jwt自定义认证过滤器

最新推荐文章于 2024-06-16 07:30:00 发布
最新推荐文章于 2024-06-16 07:30:00 发布
阅读量352 收藏 1
点赞数
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/an715396887/article/details/132179664
版权

jwt自定义认证过滤器

Jwt认证

在许多的项目中,由于做了前后端分离配置,通过jwt生成token,所以需要一个jwt自定义认证过滤器,来实现jwt的token认证;

jwt自定义认证过滤器的作用

JWT自定义认证过滤器的作用是在请求到达后端服务器之前对JWT令牌进行验证和解析,以确保请求的合法性和身份的真实性。

  1. 验证令牌的有效性:通过检查令牌的签名和过期时间等信息,确保令牌是有效且未过期的。
  2. 解析令牌获取用户信息:从令牌中提取用户身份信息,如用户名、角色或权限等,以便后续的身份验证和授权操作。
  3. 进行身份验证:根据令牌中的用户信息,进行用户身份的验证,确保用户是合法的、存在的。
  4. 设置用户上下文:将验证通过的用户信息存放在上下文中,以便在后续的请求处理过程中使用,如获取当前用户信息、进行权限控制等。
  5. 过滤请求:根据请求的URL或其他条件,判断是否需要对请求进行身份验证和授权,以决定是否放行请求或返回相应的错误信息。

JWT自定义认证过滤器的实现步骤:

  1. 创建一个类,命名为JwtAuthenticationFilter,并继承BasicAuthenticationFilter类。
//BasicAuthenticationFilter类是Spring Security框架中的一个过滤器,用于处理基本身份验证。
//它是AbstractAuthenticationProcessingFilter类的子类,用于对请求进行身份验证和授权处理。
  1. 定义一个URL白名单数组,用于存储需要放行的请求地址。
 // 定义一个URL_WHITELIST数组,存储需要放行的请求地址
    private static final String URL_WHITELIST[] = {
            "/login",
            "/logout",
            "/captcha",
            "/password",
            "/image/**"
    };
  1. 创建JwtAuthenticationFilter类的构造函数,传入一个AuthenticationManager对象,用于处理身份验证。
// 定义JwtAuthenticationFilter类的构造函数,传入一个AuthenticationManager对象,该对象用于处理身份验证。
    public JwtAuthenticationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }
  1. 重写doFilterInternal方法,该方法在每个请求中执行身份验证逻辑。
/**
     * 重写doFilterInternal方法,该方法在每个请求中执行,用于身份验证。
     * @param request 请求对象
     * @param response 响应对象
     * @param chain 过滤器链
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        // 获取请求头中的token
        String token = request.getHeader("token");
        // 打印请求的URL
        System.out.println("请求的url:"+request.getRequestURI());
        // 如果token为空或者请求地址在白名单中,则放行
        if (StringUtil.isEmpty(token) || new ArrayList<String>(Arrays.asList(URL_WHITELIST)).contains(request.getRequestURI())){
            chain.doFilter(request,response);//放行
            return;
        }
        // 验证token是否有效
        CheckResult checkResult = JwtUtils.validateJWT(token);//validateJWT时是自定义的验证JWT工具类
        if (!checkResult.isSuccess()){//如果验证结果不为空
            switch (checkResult.getErrCode()){
                // 如果token不存在
                case JwtConstant.JWT_ERRCODE_NULL: throw new JwtException("token不存在!");
                    // 如果token过期
                case JwtConstant.JWT_ERRCODE_EXPIRE: throw new JwtException("Token过期");
                    // 如果验证不通过
                case JwtConstant.JWT_ERRCODE_FAIL: throw new JwtException("Token验证不通过");
            }
        }
        // 验证通过,解析token获取用户名
        Claims claims = JwtUtils.parseJWT(token);
        String username = claims.getSubject();
        // 根据用户名获取用户信息
        SysUser sysUser = sysUserService.getByUserName(username);
        // 将用户信息存放在上下文中
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken=new UsernamePasswordAuthenticationToken(username,null,myUserDetailService.getUserAuthority(sysUser.getId()));
        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
        chain.doFilter(request,response);//放行
    }
  1. 在SecurityConfig通过构造函数创建一个JwtAuthenticationFilter对象并返回,该对象用于处理身份验证。
@Bean
    JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
        JwtAuthenticationFilter jwtAuthenticationFilter=new JwtAuthenticationFilter(authenticationManager());
        return jwtAuthenticationFilter;
    }
  1. 将过滤器添加进SecurityConfig中
/**
     * 配置应用程序的安全规则
     * 开启跨域资源共享(CORS)功能,并关闭跨站请求伪造(CSRF)攻击防护
     * 配置登录相关设置
     * 禁用会话(session)的创建
     * 配置拦截规则
     * @param http HttpSecurity对象,用于配置应用程序的安全规则
     * @throws Exception 配置过程中可能抛出的异常
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .cors() // 开启CORS功能(跨域)
                .and()
                .csrf().disable() // 关闭CSRF攻击防护
                .formLogin() // 配置登录相关设置
                .successHandler(loginSuccessHandler) // 自定义登录成功处理器
                .failureHandler(loginFailureHandler) // 自定义登录失败处理器
                // .and()
                // .logout() // 配置注销设置(如果需要)
                // .logoutSuccessHandler() // 自定义注销成功处理器(如果需要)
                .and()
                //session禁用配置
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 禁用会话的创建(无状态)
                .and()
                .authorizeRequests()
                .antMatchers(URL_WHITELIST).permitAll() // 白名单中的URL路径允许无需身份验证/permitAll放行所有
                .anyRequest().authenticated() // 其他所有请求需要身份验证

