SpringBoot集成JWT实现权限认证

最新推荐文章于 2024-05-21 22:14:40 发布
最新推荐文章于 2024-05-21 22:14:40 发布
阅读量933 收藏 5
点赞数 3
分类专栏: Spring Boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flyingdream123/article/details/106048024
版权

一、JWT认证流程

二、SpringBoot整合JWT

三、测试

一、JWT认证流程

认证流程如下:

  1. 用户使用账号和密码发出post请求;

  2. 服务器使用私钥创建一个jwt;

  3. 服务器返回这个jwt给浏览器;

  4. 浏览器将该jwt串在请求头中像服务器发送请求;

  5. 服务器验证该jwt;

  6. 返回响应的资源给浏览器。

二、SpringBoot整合JWT

新建一个spring boot项目spring-boot-jwt,按照下面步骤操作。

  1. pom.xml引入jar包

 <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.8.2</version>
 </dependency>

    2. 新建Jwt工具类

Jwt工具类进行token的生成和认证,工具类代码如下:

package com.example.testmybatis.Util;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.auth0.jwt.JWTVerifier;
import com.example.testmybatis.model.User;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;


/**
 * @description: Jwt工具类,生成JWT和认证
 * @author yyy
 */
public class JwtUtil {
    private static final Logger logger= LoggerFactory.getLogger(JwtUtil.class);
    /**
     * 密码
     */
    private static final String SECRET="my_secret";
    /**
     * 过期时间
     */
    private  static final long EXPIRATION=1800L;//单位秒

    /**
     * 生成用户token,并设置token超时时间
     * @param user
     * @return
     */
    public static String createToken(User user){
        Date expireDate=new Date(System.currentTimeMillis()+EXPIRATION*1000)  ;
        Map<String,Object> map=new HashMap<>();
        map.put("alg","HS256");
        map.put("typ","JWT");
        String token= JWT.create()
                .withHeader(map)//添加头部
                //可以将基本信息放到claims中
                .withClaim("id",user.getId())//userId
                .withClaim("userName",user.getUserName())//userName
                .withClaim("name",user.getName())//name
                .withExpiresAt(expireDate)//设置过期日期
                .withIssuedAt(new Date())//签发时间
                .sign(Algorithm.HMAC256(SECRET));//设置私匙信息
        return token;
    }

    /**
     * 校验token并解析token
     * @param token
     * @return
     */
    public static Map<String, Claim> verifyToken(String token){
        DecodedJWT jwt=null;
        try {
            JWTVerifier verifier=JWT.require(Algorithm.HMAC256(SECRET)).build();
            jwt=verifier.verify(token);
        }
        catch (Exception e){
            logger.error(e.getMessage());
            logger.error("token解码异常");
            return  null;
        }
        return jwt.getClaims();
    }


}

  3.添加JWT过滤器

JWT过滤器中进行token的校验和判断,,token不合法直接返回,合法则解密数据并把数据放到request中供后续使用。

为了使过滤器生效,需要在启动类添加注解@ServletComponentScan(basePackages = "com.example.springbootjwt.filter")。

JWT过滤器代码如下:

package com.example.testmybatis.filter;

import com.auth0.jwt.interfaces.Claim;
import com.example.testmybatis.Util.JwtUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.boot.autoconfigure.web.ResourceProperties;
import org.springframework.scheduling.support.SimpleTriggerContext;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Map;

/**
 * JWT过滤器,拦截 /secure的请求
 */
@Slf4j
@WebFilter(filterName = "JwtFilter",urlPatterns = {"/secure/*","/person/*"})
public class JwtFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        final HttpServletRequest request=(HttpServletRequest)servletRequest;
        final HttpServletResponse response=(HttpServletResponse)servletResponse;

        response.setCharacterEncoding("UTF-8");
        //获取 header里的token
        final String token=request.getHeader("authorization");

        if ("OPTIONS".equals(request.getMethod())){
            response.setStatus(HttpServletResponse.SC_OK);
            filterChain.doFilter(request,response);
        }
        else {//Except OPTIONS, other request should be checked by JWT
            if(token==null){
                response.getWriter().write("没有token!");
                return;
            }
            Map<String, Claim> userData= JwtUtil.verifyToken(token);
            if (userData==null){
                response.getWriter().write("token不合法!");
                return;
            }
            Integer id=userData.get("id").asInt();
            String name=userData.get("name").asString();
            String userName=userData.get("userName").asString();
            //拦截器,拿到用户信息,并且放入request中
            request.setAttribute("id",id);
            request.setAttribute("name",name);
            request.setAttribute("userName",userName);
            filterChain.doFilter(servletRequest,servletResponse);
        }

