使用JWT实现接口token验证机制

最新推荐文章于 2024-08-08 07:30:00 发布
最新推荐文章于 2024-08-08 07:30:00 发布
阅读量7.2k 收藏 16
点赞数 3
分类专栏: 项目中遇到的问题 文章标签: JWT Token 接口验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ai15134626825/article/details/88897169
版权
  • 项目软件要对外提供部分定制接口,为了保证软件数据的安全性,决定要设置token令牌来校验请求方是否合法。考虑诸多种方案后,决定使用比较流行的JWT来实现。
  • 实现思路:客户端每次访问接口的时候,要在header中携带token令牌,然后在项目的拦截器中使用相应的策略配置拦截这些对外接口的请求(例如这一类接口的url统一配置为/api/开头),拦截到请求后从header中得到token进行校验,校验通过后即可放行。通过不了返回相应状态码,客户端得到状态码携带账号和密码向服务端申请token,服务端验证账号密码合法后生成token返回,token具有时效性。
  • 有了思路之后,开始进行开发,首先,pom.xml中配置jwt包,注意,jwt包需要依赖一个codec的jar包,版本过低的话会出现NoSuchMethodError,详情见上篇文章。
<dependency>
    			<groupId>com.auth0</groupId>
    			<artifactId>java-jwt</artifactId>
    			<version>3.4.0</version>
			</dependency>
  • 然后编写jwt生成token的代码:
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;

public class TokenManager {

	//私钥
	private static final String SECRET = "Axmk89Li3Aji9M";

	//过期时间1分钟
	private static final int expiresTime = 60000;
	
	public static String createToken(Long userId){
		//获取加上过期时间后的时间
		Date nowDate = new Date();
		System.out.println(nowDate);
		Date expiresDate = new Date(System.currentTimeMillis()+expiresTime);
		Map<String,Object> map = new HashMap<String,Object>();
		map.put("alg", "HS256");
		map.put("typ", "JWT");
		String token = JWT.create().withHeader(map)	//请求头
		.withClaim("iss", "Service")	//签发方
		.withClaim("aud", "Client")		//接收方
		.withClaim("userId", null==userId?null:userId.longValue()) //存储信息,用户ID
		.withIssuedAt(nowDate)		//当前时间
		.withExpiresAt(expiresDate)		//过期时间
		.sign(Algorithm.HMAC256(SECRET));		//私钥
		
