SpringBoot中使用JWT

最新推荐文章于 2024-05-21 22:14:40 发布
最新推荐文章于 2024-05-21 22:14:40 发布
阅读量1.6k 收藏 1
点赞数
文章标签: spring boot java spring
原文链接:https://www.cnblogs.com/bzaq/p/10547147.html
版权

JWT是什么我就不说了,这里只说名SpringBoot中怎么用。

首先在pom中天际依赖

1 <dependency>
2         <groupId>org.bitbucket.b_c</groupId>
3         <artifactId>jose4j</artifactId>
4         <version>0.6.5</version>
5 </dependency>

这里我用的jose4j,他与其他几个库的对比可以参考各类JWT库的对比

之后新建一个工具类,方便token生成和校验

 1 import com.example.demo.domain.User;
 2 import org.jose4j.jwk.RsaJsonWebKey;
 3 import org.jose4j.jwk.RsaJwkGenerator;
 4 import org.jose4j.jws.AlgorithmIdentifiers;
 5 import org.jose4j.jws.JsonWebSignature;
 6 import org.jose4j.jwt.JwtClaims;
 7 import org.jose4j.jwt.consumer.InvalidJwtException;
 8 import org.jose4j.jwt.consumer.JwtConsumer;
 9 import org.jose4j.jwt.consumer.JwtConsumerBuilder;
10 import org.jose4j.lang.JoseException;
11 
12 import java.util.Random;
13 
14 public class JWTManager {
15     /**
16      * RsaJsonWebKeyBuilder 采用单例模式获取rsaJsonWebKey, 这样任何时候都可以得到同样的公钥/私钥对
17      */
18     private static class RsaJsonWebKeyBuilder {
19         private static volatile RsaJsonWebKey rsaJsonWebKey;
20         private RsaJsonWebKeyBuilder(){}
21         public static RsaJsonWebKey getRasJsonWebKeyInstance() {
22             if(rsaJsonWebKey == null) {
23                 synchronized (RsaJsonWebKey.class) {
24                     if(rsaJsonWebKey == null){
25                         try {
26                             rsaJsonWebKey = RsaJwkGenerator.generateJwk(2048);
27                             rsaJsonWebKey.setKeyId(String.valueOf(new Random().nextLong()));
28                         } catch(Exception e){
29                             return null;
30                         }
31                     }
32                 }
33             }
34             return rsaJsonWebKey;
35         }
36     }
37 
38     public static String generateToken(User user, int expiration) throws Exception{
39         JwtClaims jwtClaims = new JwtClaims();
40         jwtClaims.setIssuer(user.getEmail());
41         jwtClaims.setAudience(System.getProperty("os.name"));
42         jwtClaims.setExpirationTimeMinutesInTheFuture(expiration);
43         jwtClaims.setGeneratedJwtId();
44         jwtClaims.setIssuedAtToNow();
45         jwtClaims.setNotBeforeMinutesInThePast(2);
46         jwtClaims.setSubject("Bearer");
47 
48         JsonWebSignature jsonWebSignature = new JsonWebSignature();
49         jsonWebSignature.setPayload(jwtClaims.toJson());
50         jsonWebSignature.setKey(RsaJsonWebKeyBuilder.getRasJsonWebKeyInstance().getPrivateKey());
51         jsonWebSignature.setKeyIdHeaderValue(RsaJsonWebKeyBuilder.getRasJsonWebKeyInstance().getKeyId());
52         jsonWebSignature.setAlgorithmHeaderValue(AlgorithmIdentifiers.RSA_PSS_USING_SHA256);
53 
54         String jwt = jsonWebSignature.getCompactSerialization();
55 
56         return "Bearer " + jwt;
57     }
58     public static boolean verifyToken(String token, String email) {  // 由于生成token时使用了用户的email作为issuer,故这里需要传入email来做校验,这样做可以防止对不同用户的修改操作
59         String tokenContent = token.substring(7);
60         JwtConsumer consumer = new JwtConsumerBuilder()
61                 .setRequireExpirationTime()
62                 .setMaxFutureValidityInMinutes(5256000)
63                 .setAllowedClockSkewInSeconds(30)
64                 .setRequireSubject()
65                 .setExpectedIssuer(email)
66                 .setExpectedAudience(System.getProperty("os.name"))
67                 .setVerificationKey(RsaJsonWebKeyBuilder.getRasJsonWebKeyInstance().getPublicKey())
68                 .build();
69         try {
70             JwtClaims claims = consumer.processToClaims(tokenContent);
71             return true;
72         } catch (InvalidJwtException e) {
73             return false;
74         }
75     }
76 }

然后为了做统一校验,创建拦截器

 AuthenticationInterceptor

 注意24行, 他的目的使检验方法是否被LoginRequired装饰。对于没有被装饰和LoginRequired的value是false的情况全部放行, 否则则校验token, 对于没有token, 或者校验不同过的情况,抛出ResponseException异常。

