spring boot使用JWT登录验证

已于 2024-03-03 16:44:07 修改
阅读量803 收藏 15
点赞数 14
文章标签: spring boot 后端 java
于 2024-03-03 16:26:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/learnC_/article/details/136433441
版权

//参照链接:SpringBoot 集成token实践详解-CSDN博客

spring boot中登录的验证与授权

1.引入依赖
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.10.3</version>
</dependency>
2.admin表

数据库创建admin表,要有账号(account)、密码(password)、角色(role)

创建实体类

@Data
public class Admin {
    private int adminId;
    private String account;
    private String password;
    private String role;
}
3.JwtUtil

Jwt具有产生token和破解token的作用。

加密:使用Jwt工具类将用户的账号、角色、时间封装起来,根据某种加密算法进行加密。

解密:对加密过后的信息使用DecodedJWT中的getClaim方法进行解密。

@Slf4j
@Component
public class JwtUtil {
    @Value("${token.privateKey}")
    private String privateKey;

    /**
     * 加密token.
     */
    public String getToken(String userId, String userRole) {
        log.info("输入参数 userId为 : "+userId);
        log.info("输入参数 userRole为 : "+userRole);
        //将用户信息、用户角色和创建时间封装加密
        String token = JWT
        .create()
        .withClaim("userId" ,userId)
        .withClaim("userRole",userRole)
        .withClaim("timeStamp", System.currentTimeMillis())
        .sign(Algorithm.HMAC256(privateKey));
        return token;
    }

    /**
     * 解析token.
     */
    public Map<String, String> parseToken(String token) {
        HashMap<String, String> map = new HashMap<>();
        DecodedJWT decodedjwt = JWT.require(Algorithm.HMAC256(privateKey))
        .build().verify(token);
        //对封装的用户信息进行解密
        Claim userId = decodedjwt.getClaim("userId");
        Claim userRole = decodedjwt.getClaim("userRole");
        Claim timeStamp = decodedjwt.getClaim("timeStamp");
        //将解密的用户信息放到map集合中,返回集合
        map.put("userId", userId.asString());
        map.put("userRole", userRole.asString());
        map.put("timeStamp", timeStamp.asLong().toString());
        return map;
    }
}

在application.yml中添加参数,设置加密方式、年轻token时间和老年token时间

token:
privateKey: 'fdasfgdsagaxgsregdfdjyghjfhebfdgwe45ygrfbsdfshfdsag'
yangToken: 1000000
oldToken: 3000000000
4.配置拦截路径

AuthWebMvcConfigurer实现WebMvcConfigurer接口;

addPathPatterns(需要拦截的路径)
excludePathPatterns(不需要拦截的路径)

/*
* 配置拦截路径
* */
@Configuration
public class AuthWebMvcConfigurer implements WebMvcConfigurer {
    @Autowired
    AuthHandlerInterceptor authHandlerInterceptor;

    /**
     * 给除了 /login 的接口都配置拦截器,拦截转向到 authHandlerInterceptor
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authHandlerInterceptor)
        .addPathPatterns("/**")
        .excludePathPatterns("/api/user/login");
    }
}

5.异常处理

TokenAuthExpiredException继承RuntimeException类

public class TokenAuthExpiredException extends RuntimeException{
}
6.拦截器

所有的接口请求均需要通过拦截器的拦截,除了配置拦截路径中excludePathPatterns("/api/user/login");不需要经过拦截器。

AuthHandlerInterceptor实现HandlerInterceptor接口;

