct
public void init() {
RedisSerializer redisSerializer = new StringRedisSerializer();
redisTemplate.setKeySerializer(redisSerializer);
redisTemplate.setValueSerializer(redisSerializer);
redisTemplate.setHashKeySerializer(redisSerializer);
redisTemplate.setHashValueSerializer(redisSerializer);
valueOperations = redisTemplate.opsForValue();
}

@Override
public void set(String key, String value) {
valueOperations.set(key, value, DURATION, TimeUnit.MILLISECONDS);
log.info("key={}, value is: {} into redis cache", key, value);
}

@Override
public String get(String key) {
String redisValue = valueOperations.get(key);
log.info("get from redis, value is: {}", redisValue);
return redisValue;
}

@Override
public boolean delete(String key) {
boolean result = redisTemplate.delete(key);
log.info("delete from redis, key is: {}", key);
return result;
}

@Override
public Long getExpireTime(String key) {
return valueOperations.getOperations().getExpire(key);
}
}

4.业务实现

4.1登陆功能
public String login(LoginUserVO loginUserVO) {
//1.判断用户名密码是否正确
UserPO userPO = userMapper.getByUsername(loginUserVO.getUsername());
if (userPO == null) {
throw new UserException(ErrorCodeEnum.TNP1001001);
}
if (!loginUserVO.getPassword().equals(userPO.getPassword())) {
throw new UserException(ErrorCodeEnum.TNP1001002);
}
//2.用户名密码正确生成token
UserTokenDTO userTokenDTO = new UserTokenDTO();
PropertiesUtil.copyProperties(userTokenDTO, loginUserVO);
userTokenDTO.setId(userPO.getId());
userTokenDTO.setGmtCreate(System.currentTimeMillis());
String token = JWTUtil.generateToken(userTokenDTO);
//3.存入token至redis
redisService.set(userPO.getId(), token);
return token;
}

说明:

  • 判断用户名密码是否正确

  • 用户名密码正确则生成token

  • 将生成的token保存至redis

4.2登出功能
public boolean loginOut(String id) {
boolean result = redisService.delete(id);
if (!redisService.delete(id)) {
throw new UserException(ErrorCodeEnum.TNP1001003);
}
return result;
}

将对应的key删除即可

4.3更新密码功能
public String updatePassword(UpdatePasswordUserVO updatePasswordUserVO) {
//1.修改密码
UserPO userPO = UserPO.builder().password(updatePasswordUserVO.getPassword())
.id(updatePasswordUserVO.getId())
.build();
UserPO user = userMapper.getById(updatePasswordUserVO.getId());
if (user == null) {
throw new UserException(ErrorCodeEnum.TNP1001001);
}
if (userMapper.updatePassword(userPO) != 1) {
throw new UserException(ErrorCodeEnum.TNP1001005);
}
//2.生成新的token
UserTokenDTO userTokenDTO = UserTokenDTO.builder()
.id(updatePasswordUserVO.getId())
.username(user.getUsername())
.gmtCreate(System.currentTimeMillis()).build();
String token = JWTUtil.generateToken(userTokenDTO);
//3.更新token
redisService.set(user.getId(), token);
return token;
}

说明:

更新用户密码时需要重新生成新的token,并将新的token返回给前端,由前端更新保存在local storage中的token,同时更新存储在redis中的token,这样实现可以避免用户重新登陆,用户体验感不至于太差
其他说明

在实际项目中,用户分为普通用户和管理员用户,只有管理员用户拥有删除用户的权限,这一块功能也是涉及token操作的,但是我太懒了,demo工程就不写了

在实际项目中,密码传输是加密过的

5.拦截器类
public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
Object handler) throws Exception {
String authToken = request.getHeader("Authorization");
String token = authToken.substring("Bearer".length() + 1).trim();
UserTokenDTO userTokenDTO = JWTUtil.parseToken(token);
//1.判断请求是否有效
if (redisService.get(userTokenDTO.getId()) == null
|| !redisService.get(userTokenDTO.getId()).equals(token)) {
return false;
}
//2.判断是否需要续期
if (redisService.getExpireTime(userTokenDTO.getId()) < 1 * 60 * 30) {
redisService.set(userTokenDTO.getId(), token);
log.error("update token info, id is:{}, user info is:{}", userTokenDTO.getId(), token);
}
return true;
}
说明:

拦截器中主要做两件事,一是对token进行校验,二是判断token是否需要进行续期

token校验:

  • 判断id对应的token是否不存在,不存在则token过期

  • 若token存在则比较token是否一致,保证同一时间只有一个用户操作

token自动续期:

为了不频繁操作redis,只有当离过期时间只有30分钟时才更新过期时间

6.拦截器配置类
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(authenticateInterceptor())
.excludePathPatterns("/logout/**")
.excludePathPatterns("/login/**")
.addPathPatterns("/**");
}
@Bean
public AuthenticateInterceptor authenticateInterceptor() {
return new AuthenticateInterceptor();
}
}
柚几哥哥
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring boot+jwt实现api的token认证详解
08-26
主要给大家介绍了关于spring boot+jwt实现api的token认证的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一学习学习吧
hutool工具使用JWT.verify进行token验证,解析tokenJWTUtil.parseToken
热门推荐
weixin_44728473的博客
06-30 2万+
hutool工具使用JWT.verify进行token验证,解析tokenJWTUtil.parseToken
后端代码解析工具类(until)JwtUtils
最新发布
2201_75464794的博客
05-29 713
个人理解这个JwtUtils实现了一系列与JWT(JSON Web Token)相关的功能,主要包括:生成JWT:类提供了几种方法来生成JWT,可以基于用户的主体信息(如用户名),也可以包括用户的角色权限,以及可以设置自定义的过期时间。解析JWT:类提供了一个方法来解析传入的JWT,并返回一个Claims对象,这个对象包含了JWT中的所有声明(如主体、过期时间、自定义声明等)。校验JWT:在解析JWT的过程中,类会自动校验JWT的有效性,包括签名是否正确,以及JWT是否过期。
SpringBoot 实现 JWT token 自动续期
zhangjiaming_zjm的博客
01-13 451
SpringBoot 实现 JWT token 自动续期
JAVA开发(JWTUtil工具类实现token源码赏析)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-13 3232
那么如何处理token: 1、解决安全问题,就需要加密,和有效期 2、解决信任问题,就要生产包含用户账号,密码相关的信息 3、解决唯一性问题,就要用到签名 4、解决体验问题,就要使用到自动刷新。
基于JWTToken认证
互联网叫兽
03-02 2126
1、什么是JWT JSON Web Tokens,是一种开发的行业标准规范RFC 7519。广泛的用在系统的用户认证方面。 2、JWT结构 JWT 由三个部分依次组成 Header(头部) Payload(载荷) Signature(签名) 2.1、Header Header 部分是一个 JSON 对象,描述 JWT 的元数据,包含算法和token类型。 需要对json进行base64url加密 { "alg": "HS256", "typ": "JWT" } 2.2、Payload 用来存
【学生管理系统】用户登录校验整合JWT生成token
四季轮换叶,一路招摇胜
10-24 985
token 是服务端生成的一串字符串,用来作为客户端进行请求的一个令牌。今天讲解的是用户登录校验整合JWT生成token进行身份校验。
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
03-17
本文将深入探讨如何使用JWT实现登录认证,并结合Token自动续期方案,确保用户会话的安全与持久性。以下是关于这个主题的详细知识点: 1. JWT简介: JWT是一种开放标准(RFC 7519),用于在网络应用之间安全地传输...
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者Token过期了,那么禁止访问系统。如果用户一直...
JWT Token实现方法及步骤详解
09-07
- 考虑使用刷新令牌(Refresh Token)机制,当 JWT 过期后,用户可以通过刷新令牌获取新的 JWT,而无需重新登录。 在实际项目中,可以创建一个 JWT 服务,封装这些操作,提供生成和验证 JWT 的接口,简化开发流程。...
Django+JWT实现Token认证实现方法
09-19
主要介绍了Django+JWT实现Token认证实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity之JWT实现token认证和授权.zip
08-09
在这个主题中,我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证和授权。 JWT 是一种轻量级的、安全的、无状态的身份验证机制,常用于API的鉴权。它通过在客户端和服务器之间传递令牌...
基于JWTToken认证机制实现
我神级欧文的博客
05-12 438
