JavaEE:使用JWT生成/解析token,实现登录/验证token功能

已于 2022-02-18 17:09:41 修改
阅读量5.5k 收藏 24
点赞数 1
分类专栏: JavaEE 文章标签: java-ee java eureka
于 2020-07-15 17:38:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a526001650a/article/details/107366684
版权

说明:

JWT能创建/解析token,一般由客户端上传手机号与验证码,服务器生成token,返回token给客户端,客户端使用此token访问其他需要登录的接口。

SpringBoot配置:https://blog.csdn.net/a526001650a/article/details/106687559

一、利用JWT生成/解析token,实现登录功能:
1.导入JWT依赖:

<!-- 导入JWT依赖 -->
<dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.9.1</version>
</dependency>
<!-- 配置ConfigurationProperties执行器 -->
<dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-configuration-processor</artifactId>
</dependency>

2.在application.yml中配置密钥与过期时间:

jwt:  #jwt配置,供JWTUtils类使用
  key: _yyh123=  #jwt生成token时的密钥
  expiration: 5000  #token 5秒超时

3.创建JWT工具类,用于生成/解析token:

//token工具类
@ConfigurationProperties(prefix = "jwt") //加载application.yml配置文件jwt节点的信息
public class JWTUtil {
    private String key; //密钥,名称要与application.yml中配的一样
    private long expiration; //过期时间,名称要与application.yml中配的一样
    public String getKey() {
        return key;
    }
    public void setKey(String key) {
        this.key = key;
    }
    public long getExpiration() {
        return expiration;
    }
    public void setExpiration(long expiration) {
        this.expiration = expiration;
    }
    //生成token
    public String genToken(String userNo, String phone) {
        long curTime = System.currentTimeMillis();
        JwtBuilder builder = Jwts.builder()
                .setId(userNo).setSubject(phone) //使用用户ID与手机号
                .setIssuedAt(new Date(curTime)) //设置token创建时间
                .signWith(SignatureAlgorithm.HS256, key); //进行签名,HS256方式,密钥为key
        if (expiration > 0) {
            builder.setExpiration(new Date(curTime + expiration));  //设置token过期时间
        }
        //builder.claim("key1", "value1");  //添加自定义key:value对
        return builder.compact(); //生成token
    }
    //解析token
    public Claims parser(String token) {
        Claims c = Jwts.parser().setSigningKey(key) //设置签名密钥为yyh
                .parseClaimsJws(token).getBody(); //解析token
        String userNo = c.getId(); //获取token中的用户ID
        String phone = c.getSubject(); //获取token中的手机号
        Date createDate = c.getIssuedAt(); //获取token的创建时间
        Date expirationDate = c.getExpiration(); //获取token的过期时间
        //String value1 = (String) c.get("key1"); //获取token中的自定义key:value
        return c;
    }
}

4.登录生成token:

(1)在启动类中配置JWTUtil的Bean,让能被扫描到:

//申明为引导类,类名自定义
@SpringBootApplication
public class JWTApplication {
    ...
    @Bean //类似<bean>配置,创建实例
    public JWTUtil jWTUtil() {
        return new JWTUtil();
    }
}

(2)登录生成并返回token:

@Controller
public class LoginController {
    @Autowired
    private JWTUtil jWTUtil;
    @RequestMapping(value = "/login", method = RequestMethod.POST)
    @ResponseBody
    public String login(String phone, String code) {
        if (phone.equals("13000000000") && code.equals("123456")) { //登录成功的,生成token
            String userNo = "1"; //假如从库中查出用户ID
            return jWTUtil.genToken(userNo, phone); //根据userNo和手机号生成token
        }
        return "验证码错误";
    }
}

二、使用Spring拦截器拦截其他需要登录的接口:

Zuul拦截处理(在ZuulGatewayFilter类run方法中处理):JavaEE:SpringCloud-使用Zuul网关提供统一请求入口_a526001650a的专栏-CSDN博客

1.自定义拦截器类,继承HandlerInterceptorAdapter或实现HandlerInterceptor:

@Component
public class LoginFilter extends HandlerInterceptorAdapter { //登录拦截器,或实现HandlerInterceptor
    @Autowired
    private JWTUtil jWTUtil;
    @Autowired
    private RedisTemplate<String, String> redisTemplate;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//在接口请求处理之前校验token
        String authHead = request.getHeader("Authorization");
        if (StringUtils.isEmpty(authHead) !authHead.startsWith("Bearer ")) {
            write(response, "10001", "没有登录");
            return false; //没有登录
        }
        String headToken = authHead.substring(7);
        try {
            Claims c = jWTUtil.parser(headToken); //调用JWTUtil工具类解析token
            String userNo = c.getId(); //从token中取userNo
            String redisToken = redisTemplate.opsForValue().get("TOKEN_" + userNo); //根据userNo从redis中取token
            if (StringUtils.isEmpty(redisToken) || !redisToken.equals(headToken)) { //将header中的token与redis中的token进行比较,一致就是合法,不一致就是不合法
                write(response, "10002", "非法登录");
                return false; //非法登录
            }
        } catch (Exception e) {//token过期时会报错
            e.printStackTrace();
            write(response, "10003", "token过期");
            return false; //token过期
        }
        return true; //已登录,让通过,访问实际接口
    }
    private void write(HttpServletResponse response, String code, String msg) {
        response.setCharacterEncoding("utf-8");
        response.setContentType("text/json");
        try (OutputStream out = response.getOutputStream()) {
            out.write(String.format("{\"code\": \"%s\", \"msg\": \"%s\"}", code, msg).getBytes("utf-8"));
            out.flush();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

2.配置拦截或不拦截的接口,使用自定义拦截器,继承WebMvcConfigurationSupport或WebMvcConfigurer:

@Configuration
public class LoginFilterConfig extends WebMvcConfigurationSupport { //拦截器的一些配置,或继承WebMvcConfigurer
    @Autowired
    private LoginFilter loginFilter;
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry r) {//映射静态资源
        r.addResourceHandler("/**")
                .addResourceLocations("classpath:/META-INF/resources/")
                .addResourceLocations("file:/workspaces/images/");
    }
    @Override
    protected void addInterceptors(InterceptorRegistry registry) {//配置拦截或不拦截的接口
        registry.addInterceptor(loginFilter)  //加入自定义的拦截器类
                .addPathPatterns("/**")  //拦截所有接口
                .excludePathPatterns("/login/*"); //对登录接口放行
    }
}

三、单点登录实现:

1.拦截器实现:

见上章LoginFilter

2.配置拦截器:

见上章LoginFilterConfig

3.登录/登出实现:

(1)单点登录(创建ticket):

@PostMapping("/singleLogin")  //单点登录-创建ticket接口,供子系统统一登录
public String singleLogin(String phone, String code, String redirectUrl, Model model, HttpServletRequest request, HttpServletResponse response) {
    if (StringUtils.isEmpty(phone) || StringUtils.isEmpty(code)) {
        model.addAttribute("msg", "手机号或验证码不能为空");
        return "login";
    }
    if (false) {
        model.addAttribute("msg", "验证码错误");
        return "login";
    }
    //1.根据手机号从库中查出用户信息
    User user = new User();
    //2.使用userNo为key,将用户信息缓存到redis中
    redisTemplate.opsForValue().set("USER_" + user.getUserNo(), gson.toJson(user));
    //3.生成全局登录标识,并缓存到redis+cookie中
    Cookie c = new Cookie("TICKET", genTicket(user.getUserNo()));
    c.setDomain("yyh.com");
    c.setPath("/");
    response.addCookie(c);
    //4.生成临时登录标识(并缓存到redis中,5分钟后过期),并定向跳回登录之前的页面
    return String.format("redirect:%s?tempTicket=%s", redirectUrl, genTempTicket());
}

(2)验证ticket:

@PostMapping("/verifyTicket")  //单点登录验证ticket接口
@ResponseBody
public Response verifyTicket(String tempLoginId, Model model, HttpServletRequest request, HttpServletResponse response) {
    //1.查询redis中是否有登录标识
    String redisTempLoginId = redisTemplate.opsForValue().get("TEMP_TICKET_" + tempLoginId);
    if (StringUtils.isEmpty(redisTempLoginId)) {
        return new Response("10004", "登录标识异常");
    }
    redisTemplate.delete("TEMP_TICKET_" + tempLoginId);
    //2.从cookie中取出全局登录标识,根据全局登录标识从redis中取取userNo
    String ticket = getTicketByCookie(request);
    //3.根据全局登录标识从redis中取取userNo
    String userNo = redisTemplate.opsForValue().get("TICKET_" + ticket);
    if (StringUtils.isEmpty(userNo)) {
        return new Response("10004", "登录标识异常");
    }
    //4.根据userNo从redis中取取user信息json
    String userJson = redisTemplate.opsForValue().get("USER_" + userNo);
    if (StringUtils.isEmpty(userNo)) {
        return new Response("10004", "登录标识异常");
    }
    return new Response("200", "登录标识验证通过", gson.fromJson(userJson, User.class));
}

(3)子系统二次登录:

@PostMapping("/login")  //登录
public String login(String redirectUrl, Model model, HttpServletRequest request, HttpServletResponse response) {
    model.addAttribute("redirectUrl", redirectUrl);
    //1.获取全局ticket,能获取到,则生成临时ticket,并重定向到原网页(登录成功)
    String ticket = getTicketByCookie(request);
    if (verifyTicket(ticket)) {
        return String.format("redirect:%s?tempTicket=%s", redirectUrl, genTempTicket());   //生成临时ticket,并重定向到原网页
    }
    //2.首次登录,则跳到单点登录-创建ticket
    return "singleLogin";
}

(4)登出:

@PostMapping("/logout")
public String logout(String userNo, HttpServletRequest request, HttpServletResponse response) {
    //1.清除redis中的ticket
    redisTemplate.delete("TICKET_" + getTicketByCookie(request));
    //2.清除redis中用户信息
    redisTemplate.delete("USER_" + userNo);
    //3.清除cookie中ticket
    delTicketByCookie(response);
    return "login";
}

