基于JWT的API权限鉴定

最新推荐文章于 2024-02-03 21:58:20 发布
最新推荐文章于 2024-02-03 21:58:20 发布
阅读量534 收藏 2
点赞数
分类专栏: 组件 文章标签: token JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asc_123456/article/details/103069363
版权

0.前言

   JWT的全称叫Json Web Token;在前端和后台进行数据交互的时候,在请求头中带上一个token 字符串,这个字符串中保存了用户具有的权限信息。同时也是经过加密的,不容易被破解。
  在项目中,我们使用token来进行权限的鉴定。用户登录信息匹配的时候,我们就获取当前用户具有的api权限标识符。把这些标识符放在放在token中,并返回给客户端(token是进行过加密的,不用担心安全问题)。客户端发送第二请求的时候,就会吧这个token放在请求头中。服务器端的拦截器或者这个请求头信息,并解析出token中的api权限标识符,如果当前请求的标识可以在token中匹配到,那么就通过请求。这就是token鉴权的大致过程。

1.Maven引入JJWT

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

2. 编写测试代码

public class CreateJwtTest {

    /**
     * 使用jjwt创建token
     * @param
     */
    @Test
    public void test01() {
        JwtBuilder jwtBuilder = Jwts.builder().setId("123")
                .setSubject("alu4r")//用户相关信息
                .setIssuedAt(new Date())//设置创建的时间
                .signWith(SignatureAlgorithm.HS256, "alu4r")//为token加密
                .claim("key","value");
        Map<String, Object> map = new HashMap<>();
        map.put("11", "11");
        map.put("22", "22");
        jwtBuilder.setClaims(map);
        String token = jwtBuilder.compact();
        System.out.println(token);
    }

    /**
     * 解析jwt token字符串
     */
    @Test
    public void Test02(){
        String token = "eyJhbGciOiJIUzI1NiJ9.eyIxMSI6IjExIiwiMjIiOiIyMiJ9.JIzRbr5R2D9cfNFgOscGM_PD_mXdW_zJGMWmmc8Ddgs";
        Claims claims = Jwts.parser().setSigningKey("阿alu4r").parseClaimsJws(token).getBody();
        //数据都放在了claims中
        System.out.println(claims.getId()+"==>"+claims.getSubject()+"==>"+claims.getIssuedAt());
        //获取自定义的claims
        System.out.println(claims.get("11"));
    }
}

3.jwt生成和解析token工具类

@Getter
@Setter
@EnableConfigurationProperties(JwtUtils.class)
@ConfigurationProperties(prefix = "jwt.config")
public class JwtUtils {
    /**
     * 签名私钥
     */
    private String key;
    /**
     * 签名失效时间
     */
    private Long ttl;

    /**
     * 解析token,获取claims
     */
    public Claims parseJwt(String token) {
        Claims claims = Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();
        return claims;
    }
    /**
     * 设置认证token
     * id : 用户的id
     * name : 用户名
     * map : 用户的私有数据
     */
    public String createJwt(String id, String subject, Map<String, Object> map){
        //设置失效时间
        //当前毫秒数
        long now = System.currentTimeMillis();
        //失效后的毫秒数
        long exp = now + ttl;
        //用户相关信息、设置创建的时间、为token加密
        JwtBuilder jwtBuilder = Jwts.builder().setId(id)
                .setSubject(subject)
                .setIssuedAt(new Date())
                .signWith(SignatureAlgorithm.HS256, key);
        //添加私有map数据
        for (Map.Entry<String, Object> entry : map.entrySet()) {
            jwtBuilder.claim(entry.getKey(), entry.getValue());
        }
        //设置失效的时间
        jwtBuilder.setExpiration(new Date(exp));
        String token = jwtBuilder.compact();
        return token;
    }
}

  工具类中使用了@ConfigurationProperties(prefix = “jwt.config”)注解,key和有效时间可以在配置文件(yml)中进行配置。

4. 在token中设置api权限

  用户在登录成功的时候,我们可以在数据库中查询当前用户有哪些api权限,把这些api权限的标识放在token中;
  登录控制器:

/**
*Result : 返回到客户端的数据
*Role : 角色
*Permission : 权限
*/
@PostMapping("/login")
    public Result login(@RequestBody Map<String, String> loginMap){
        String mobile = loginMap.get("mobile");
        String password = loginMap.get("password");
        User user = userService.findByMobile(mobile);
        Result result = null;
        if(user == null || !Objects.equals(password,user.getPassword())){
            result = new Result(ResultCode.MOBILE_OR_PASSWORD);
        }else {
            //获取所有的可访问api权限
            StringBuilder sb = new StringBuilder();
            for (Role role : user.getRoles()) {
                for (Permission permission : role.getPermissions()) {
                    if(permission.getType() == PermissionConstants.PERMISSION_API){
                        sb.append(permission.getCode()).append(",");
                    }
                }
            }
            Map<String, Object> map = new HashMap<>();
            map.put("apis", sb.toString());
            map.put("companyId",user.getCompanyId());
            map.put("companyName",user.getCompanyName());
            //将apis的权限标识符,和其他的一些需要的数据放在token中
            String token = jwtUtils.createJwt(user.getId(), user.getUsername(), map);
            result = new Result(ResultCode.SUCCESS,token);
        }
        return result;
    }

5. 解析获取token中的数据

  在项目中我们把解析token的代码放在拦截器中,这样我们就可以对每一个请进行权限验证了

@Component
public class JwtInterceptor extends HandlerInterceptorAdapter {
    @Autowired
    JwtUtils jwtUtils;
    /**
     * 进入控制器之前执行的方法
     *      简化获取token数据的代码的编写
     *      同一的用户权限校验
     *
     *  判断用户是否有当前的接口权限
     * @param request
     * @param response
     * @param handler
     * @return  是否继续执行
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //获取到token
        String authorization = request.getHeader("Authorization");
        //判断请求头信息是否为空, 或者是否以Bearer开头
        if(!StringUtils.isEmpty(authorization) && authorization.startsWith("Bearer ")){
            String token = authorization.replace("Bearer ","");
            Claims claims = jwtUtils.parseJwt(token);
            if(claims != null){
                String apis = (String) claims.get("apis");
                //通过handler,获取控制器api接口名,也就是PostMapping注解中name中的属性
                HandlerMethod handlerMethod = (HandlerMethod) handler;
                RequestMapping methodAnnotation = handlerMethod.getMethodAnnotation(RequestMapping.class);
                String name = methodAnnotation.name();
                //如果匹配到权限标识符 就通过请求
                if(apis.contains(name)){
                	//用来保存私有数据的,
                    request.setAttribute("user_claims",claims);
                    return true;
                }else {
                    throw new CommonException(ResultCode.UNAUTHORISE);
                }
            }
        }else {
            throw new CommonException(ResultCode.UNAUTHENTICATED);
        }
        return true;
    }
}

代码是截取项目中的部分,不能保证copy就能运行,不对之处,请多指教!

