SpringBoot集成JWT token实现权限验证

最新推荐文章于 2024-04-17 12:26:16 发布
最新推荐文章于 2024-04-17 12:26:16 发布
阅读量100 收藏
点赞数 1
文章标签: java spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cj2224693191/article/details/133827739
版权
本文介绍了如何在SpringBoot项目中使用JWT进行身份验证,包括在pom.xml中添加JWT依赖,自定义JwtInterceptor处理token验证,配置InterceptorConfig启用全局拦截,以及生成和验证token的过程。
摘要由CSDN通过智能技术生成
1. pom.xml 添加JWT依赖
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>4.3.0</version>
</dependency>
2. 自定义token拦截器 JwtInterceptor (common文件夹)
import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.example.springboot.entity.User;
import com.example.springboot.exception.ServiceException;
import com.example.springboot.mapper.UserMapper;
import jakarta.annotation.Resource;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

/**
 * 功能:自定义token拦截器
 * 作者:CJiaの可乐哥
 * 日期:2023/10/14 10:53
 */
public class JwtInterceptor implements HandlerInterceptor {

    @Resource
    private UserMapper userMapper;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        // header中的token
        String token = request.getHeader("Authorization");
        if (StrUtil.isBlank(token)) {
            // url中的?token=""
            token = request.getParameter("token");
        }
        // 如果不是映射到方法直接跳过
        if (handler instanceof HandlerMethod) {
            AuthAccess annotation = ((HandlerMethod) handler).getMethodAnnotation(AuthAccess.class);
            if (annotation != null) {
                return true;
            }
        }
        // 执行认证
        if (StrUtil.isBlank(token)) {
            throw new ServiceException(401, "token为空,请先登录");
        }
        // 获取token的id
        String userId;
        try {
            userId = JWT.decode(token).getAudience().get(0);
        } catch (JWTDecodeException j) {
            throw new ServiceException(400, "token格式错误,请重新登录");
        }
        // 根据userId查询数据库
        User user = userMapper.selectById(Integer.valueOf(userId));
        if (user == null) {
            throw new ServiceException(401, "token不合法,用户不存在");
        }
        // 用户密码加密验证token
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
        try {
            jwtVerifier.verify(token); // 验证token
        } catch (JWTVerificationException e) {
            throw new ServiceException(401, "token已过期或失效,请重新登录");
        }
        return true;
    }
}
3. 配置token拦截器 InterceptorConfig (common文件夹)
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;

/**
 * 功能:配置token拦截器
 * 作者:CJiaの可乐哥
 * 日期:2023/10/14 11:17
 */
@Configuration
public class InterceptorConfig extends WebMvcConfigurationSupport {

    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        // jwt拦截规则
        registry.addInterceptor(jwtInterceptor())
                .addPathPatterns("/**") // 拦截所有请求
                .excludePathPatterns("/api/login"); // 放行拦截地址
        super.addInterceptors(registry);
    }

    @Bean
    public JwtInterceptor jwtInterceptor() {
        return new JwtInterceptor();
    }
}
4. Token工具类=>>生成token (utils文件夹)
import cn.hutool.core.date.DateUtil;
import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.example.springboot.entity.User;
import com.example.springboot.mapper.UserMapper;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.ServletRequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;

import jakarta.annotation.PostConstruct;
import jakarta.annotation.Resource;
import jakarta.servlet.http.HttpServletRequest;

import java.util.Date;

/**
 * 功能:生成token
 * 作者:CJiaの可乐哥
 * 日期:2023/10/14 11:22
 */
@Component
public class TokenUtils {

    private static UserMapper staticUserMapper;

    @Resource
    UserMapper userMapper;

    @PostConstruct
    private void setUserMapper() {
        staticUserMapper = userMapper;
    }