再来看LoginRequired装饰器,他的定义很简单

 1 import java.lang.annotation.ElementType;
 2 import java.lang.annotation.Retention;
 3 import java.lang.annotation.RetentionPolicy;
 4 import java.lang.annotation.Target;
 5 
 6 @Target({ElementType.METHOD, ElementType.TYPE})
 7 @Retention(RetentionPolicy.RUNTIME)
 8 public @interface LoginRequired {
 9     boolean required() default true;
10 }

使用时,支取要在需要登录验证的方法上添加@LoginRequired修饰即可

ResponseException继承自RuntimeException, 只有RuntimeException的子类才能被spingboot处理

 1 public class ResponseException extends RuntimeException {
 2     public static ResponseException UNAUTHORIZED = new ResponseException(401, "请先登录");
 3 
 4     private int code;
 5     private String message;
 6 
 7     public ResponseException(int code, String message) {
 8         super(message);
 9         this.code = code;
10         this.message = message;
11     }
12 
13     @Override
14     public String getMessage() {
15         return message;
16     }
17 
18     public void setMessage(String message) {
19         this.message = message;
20     }
21 
22     public int getCode() {
23         return code;
24     }
25 
26     public void setCode(int code) {
27         this.code = code;
28     }
29 }

另外我们需要添加一个异常捕获,来捕获校验失败抛出的异常。这里才用@ConrollerAdvice + @ExceptionHandler来捕获异常, 这种方式同时可以捕获程序运行时的各种错误,来做统一格式返回。

 View Code

其中beforeBodyWrite就是用来修改响应内容,可以做到统一格式响应,需要注意的是,如果他的参数Object o是字符串,需要ObjectMapper做转换,否则在后续的序列化会失败返回500或者404错误。

至此,springboot使用jwt校验的方法说完了。另外需要说明的是,拦截器里抛出异常的话,虽然我们能捕获并修改他的响应,但是他会导致跨域处理失效,响应头中没有Control-Allowed-Oringin等响应头,目前我还没找到解决办法,只能在前端做代理来避免跨域