阿璐4r
关注
专栏目录
JWT授权访问API
下个路口见_20的专栏
09-15 369
对于一个项目来说,里面的API接口会有很多,但通常都是需要授权访问的,常见的做法之一是通过用户登录判断用户身份的合法性,然后利用用户信息生成token,以后带着token来访问接口,而生成token的方式之一就是jwt(JSON Web Token)。 关于JWT的含义和结构,网上介绍很多,不再赘述。可以参考:https://jwt.io/introduction/。这里只做一个简...
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定
jamesluozhiwei的博客
07-11 1万+
tips:这是实战篇,默认各位看官具备相应的基础(文中使用了Lombok插件,如果使用源码请先安装插件) 文章目录项目配置依赖application.yml程序代码security相关security核心配置类鉴权各种情况处理类无权访问用户未登录时返回给前端的数据用户登录失败时返回给前端的数据(本程序未使用)用户登录成功时返回给前端的数据登出成功JWT自定义过滤器SelfUserDetailsSe...
java JWT api
吕小小布的博客
02-21 8403
(只可以做权限时使用,敏感数据不要使用) Java JWT 安装Maven <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.7.0</version> <...
Jwt启用API授权
世界既不黑也不白,而是一道精致的灰。
08-23 371
Jwt启用API授权 1.注入身份验证的服务,启动用户授权的框架 1.打开startup文件,注册服务 services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { var secretByte = Encoding.UTF8.GetBytes(Configuration[
API测试策略
qq_42536934的博客
03-08 401
1、输入 正常入参 参数异常:参数为空,参数多了少了,参数错误 数据异常:数据类型,判空,长度,特殊字符,枚举 2、业务逻辑 入参的限制条件分析: 1、数值的限制:字典、等级、行业的相关限制,金额限制,分数限制等 2、状态的限制:有效|无效、在线|离线、拉黑|洗白 3、关系的限制:存在|不存在、绑定|解绑等 4、权限限制:管理员,普通用户等 数据对象分析 1、对象分析主要是对合法和不合法的对象进行操作,例如银行卡用户对卡充值,可能存在用户A对非用户A的卡进行充值。 2、用户A对自
jjwt-api-0.11.2-API文档-中文版.zip
05-07
赠送jar包:jjwt-api-0.11.2.jar; 赠送原API文档:jjwt-api-0.11.2-javadoc.jar; 赠送源代码:jjwt-api-0.11.2-sources.jar; 赠送Maven依赖信息文件:jjwt-api-0.11.2.pom; 包含翻译后的API文档:jjwt-api-0.11.2-javadoc-API文档-中文(简体)版.zip; Maven坐标:io.jsonwebtoken:jjwt-api:0.11.2; 标签:jsonwebtokenapi、jjwt、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定.zip
最新发布
03-10
微信小程序是腾讯公司基于微信平台推出的一种轻量级应用形态,它无需用户下载安装即可在微信内直接使用。自2017年正式上线以来,小程序凭借其便捷性、易获取性和出色的用户体验迅速获得市场认可,并成为连接线上线下...
基于springboot+security+jwt+redis实现微信小程序登录及token权限鉴定-源码
10-02
6. **权限鉴定**: 在Spring Security的基础上,项目实现了基于角色的权限控制(RBAC)。每个用户会被分配不同的角色,每个角色对应一组权限。服务器在接收到请求时,会检查JWT中的信息,判断用户是否有执行该操作...
jjwt-api-0.10.5.jar
07-27
Java Web Token 之 JJWT 使用
jjwt-api-plugin
04-07
jjwt-api 介绍 捆绑以供Jenkins插件使用。 这提供了JSON Web令牌功能。 发行 在推送并成功构建后应该是自动的。 执照 在MIT下获得,请参阅 。
jjwt-api-0.11.2-API文档-中英对照版.zip
05-03
赠送jar包:jjwt-api-0.11.2.jar; 赠送原API文档:jjwt-api-0.11.2-javadoc.jar; 赠送源代码:jjwt-api-0.11.2-sources.jar; 赠送Maven依赖信息文件:jjwt-api-0.11.2.pom; 包含翻译后的API文档:jjwt-api-0.11.2-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:io.jsonwebtoken:jjwt-api:0.11.2; 标签:jsonwebtokenapi、jjwt、jar包、java、中英对照文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。 双语对照,边学技术、边学英语。
JWT帮助文档
06-13
Jwt 帮助文档,有详情的介绍,如何使用jwt,欢迎大家下载
JAVA使用JWT最新库jjwt-api生成JWT(JDK17)
qq_45365516的博客
02-03 3008
使用JWT最新的库来生成token
java jjwt-api使用,java jwt使用,java jwt 工具类
xiaochengxuyuan1的博客
01-08 2512
一、引入jjwt-api依赖 <properties> <!-- 构建时编码 --> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <!-- 输出时编码 --> <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncodin
【Java JWT】io.jsonwebtoken.jjwt-api的简单使用演示
DIA的博客
09-05 2290
理由:采用的极大好处就是,将大部分的数据运算、存储压力给转移至前端而非服务端。
java:基于jjwt写一个jwt工具类
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
11-15 703
java使用jwt
JJWT使用详解
热门推荐
qq_45332753的博客
02-17 2万+
JJWT使用详解 开始本文以前最好对JWT已经有一定的了解,这样会更方便您的阅读,本文仅仅对开源项目的使用文档进行汉化,更方便进行阅读和使用。 简介 JJWT旨在成为最易于使用和理解的库,用于在JVM和Android上创建和验证JSON Web令牌(JWT) Maven依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId&gt
JJWT三种算法的工具类实现
qq_39217714的博客
02-18 1622
JJWT三种签名算法的工具类实现
基于JWT和SpringBoot的Mall权限管理系统实现
总结而言,该资源介绍了一套基于Java技术栈的权限管理系统的实现方法,其中涵盖了后端开发的关键技术点和实现逻辑,包括Spring Boot框架的使用、MyBatis持久层框架的应用、MySQL数据库的设计与操作,以及JWT权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值