SpringBoot系列 - 集成JWT实现接口权限认证

最新推荐文章于 2023-02-17 13:34:45 发布
最新推荐文章于 2023-02-17 13:34:45 发布
阅读量222 收藏
点赞数
文章标签: java json javascript ViewUI
原文链接:http://www.cnblogs.com/yelanggu/p/10320010.html
版权

 

会飞的污熊 2018-01-22  16173 阅读
spring  jwt  springboot

RESTful API认证方式

一般来讲,对于RESTful API都会有认证(Authentication)和授权(Authorization)过程,保证API的安全性。

Authentication vs. Authorization

Authentication指的是确定这个用户的身份,Authorization是确定该用户拥有什么操作权限。

认证方式一般有三种

Basic Authentication

这种方式是直接将用户名和密码放到Header中,使用 Authorization: Basic Zm9vOmJhcg== ,使用最简单但是最不安全。

TOKEN认证

这种方式也是再HTTP头中,使用 Authorization: Bearer <token> ,使用最广泛的TOKEN是JWT,通过签名过的TOKEN。

OAuth2.0

这种方式安全等级最高,但是也是最复杂的。如果不是大型API平台或者需要给第三方APP使用的,没必要整这么复杂。

一般项目中的RESTful API使用JWT来做认证就足够了。

什么是JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT官网: https://jwt.io/

JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

 

JWT的构成

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature)。

header

jwt的头部承载两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法 通常直接使用 HMAC SHA256

这里的加密算法是单向函数散列算法,常见的有MD5、SHA、HAMC。这里使用基于密钥的Hash算法HMAC生成散列值。

  • MD5 message-digest algorithm 5 (信息-摘要算法)缩写,广泛用于加密和解密技术,常用于文件校验。校验?不管文件多大,经过MD5后都能生成唯一的MD5值
  • SHA (Secure Hash Algorithm,安全散列算法),数字签名等密码学应用中重要的工具,安全性高于MD5
  • HMAC (Hash Message Authentication Code,散列消息鉴别码,基于密钥的Hash算法的认证协议。用公开函数和密钥产生一个固定长度的值作为认证标识,用这个标识鉴别消息的完整性。常用于接口签名验证

完整的头部就像下面这样的JSON:

{
  &apos;typ&apos;: &apos;JWT&apos;,
 &apos;alg&apos;: &apos;HS256&apos;
}

 

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

 

playload

载荷就是存放有效信息的地方,这些有效信息包含三个部分:

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

标准中注册的声明 (建议但不强制使用) :

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明:

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密

私有的声明:

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload:

{
  "sub": "1234567890",
 "name": "John Doe",
 "admin": true
}

 

然后将其进行base64加密,得到Jwt的第二部分:

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

 

signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

header (base64后的)
payload (base64后的)
secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

 

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

如何应用

一般是在请求头里加入Authorization,并加上Bearer标注:

fetch('api/user/1', {
 headers: {
 'Authorization': 'Bearer ' + token
 }
})

 

服务器负责解析这个HTTP头来做用户认证和授权处理。大致流程如下:

安全相关

JWT协议本身不具备安全传输功能,所以必须借助于SSL/TLS的安全通道,所以建议如下:

  1. 不应该在jwt的payload部分存放敏感信息,因为该部分是客户端可解密的部分。
  2. 保护好secret私钥,该私钥非常重要。
  3. 如果可以,请使用https协议

和SpringBoot集成

简要的说明下我们为什么要用JWT,因为我们要实现完全的前后端分离,所以不可能使用session,cookie的方式进行鉴权,所以JWT就被派上了用场,可以通过一个加密密钥来进行前后端的鉴权。

程序逻辑:

  1. 我们POST用户名与密码到/login进行登入,如果成功返回一个加密token,失败的话直接返回401错误。
  2. 之后用户访问每一个需要权限的网址请求必须在header中添加Authorization字段,例如Authorization: token,token为密钥。
  3. 后台会进行token的校验,如果不通过直接返回401。