無_爲
关注
  • 1
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java源码博客-camel-javaee:博客的源代码:http://blog.eisele.net/2015/07/using-camel
05-20
java 源码 博客 camel-javaee The source-code for the blog:
JWT Token生成及解密
arlene 的博客
02-16 5707
文章目录 一、登录流程? 二、使用步骤 1.引入jwt 库 2.生成 token 3.验证 token 总结 一、登录流程? 前端发送请求 -> 后端验证通过后签发 Token ->前端存入token,在请求其他接口是将token带入header头中 二、使用步骤 1.引入jwt 库 安装: composer require firebase/php-jwt 依赖composer,通过cmd进入项目根目录 或者项目终端安装: 检...
使用JWT生成解析Token
qq_35227352的博客
04-20 6139
Jwt全称是:json web token。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证token的用处:当用户第一次登陆后,用户名密码验证成功后,服务器会生成一个token,把token返回到客户端,一般token都是储存在浏览器的localStorage 或 cookies中,存在localStorage的token需要通过js,将token添加到http请求头中,下次再访问服务器,就不需要用户名密码了,只要带上toke
Java最全Token生成方案-JWT_java jwt token方案,springboot面试问题
最新发布
2401_83977546的博客
05-10 708
无论是哪家公司,都很重视基础,大厂更加重视技术的深度和广度,面试是一个双向选择的过程,不要抱着畏惧的心态去面试,不利于自己的发挥。同时看中的应该不止薪资,还要看你是不是真的喜欢这家公司,是不是能真的得到锻炼。针对以上面试技术点,我在这里也做一些分享,希望能更好的帮助到大家。##### 数据准备useridnamepwdid##### 实体类@Data@Autowired//校验用户名密码是否正确。
JWT生成Token解析Token
专注Java后端技术干货、项目源码总结分享,期待您的关注。
02-25 2万+
JWT生成Token详解 【第一部分】历史文章: SpringBoot总结(一)——第一个SpringBoot项目 SpringBoot总结(二)——Spring Boot的自动配置 SpringBoot总结(三)——SpringBoot的配置文件 SpringBoot总结(四)——@Value和@ConfigurationProperties的区别 SpringBoot总结(五)——@PropertySource注解与@ImportResource注解 SpringBoot总结(六)——SpringBoo
解析JWT token
CodingStudying的博客
01-09 2014
在前端解析 token 的过程通常涉及到验证 token 的有效性以及提取 token 中包含的信息。Token 通常用于身份验证和授权,例如 JWT(JSON Web Tokens)。)来解析 JWT tokenJWT token 通常由三部分组成:头部(header)、载荷(payload)和签名(signature),它们之间由点(首先,你需要从存储中获取 token。是可用的,但在某些 Node.js 环境中可能不可用。)中获取,或者是从服务器响应中获取。函数在当前环境中不可用。
JwtToken详解
热门推荐
星辰的动态博客
09-16 2万+
​ 简单来说,token就是一种身份验证方法,和cookie有相似作用;它被很多人翻译过来后生动的称为“令牌”,它的扩展性,安全性更高,非常适合用在Web应用和移动开发应用上。 1.1token验证流程 ​ 使用token身份验证,服务器端就不会存储用户的登录记录。 (1)客户端使用用户名跟密码请求登录; (2)服务端收到请求,去验证用户名与密码; (3)验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端; (4)客户端收到 Token 以后可以把它存储起来,比如放在 Cookie
jwt生成token解析token
翎墨袅
11-06 4434
jwt token
使用JWTTOKEN 解析 详细
weixin_35749796的博客
12-28 1014
JWT(JSON Web Token)是一种开放标准,它定义了一种简洁的方式来表示声明,例如在各方之间进行身份验证和授权的信息。它是一种基于JSON的Web令牌,可用于在不可信的环境(例如网络)中跨域身份验证JWT通常由三个部分组成: 头部(Header):包含了签名算法的标识和类型(类型通常是"JWT") 载荷(Payload):包含了声明,例如用户的身份信息和权限。 签名(Signa...
javaee登陆页面源码-trade:https://github.com/sun0x00/RedTorch.git
06-15
得益于JVM的良好设计,框架具备较好的扩展性和尚可接受的延迟,曾考虑使用C++,但因工作量太大只能作罢,且已有大量此类开源工具。。 重要提示 项目尚处于预览阶段,因此使用前请务必严格测试。 欢迎Star本项目,...
实验指导书 实验报告:https://download.csdn.net/download/m0_71999066/862395
07-17
实验指导书
javaee:spring原始解析-源码解析
03-24
javaee:spring原始解析
详解JavaEE使用过滤器实现登录(用户自动登录 安全登录 取消自动登录黑用户禁止登录)
09-02
主要介绍用户的自动登录和取消自动登录,以及实现一天自动登录或者n天实现自动登录,当用户ip被加入到黑名单之后,直接利用...接下来通过本文给大家介绍JavaEE使用过滤器实现登录的相关知识,感兴趣的朋友一起学习吧
jwt如何解析token
阿杰
10-09 1539
解析jwt
JAVA使用JWT生成token
熙熙小学姐
10-23 2122
JWT(JSON Web Token)简而言之,JWT是一个加密的字符串,JWT传输的信息经过了数字签名,因此传输的信息可以被验证和信任。一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。
jwttoken生成解析
花自飘零水自流
07-18 1318
【代码】jwttoken生成解析
jwt生成token
m0_59806423的博客
04-03 1406
http本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还再一次进行用户认证。因为根据http协议,我们不知道是哪个用户发出的请求,所以为了能让我们应用识别是哪一个用户发出的请求,我们只能在服务器端存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器。告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的用户就能识别是哪一个用户了,这就是传统的基于session认证。
java JWT 解析 token
weixin_42612405的博客
12-28 834
好的,我们可以使用Java的第三方库来解析JWT token。 首先,需要在项目中引入相应的依赖。例如,我们可以使用JJWT解析JWT token。在你的项目的build.gradle文件中添加以下依赖: compile 'io.jsonwebtoken:jjwt:0.9.1' 然后,你可以使用Jwts.parser()静态方法来创建一个JWT解析器。接下来,你可以使用解析器的parseClai...
JWT Token在线解析解码
念兮为美
08-24 1万+
项目使用spring boot + shiro + jwt 作为授权登录,调用登录接口成功获取了token,但解析token却报出错误,于是,使用在线JWT Token解析解码去解析token
必须声明元素 javaee:handler-chains
06-03
Java EE 中,可以使用 javaee:handler-chains 元素来定义处理程序链。处理程序链是一系列处理程序,用于处理 Web 服务请求和响应。在声明 javaee:handler-chains 元素时,需要指定处理程序链的名称,并为每个处理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值