Springboot中整合Jwt

已于 2022-11-06 12:18:05 修改
阅读量222 收藏
点赞数
分类专栏: java 文章标签: spring boot java spring
于 2022-11-04 22:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1130067815/article/details/127697706
版权

首先引入jar包

<dependency>
                <groupId>io.jsonwebtoken</groupId>
                <artifactId>jjwt</artifactId>
                <version>0.9.1</version>
            </dependency>
            <dependency>
                <groupId>cn.hutool</groupId>
                <artifactId>hutool-all</artifactId>
                <version>5.8.5</version>
            </dependency>

然后书写工具类用于生成和校验token

@Import(cn.hutool.extra.spring.SpringUtil.class)
public class JwtUtils {
    public static final long Expire = 1000*60*60*24;
    public static final long RExpire = 2;
    public static final TimeUnit RExpiredays = TimeUnit.DAYS;
    //加密的密钥
    private static final String Secret = "wuxing.666";
    //为了区分业务    令牌前缀
    private static final String Token_Pre = "Shop";
    //颁布者:
    private static final String Subject = "wuxing";

    public static Map genToken(LoginUsers loginUsers){
        Assert.notNull(loginUsers,"不能为null");
        Long id = loginUsers.getId();
        HashMap<String, Object> map = new HashMap<>();
        long l = System.currentTimeMillis() + Expire;
        String token = Token_Pre + Jwts.builder().setSubject(Subject)
                .claim("avatar", loginUsers.getAvatar())
                .claim("id", id)
                .claim("ip", loginUsers.getLoginIp())
                .claim("name", loginUsers.getUsername())
                .claim("mail", loginUsers.getEmail())
                .setIssuedAt(new Date())    //设置当前时间
                .setExpiration(new Date(l))
                .signWith(SignatureAlgorithm.HS256, Secret).compact();
        String uuid = IdUtil.fastSimpleUUID();
        RedisTemplate bean = SpringUtil.getBean("redisTemplate");
        bean.opsForValue().set("rtoken:"+uuid, id,RExpire, RExpiredays);
        map.put("token",token);
        map.put("rtoken",uuid);
        map.put("expirtime",l);
        map.put("ip",loginUsers.getLoginIp());
        return map;
    }

    public static Claims checkJwt(String token){
        try {
//            parseClaimsJwt() 方法是解析没有进行签名的token,如果我们的token是已经进行了签名,调用了该方法,就会报出上述错误。
//            签名的token应该使用parseClaimsJws(String jws) 方法
            Claims claims = Jwts.parser().setSigningKey(Secret).parseClaimsJws(token.replace(Token_Pre, "")).getBody();
            return claims;
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }
}

上面代码中

Long id = loginUsers.getId();
        HashMap<String, Object> map = new HashMap<>();
        long l = System.currentTimeMillis() + Expire;
        String token = Token_Pre + Jwts.builder().setSubject(Subject)
                .claim("avatar", loginUsers.getAvatar())
                .claim("id", id)
                .claim("ip", loginUsers.getLoginIp())
                .claim("name", loginUsers.getUsername())
                .claim("mail", loginUsers.getEmail())
                .setIssuedAt(new Date(l))    //设置当前时间
                .setExpiration(new Date())
                .signWith(SignatureAlgorithm.HS256, Secret).compact();
        String uuid = IdUtil.fastSimpleUUID();
        RedisTemplate bean = SpringUtil.getBean("redisTemplate");
        bean.opsForValue().set("rtoken:"+uuid, id,RExpire, RExpiredays);
        map.put("token",token);
        map.put("rtoken",uuid);
        map.put("expirtime",l);
        map.put("ip",loginUsers.getLoginIp());

是为了后续实现自动过期刷新
具体逻辑是:
用户登录成功的时候,一次性给他两个Token,分别为AccessToken和RefreshToken
AccessToken有效期较短,比如1天或者5天,用于正常请求
RefreshToken有效期可以设置长一些,例如10天、20天,作为刷新AccessToken的凭证
刷新方案:当AccessToken即将过期的时候,例如提前30分钟,客户端利用RefreshToken请求指定的API获取新的
AccessToken并更新本地存储中的AccessToken
核心逻辑
1、登录成功后,jwt生成AccessToken;UUID生成RefreshToken并存储在服务端redis中,设置过期时间
2、接口返回3个字段AccessToken/RefreshToken/访问令牌过期时间截
3、由于RefreshToken存储在服务端redis中,假如这个RefreshToken也过期,则提示重新登录;
缺点:前端每次请求需要判断token距离过期时间
优点:后端压力小,代码逻辑改动不大