这里我讲一下如何在SpringBoot中使用JWT来做接口权限认证,安全框架依旧使用Shiro,JWT的实现使用 jjwt

添加Maven依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-web</artifactId>
 <exclusions>
 <exclusion>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-tomcat</artifactId>
 </exclusion>
 </exclusions>
</dependency>
<dependency>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-jetty</artifactId>
</dependency>
<dependency>
 <groupId>com.auth0</groupId>
 <artifactId>java-jwt</artifactId>
 <version>3.3.0</version>
</dependency>
<!-- shiro 权限控制 -->
<dependency>
 <groupId>org.apache.shiro</groupId>
 <artifactId>shiro-spring</artifactId>
 <version>1.4.0</version>
 <exclusions>
 <exclusion>
 <artifactId>slf4j-api</artifactId>
 <groupId>org.slf4j</groupId>
 </exclusion>
 </exclusions>
</dependency>
<!-- shiro ehcache (shiro缓存)-->
<dependency>
 <groupId>org.apache.shiro</groupId>
 <artifactId>shiro-ehcache</artifactId>
 <version>1.4.0</version>
 <exclusions>
 <exclusion>
 <artifactId>slf4j-api</artifactId>
 <groupId>org.slf4j</groupId>
 </exclusion>
 </exclusions>
</dependency>

创建用户Service

这个在shiro一节讲过如果创建角色权限表,添加用户Service来执行查找用户操作,这里就不多讲具体实现了,只列出关键代码:

/**
 * 通过名称查找用户
 *
 * @param username
 * @return
 */
public ManagerInfo findByUsername(String username) {
 ManagerInfo managerInfo = managerInfoDao.findByUsername(username);
 if (managerInfo == null) {
 throw new UnknownAccountException();
 }
 return managerInfo;
}

用户信息类:

public class ManagerInfo implements Serializable {
 private static final long serialVersionUID = 1L;
 /**
 * 主键ID
 */
 private Integer id;
 /**
 * 账号
 */
 private String username;
 /**
 * 密码
 */
 private String password;
 /**
 * md5密码盐
 */
 private String salt;
 /**
 * 一个管理员具有多个角色
 */
 private List<SysRole> roles;

 

JWT工具类

我们写一个简单的JWT加密,校验工具,并且使用用户自己的密码充当加密密钥,这样保证了token 即使被他人截获也无法破解。并且我们在token中附带了username信息,并且设置密钥5分钟就会过期。

public class JWTUtil {

 // 过期时间5分钟
 private static final long EXPIRE_TIME = 5 * 60 * 1000;

 /**
 * 校验token是否正确
 *
 * @param token 密钥
 * @param secret 用户的密码
 * @return 是否正确
 */
 public static boolean verify(String token, String username, String secret) {
 try {
 Algorithm algorithm = Algorithm.HMAC256(secret);
 JWTVerifier verifier = JWT.require(algorithm)
 .withClaim("username", username)
 .build();
 DecodedJWT jwt = verifier.verify(token);
 return true;
 } catch (Exception exception) {
 return false;
 }
 }

 /**
 * 获得token中的信息无需secret解密也能获得
 *
 * @return token中包含的用户名
 */
 public static String getUsername(String token) {
 try {
 DecodedJWT jwt = JWT.decode(token);
 return jwt.getClaim("username").asString();
 } catch (JWTDecodeException e) {
 return null;
 }
 }

 /**
 * 生成签名,5min后过期
 *
 * @param username 用户名
 * @param secret 用户的密码
 * @return 加密的token
 */
 public static String sign(String username, String secret) {
 try {
 Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
 Algorithm algorithm =