    /**
     * 生成token
     * @param userId 用户id
     * @param sign   用户密码
     * @return token
     */
    public static String createToken(String userId, String sign) {
        return JWT.create().withAudience(userId)
                // 2个小时
                .withExpiresAt(DateUtil.offsetHour(new Date(), 2))
                .sign(Algorithm.HMAC256(sign)); // pass为token密匙
    }

    /**
     * 获取当前登录的用户信息
     * @return 用户信息
     */
    public static User getUserInfo() {
        try {
            HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
            String token = request.getHeader("Authorization");
            if (StrUtil.isNotBlank(token)) {
                String userId = JWT.decode(token).getAudience().get(0);
                return staticUserMapper.selectById(Integer.valueOf(userId));
            }
        } catch (Exception e) {
            return null;
        }
        return null;
    }

}
5. 生成token (UserService类)
// dbUser 用户对象
String token = TokenUtils.createToken(dbUser.getId().toString(), dbUser.getPassword());
dbUser.setToken(token);
6. 自定义注解 AuthAccess =>> 放行不需要验证的接口地址 (common包)
import java.lang.annotation.*;

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface AuthAccess {
}

// 实例
@AuthAccess
@GetMapping("/get")
    // RequestMapping:表示这个方法是提供数据的(默认get请求)
    public Response get() {
        return Response.SuccessResponse("Get 请求", null);
    }