    }

    @Override
    public void destroy() {

    }
}

4.添加登录Controller

登录Controller进行登录操作,登录成功后生产token并返回。

登录Controller代码如下:

package com.example.testmybatis.controls;

import com.example.testmybatis.Util.JwtUtil;
import com.example.testmybatis.model.User;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.HashMap;
import java.util.Map;

/**
 * 登录
 */
@Slf4j
@RestController
@RequestMapping("/login")
public class LoginController {
    static Map<Integer, User> userMap=new HashMap<>();

    static {
        User user1=new User(1,"zhangsan","张三","123456");
        userMap.put(1,user1);
        User user2=new User(2,"lisi","李四","123123");
        userMap.put(2,user2);
    }
    @PostMapping
    public String login(User user){
        for (User dbUser:userMap.values()){
            if (dbUser.getUserName().equals(user.getUserName())&& dbUser.getPassword().equals(user.getPassword())){
                log.info("登录成功!生成token!");
                String token= JwtUtil.createToken(dbUser);
                return token;
            }
        }
        return "";
    }




}

5.添加SecureController

SecureController中的请求会被JWT过滤器拦截,合法后才能访问。

SecureController代码如下:

package com.example.testmybatis.controls;

import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;

/**
 * 需要登录才能访问
 */
@Slf4j
@RestController
@RequestMapping("/secure")
public class SecureController {

    @GetMapping("/getUserInfo")
    public String login(HttpServletRequest request){
        Integer id=(Integer)request.getAttribute("id");
        String name=request.getAttribute("name").toString();
        String userName=request.getAttribute("userName").toString();
        return "当前用户信息:id="+id+",name="+name+",userName="+userName;
    }
}

三、测试

测试分两步,首先访问登录接口,登录成功后获取token,然后拿着token在访问查询用户信息接口。

1.访问登录接口

打开PostMan,访问http://localhost:8080/login?userName=zhangsan&password=123456,登录成功后接口返回token

