SpringBoot 集成 JWT

于 2023-11-02 21:27:02 发布
阅读量94 收藏
点赞数
文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2963801/article/details/134184516
版权

这里写自定义目录标题

JWT是啥?

网上各种详细介绍.
个人理解就是后台验证,后台检查请求是否合法
SpringBoot这一块的应用的话,就是通过filter拦截请求,进行验证,通过继续,不通过就拒绝请求

springboot 集成 JWT

第一步:引入jar包

<dependency>
	<groupId>com.auth0</groupId>
	<artifactId>java-jwt</artifactId>
	<version>3.4.0</version>
</dependency>

第二步:编写创建token和解析token的工具

说一下token的解析,
因为jwt的规范是分三部分,第一部分包含token类型和数据加密方式
所以token在解析数据时可以直接获取数据,如下方法,所以尽量不要在token中添加敏感数据
如下,直接可以获取数据,不需要加密密码

DecodedJWT jwt = JWT.decode(token);
jwt.getClaim( yourkey ).asString();

所以能通过token获取数据,不代表token是合法的
所以jwt内部实现的验证,其实是将token中的数据用自定义的密码重新加密一遍,然后跟请求传过来的token中的第三段签名进行对比,如果一致并且没过期,则通过验证,否则失败


public class JwtUtils
{
    // 自定义token有效时间
    private static final long EXPIRE_TIME = 120 * 60 * 1000;
    
    // 自定义写进token的key
    private static final String CLAIM_NAME = "username";
    private static final String CLAIM_OPENID = "pwd";

    /**
     * 创建token
     * @param username
     * @param password
     * @return
     */
    public static String createToken(String username, String password)
    {
        return createToken(username, password, EXPIRE_TIME);
    }

    public static String createToken(String username, String pwd, long expireTime)
    {
        // 计算过期时间
        Date date = new Date(System.currentTimeMillis() + expireTime);
        // 加密处理密码,该密码自定义即可,用于校验token第三段的签名
        Algorithm algorithm = Algorithm.HMAC256("xyz123");
        return JWT.create()
                .withClaim(CLAIM_NAME, username)
                .withClaim(CLAIM_OPENID, pwd)
                .withExpiresAt(date)
                .sign(algorithm);
    }

    /**
     * 验证token
     * @param dbPwd
     * @param token
     */
    public static void verify(String token)
    {
        Algorithm algorithm = Algorithm.HMAC256("xyz123");
        JWTVerifier jwtVerifier = JWT.require(algorithm).build();
        try
        {
            jwtVerifier.verify(token);
        	// 校验方法返回的也是 DecodedJWT 实例,可以直接通过实例获取token中的数据
            // DecodedJWT decode = jwtVerifier.verify(token);
            // decode.getClaim(CLAIM_NAME).asString();
        }
        catch (TokenExpiredException e)
        {
            throw new TokenExpiredException("token已过期");
        }
        catch (JWTVerificationException e)
        {
            throw new JWTVerificationException("token验证失败");
        }
    }

	/**
	 *  这个方法建议自行修改,因为token中的key值是定义好的,这里直接写成获取指定key比较好
	 *  或者自己定义一个token类,定义好属性,直接返回一个实例
	 */
    public static String getClaim(String key)
    {
    	try
        {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim(key).asString();
        }
        catch (JWTDecodeException e)
        {
            throw new JWTVerificationException("token验证失败");
        }
    }
}

第三步:编写filter,以下是摘自若依框架的实现,自己做了一些修改

如何自定义一个拦截器这里就不多说了,不同的拦截器抽象类没细研究过,

public class JwtFilter extends AccessControlFilter
{
    private static final Logger LOGGER = LoggerFactory.getLogger(JwtFilter.class);
    
    // 这里定义了从request中获取token的方式,直接获取header中的key为token的值,
    // 这就要求前端发送请求时将令牌字符串放在header中的jwttoken
    private static final String AUTHZ_HEADER = "jwttoken";
    private final ThreadLocal<String> MSG_HOLDER = new ThreadLocal<>();

    @Override
    public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception
    {
        return super.onPreHandle(request, response, mappedValue);
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception
    {
        return this.executeLogin(request, response);
    }

    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception
    {
    	// 若依集成了shiro框架,这个WebUtils是shiro框架中的方法
        String token = WebUtils.toHttp(request).getHeader(AUTHZ_HEADER);
    	// 没有集成shiro可以用如下方法获取
        // HttpServletRequest hreq = (HttpServletRequest)request;
        // String token = hreq.getHeader(AUTHZ_HEADER);
        if (StringUtils.isEmpty(token))
        {
            MSG_HOLDER.set("消息头不正确,header需要携带token参数");
            return false;
        }
        try
        {
            // 这里封装了一个验证方法,token验证的核心就在这里,这里不报异常就是OK了
            JwtUtils.verify(token);
            return true;
        }
        catch (AuthenticationException e)
        {
            if (e.getCause() instanceof TokenExpiredException)
            {
                MSG_HOLDER.set("token已过期");
            }
            else if (e.getCause() instanceof JWTVerificationException)
            {
                MSG_HOLDER.set("用户密码错误");
            }
            else
            {
                MSG_HOLDER.set("用户信息验证失败:" + e.getMessage());
            }
            return false;
        }
    }

    /**
     * 请求前处理,处理跨域
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception
    {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        // 跨域时,option请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name()))
        {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }

    /**
     * 异常处理
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception
    {
        this.jwtFail(request, response, 401, "对不起,您无权限进行操作!");
        return false;
    }

