spring boot 开发—第七篇使用JWT保证api接口安全

最新推荐文章于 2024-05-29 08:30:00 发布
最新推荐文章于 2024-05-29 08:30:00 发布
阅读量8.4k 收藏 21
点赞数 2
分类专栏: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuweilong07/article/details/80409994
版权

1、jwt简介

JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。
  • 简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快
  • 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库J

2、JWT的主要应用场景

  • 身份认证
    在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术。
  • 信息交换
    在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的。

3、JWT的结构

Header

在header中通常包含了两部分:token类型和采用的加密算法。

{
  "alg": "HS256",
  "typ": "JWT"
}

接下来对这部分内容使用 Base64Url 编码组成了JWT结构的第一部分。

Payload

Token的第二部分是负载,它包含了claim, Claim是一些实体(通常指的用户)的状态和额外的元数据,有三种类型的claim: reserved, public 和 private.

  • Reserved claims: 这些claim是JWT预先定义的,在JWT中并不会强制使用它们,而是推荐使用,常用的有 iss(签发者), exp(过期时间戳), sub(面向的用户), aud(接收方), iat(签发时间)。
  • Public claims:根据需要定义自己的字段,注意应该避免冲突
  • Private claims:这些是自定义的字段,可以用来在双方之间交换信息

负载使用的例子:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

上述的负载需要经过Base64Url编码后作为JWT结构的第二部分。

Signature

创建签名需要使用编码后的header和payload以及一个秘钥,使用header中指定签名算法进行签名。例如如果希望使用HMAC SHA256算法,那么签名应该使用下列方式创建:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

签名用于验证消息的发送者以及消息是没有经过篡改的。

4、jwt实例

4.1、构建项目

这里写图片描述

pom中加入相关依赖

<!--jwt依赖-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.7.0</version>
</dependency>

4.2、创建token实体

package com.vesus.springbootjwt.model;

import javax.persistence.*;
import java.io.Serializable;

@Entity
@Table(name = "api_token_infos")
public class TokenInfo implements Serializable {
    @Id
    @GeneratedValue
    @Column(name = "ati_id")
    private Long id;
    @Column(name = "ati_app_id")
    private  String appId;
    @Column(name = "ati_token")
    private byte[] token;
    @Column(name = "ati_build_time")
    private String buildTime;

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public String getAppId() {
        return appId;
    }

    public void setAppId(String appId) {
        this.appId = appId;
    }

    public byte[] getToken() {
        return token;
    }

    public void setToken(byte[] token) {
        this.token = token;
    }

    public String getBuildTime() {
        return buildTime;
    }

    public void setBuildTime(String buildTime) {
        this.buildTime = buildTime;
    }
}

4.3、创建token拦截器,验证token的正确性

package com.vesus.springbootjwt.intercept;

import com.vesus.springbootjwt.model.TokenInfo;
import com.vesus.springbootjwt.service.TokeninfoService;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.Jwts;
import org.springframework.beans.factory.BeanFactory;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.context.support.WebApplicationContextUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;
import java.security.SignatureException;

public class JwtTokenInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        //自动排除生成token的路径,并且如果是options请求是cors跨域预请求,设置allow对应头信息
        if(request.getRequestURI().equals("/api/token")||RequestMethod.OPTIONS.toString().equals(request.getMethod())){
            return true ;
        }

        //获取头信息
        final String authHeader = request.getHeader("X-YAuth-Token") ;

        try {

            //如果取出的token信息为空
            if (authHeader==null||authHeader.trim()==""){
                throw new SignatureException("无法获取X-YAuth-Token!");
            }

            //获取jwt实体对象接口实例
            final Claims claims = Jwts.parser().setSigningKey("Authv1.0.0").parseClaimsJws(authHeader).getBody();

            //从数据库中获取token
            TokenInfo token = getBean(TokeninfoService.class,request).findOne(claims.getSubject());
            String tokenval = new String(token.getToken());

            if (tokenval==null||tokenval.trim()==""){
                throw new SignatureException("无法获取token信息,请重新获取!");
            }

            //token是否与客户端传来的一致
            if(!tokenval.equals(authHeader)){
                throw new SignatureException("无法获取token信息,请重新获取!");
            }
        }catch (SignatureException | ExpiredJwtException e){
            //输出对象
            PrintWriter writer = response.getWriter();