        //异常处理配置


        //自定义过滤器配置
        .and()
                .addFilter(jwtAuthenticationFilter());//添加filter
    }

JwtAuthenticationFilter整体源码




package com.javaandvue.common.security;

import com.javaandvue.common.constant.JwtConstant;
import com.javaandvue.entity.CheckResult;
import com.javaandvue.entity.SysUser;
import com.javaandvue.service.SysUserService;
import com.javaandvue.util.JwtUtils;
import com.javaandvue.util.StringUtil;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtException;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.Enumeration;


// 创建一个JwtAuthenticationFilter类,继承BasicAuthenticationFilter类
public class JwtAuthenticationFilter extends BasicAuthenticationFilter {
    // 自动注入SysUserService和MyUserDetailServiceImpl
    @Autowired
    private SysUserService sysUserService;
    @Autowired
    private MyUserDetailServiceImpl myUserDetailService;
    // 定义一个URL_WHITELIST数组,存储需要放行的请求地址
    private static final String URL_WHITELIST[] = {
            "/login",
            "/logout",
            "/captcha",
            "/password",
            "/image/**"
    };
    // 定义JwtAuthenticationFilter类的构造函数,传入一个AuthenticationManager对象,该对象用于处理身份验证。
    public JwtAuthenticationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }
    /**
     * 重写doFilterInternal方法,该方法在每个请求中执行,用于身份验证。
     * @param request 请求对象
     * @param response 响应对象
     * @param chain 过滤器链
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        // 获取请求头中的token
        String token = request.getHeader("token");
        // 打印请求的URL
        System.out.println("请求的url:"+request.getRequestURI());
        // 如果token为空或者请求地址在白名单中,则放行
        if (StringUtil.isEmpty(token) || new ArrayList<String>(Arrays.asList(URL_WHITELIST)).contains(request.getRequestURI())){
            chain.doFilter(request,response);//放行
            return;
        }
        // 验证token是否有效
        CheckResult checkResult = JwtUtils.validateJWT(token);
        if (!checkResult.isSuccess()){//如果验证结果不为空
            switch (checkResult.getErrCode()){
                // 如果token不存在
                case JwtConstant.JWT_ERRCODE_NULL: throw new JwtException("token不存在!");
                    // 如果token过期
                case JwtConstant.JWT_ERRCODE_EXPIRE: throw new JwtException("Token过期");
                    // 如果验证不通过
                case JwtConstant.JWT_ERRCODE_FAIL: throw new JwtException("Token验证不通过");
            }
        }
        // 验证通过,解析token获取用户名
        Claims claims = JwtUtils.parseJWT(token);
        String username = claims.getSubject();
        // 根据用户名获取用户信息
        SysUser sysUser = sysUserService.getByUserName(username);
        // 将用户信息存放在上下文中
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken=new UsernamePasswordAuthenticationToken(username,null,myUserDetailService.getUserAuthority(sysUser.getId()));
        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
        chain.doFilter(request,response);//放行
    }
}

SecurityConfig整体源码

package com.javaandvue.config;

import com.javaandvue.common.security.JwtAuthenticationFilter;
import com.javaandvue.common.security.LoginFailureHandler;
import com.javaandvue.common.security.LoginSuccessHandler;
import com.javaandvue.common.security.MyUserDetailServiceImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;


@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private LoginSuccessHandler loginSuccessHandler;

    @Autowired
    private LoginFailureHandler loginFailureHandler;

    @Autowired
    private MyUserDetailServiceImpl myUserDetailService;