		return token;
	}
	
	public static boolean verifyToken(String token){
		try{
			JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
			verifier.verify(token);
			//DecodedJWT verify = verifier.verify(token);
			//return verify.getClaims();	//能返回数据集合(用于在jwt中存储一些数据)的,但是由于这一版本只需要核验token是否合法,所以只需要返回true和false;
			return true;
		}catch(Exception e){
			log.error(e.getMessage(), e);
			return false;
		}
	}
}
  • 有了token工具类之后,在拦截器中配置拦截url为/api/开头的请求,然后从header中得到token进行校验,校验通过即放行,不通过返回相应的状态码。
//以下为验证token的
		if(uri.startsWith("api/")){
			try{
				String token = request.getHeader("token");
				//如果token不为空,则可以进入下一步核验
				if(!StringUtils.isBlank(token)){
					if(!TokenManager.verifyToken(token)){
						log.info("token验证未通过,token为:"+token);
						response.setContentType("application/json;charset=UTF-8");
						response.getWriter().print("{\"code\":" + Constants.ERR_CODE_USER_NOT_LOGIN + ",\"msg\":\"未登录或登录超时,请重新登录!\"}");
						return false;
					}
					return true;
				}
				return false;
			}catch(Exception e){
				log.error(e.getMessage(), e);
				return false;
			}
		}
  • 然后编写token获取接口,让客户端传账号和密码过来,校验通过后生成token,这个就不赘述了。一个简单的jwt生成token实现验证就完成了,其实还可以在token中传一些非敏感信息,拿到token后取出进行更加仔细的核验。
ai15134626825
关注
专栏目录
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
基于JWT前后端token认证
热门推荐
java小酱油
03-10 3万+
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个sessi
jwt生成token接口验证token
m0_61417250的博客
12-13 548
主要讲解登录时设置token以及验证token,方便用户更好的实现登录后获取到的数据
JWT(JSON Web Token):身份验证实现
最新发布
省赚客开发者博客
08-08 612
本文将详细讲解JWT的结构、如何生成和解析JWT,并通过Java代码示例展示如何在Java应用中实现JWT身份验证JWT是一种简单而高效的身份验证机制,通过编码、签名和解码机制,确保信息的安全性和可靠性。本文展示了如何生成和解析JWT,并在Web应用中实现JWT身份验证。在Web应用中,通常会在用户登录时生成JWT,并在后续的请求中使用JWT进行身份验证。在应用中,根据JWT中的信息进行用户授权。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!
JWT Token生成及验证
11-03
请参考博客:http://www.cnblogs.com/chenwolong/p/Token.html
实战:你用SpringBoot集成JWT实现一下token验证,可否?
MarkerHub的博客
04-11 148
作者:意识流来源:www.jianshu.com/p/e88d3f8151dbJWT官网:https://jwt.ioJWT(Java版)的github地址:https://github....
JWT token验证
曾令胜的博客
06-09 887
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 这种模式的问题在于,扩展性(scaling)不好。单机当然没有问
【springboot】jwt实现token验证
lorogy的博客
01-08 1226
什么是jwt Json web token (JWT),用于进行身份验证,开销小,适用于单点登录。优点是token是以json加密的形式保存在客户端的,跨语言;能将用户需要的所有信息都加密到token里,不用多次查询数据库;不用在服务端保存会话信息,适用于分布式微服务。 用户使用账密发送post请求 服务器使用私钥创建jwt(生成签名) 服务器返回这个jwt给浏览器 浏览器将该jwt加在之后所有请求的请求头中 服务器拦截请求验证jwt校验token验证通过则返回响应信息给浏览器 jwt构成: 头
Java JWT: JSON Web Token
weixin_33730836的博客
06-17 818
  Java JWT: JSON Web Token for Java and Android JJWT aims to be the easiest to use and understand library for creating and verifying JSON Web Tokens (JWTs) on the JVM. JJWT is a Java implementation...
koa+jwt实现token验证与刷新功能
10-16
首先,JWT是一种广泛使用的身份验证机制,它允许数据在多个系统间安全传递,同时确保信息的完整性和真实性。 ### JWT简介 JWT由三部分组成:头部(Header)、负载(Payload)和签名(Signature)。头部和负载通常都...
接口使用jwt返回token_JWT实现token验证
weixin_29054195的博客
01-12 578
什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。JWT请求流程image.png1. 用户使用账号和面发出post请求;2....
express框架中使用jwt实现验证的方法
10-16
使用JSON Web Tokens(JWT)是实现服务端安全认证的一种常用方法,尤其是在使用Express框架开发Node.js应用时。在本篇内容中,我们将介绍如何在Express应用中集成JWT进行用户验证。通过示例代码和配置步骤,我们将...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构中广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
Token验证--JWT
qingxiao1999的博客
09-06 3389
Token的本质是将有意义的数据进行加密处理后的结果,各服务器都只需要具有解析这个加密数据的功能即可获取到其中的信息含义,理论上**不占用内存资源,更适合用于集群和分布式系统,但是,存在一定的被解密的风险(概率极低)。
JWT--Token(令牌)验证
jiangsheer的博客
03-13 1万+
什么是Token? 在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般我们所说的的token大多是指用于身份验证token 为什么使用token? 我们需要每次都知道当前请求的人是谁,但是又不想每次都让他提交用户名和密码,这时就需要有一个等同于用户名密码也能够标识用户身份的东西,即—token. 基于Token的身份验证方法 客户端使用用户名和密码请求登录 服务端收到请求,...
JWT 接口验证
join_null的博客
08-16 1729
https://blog.csdn.net/qq_40081976/article/details/79046825
访问网址 token的格式_跨域身份验证解决方案:基于JWT实现Token认证
weixin_39902472的博客
11-20 469
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案, 定义了一种紧凑且自包含的,用于在多方传递JSON对象的技术。在了解JWT之前,先了解一下目前两种主流身份验证方式:传统身份验证、基于Token的身份验证。传统身份验证HTTP 是一种无状态的协议,没有上下文会话机制,每一条HTTP请求都是相互独立的。为了识别用户和保存用户的状态,可以依靠Cookie和Session来处理,...
Token验证——JWT方法(明白了!好文章!!)
HD243608836的博客
04-15 2万+
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户
使用jwt实现登录验证
08-22
使用JWT实现登录验证是一种基于token的认证机制。在用户登录成功后,服务端会为用户颁发一个token(令牌),用户使用这个token来访问后台的接口JWT的特点是无状态的,服务端不需要保留用户的认证信息或会话信息,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值