@Slf4j
@Component
public class AuthHandlerInterceptor implements HandlerInterceptor {
    @Autowired
    JwtUtil jwtUtil;
    @Value("${token.privateKey}")
    private String privateKey;
    @Value("${token.yangToken}")
    private Long youngToken;
    @Value("${token.oldToken}")
    private Long oldToken;
    /**
     * 权限认证的拦截操作.
     */
    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
        log.info("=======进入拦截器========");
        // 如果不是映射到方法直接通过,可以访问资源.
        if (!(object instanceof HandlerMethod)) {
            return true;
        }
        //为空就返回错误
        String token = httpServletRequest.getHeader("token");
        if (null == token || "".equals(token.trim())) {
            log.info("=========验证token失败,原因:请求的head没有token参数");
            return false;
        }
        log.info("=========验证====从请求的head中获取到token:" + token);
        Map<String, String> map = jwtUtil.parseToken(token);
        log.info("=========验证====解析token数据");
        String userId = map.get("userId");
        String userRole = map.get("userRole");
        log.info("=========验证====解析token数据 userId:"+userId);
        log.info("=========验证====解析token数据 userRole:"+userRole);
        long timeOfUse = System.currentTimeMillis() - Long.parseLong(map.get("timeStamp"));
        //1.判断 token 是否过期
        //年轻 token
        //token 距离发布token 2 个小时内的token为新生token
        if (timeOfUse < youngToken) {
            log.info("年轻 token");
            log.info("token时间失效");
            return true;
        }
            //老年 token 就刷新 token
        else if (timeOfUse >= youngToken && timeOfUse < oldToken) {
            log.info("token刷新");
            httpServletResponse.setHeader("token",jwtUtil.getToken(userId,userRole));
        }
            //过期 token 就返回 token 无效.
        else {
            throw new TokenAuthExpiredException();
        }
        log.info("判断当前登录的用户权限"+userRole+";");
        //2.角色匹配.
        if ("user".equals(userRole)) {
            log.info("========user账户============");
            return true;
        }
        if ("admin".equals(userRole)) {
            log.info("========admin账户============");
            return true;
        }
        return false;
    }

}

如果token过期, throw new TokenAuthExpiredException();

下面的代码是我暂未使用过的token过期,没用上

@Slf4j
@ControllerAdvice
public class GlobalExceptionHandler {
    /**
     * 用户 token 过期
     * @return
     */
    @ExceptionHandler(value = TokenAuthExpiredException.class)
    @ResponseBody
    public String tokenExpiredExceptionHandler(){
        log.warn("用户 token 过期");
        return "用户 token 过期";
    }
}
7.测试

login模块查询数据库中的用户信息,进行加密,发放token

testToken模块就是模拟接口请求

@RestController
@Slf4j
@CrossOrigin
@RequestMapping("api/user")
public class AdminController {
    @Autowired
    private JwtUtil jwtUtil;
    @Autowired
    private AdminService adminService;
    @PostMapping("/login")
    public String login(HttpServletRequest request, HttpServletResponse response){
        String account = request.getParameter("account");
        String password = request.getParameter("password");
        String role = request.getParameter("role");
        QueryWrapper<Admin> wrapper = new QueryWrapper<>();
        wrapper.eq("account",account)
        .eq("role",role)
        .eq("password",password);
        Admin admin = adminService.getOne(wrapper);
        if (admin != null){
            return jwtUtil.getToken(account,role);
        }
        return "false";
    }

    @RequestMapping("/test-token")
    public Map<String,String> testToken(HttpServletRequest request){
        log.info("==拦截器执行完成后,进入此方法,开始======TestToken验证============");
        String token = request.getHeader("token");
        Map<String,String> vals= jwtUtil.parseToken(token);
        //String json=JSON.toJSONString(vals);
        //log.info("========json============"+json);
        log.info("==拦截器执行完成后,进入此方法,结束======TestToken验证============");
        return  vals;
    }
}

 输入账号密码角色,产生token

如果不带token是无法使用接口的

 