最后,token和token实现权限验证就完成了

青小姝呀
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
jwt jar包_从入门到运用,Jwt其实并不难!
weixin_39908616的博客
11-26 2549
小Hub领读:2018年写的一篇文章,哈哈哈,体验一下我当时的写作风格咧~一般情况下,web项目都是通过session进行认证,每次请求数据时,都会把jsessionid放在cookie中,以便与服务端保持会话。前后端分离项目中,通过token进行认证(登录时,生成唯一的token凭证),每次请求数据时,都会把token放在header中,服务端解析token,并确定用户身份及用户权限,...
springboot集成jwt
01-25
**SpringBoot集成JWT详解** SpringBoot是一个轻量级的Java框架,它简化了Spring应用程序的创建和部署。JWT(Json Web Token)则是一种用于在各方之间安全地传输信息的开放标准,广泛应用于身份验证和授权场景。在...
SpringBoot集成JWT实现token验证源码.zip
12-20
SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip 【备注】 主要针对计算机相关专业的正在做毕设的学生和需要项目实战的Java学习者。 也可作为课程设计、期末大作业。包含:项目源码、数据库脚本、项目说明等,该项目可以直接作为毕设使用。 也可以用来学习参考借鉴!
Jwt(Json web token)——使用token权限验证方法 &amp; 用户+角色
最新发布
2401_84267735的博客
04-17 1044
PrivsCheck.java文件/*** 定义注解*/
访问权限控制 JSON Web Token (JWT) 笔记
weixin_43586667的博客
02-23 1058
一、简介 JWT (JSON Web Token) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景,可以作为JSON对象在各方之间安全地传输信息。由于该信息是数字签名的,因此可以对其进行验证和信任。JWT可以使用秘密(HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增
springboot切面实现token权限校验
m0_54250110的博客
05-07 1183
我们需要对一些控制层中特定的方法进行权限校验,并且部分方法的权限要求可能是不同的,所以需要给方法添加自定义注解,注解中包含所需的权限/*** 权限校验注解*/
Spring Boot 实现通用 Auth 认证的 4 种方式
m0_71777195的博客
08-25 474
最近一直被无尽的业务需求淹没,没时间喘息,终于接到一个能让我突破代码舒适区的活儿,解决它的过程非常曲折,一度让我怀疑人生,不过收获也很大,代码方面不明显,但感觉自己抹掉了 java、Tomcat、Spring 一直挡在我眼前的一层纱。Filter 是 Servlet 实现的,自然是最先被调用,后续被调用的是 Interceptor 被拦截了自然不需要后续再进行处理,然后是 参数解析器,最后才是切面的切点。这次实现完了,我还有些不放心,于是在网上查找是否还有其他方式可以实现此功能,发现常见的还有。
SpringBoot集成JWT实现token验证-源码
10-02
总结来说,Spring Boot集成JWT实现token验证的过程包括引入依赖、配置Spring Security、创建自定义过滤器以及编写Token生成和验证逻辑。这种方式不仅提高了安全性,还减少了服务器的负担,因为不再需要管理用户的...
springboot集成jwt和shiro实现后端分离权限demo
04-04
本示例项目“springboot集成jwt和shiro实现后端分离权限demo”旨在帮助初学者理解如何在Spring Boot环境下结合JWT(JSON Web Token)和Shiro进行权限管理,以实现安全的Web应用。下面将详细介绍相关的知识点。 **...
springboot集成jwt和shiro实现后端分离权限demo2
04-10
这个"springboot集成jwt和shiro实现后端分离权限demo2"项目,旨在提供一个实际的案例,帮助开发者理解如何在Spring Boot应用中实现后端分离的权限管理。通过学习和实践这个示例,你可以掌握JWT和Shiro的使用技巧...
springboot整和jwt、shiro、redis实现token自动刷新
08-19
接着,我们需要创建一个JWTToken Realm,实现Shiro的AuthenticationInfo接口,处理JWT验证。在Realm中,我们可以解析JWT,获取用户信息,并与数据库进行比对,完成身份验证。 对于Redis的使用,我们需要配置一个...
SpringBoot集成JWT实现Token登录验证
我爱写代码 我爱写代码 我爱写代码
05-04 987
SpringBoot集成JWT实现Token登录验证
拦截器通过自定义注解来判断是否拦截
xixihaha_coder的博客
08-04 296
自定义注解来判断是否拦截
关于自定义注解
Tel_17674647975的博客
10-19 902
第一次使用注解最这个点,后续使用到了 也会逐步更新
springboot 基于jwt实现用户权限访问的简单实现
qq_61931568的博客
05-10 689
这里博主对于JWT就不再赘述,我往期博客上也有,我们就直接来聊聊是怎么简单实现的 这里先说一下 博主在查看了很多博客上面都没有关于JWT实现权限访问的,大多数又只是简单做一下登录,我看到了其中一个博客用的是注解方式实现但我觉得不太适合,也过于繁琐,这里博主只做一个简单的学习记录和交流 首先 先讲一下需求: 要求不同的用户只能访问不同的资源(如:学生只能访问学生的信息,但不能访问其他,老师可以访问教师信息,但不能访问其他信息) 1.这里我已经实现JWT 就只需要把用户的职称放入TOKEN里面就可以
SpringBoot+VUE前后端分离项目学习笔记 - 【26 用户前台设计】
一只菜鸟夹
01-28 368
用户前台页面设计:后端主要新建了@AuthAcess注解,并在Jwt里修改了拦截器规则用来放行@AuthAcess标注的接口,这里主要是指EchartController里的文件接口
springboot2.0整合springsecurity前后端分离进行自定义权限控制
angzhou2862的博客
12-11 860
  在阅读本文之前可以先看看springsecurity的基本执行流程,下面我展示一些核心配置文件,后面给出完整的整合代码到git上面,有兴趣的小伙伴可以下载进行研究   使用maven工程构建项目,首先需要引入最核心的依赖, <dependency> <groupId>org.springframework.bo...
JWT Token整合Redis实现登录和权限访问控制的流程梳理
qq_51891433的博客
06-24 847
通过整合JWT Token和Redis来实现登录和用户会话权限访问控制时,JWT Token负责身份验证和授权信息传递,而Redis存储用户会话信息,包括用户权限等。后端验证用户名和密码,生成JWT Token,并将用户信息存储在Redis中,以用户ID为键。在JWT Token有效期内,可以通过JWT Token和Redis获取相关的用户会话信息。后端使用用户信息生成JWT Token,并将Token返回给客户端。验证通过后,从Redis中获取与JWT Token相应的用户信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值