转载于:https://www.cnblogs.com/yelanggu/p/10320010.html

diaobo9395
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
springboot+JWT做restAPI接口认证
hyddhy的博客
12-16 213
https://www.jianshu.com/p/9f5b09b3739a
springboot 小技巧(一)(restful接口参数校验,自定义校验规则)
s297485987的专栏
07-27 6462
1.restful风格接口参数校验 在接收参数的实体类的属性上添加默认的注解或者自定义注解 自定义参数校验注解方法 1>定义自定义注解 2>定义参数校验逻辑的处理类 ...
Spring Boot 2.x 编写 RESTful API (二) 校验
weixin_33696106的博客
04-04 192
用Spring Boot编写RESTful API 学习笔记 约束规则对子类依旧有效 groups 参数 每个约束用注解都有一个 groups 参数 可接收多个 class 类型 (必须是接口) 不声明 groups 参数是默认组 javax.validation.groups.Default 声明了 groups 参数的会从 Default 组移除,如需加入 Default 组需要显示声...
SpringBoot使用AOP实现REST接口简易灵活的安全认证实践
weixin_43677313的博客
06-26 169
1 Authorized实现 本文将通过AOP的方式实现一个相对更加简易灵活的API安全认证服务。 我们先看实现,然后介绍和分析AOP基本原理和常用术语。 1、定义注解 package com.power.demo.common; import java.lang.annotation.*; /* * 安全认证 * */ @Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Docum
SpringBoot集成Spring security JWT实现接口权限认证 源码
03-24
详细介绍请看博客:https://blog.csdn.net/hyh17808770899/article/details/109733851 源码完全可行,于2022.03.14根据该博客创建,本资源内容包含项目源码、所关联的数据库表,以及postman测试接口JSON文档
springboot + VUE实现后台管理系统(集成JWT接口权限验证) #资源达人分享计划#
08-07
springboot + VUE实现后台管理系统(集成JWT接口权限验证) 适合学习java前后端分离的开发者,同时对权限管理有要求的开发者
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定.zip
最新发布
03-10
丰富接口能力:提供丰富的API接口,可调用微信支付、位置服务、用户身份识别等多种功能,方便企业进行商业服务的集成与拓展。 目前,微信小程序已经覆盖了电商购物、生活服务、娱乐休闲、教育学习、工具助手等多个...
xmljava系统源码-springboot-mybatisplus-security-jwt-restful:[EmptyProject]R
06-06
身份验证/访问权限使用jwt与spring-security结合实现(旧版使用shiro,但其注解不够灵活,改用security) 多数据源mybatis静态多数据源,每个数据源独立配置方便增减,每个数据源独立事务管理器,每个数据源对应指定...
SpringBoot Security整合JWT授权RestAPI的实现
08-25
通过这种方式,我们可以实现基于JWT授权,为SpringBoot Security集成RESTful API提供安全保护。用户每次发起请求时,只需附带有效的JWT,服务器就会自动处理认证授权,从而简化了身份验证流程,同时也提高了系统...
SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法
08-26
主要介绍了SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring REST API验证
一名可爱的技术搬运工
05-30 166
在Spring MVC中,只需在@RequestBody上注释一个@Valid即可触发验证过程。 注意 有关完整的源代码,请参考此– Spring Boot Ajax示例 PS已通过Spring Boot 1.5.1.RELEASE测试(Spring 4.3.6.RELEASE) 1. JSR 303验证 在bean上添加JSR303批注。 package com.mkyo...
REST API 安全认证研究
zhangxin09的专栏
07-28 742
