JavaEE:使用JWT生成/解析token,实现登录/验证token功能

已于 2022-02-18 17:09:41 修改
阅读量5.6k 收藏 24
点赞数 1
分类专栏: JavaEE 文章标签: java-ee java eureka
于 2020-07-15 17:38:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a526001650a/article/details/107366684
版权

说明:

JWT能创建/解析token,一般由客户端上传手机号与验证码,服务器生成token,返回token给客户端,客户端使用此token访问其他需要登录的接口。

SpringBoot配置:https://blog.csdn.net/a526001650a/article/details/106687559

一、利用JWT生成/解析token,实现登录功能:
1.导入JWT依赖:

<!-- 导入JWT依赖 -->
<dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.9.1</version>
</dependency>
<!-- 配置ConfigurationProperties执行器 -->
<dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-configuration-processor</artifactId>
</dependency>

2.在application.yml中配置密钥与过期时间:

jwt:  #jwt配置,供JWTUtils类使用
  key: _yyh123=  #jwt生成token时的密钥
  expiration: 5000  #token 5秒超时

3.创建JWT工具类,用于生成/解析token:

//token工具类
@ConfigurationProperties(prefix = "jwt") //加载application.yml配置文件jwt节点的信息
public class JWTUtil {
    private String key; //密钥,名称要与application.yml中配的一样
    private long expiration; //过期时间,名称要与application.yml中配的一样
    public String getKey() {
        return key;
    }
    public void setKey(String key) {
        this.key = key;
    }
    public long getExpiration() {
        return expiration;
    }
    public void setExpiration(long expiration) {
        this.expiration = expiration;
    }
    //生成token
    public String genToken(String userNo, String phone) {
        long curTime = System.currentTimeMillis();
        JwtBuilder builder = Jwts.builder()
                .setId(userNo).setSubject(phone) //使用用户ID与手机号
                .setIssuedAt(new Date(curTime)) //设置token创建时间
                .signWith(SignatureAlgorithm.HS256, key); //进行签名,HS256方式,密钥为key
        if (expiration > 0) {
            builder.setExpiration(new Date(curTime + expiration));  //设置token过期时间
        }
        //builder.claim("key1", "value1");  //添加自定义key:value对
        return builder.compact(); //生成token
    }
    //解析token
    public Claims parser(String token) {
        Claims c = Jwts.parser().setSigningKey(key) //设置签名密钥为yyh
                .parseClaimsJws(token).getBody(); //解析token
        String userNo = c.getId(); //获取token中的用户ID
        String phone = c.getSubject(); //获取token中的手机号
        Date createDate = c.getIssuedAt(); //获取token的创建时间
        Date expirationDate = c.getExpiration(); //获取token的过期时间
        //String value1 = (String) c.get("key1"); //获取token中的自定义key:value
        return c;
    }
}

4.登录生成token:

(1)在启动类中配置JWTUtil的Bean,让能被扫描到:

//申明为引导类,类名自定义
@SpringBootApplication
public class JWTApplication {
    ...
    @Bean //类似<bean>配置,创建实例
    public JWTUtil jWTUtil() {
        return new JWTUtil();
    }
}

(2)登录生成并返回token:

@Controller
public class LoginController {
    @Autowired
    private JWTUtil jWTUtil;
    @RequestMapping(value = "/login", method = RequestMethod.POST)
    @ResponseBody
    public String login(String phone, String code) {
        if (phone.equals("13000000000") && code.equals("123456")) { //登录成功的,生成token
            String userNo = "1"; //假如从库中查出用户ID
            return jWTUtil.genToken(userNo, phone); //根据userNo和手机号生成token
        }
        return "验证码错误";
    }
}

二、使用Spring拦截器拦截其他需要登录的接口:

Zuul拦截处理(在ZuulGatewayFilter类run方法中处理):JavaEE:SpringCloud-使用Zuul网关提供统一请求入口_a526001650a的专栏-CSDN博客

1.自定义拦截器类,继承HandlerInterceptorAdapter或实现HandlerInterceptor:

@Component
public class LoginFilter extends HandlerInterceptorAdapter { //登录拦截器,或实现HandlerInterceptor
    @Autowired
    private JWTUtil jWTUtil;
    @Autowired
    private RedisTemplate<String, String> redisTemplate;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//在接口请求处理之前校验token
        String authHead = request.getHeader("Authorization");
        if (StringUtils.isEmpty(authHead) !authHead.startsWith("Bearer ")) {
            write(response, "10001", "没有登录");
            return false; //没有登录
        }
        String headToken = authHead.substring(7);
        try {
            Claims c = jWTUtil.parser(headToken); //调用JWTUtil工具类解析token
            String userNo = c.getId(); //从token中取userNo
            String redisToken = redisTemplate.opsForValue().get("TOKEN_" + userNo); //根据userNo从redis中取token
            if (StringUtils.isEmpty(redisToken) || !redisToken.equals(headToken)) { //将header中的token与redis中的token进行比较,一致就是合法,不一致就是不合法
                write(response, "10002", "非法登录");
                return false; //非法登录
            }
        } catch (Exception e) {//token过期时会报错
            e.printStackTrace();
            write(response, "10003", "token过期");
            return false; //token过期
        }
        return true; //已登录,让通过,访问实际接口
    }
    private void write(HttpServletResponse response, String code, String msg) {
        response.setCharacterEncoding("utf-8");
        response.setContentType("text/json");
        try (OutputStream out = response.getOutputStream()) {
            out.write(String.format("{\"code\": \"%s\", \"msg\": \"%s\"}", code, msg).getBytes("utf-8"));
            out.flush();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

2.配置拦截或不拦截的接口,使用自定义拦截器,继承WebMvcConfigurationSupport或WebMvcConfigurer:

@Configuration
public class LoginFilterConfig extends WebMvcConfigurationSupport { //拦截器的一些配置,或继承WebMvcConfigurer
    @Autowired
    private LoginFilter loginFilter;
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry r) {//映射静态资源
        r.addResourceHandler("/**")
                .addResourceLocations("classpath:/META-INF/resources/")
                .addResourceLocations("file:/workspaces/images/");
    }
    @Override
    protected void addInterceptors(InterceptorRegistry registry) {//配置拦截或不拦截的接口
        registry.addInterceptor(loginFilter)  //加入自定义的拦截器类
                .addPathPatterns("/**")  //拦截所有接口
                .excludePathPatterns("/login/*"); //对登录接口放行
    }
}

三、单点登录实现:

1.拦截器实现:

见上章LoginFilter

2.配置拦截器:

见上章LoginFilterConfig

3.登录/登出实现:

(1)单点登录(创建ticket):

@PostMapping("/singleLogin")  //单点登录-创建ticket接口,供子系统统一登录
public String singleLogin(String phone, String code, String redirectUrl, Model model, HttpServletRequest request, HttpServletResponse response) {
    if (StringUtils.isEmpty(phone) || StringUtils.isEmpty(code)) {
        model.addAttribute("msg", "手机号或验证码不能为空");
        return "login";
    }
    if (false) {
        model.addAttribute("msg", "验证码错误");
        return "login";
    }
    //1.根据手机号从库中查出用户信息
    User user = new User();
    //2.使用userNo为key,将用户信息缓存到redis中
    redisTemplate.opsForValue().set("USER_" + user.getUserNo(), gson.toJson(user));
    //3.生成全局登录标识,并缓存到redis+cookie中
    Cookie c = new Cookie("TICKET", genTicket(user.getUserNo()));
    c.setDomain("yyh.com");
    c.setPath("/");
    response.addCookie(c);
    //4.生成临时登录标识(并缓存到redis中,5分钟后过期),并定向跳回登录之前的页面
    return String.format("redirect:%s?tempTicket=%s", redirectUrl, genTempTicket());
}

(2)验证ticket:

@PostMapping("/verifyTicket")  //单点登录验证ticket接口
@ResponseBody
public Response verifyTicket(String tempLoginId, Model model, HttpServletRequest request, HttpServletResponse response) {
    //1.查询redis中是否有登录标识
    String redisTempLoginId = redisTemplate.opsForValue().get("TEMP_TICKET_" + tempLoginId);
    if (StringUtils.isEmpty(redisTempLoginId)) {
        return new Response("10004", "登录标识异常");
    }
    redisTemplate.delete("TEMP_TICKET_" + tempLoginId);
    //2.从cookie中取出全局登录标识,根据全局登录标识从redis中取取userNo
    String ticket = getTicketByCookie(request);
    //3.根据全局登录标识从redis中取取userNo
    String userNo = redisTemplate.opsForValue().get("TICKET_" + ticket);
    if (StringUtils.isEmpty(userNo)) {
        return new Response("10004", "登录标识异常");
    }
    //4.根据userNo从redis中取取user信息json
    String userJson = redisTemplate.opsForValue().get("USER_" + userNo);
    if (StringUtils.isEmpty(userNo)) {
        return new Response("10004", "登录标识异常");
    }
    return new Response("200", "登录标识验证通过", gson.fromJson(userJson, User.class));
}

(3)子系统二次登录:

@PostMapping("/login")  //登录
public String login(String redirectUrl, Model model, HttpServletRequest request, HttpServletResponse response) {
    model.addAttribute("redirectUrl", redirectUrl);
    //1.获取全局ticket,能获取到,则生成临时ticket,并重定向到原网页(登录成功)
    String ticket = getTicketByCookie(request);
    if (verifyTicket(ticket)) {
        return String.format("redirect:%s?tempTicket=%s", redirectUrl, genTempTicket());   //生成临时ticket,并重定向到原网页
    }
    //2.首次登录,则跳到单点登录-创建ticket
    return "singleLogin";
}

(4)登出:

@PostMapping("/logout")
public String logout(String userNo, HttpServletRequest request, HttpServletResponse response) {
    //1.清除redis中的ticket
    redisTemplate.delete("TICKET_" + getTicketByCookie(request));
    //2.清除redis中用户信息
    redisTemplate.delete("USER_" + userNo);
    //3.清除cookie中ticket
    delTicketByCookie(response);
    return "login";
}