    /**
     * 认证失败,异常返回
     */
    protected void jwtFail(ServletRequest request, ServletResponse response, int code, String message)
    {
        HttpServletResponse httpResponse = WebUtils.toHttp(response);
        String contentType = "application/json;charset=UTF-8";
//        httpResponse.setStatus(401); 这里若依实现时返回401,我这边按自己前端需要,使用默认200
        httpResponse.setContentType(contentType);
        try
        {
            String msg = StringUtils.isNotEmpty(MSG_HOLDER.get()) ? MSG_HOLDER.get() : message;
            AjaxResult ajaxResult = AjaxResult.error().put(AjaxResult.CODE_TAG, code).put(AjaxResult.MSG_TAG, msg);
            PrintWriter printWriter = httpResponse.getWriter();
            printWriter.append(JSON.toJSONString(ajaxResult));
        }
        catch (IOException e)
        {
            LOGGER.error("sendChallenge error,can not resolve httpServletResponse");
        }
    }
}

第四部:使用filter

这个看你的框架怎么添加拦截器了
逻辑就是
1.实例化拦截器
2.添加到拦截器列表中

ryuukasenn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT工具类,SpringBoot整合Jwt-Token使用
weixin_43992507的博客
08-22 886
JWT工具类,SpringBoot整合Jwt-Token使用
springboot集成JWT
weixin_50622066的博客
05-11 845
springboot集成JWTjwt的简单使用
JWT所需的jar
10-18
JWT所需的jar
springboot 整合jwt
林海静的博客
07-05 1119
1、引入jwt的jar <!--JWT(Json Web Token)登录支持--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> 2、jwt工具类 package com.lin
SpringBoot整合JWT
南风的博客
01-20 820
SpringBoot整合JWT 概述 有关jwt的的详细概述请参考阮一峰博客入门教程:https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html 整合 导–采用 java-jwt jar <!-- jwt --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</a
31.整合JWT
gunsmoke的专栏
04-19 352
pom.xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> 工具类 package com.gunsmoke.comm...
JWT使用
pscool的博客
11-02 3248
jjwt <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.6.0</version> </dependency> Base64加密、解密 @Test public void testGenJwt() { JwtBuilder jwtBuilder =
SpringBoot集成JWT生成token及校验方法过程解析
08-19
SpringBoot集成JWT生成token及校验方法过程解析 本文主要介绍了SpringBoot集成JWT生成token及校验方法的过程解析,通过示例代码详细介绍了JWT token的生成和校验过程,为读者提供了详细的Reference和学习价值。 一...
springboot集成jwt
01-25
**SpringBoot集成JWT详解** SpringBoot是一个轻量级的Java框架,它简化了Spring应用程序的创建和部署。JWT(Json Web Token)则是一种用于在各方之间安全地传输信息的开放标准,广泛应用于身份验证和授权场景。在...
SpringBoot集成JWT快速入门Demo
最新发布
04-10
编译器版本:IntelliJ IDEA 2020.3.2 x64 JDK版本:java 1.8.0_111 SpringBoot集成JWT快速入门Demo,演示jwt生成与验证等功能,可以通过swaggler或者Postman进行测试。
jwt工具类,含引入的
08-25
jwt的工具类含引入的,和md5加密方法的工具类,可以直接使用,方便快捷,适合直接上手,欢迎下载
jwt所需jar
02-05
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。
java jwt jar
06-15
这是实现Java token JWT所需的jar,该jar是jjwt.jar
JWT 验证所需的关键jar jwt.zip
07-10
JWT 特点 体积小,因而传输速度快 传输方式多样,可以通过URL/POST参数/HTTP头部等方式传输 严格的结构化。它自身(在 payload 中)就含了所有与用户相关的验证消息,如用户可访问路由、访问有效期等信息,服务器无需再去连接数据库验证信息的有效性,并且 payload 支持为你的应用而定制化。 支持跨域验证,可以应用于单点登录
JWT最详细教程以及整合SpringBoot的使用(简洁易上手)
weixin_45131680的博客
10-07 1701
RFC 7519HMACRSAorECDSAJSON Web Token (JWT)是一种开放标准(RFC 7519),它定义了一种紧凑和自含的方式,用于作为JSON对象在各方之间安全地传输信息。这个信息可以被验证和信任,因为它是数字签名的。JWTs可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。通俗的解释JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。
jwt jar_从入门到运用,Jwt其实并不难!
weixin_39908616的博客
11-26 2578
小Hub领读:2018年写的一篇文章,哈哈哈,体验一下我当时的写作风格咧~一般情况下,web项目都是通过session进行认证,每次请求数据时,都会把jsessionid放在cookie中,以便与服务端保持会话。前后端分离项目中,通过token进行认证(登录时,生成唯一的token凭证),每次请求数据时,都会把token放在header中,服务端解析token,并确定用户身份及用户权限,...
Spring Boot 2.x + shiro 前后端分离实战-自定义 AccessControlFilter token校验 实战篇 (十)
深入Java世界:探索编程之美与技术深度
09-23 593
Spring Boot 2.x + shiro 前后端分离实战-自定义 AccessControlFilter token校验自定义 token 自定义 token public class CustomPasswordToken extends UsernamePasswordToken { private String token; public CustomPasswordToken(String token) { this.token = token; }
java jwt工具类,生成和解析token
07-10 853
相关jar下载: 链接:https://pan.baidu.com/s/1Bdd2cJubPPdKxJUDCbdM4w 提取码:xlvm commons-codec-1.11.jar jar尽量用高版本的,低版本会报错org.apache.commons.codec.binary.Base64.encodeBase64URLSafeString,最低版本是哪个没有进行测试。 jw...
SpringBoot集成JWT
06-09
好的,我可以为您提供一些关于SpringBoot集成JWT的基本信息。 首先,JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它可以将用户信息编码为一个安全的JSON对象,并使用密钥对其进行签名,以确保其未被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值