SpringBoot中使用JWT - 不想取名字所以就随便写了 - 博客园



Java RsaJsonWebKey类代码示例 - 纯净天空

cxzhq2002
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot使用JWT认证
wujingang的专栏
06-05 368
添加依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> 代码结构 JwtConfig.j...
JWTSpringBoot的应用
芸灵fly的博客
03-17 1388
说明 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认...
JWT 使用教程及 springboot使用 (认证授权, 简洁易上手)
w3444j的博客
02-25 1185
jwt 基础使用; springboot 结合 jwt 实现简单的登录授权; springboot 结合 jwt 通过拦截器进行处理授权
SpringBoot整合JWT
蛋饼吧的博客
05-18 8667
1.认证方式我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
JWT总结及在springboot使用
最新发布
weixin_74004976的博客
05-21 1574
JWT,全称为JSON Web Token。JWT本质就是一个字符串,它是将用户信息保存到一个Json字符串,然后进行编码后得到一个JWT Token,并且这个JWT Token带有签名信息,接受之后可以校验是否被篡改。具体的JWT认证流程如下:用户认证:用户向服务器提供登录信息(如用户名和密码)。Token生成:服务器验证用户信息无误后,生成一个JWT,该Token包含三个部分:Header(包含类型和加密算法)、Payload(包含用户相关信息)、Signature(用于验证Token的签名)
JWT
m0_46487331的博客
12-14 799
Author:Allen_Huang Version:1.0.0 一. JWT简介 什么是JWTJWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 为什么使用JWT? 随着技术的发展,分布式web应用的普.
如何在springboot项目使用JWT
weixin_51496936的博客
06-27 4045
开发初期,我试图用session来保存暂时需要保存或者暂时生成的数据,例如保存用户的账号密码记住用户登录的状态、保存各行政区的预约号球数量、保存用户当天取消预约次数等。但是使用session应用于前后端分离项目存在一定的弊端,例如由于session是存在与服务器的物理内存,所以在分布式系统,这种方式将会失效、因为session认证本质基于cookie,由于基于Cookie,而cookie无法跨域,所以session的认证也无法跨域,对单点登录不适用。该信息可以被验证和信任,因为它是数字签名的。
SpringbootJWT
沉迷写代码的程序猿的博客
03-22 3705
文章目录SpringbootJWT一、JWT简介1、JWT的优势2、JWT的结构2.1、标头(Header)2.2、有效负荷(Payload)2.3、签名(Signature)二、SpringBoot整合JWT SpringbootJWT 一、JWT简介 JWT,是指JSON Web Token,也就指通过JSON形式作为Web应用的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程还可以完成数据加密、签名等相关处理。 1、JWT的优势 在JavaWeb阶段,经常使用ses
SpringBoot整合JWT
jakelihua
08-15 2188
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式来在各方之间安全地传输信息。它是一个基于 JSON 格式的令牌,由三个部分组成:头部(Header)、载荷(Payload)、签名(Signature)。其,每一部分都使用 Base64 编码,形成一个使用点进行分隔的字符串。
SpringBoot使用JWT的实现方法
08-26
SpringBoot 使用 JWT 的实现方法 在本文,我们将详细介绍如何在 SpringBoot 使用 JSON Web Token(JWT)进行身份验证和授权。 什么是 JWT? JSON Web Token(JWT)是一种用于身份验证和授权的 token。它是...
springboot使用jwt
03-06
7. **验证JWT**:在`JwtRequestFilter`,解码JWT,验证其签名和过期时间,如果有效则将用户信息放入SecurityContextHolder,供后续的Controller使用。 8. **处理异常**:配置全局异常处理,处理JWT验证失败或其他...
springboot集成jwt
01-25
不要在JWT存储敏感信息,且必须定期刷新或更新JWT。 - **秘钥管理**:秘钥应妥善保管,不要在代码硬编码,可考虑使用环境变量或密钥管理服务。 - **过期时间**:设置合理的JWT过期时间,既保证安全性,又减少因...
springboot + jwt + websocket + 拦截
09-02
6. **权限控制**:通过Interceptor,我们可以检查JWT的权限信息,控制用户对WebSocket端点的访问权限,实现细粒度的访问控制。 这样的架构可以提供一个高效、安全的实时交互系统,适用于需要实时数据同步和认证...
SpringBoot2.2.6 整合Jwt实现前后端分离
04-23
本篇文章将详细讲解如何在SpringBoot 2.2.6版本整合MyBatis 3.5.4,并利用JWT技术实现前后端分离。 首先,我们需要了解SpringBoot 2.2.6的核心特性。这一版本提供了许多改进,包括更好的错误处理、自动配置优化...
SpringBoot集成Jwt(详细步骤+图解)
wenjiangwang的专栏
12-21 2764
https://blog.csdn.net/weixin_67958017/article/details/128856282
SpringBoot集成JWT(概念篇)
Wdoing的博客
11-01 2893
JWT的基本概念
SpringBoot + jwt 详解+使用案例
zkcJava的博客
08-26 9170
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案
Spring Boot 实现 JWT
云胡
06-21 7560
Web 网站离不开用户认证,这边我们不用 ,而直接使用JWT 的背景知识可以看阮一峰老师的这篇文章: JSON Web Token 入门教程JWT 由三个部分组成:在 添加 配置信息。 2.2 新建 JwtUtil 工具类 新建 目录,在 目录下新建 。将当前 注入到 容器。,匹配 配置文件的前缀,然后将配置文件里面的数据加载到当前类。 2.3 用户登录创建 token 2.3 拦截器验证 token 如何自定义拦截器可以看我的这篇: Spring Boot 2 配置登录拦截。 三、参考资料
springboot集成JWT
weixin_67958017的博客
02-02 4049
JWT是JSON Web Token的缩写,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。JWT本身没有定义任何技术实现,它只是定义了一种基于Token的会话管理的规则,涵盖Token需要包含的标准内容和Token的生成过程,特别适用于分布式站点的单点登录(SSO) 场景。JSON Web Token是目前最流行的跨域认证解决方案,,适合。
springboot如何使用jwt
08-24
Spring Boot可以使用JWT(JSON Web Token)实现身份验证和授权。JWT由三个部分组成:Header(头部)、Payload(负载)和Signature(签名)。 具体实现步骤如下: 1. 在application.yml添加JWT相关的配置信息,比如密钥、过期时间等。 2. 创建一个拦截器,用于在请求前进行验证。在拦截器,我们可以通过HttpServletRequest的getHeader方法获取请求头的token。 3. 验证token的有效性,可以使用JwtUtil.validateToken方法进行验证。如果token不存在或者验证不通过,可以返回错误信息或者跳转到登录页面。 4. 如果需要更新token的有效时间,可以使用JwtUtil.isNeedUpdate方法判断是否需要更新,并使用JwtUtil.createToken方法创建一个新的token。 5. 在响应头设置新的token,可以使用response.setHeader方法将新的token放入响应头。 6. 最后,根据业务需求返回true或false,表示拦截器是否通过验证。 通过上述步骤,我们可以在Spring Boot使用JWT实现登录验证。具体的实现可以参考引用和提供的示例代码。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [SpringBoot使用JWT实现登录验证的方法示例](https://download.csdn.net/download/weixin_38668754/12748929)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Spring Boot 实现 JWT](https://blog.csdn.net/qq_32046111/article/details/125391708)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值