Header中携带token后即可使用接口

我是Java大王.
关注
  • 14
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
基于springboot实现JWT登录拦截及验证(超详细版)
Java程序员十六的博客
06-26 670
基于Springboot通过Jwt实现登录拦截及验证
SpringBoot整合JWT实现验证登陆
JAVA葵花宝典
06-23 2031
什么是JWT?Jsonwebtoken(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑...
SpringBoot使用JWT进行身份验证
无心
07-16 1399
如果你修改了负载的数据(这是 JWT 包含的实际信息,如用户 ID、过期时间等),那么这些数据可能无法被正确解析,或者可能导致验证错误(例如,如果你把过期时间改为了过去的时间,那么 JWT 将被视为已经过期)。:如果你修改了 JWT 的格式(例如,删除了某个部分,或者改变了部分之间的点号分隔符),那么 JWT 可能无法被正确解析,这将导致错误。:如果 JWT 过期了,服务器可能会返回一个新的 JWT 给用户,或者让用户重新登陆,以便他们可以继续发送合法的请求。:服务器接收到请求,验证用户名和密码。
vue+springboot实现JWT登录验证
xc9711的博客
04-08 1574
vue+springboot实现jwt登录验证,前后端逻辑皆给出
Spring boot框架 JWT实现用户账户密码登录验证
Lushengshi的博客
05-20 3146
JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全传输方式。它是一种紧凑且自包含的方式,通过使用数字签名来验证数据的完整性和真实性。JWT由三部分组成,使用Header(头部):包含JWT的类型(typ)和使用的签名算法(alg)等信息。Payload(负载):包含要传输的数据,例如用户身份信息、权限等。它是JWT的主要内容,可以自定义添加其他需要的字段。Signature(签名):使用指定的算法对Header和Payload进行签名,以确保数据在传输过程没有被篡改。
spring boot + jwt登录
08-02
总结一下,Spring Boot结合JWT提供了一种高效且安全的登录验证方法,它允许前后端分离的应用在不泄露敏感信息的情况下进行用户认证。通过配置Spring Security、生成和验证JWT,以及管理令牌的过期时间,我们可以构建...
Spring Boot整合JWT
10-16
在本项目,我们将深入探讨如何在Spring Boot整合JWT,实现安全的用户认证。 首先,让我们了解JWT的基本原理。JWT由三部分组成:Header、Payload和Signature。Header包含了JWT类型和加密算法;Payload存储了声明...
spring-boot-jwt-sample:spring-boot-jwt-sample
05-16
spring boot整合jwt完成接口授权认证 1、注册用户(POST) { "id": 1, "userName": "admin", "loginName": "admin", "password": "admin", "roles": "admin", "email": "admin@ameizi.net", "location": "xi'an...
spring boot+jwt实现api的token认证详解
08-26
在本文,我们将深入探讨如何使用Spring BootJWT(JSON Web Token)来实现API的Token认证。JWT是一种轻量级的身份验证和授权机制,它允许应用程序在客户端和服务器之间安全地传输信息,而无需在每次请求时进行...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录和权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
SpringBoot使用JWT实现登录验证的方法示例
08-25
主要介绍了SpringBoot使用JWT实现登录验证的方法示例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot开发】JWT实现用户验证登录
idiotyi的博客
06-07 1633
JWT完整流程如下:用户使用账号和密码发起 POST 请求;服务器使用私钥创建一个 JWT;服务器返回这个 JWT 给浏览器;浏览器将该 JWT 串在请求头像服务器发送请求;服务器验证JWT;返回响应的资源给浏览器。
SpringBoot集成JWT实现Token登录验证
weixin_42672802的博客
12-18 3310
SpringBoot集成JWT实现Token登录验证
Spring Boot整合JWT实现用户认证
z_ssyy的博客
12-06 678
JWT(Json Web Token),是一种工具,格式为的字符串,JWT以一种安全的方式在用户和服务器之间传递存放在JWT的不敏感信息。设想这样一个场景,在我们登录一个网站之后,再把网页或者浏览器关闭,下一次打开网页的时候可能显示的还是登录的状态,不需要再次进行登录操作,通过JWT就可以实现这样一个用户认证的功能。当然使用Session可以实现这个功能,但是使用Session的同时也会增加服务器的存储压力,而JWT是将存储的压力分布到各个客户端机器上,从而减轻服务器的压力。JWT由3个子字符串组成,分别
Springboot +JWT实现登录认证,密码加密及Token校验全过程(附源码)
dingdingdandan
05-09 8345
JWT实现登录认证简介环境1. 依赖2. token生成及校验3. 登录4. 编写拦截器进行token校验5. 源码下载 简介 通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。JWT的认证流程如下: 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口,这个过程一般是一个POST请求。建议的方式是通
SpringBoot——JWT实现登录校验
2401_83412172的博客
04-17 597
author 刘朋*///生成token/**获取用户名@return@author 刘朋*//**获取token的值@param key@return*//**校验是否过期,过期返回true@return@author 刘朋*/try {2.登录Controller这里博主用的是MyBatisPlus,做的orm框架,有兴趣的话可以看一下前面的博文/**登录接口@author 刘朋*/
Spring Boot使用JWT进行安全认证
最新发布
微赚淘客系统开发者博客
07-01 302
大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!
手把手教你完成springbootjwt认证
TTOAG的博客
11-15 180
让新手小白一小时完成jwt认证
Spring BootJWT-Spring Security实现REST API安全防护
"本文主要探讨了如何在Spring Boot应用使用JWT(Json Web Token)和Spring Security来保护RESTful API,适用于需要理解API安全性的开发者。文提到了三种常见的鉴权方式,并着重讲解了JWT的工作原理和流程。" 在...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值