REST API 安全认证研究 概述 对外网暴露的 RESTful API,由于是无状态的,如果不做认证,那就相当于裸奔的,任何人都可以调用,随意调用,这样是极不安全的。下面就 RESTful API 的安全性方案进行了一些研究。(但是首先建议,核心系统的 API 不对外网暴露,只允许内网调用,而且不建议做成 HTTP RESTful 形式。如果非要使用 RESTful API 对外网暴露接口,那么请看下面)。 RESTful API 的安全性,包括了如下三个方面: a) 对客户端做身份认证 b) 各种安
API安全机制之认证
大军的博客
02-25 722
API安全机制之认证
springboot 实现Http接口加签、验签操作
qq_15421685的博客
02-17 7855
java sign签名认证
SpringBoot技术专题】「JWT技术专区」带你一同开发SpringSecurity整合JWT授权认证实战指南
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
01-25 644
Spring 中实现 JWT 授权和密码认证的步骤,同时学习了如何安全地保存用户信息。
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 3567
SpringSecurity+JWT快速入门
SpringBoot使用Resttemplate进行Basic认证登录和Restful接口调用
wxy654921028的博客
08-24 1977
SpringBoot使用Resttemplate进行Basic认证登录和Restful接口调用 一、使用RestTemplateBuilder自动配置 @Configuration public class RestTemplateConfig { @Autowired private RestTemplateBuilder restTemplateBuilder; @Bean public RestTemplate restTemplate(){ retu
如何实现RESTful Web API的身份验证
anw53724的博客
01-18 474
最近想拿一个小项目来试水RESTful Web API,项目只有几个调用,比较简单,但同样需要身份验证,如果是传统的网站的话,那不用说,肯定是用户名+密码在登录页获得登录Token,并把登录Token记在Cookie和Session中作为身份标识的这种方式,但现在不同了,关键是RESTful,这意味着我们设计出来的这些API是无状态的(Stateless),下一次的调用请求和这一次的调用...
springboot集成jwt
09-20
### 回答1: Spring Boot 集成 JWTJSON Web Token)可以提供一种安全且可靠的身份验证和授权机制。JWT 是一种基于 JSON 的开放标准(RFC 7519),它定义了一种紧凑且自包含的方式来在网络上安全地传输信息。 要在 Spring Boot 中使用 JWT,可以使用第三方库(例如 jjwt 或者 auth0),它们提供了生成和解析 JWT 的 API。你需要在你的项目中引入相应的依赖,然后在代码中使用相应的 API 来实现 JWT 的生成和验证。 通常来说,生成 JWT 需要指定一个密钥(secret),这个密钥会被用来加密和验证 JWT。在 Spring Boot 中,可以通过在配置文件中设置属性来指定密钥。 具体实现过程可以参考一些开源项目或者教程,例如 Spring 官方文档中关于使用 jjwt 实现 JWT 的示例。 ### 回答2: Spring Boot是一种开发框架,它可以帮助开发人员快速构建基于Java的应用程序。JWTJSON Web Token)是一种安全传输身份验证信息的方法。将Spring Boot和JWT集成在一起可以实现更安全的身份验证和授权机制。 首先,我们需要在Spring Boot项目中添加所需的依赖项。可以使用Maven或Gradle来管理项目依赖。可以添加Spring Security依赖项以实现身份验证和授权功能,以及jjwt依赖项以实现JWT相关功能。 然后,我们需要配置Spring Security以支持JWT。可以创建一个继承自`WebSecurityConfigurerAdapter`的类,并覆盖`configure`方法。在该方法中,我们可以定义哪些URL需要进行身份验证,以及如何配置身份验证提供者。通常,我们会创建一个自定义的身份验证提供者,通过验证JWT中的令牌信息来验证用户身份。 接下来,我们可以定义自己的登录接口。在登录接口中,用户可以提交用户名和密码,服务器会验证用户信息,并生成一个JWT令牌。该JWT令牌会被返回给用户,并在以后的请求中用于身份验证。 在其他需要进行身份验证的接口中,我们可以通过在接口方法上添加`@PreAuthorize`注解来指定访问权限。该注解可以根据用户的角色或其他信息来控制接口的访问权限。 最后,我们需要编写相应的代码来处理JWT令牌的生成、验证和解析。可以使用jjwt库来处理JWT相关操作。可以创建一个JWTUtil类,其中包含生成JWT令牌、验证JWT令牌和解析JWT令牌的方法。 通过以上步骤,我们就可以在Spring Boot项目中成功集成JWT了。这样就能实现更安全的身份验证和授权机制,保护我们的应用程序免受未经授权的访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值