    // 定义白名单URL路径数组
    private static final String URL_WHITELIST[] = {
            "/login",
            "/logout",
            "/captcha",
            "/password",
            "/image/**"
    };

    @Bean
    JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
        JwtAuthenticationFilter jwtAuthenticationFilter=new JwtAuthenticationFilter(authenticationManager());
        return jwtAuthenticationFilter;
    }


    //默认密码加密配置
    @Bean
    BCryptPasswordEncoder bCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

    /**
     * 配置应用程序的安全规则
     * 开启跨域资源共享(CORS)功能,并关闭跨站请求伪造(CSRF)攻击防护
     * 配置登录相关设置
     * 禁用会话(session)的创建
     * 配置拦截规则
     * @param http HttpSecurity对象,用于配置应用程序的安全规则
     * @throws Exception 配置过程中可能抛出的异常
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .cors() // 开启CORS功能(跨域)
                .and()
                .csrf().disable() // 关闭CSRF攻击防护
                .formLogin() // 配置登录相关设置
                .successHandler(loginSuccessHandler) // 自定义登录成功处理器
                .failureHandler(loginFailureHandler) // 自定义登录失败处理器
                // .and()
                // .logout() // 配置注销设置(如果需要)
                // .logoutSuccessHandler() // 自定义注销成功处理器(如果需要)
                .and()
                //session禁用配置
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 禁用会话的创建(无状态)
                .and()
                .authorizeRequests()
                .antMatchers(URL_WHITELIST).permitAll() // 白名单中的URL路径允许无需身份验证/permitAll放行所有
                .anyRequest().authenticated() // 其他所有请求需要身份验证

        //异常处理配置


        //自定义过滤器配置
        .and()
                .addFilter(jwtAuthenticationFilter());//添加filter
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailService);
    }

}

效果演示:

当请求不带token或者Token异常时
在这里插入图片描述
当请求携带的Token正常时
在这里插入图片描述

就是头顶有点冷
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【SpringBoot】78、SpringBoot中整合JWT实现Token验证(过滤器篇)
Asurplus
06-16 3万+
整合篇参考:【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇) 自定义注解篇参考:【SpringBoot】45、SpringBoot中整合JWT实现Token验证(注解篇) 拦截器篇参考:【SpringBoot】46、SpringBoot中整合JWT实现Token验证(拦截器篇) 1、 ...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及解决方法。 一、问题描述 在使用 Spring Boot 集成 Shiro 时,需要...
自定义Spring Security过滤器 JwtAuthenticationTokenFilter
zyx1234321的博客
11-19 443
这个过滤器的作用是在请求到达时验证 JWT,并将用户信息存储到 Spring Security 的上下文和 ThreadLocal 中,方便后续的权限验证和用户信息获取。放在所有过滤器前面,检查浏览器携带的token是否合法。
JWT令牌、过滤器Filter、拦截器Interceptor
最新发布
m0_46702681的博客
06-16 1328
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}
Jwt认证过滤器实现
qq_58137891的博客
05-09 1211
定义Jwt过滤器后,当用户是已登录状态时,在请求头中携带token便可访问相关网页。
jwt过滤器
samgreat911的博客
12-02 449
log.debug("从JWT中获取authoritiesJsonString:{}", authoritiesJsonString);log.debug("解析JWT时出现Throwable,需要开发人员在JWT过滤器补充对异常的处理");log.debug("从JWT中获取username:{}", username);log.debug("获取客户端携带的JWT:{}", jwt);// 对于无效的JWT,直接放行,交由后续的组件进行处理。log.debug("从JWT中获取id:{}", id);
学习java认证授权之JWT之拦截器和过滤器01
m0_62472302的博客
03-03 935
学习java认证授权之JWT之拦截器和过滤器01
spring security 4 小例子带自定义过滤器
03-20
在Spring Security 4中,我们可以通过自定义过滤器来扩展其功能,以满足特定的安全需求。在这个小例子中,我们将探讨如何创建并集成自定义过滤器,以及它在Spring Security中的工作原理。 首先,我们需要理解Spring...
JWT认证原理、流程整合springboot实战应用
01-18
4. **过滤器**:创建`JwtRequestFilter`,拦截所有请求,从中提取JWT,验证并设置认证信息到Spring Security上下文。 5. **过期策略**:在Payload中设置过期时间,或者实现刷新Token功能,允许用户在Token即将过期时...
spring-security实现自定义登录认证.rar
05-21
7. **配置JWT过滤器**:创建一个`JwtRequestFilter`,它会在每个请求中检查JWT,并将其转换为`Authentication`对象放入`SecurityContext`中。这样,Spring Security就可以基于JWT进行权限控制。 这个压缩包中的...
SpringSecurity之JWT实现token认证和授权.zip
08-09
如果验证成功,过滤器会解析JWT,创建一个代表当前用户的Authentication对象,并将其放入Spring Security的SecurityContextHolder中,从而实现对资源的访问控制。 为了控制资源的访问权限,Spring Security提供了一...
登录验证Jwt令牌,过滤器,拦截器
qx020814的博客
04-22 572
jwt令牌有三个部分,第一部分是令牌名,然后数据名,最后加密数据。前两个使用了64个字母代替加密,第三个用算法对前两个就行加密,只有jwt解密算法才能解。后端用一个拦截器,login放过,直接去验证登录,其他的路径就验证jwt令牌,没有或者不合法全部拦截下来,返回前端错误提示。登录成功后返回一个加密jwt,前端保存到本地,每次使用add,del,sel时,将数据放在请求头中传到后端。如果客户没登陆的情况下访问非login页面,就会强行跳转到登录页面。拦截器:(拦截器会有一个跨域问题,得设置一下)
JWT认证过滤器
m0_68935893的博客
08-02 305
【代码】JWT认证过滤器
登录认证校验(JWT令牌,过滤器Filter,拦截器lnterceptor,异常处理)
qq_61338849的博客
08-16 1143
setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))//设置有效期为1h。Result.success():Result.error("用户名或者密码错误");会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。System.out.println("Demo 拦截到了请求...放行后逻辑");后续每个请求,都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理。
JWT过滤器
m0_74795259的博客
12-13 589
过滤器
JwtAuthenticationFilter config
GGHuWei的博客
07-17 2140
/** 验证用户名密码正确后 生成一个token并将token返回给客户端 @author huwei */ public class JwtAuthenticationFilter extends UsernamePasswordAuthenticationFilter { private final StringRedisTemplate stringRedisTemplate; private final AuthenticationManager authenticationManager;
JwtAuthenticationTokenFilter
Mr_Huifeng的博客
02-27 698
JwtAuthenticationTokenFilter
自定义JWT认证过滤器
Leon_Jinhai_Sun的博客
01-23 2036
身份认证 - 1 登录成功之后前端就可以获取到了jwt的信息,前端中我们是保存在了store中,同时也保存在了localStorage中,然后每次axios请求之前,我们都会添加上我们的请求头信息,可以回顾一下: 前端项目的axios.js 所以后端进行用户身份识别的时候,我们需要通过请求头中获取jwt,然后解析出我们的用户名,这样我们就可以知道是谁在访问我们的接口啦,然后判断用户是否有权限等操作。 那么我们自定义一个过滤器用来进行识别jwtJWTAuthenticationFilter
第11讲实现JWT认证过滤器
m0_68935893的博客
02-22 371
由于做了前后端分离配置,通过jwt生成token,所以我们要搞一个jwt自定义认证过滤器,来实现jwt token认证;SecurityConfig配置。router配置,加下首页路由。
自定义拦截器+auth0 jwt 登录登出
05-26
首先,需要了解什么是拦截器和 JWT。 拦截器是一个在请求处理之前或之后进行拦截拦截的组件,类似于过滤器,可以对请求进行预处理、后处理等。在 Spring 框架中,可以使用拦截器来实现一些通用的处理逻辑,例如身份验证、日志记录等。 JWT(JSON Web Token)是一种用于身份验证的标准,它可以在用户和服务器之间传递安全可靠的信息,并且不需要在服务器端存储用户的信息。JWT 由三部分组成:头部、载荷和签名。头部包含加密算法和类型,载荷包含用户信息和过期时间等,签名用于验证数据的完整性和真实性。 接下来,我们来实现自定义拦截器和 JWT 身份验证。 1. 创建 Auth0 账号并创建应用 在 Auth0 官网注册账号并创建一个应用,获取应用的客户端 ID 和客户端密钥。 2. 添加 Auth0 Spring Security 集成依赖 在 Maven 或 Gradle 中添加 Auth0 Spring Security 集成依赖,以 Maven 为例: ```xml <dependency> <groupId>com.auth0</groupId> <artifactId>auth0-spring-security-api</artifactId> <version>1.5.0</version> </dependency> ``` 3. 创建 JWTUtils 工具类 在项目中创建 JWTUtils 工具类,用于生成和解析 JWT。 ```java import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.DecodedJWT; import java.util.Date; public class JWTUtils { private static final long EXPIRE_TIME = 30 * 60 * 1000; // 过期时间,单位毫秒 private static final String TOKEN_SECRET = "secret"; // 密钥 /** * 生成 token * * @param userId 用户 ID * @return token */ public static String createToken(String userId) { Date expireAt = new Date(System.currentTimeMillis() + EXPIRE_TIME); return JWT.create() .withIssuer("auth0") .withClaim("userId", userId) .withExpiresAt(expireAt) .sign(Algorithm.HMAC256(TOKEN_SECRET)); } /** * 验证 token * * @param token token * @return 用户 ID */ public static String verifyToken(String token) { DecodedJWT jwt = JWT.require(Algorithm.HMAC256(TOKEN_SECRET)) .withIssuer("auth0") .build() .verify(token); return jwt.getClaim("userId").asString(); } } ``` 4. 创建 Auth0Config 配置类 在项目中创建 Auth0Config 配置类,用于配置 Auth0 的参数。 ```java import com.auth0.spring.security.api.JwtWebSecurityConfigurer; import org.springframework.beans.factory.annotation.Value; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; @Configuration @EnableWebSecurity public class Auth0Config { @Value(value = "${auth0.apiAudience}") private String apiAudience; @Value(value = "${auth0.issuer}") private String issuer; /** * 配置 Auth0 参数 */ public void configure(HttpSecurity http) throws Exception { JwtWebSecurityConfigurer.forRS256(apiAudience, issuer) .configure(http) .authorizeRequests() .antMatchers("/api/public/**").permitAll() .anyRequest().authenticated(); } } ``` 5. 创建 Auth0Interceptor 拦截器 在项目中创建 Auth0Interceptor 拦截器,用于拦截请求并进行身份验证。 ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; @Component public class Auth0Interceptor implements HandlerInterceptor { @Autowired private Auth0Client auth0Client; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String authorizationHeader = request.getHeader("Authorization"); if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) { String token = authorizationHeader.substring(7); String userId = JWTUtils.verifyToken(token); if (userId != null) { request.setAttribute("userId", userId); return true; } } response.setStatus(401); return false; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { } } ``` 6. 创建 Auth0Client 客户端 在项目中创建 Auth0Client 客户端,用于与 Auth0 进行交互,例如获取用户信息等。 ```java import com.auth0.client.auth.AuthAPI; import com.auth0.client.mgmt.ManagementAPI; import com.auth0.exception.Auth0Exception; import com.auth0.json.auth.TokenHolder; import com.auth0.json.mgmt.users.User; import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; @Component public class Auth0Client { @Value(value = "${auth0.domain}") private String domain; @Value(value = "${auth0.clientId}") private String clientId; @Value(value = "${auth0.clientSecret}") private String clientSecret; /** * 获取访问令牌 * * @return 访问令牌 * @throws Auth0Exception Auth0 异常 */ public String getAccessToken() throws Auth0Exception { AuthAPI authAPI = new AuthAPI(domain, clientId, clientSecret); TokenHolder tokenHolder = authAPI.requestToken("https://" + domain + "/api/v2/"); return tokenHolder.getAccessToken(); } /** * 根据用户 ID 获取用户信息 * * @param userId 用户 ID * @return 用户信息 * @throws Auth0Exception Auth0 异常 */ public User getUserById(String userId) throws Auth0Exception { ManagementAPI managementAPI = new ManagementAPI(domain, getAccessToken()); return managementAPI.users().get(userId, null).execute(); } } ``` 7. 配置拦截器和认证管理器 在 Spring 配置文件中配置拦截器和认证管理器。 ```xml <!-- 配置拦截器 --> <mvc:interceptor> <mvc:mapping path="/api/**"/> <bean class="com.example.demo.interceptor.Auth0Interceptor"/> </mvc:interceptor> <!-- 配置认证管理器 --> <bean class="org.springframework.security.authentication.AuthenticationManager"/> ``` 8. 创建登录和登出接口 在控制器中创建登录和登出接口,用于生成和验证 JWT。 ```java import com.auth0.exception.Auth0Exception; import com.auth0.json.mgmt.users.User; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.bind.annotation.*; @RestController @RequestMapping("/api/auth") public class AuthController { @Autowired private Auth0Client auth0Client; /** * 登录接口 * * @param username 用户名 * @param password 密码 * @return token * @throws Auth0Exception Auth0 异常 */ @PostMapping("/login") public String login(@RequestParam String username, @RequestParam String password) throws Auth0Exception { // 根据用户名和密码验证用户身份,并获取用户 ID String userId = "user123"; return JWTUtils.createToken(userId); } /** * 登出接口 */ @PostMapping("/logout") public void logout() { // 清除 token } } ``` 以上就是使用自定义拦截器和 Auth0 JWT 实现登录、登出的步骤。通过这种方式,可以实现简单、安全、可靠的用户身份验证,有效地保护用户的数据安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值