flyingdream123
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JWT校验
Monster
03-08 2136
1. 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 通俗说:\color{#FF3030}{通俗说:}通俗说: 在数据传输过程中还可
springboot整合jwt实现token,简明笔记
学习,是熵减的最有效途径。
06-21 2558
一篇搞定springboot整合jwt实现token
测试JWT加密过程
Leon_Jinhai_Sun的博客
01-03 8747
import com.auth0.jwt.JWT; import com.auth0.jwt.JWTVerifier; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.DecodedJWT; import org.junit.jupiter.api.Test; import org.springframework.boot.test.context.SpringBootTest; import java.
JWT总结及在springboot中的使用
最新发布
weixin_74004976的博客
05-21 1558
JWT,全称为JSON Web Token。JWT本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT Token,并且这个JWT Token带有签名信息,接受之后可以校验是否被篡改。具体的JWT认证流程如下:用户认证:用户向服务器提供登录信息(如用户名和密码)。Token生成:服务器验证用户信息无误后,生成一个JWT,该Token包含三个部分:Header(包含类型和加密算法)、Payload(包含用户相关信息)、Signature(用于验证Token的签名)
获取访问用户本机地址
Zou_de_b的博客
12-02 207
public static String getIpAddr(HttpServletRequest request) { String ipAddress = null; try { ipAddress = request.getHeader("x-forwarded-for"); if (ipAddress == null || ipAddress.length() == 0 || "unknown".equalsIgnoreCase(ipAddress).
SpringBoot第一次使用auth0的JWT
世 间 尤 物,不 敢 妄 取
03-02 3744
依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 工具类(含包) package ...
springboot集成jwt
01-25
**SpringBoot集成JWT详解** SpringBoot是一个轻量级的Java框架,它简化了Spring应用程序的创建和部署。JWT(Json Web Token)则是一种用于在各方之间安全地传输信息的开放标准,广泛应用于身份验证和授权场景。在...
SpringBoot集成JWT实现token验证-源码
10-02
总结来说,Spring Boot集成JWT实现token验证的过程包括引入依赖、配置Spring Security、创建自定义过滤器以及编写Token生成和验证逻辑。这种方式不仅提高了安全性,还减少了服务器的负担,因为不再需要管理用户的...
springboot集成jwt和shiro实现前后端分离权限demo
04-04
本示例项目“springboot集成jwt和shiro实现前后端分离权限demo”旨在帮助初学者理解如何在Spring Boot环境下结合JWT(JSON Web Token)和Shiro进行权限管理,以实现安全的Web应用。下面将详细介绍相关的知识点。 **...
springboot集成jwt和shiro实现前后端分离权限demo2
04-10
这个"springboot集成jwt和shiro实现前后端分离权限demo2"项目,旨在提供一个实际的案例,帮助开发者理解如何在Spring Boot应用中实现前后端分离的权限管理。通过学习和实践这个示例,你可以掌握JWT和Shiro的使用技巧...
springboot + jwt + websocket + 拦截
09-02
6. **权限控制**:通过Interceptor,我们可以检查JWT中的权限信息,控制用户对WebSocket端点的访问权限实现细粒度的访问控制。 这样的架构可以提供一个高效、安全的实时交互系统,适用于需要实时数据同步和认证...
jwt超时时间 angular expiredat_SpringBoot集成JWT实现权限认证
weixin_39524842的博客
11-26 683
上一篇文章《一分钟带你了解JWT认证!》介绍了JWT的组成和认证原理,本文将介绍下SpringBoot整合JWT实现认证的过程,带你更深入的了解下JWT。一、JWT认证流程 认证流程如下:用户使用账号和密码发出post请求;服务器使用私钥创建一个jwt;服务器返回这个jwt给浏览器;浏览器将该jwt串在请求头中像服务器发送请求;服务器验证jwt;返回响应的资源给浏览器。二、SpringBoot...
java jwt_「java」使用jwt进行认证授权
weixin_39822629的博客
02-19 342
传统的web应用使用session来维护用户与服务器之间的状态,用户提交用户名密码到服务器,服务器生成会话id,并将验证通过的用户信息存到session中(内存or数据库),会话id会写出到cookie。用户登录之后的操作,都会附带包含sessionId的cookie,服务器根据用户端传来的sessionId获取用户信息,会话的有效期,包括用户登出等操作都依赖对session的操作,如下图:基于s...
使用auth0构建JWT
qq_36913208的博客
01-29 1万+
写于2019年年底,2020年春,新年好! JWT 全称 Json Web Token 用于用户认证 用于前后端分离项目(App/微信小程序 无法产生cookie的项目) 文中所提到的 Token泛指身份验证时使用的令牌,而JWT,是json 格式的 web token,两者稍作区别 JWT的构成 JWT 官网 点击前往 ,下列数据解释官网内容: 由三段字符串组成,两端中间用.分隔 eyJhb...
JWT全面解读、使用步骤
热门推荐
陈袁的博客
06-27 8万+
JWT全面解读 JWT全面解读 前言 JWT基本使用 在pom.xml引入java-jwt 示例如下 概念介绍 JWT消息构成 头部 playload 标准中注册的声明 (建议但不强制使用) 自定义数据 签名signature JJWT 引入 使用方法 生成token 解析token 前言 JWT是json web token缩写。它将用户信息加密到toke...
整合SpringSecurity和JWT实现登录认证和授权
Java升级之路的博客
09-07 4289
文章目录前言一、SpringSecurity是什么?二、JWT是什么?1. JWT的组成2. JWT实现认证和授权的原理三、整合步骤1. 引入相关依赖2. yml配置中加入jwt配置信息3. 添加JWT token的工具类4. 添加SpringSecurity的配置类5. 添加自定义结果处理类5.1 添加CustomAccessDeniedHandler5.2 添加CustomAuthenticationEntryPoint6. 添加JwtUser类7. 添加过滤器JwtAuthenticationTok
SpringBoot系列】最详细demo--集成JWT实现接口权限认证
wufaqidong1的博客
07-15 3337
为了实现我自己能够手动抛出异常,我自己写了一个123456789}}}
前后端分离:SpringBoot + Jwt 登录验证token
_wanshuang_
08-27 2万+
前后端分离:SpringBoot + Jwt 登录验证token 写在前面:近期在做一个前后台分离的项目 Springboot + vue 登录验证的时候选用了shiro 因为是拿来即用的 所以前后端部署完成后出现很多bug...   种种原因 最后选择了友好又亲切的Jwt  : ) 好了 直接上代码了 wait 粗暴上代码之前让我先小小说下这个小模块是什么原理 (毕竟鱼的记忆力) 以我的...
SpringBoot 集成 Shiro 权限控制 开发 Restful API
weixin_38408945的博客
03-03 5951
shiro

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值