里面绑定ip的话是为了校验ip是否和当前用户ip是否一致,防止滥用token
优点:服务端无需存储相关内容,性能高,假如用户广州登录,泄露了token给杭州的黑客,依旧用不了
缺点:如果用户用使用过程中ip变动频繁,则操作会经常提示重新登录,体验不友好
但为了安全,麻烦是必不可少的。相比除了ip,还有设备号,UA,header头中终端信息,地点等可以采用,进行绑定

五行阿尔法
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot整合ES
Ysuhang的博客
08-16 203
Springboot整合ES
SpringBoot整合JWT
weixin_45782384的博客
12-29 92
新建一个SpringBoot项目 导入 Maven 坐标 <!--引入 jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 配置application.properties文件 server.po
SpringSecurity Jwt Token 自动刷新的实现
08-19
主要介绍了SpringSecurity Jwt Token 自动刷新的实现,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot集成JWT
weixin_67958017的博客
02-02 4061
JWT是JSON Web Token的缩写,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。JWT本身没有定义任何技术实现,它只是定义了一种基于Token的会话管理的规则,涵盖Token需要包含的标准内容和Token的生成过程,特别适用于分布式站点的单点登录(SSO) 场景。JSON Web Token是目前最流行的跨域认证解决方案,,适合。
SpringBoot整合JWT(JSON Web Token)生成token与验证
最新发布
小hui的博客
06-19 2174
JWT(JSON Web Token)是是目前最流行的跨域认证解决方案。它通常被用于对用户进行身份验证和授权。这篇文章是springbootjwt整合实例
JWT
m0_46487331的博客
12-14 801
Author:Allen_Huang Version:1.0.0 一. JWT简介 什么是JWTJWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 为什么使用JWT? 随着技术的发展,分布式web应用的普.
SpringBoot2.2.6 整合Jwt实现前后端分离
04-23
本篇文章将详细讲解如何在SpringBoot 2.2.6版本整合MyBatis 3.5.4,并利用JWT技术实现前后端分离。 首先,我们需要了解SpringBoot 2.2.6的核心特性。这一版本提供了许多改进,包括更好的错误处理、自动配置优化...
springboot整合JWT
11-26
SpringBoot整合JWT(JSON Web Token)是现代Web应用一种安全的身份验证机制。JWT是一种轻量级的身份认证协议,它允许服务端通过一个令牌(token)来确认客户端的身份,而无需在每次请求时都发送用户名和密码。JWT...
SpringBoot整合Shiro+JWT
05-15
以上就是SpringBoot整合Shiro和JWT实现用户认证的基本流程。这个Demo案例提供了一个完整的实现,包括代码注释和SQL文件,下载后只需刷新依赖就可以直接运行。通过这种方式,开发者可以快速理解和实践这一安全认证...
Springboot整合JWT,Swagger.zip
07-12
SpringBoot整合JWT与Swagger是现代Web开发两个重要的技术组件,它们可以极大地提升应用程序的效率和易用性。JWT(Json Web Token)用于安全地在客户端和服务器之间传输信息,而Swagger则是用于构建RESTful API的...
SpringBoot整合JWT
蛋饼吧的博客
05-18 8683
1.认证方式我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
Spring Boot整合JWT
陈宝子的博客
04-01 4117
文章目录1、概述2、优势所在3、结构组成3.1、标头(Header)3.2、有效负载(Payload)3.3、签名(Signature)4、Spring boot整合JWT 1、概述 JWT 简称 JSON Web Token,也就是通过JSON形式作为Web应用的令牌,用于各方之间安全地将信息作为JSON对象传输,在数据传输的过程还可以完成数据加密、签名等相关处理。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qCis1aXN-1648743017357)(C:/Us
springboot整合JWT
weixin_60376559的博客
01-31 1476
springboot使用jwt
Springboot项目整合JWT
qq_51770163的博客
03-19 1829
Springboot框架整合JWT拦截验证
springboot2.3.x整合JWT
胖虎儿的博客
11-28 6220
springboot整合JWT,让我们的校验不再困难
Springboot整合JWT
07-27
回答: 在Springboot整合JWT可以通过以下步骤实现。首先,在控制器类创建一个用于刷新用户token的方法,该方法使用@GetMapping注解,并接收HttpServletRequest参数。在方法内部,通过获取请求头的token令牌,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值