在日常的开发中,常见的认证机制有几种,其中使用token是目前前后端分离项目最受欢迎的一种认证手段。token字面意思为令牌(一串字符串),目的就是客户端在访问服务器时要带上这个令牌,服务器然后去根据这个令牌进行认证是否允许你去访问。这个过程中,服务器时完全没有存储任何关于认证的信息的,因此使用token认证方式也被称之为无状态的认证方式,而生成token又有很多种方式,比如服务器直接生成一个字...
jwt工具类介绍
Leon_Jinhai_Sun的博客
05-12 654
搭建授权中心 用户鉴权: 接收用户的登录请求,通过用户中心的接口进行校验,通过后生成JWT 使用私钥生成JWT并返回 有一些生成jwt,解析jwt这样行为的工具类,以后在其它微服务中也会用到,因此放在gmall-core中。 JWT工具类 package com.leon.core.utils; import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jws; import io.jsonwebtoken.Jwts; im
SpringBoot3+Jwt+Redis的Token有效性检查以及自动续期实现
fatfish517的博客
12-17 1244
1. 续期在后端完成,只给前端传递一个token,不采用两个token的方式,从而不增加前端工作量 2. 默认情况下解析Jwt token 时过期的token将抛出过期错误,因为需要自动续期,因此应忽略该错误。 3. token等信息保存在Redis中,并设置过期时间为token的过期时间。过期后保存信息自动删除 。修改此处过期时间实现延期 4. 记录每次前端请求的时间至Redis中。 5. 验证token有效性时,若距离最近一次请求的时差未超过定义的过期时间增量,则尝试进行续期操作
Redis实现JWT(JSON Web TOKEN自动延长TOKEN过期时间
m0_58032776的博客
02-28 1328
JWT是JSON WEB TOKEN的简写,常用于生成及校验Token。常见的使用场景为:用户携带name和秘钥访问后端服务器,应用后端在校验通过后使用JWT生成并返回一串Token,后续用户只需要携带此Token就可以访问服务器,在此不多赘述。本文目的是基于redis实现token自动更新其过期时间,在校验用户姓名和密码后使用JWT工具类生成会过期的Token,当用户携带此Token访问服务器后会自动延长其过期时间。
SpringBoot集成JWT实现token验证
长河的博客
02-19 2826
TODO 先把坑挖在这里, 回头来填上, 这篇写的真懒, 我回改的 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一...
手动生成token_如何生成token(JWTToken)
weixin_39770592的博客
12-19 1180
主要代码1 //JWT 默认过期时间,3600L,单位秒2 Long expireSecond = 3600L;3 //盐值4 String newSalt = 666;5 String token =JwtUtil.generateToken(user.getUsername(), newSalt,6 ...
java Spring Boot整合jwt实现token生成
weixin_45966674的博客
10-07 1147
这里 我是直接不管了 不管他传什么进来 只要是符合我users类格式的 我就算他登录通过 通过getid生成一个token 返回回去。然后 这里 我们加一个属性类 用于用户登录使用 这里 我就搞简单一点 直接 一个id 一个name了。这里需要注意的是 如果你想通过id生成token 那么 你的id必须是个字符串。因为登录接口要用 JwtUtils 所以 最好建在登录接口的类的同目录下。然后 我们接口所在的类 要条件装配好我们用户的属性类 也就是 users。
springboot jwt实现token登陆权限认证实现
08-09
Spring Boot是一个基于Spring框架的快速开发框架,JWT(Json Web Token)是一种认证和授权的机制。结合Spring Boot和JWT,我们可以实现基于Token的登录权限认证。 首先,我们需要引入相关依赖,包括Spring Boot Starter Web、Spring Security和jjwtJava JWT库)等。 接下来,我们可以创建一个用户实体类,用于存储用户信息,包括用户名和密码等。同时,我们还需要创建一个用于生成Token的工具类。 在Spring Boot中,我们可以使用Spring Security来配置登录认证和权限控制。可以创建一个继承自WebSecurityConfigurerAdapter的类,并通过@EnableWebSecurity注解开启Spring Security的配置。 在配置类中,我们可以重写configure方法,来配置登录验证和权限控制。可以通过使用用户名和密码进行登录验证,并通过生成的Token进行权限控制。 在用户登录成功后,我们可以使用工具类生成Token,并将其返回给前端。前端在后续的请求中可以将Token带上,放在请求头中或者放在请求的参数中。 在后续的接口中,可以使用Spring Security的注解对接口进行权限控制,例如使用@PreAuthorize注解来标注只有特定权限的用户才能访问该接口。 在接口中,可以通过解析Token,并验证其合法性,来进行用户的权限认证。 总结起来,使用Spring Boot结合JWT可以简单快速地实现基于Token的登录权限认证。通过自定义工具类生成Token和通过Spring Security的配置来实现登录认证和权限控制,可以保证接口的安全性和可控性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柚几哥哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值