無_爲
关注
专栏目录
token生成解析
csdn_jieao的博客
03-08 1517
token登录 token 工作原理就是浏览器发送请求到后端生成一个token然后把token返回到前端 浏览器根据从后端传过来的token来进行验证如果通过就继续操作如果不是后台传过来的token值则需要重新登录 如果浏览器的token值过期则显示token过期需重新登录生成token时需要三部分值 public static String createToken(LoginModel loginModel){ //token包含三部分值 //头部信息,
java JWT 解析 token
weixin_42612405的博客
12-28 912
好的,我们可以使用Java的第三方库来解析JWT token。 首先,需要在项目中引入相应的依赖。例如,我们可以使用JJWT解析JWT token。在你的项目的build.gradle文件中添加以下依赖: compile 'io.jsonwebtoken:jjwt:0.9.1' 然后,你可以使用Jwts.parser()静态方法来创建一个JWT解析器。接下来,你可以使用解析器的parseClai...
JWT生成解析token
最新发布
BlackPudding_的博客
09-06 546
JWT生成解析token
jwttoken生成解析
花自飘零水自流
07-18 1389
【代码】jwttoken生成解析
jwt 解析 token java 代码
weixin_42598278的博客
12-28 236
要在 Java解析 JWT,您需要使用 JWT 库。这是一个示例代码: import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jws; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; // 解析 JWT String jwt = "eyJhbG...
使用JWTTOKEN 解析 详细
weixin_35749796的博客
12-28 1081
JWT(JSON Web Token)是一种开放标准,它定义了一种简洁的方式来表示声明,例如在各方之间进行身份验证和授权的信息。它是一种基于JSON的Web令牌,可用于在不可信的环境(例如网络)中跨域身份验证JWT通常由三个部分组成: 头部(Header):包含了签名算法的标识和类型(类型通常是"JWT") 载荷(Payload):包含了声明,例如用户的身份信息和权限。 签名(Signa...
Jwt
li___kang的博客
09-07 447
利用session完成图解 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“...
Jwt-token
weixin_39406672的博客
12-22 176
1:登录账号密码与数据库验证。 package com.sxt.sso.commons; import java.util.HashMap; import java.util.Map; /** * 用于模拟用户数据的。开发中应访问数据库验证用户。 */ public class JWTUsers { private static final Map<String, String&...
ssm+vue的物资物流系统的设计与实现(有报告) Javaee项目,ssm vue前后端分离项目
04-21
1. JWT(JSON Web Token):用于用户身份验证,保证通信过程的安全性。 2. Spring Security:提供权限管理和认证机制,保护系统资源。 3. Vue Router:Vue.js的路由管理器,实现页面间的跳转和懒加载。 4. Vuex:Vue...
基于Springboot的旅游网管理系统设计与实现(有报告) Javaee项目,springboot项目
04-21
4. JWT(JSON Web Token):用于用户身份验证和授权,提供安全的会话管理。 5. Swagger:接口文档自动化工具,方便API的调试和文档编写。 6. Redis:缓存系统,提高数据访问效率。 7. Docker:容器化部署,确保环境...
Windows 下Maven+Tomcat 8 使用JAVA以及 Json Web Token 实现 单点登录demo
悟已往之不谏,知来者之可追
03-29 948
0.准备工作 1、tomcat8本地的安装 2、maven3本地的安装 3、使用maven发布项目到本地 Tomcat 8 manager管理页面进入方法 如果你本地环境都OK,可以跳过。 1.简介 json web token(JWT)是一种新的用户认证方式,不同与以前的Session. JWT不需要服务器端存储用户信息,当用户登录后,服务器将用户信息放入加密放入to...
jwttoken解析
Leon_Jinhai_Sun的博客
12-29 2379
token解析 我们刚才已经创建了token ,在web应用中这个操作是由服务端进行然后发给客户端,客户端在下次向服务端发送请求时需要携带这个token(这就好像是拿着一张门票一样),那服务端接到这个token 应该解析token中的信息(例如用户id),根据这些信息查询数据库返回相应的结果。 创建ParseJwtTest package com.learn.demo; import...
解析JWT token
CodingStudying的博客
01-09 3108
在前端解析 token 的过程通常涉及到验证 token 的有效性以及提取 token 中包含的信息。Token 通常用于身份验证和授权,例如 JWT(JSON Web Tokens)。)来解析 JWT tokenJWT token 通常由三部分组成:头部(header)、载荷(payload)和签名(signature),它们之间由点(首先,你需要从存储中获取 token。是可用的,但在某些 Node.js 环境中可能不可用。)中获取,或者是从服务器响应中获取。函数在当前环境中不可用。
jwt生成token解析token
翎墨袅
11-06 4737
jwt token
jwt如何解析token
阿杰
10-09 1588
解析jwt
jwt Token验证解析
weixin_33881140的博客
01-06 1964
网上似乎没有相关代码 贴上一段Token解析认证 [TestMethod] public void TestMethod1() { string Token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJMb2dpblR5cGUiOiLlvq7kv6HnmbvlvZUiLCJJc09uZ...
java-jwt通过公钥字符串验证解析token
爱学习的大雄的博客
01-26 1245
所以我们需要进行转化,本篇文章主要就是记录如何进行这个转化。如果需要了解公钥、私钥的概念,请百度其它文章。由于java-jwt中校验时所需要的公钥是。本文主要示例如何通过已知的。对象而我们目前的公钥是。
java jwt工具类,生成解析token
07-10 863
相关jar包下载: 链接:https://pan.baidu.com/s/1Bdd2cJubPPdKxJUDCbdM4w 提取码:xlvm commons-codec-1.11.jar jar包尽量用高版本的,低版本会报错org.apache.commons.codec.binary.Base64.encodeBase64URLSafeString,最低版本是哪个没有进行测试。 jw...
java解析jwt token
06-08
解析JWT token,可以使用Java JWT库,它提供了一组简单的API用于处理JWT token。以下是一个基本的示例: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwt; import io.jsonwebtoken.Jwts; public class JWTUtils { public static Claims decodeJWT(String jwt) { Claims claims = Jwts.parser() .setSigningKey("secretKey") // 设置签名密钥 .parseClaimsJws(jwt) .getBody(); return claims; } } ``` 在上面的示例中,`decodeJWT`方法接受一个JWT token作为参数,并返回`Claims`对象,它包含了JWT token中的声明。在这个示例中,我们使用`Jwts.parser()`创建一个JWT parser,然后使用`setSigningKey`方法设置签名密钥,最后调用`parseClaimsJws`方法解析JWT token并返回`Claims`对象。 请注意,上述示例中的密钥是硬编码的,这并不是一个好的实践。密钥应该存储在安全的地方,例如环境变量或配置文件中,并在运行时从这些地方加载。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值