            //输出error消息
            writer.write("需要输入token");
            writer.close();
            return false;
        }
        //出现异常时
        catch (final Exception e)
        {
            //输出对象
            PrintWriter writer = response.getWriter();
            //输出error消息
            writer.write(e.getMessage());
            writer.close();
            return false;
        }
        return true;
    }

    /**
     * 根据传入的类型获取spring管理的对应bean
     * @param clazz 类型
     * @param request 请求对象
     * @param <T>
     * @return
     */
    private <T> T getBean(Class<T> clazz ,HttpServletRequest request){
        BeanFactory factory = (BeanFactory) WebApplicationContextUtils.getRequiredWebApplicationContext(request.getServletContext());
        return factory.getBean(clazz);
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

4.4、创建token的控制器,用来获取新的token

package com.vesus.springbootjwt.controller;

import com.vesus.springbootjwt.model.TokenInfo;
import com.vesus.springbootjwt.model.TokenResult;
import com.vesus.springbootjwt.model.UserInfo;
import com.vesus.springbootjwt.service.TokeninfoService;
import com.vesus.springbootjwt.service.UserService;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
import java.util.Date;
import java.util.concurrent.TimeUnit;

@RestController
@RequestMapping(value = "/api")
public class TokenController {

    @Autowired
    private TokeninfoService tokeninfoService ;

    @Autowired
    private UserService userService ;

    /**
     * 获取token,更新token
     * @param appId 用户编号
     * @param appSecret 用户密码
     * @return
     */
    @RequestMapping(value = "/token" ,method = {RequestMethod.POST,RequestMethod.GET})
    public TokenResult token(@RequestParam String appId , @RequestParam String appSecret){
        TokenResult token = new TokenResult();
        //判断appid是否为空
        if(appId == null || appId.trim() == "")
        {
            token.setFlag(false);
            token.setMsg("appId is not found!");
        }
        //判断appSecret是否为空
        else if(appSecret == null || appSecret.trim() == "")
        {
            token.setFlag(false);
            token.setMsg("appSecret is not found!");
        }else{
            UserInfo userInfo = userService.findOne(appId);
            //如果用户不存在
            if (userInfo == null)
            {
                token.setFlag(false);
                token.setMsg("appId : " + appId + ", 缺失!");
            }//验证appSecret是否存在
            else if (!new String(userInfo.getAppSecret()).equals(appSecret.replace(" ","+")))
            {
                token.setFlag(false);
                token.setMsg("appSecret无效!");
            }
            else
            {
                TokenInfo tokenInfo = tokeninfoService.findOne(appId);
                //返回token值
                String tokenStr = null;
                if (tokenInfo==null){
                    //生成Token
                    tokenStr = createNewToken(appId) ;
                    //将token保持到数据库
                    tokenInfo = new TokenInfo();
                    tokenInfo.setAppId(userInfo.getAppId());
                    tokenInfo.setBuildTime(String.valueOf(System.currentTimeMillis()));
                    tokenInfo.setToken(tokenStr.getBytes());
                    tokeninfoService.saveToken(tokenInfo);

                }
                else
                {
                    //判断数据库中token是否过期,如果没有过期不需要更新直接返回数据库中的token即可
                    //数据库中生成时间
                    long dbBuildTime = Long.valueOf(tokenInfo.getBuildTime());
                    //当前时间
                    long currentTime = System.currentTimeMillis();
                    //如果当前时间 - 数据库中生成时间 < 7200 证明可以正常使用
                    long second = TimeUnit.MILLISECONDS.toSeconds(currentTime - dbBuildTime);
                    if (second > 0 && second < 7200) {
                        tokenStr = new String(tokenInfo.getToken());
                    }
                    //超时
                    else{
                        //生成newToken
                        tokenStr = createNewToken(appId);
                        //更新token
                        tokenInfo.setToken(tokenStr.getBytes());
                        //更新生成时间
                        tokenInfo.setBuildTime(String.valueOf(System.currentTimeMillis()));
                        //执行更新
                        tokeninfoService.saveToken(tokenInfo);
                    }
                }
                //设置返回token
                token.setToken(tokenStr);
            }
        }
        return token;
    }

    /**
     * 创建新token
     * @param appId
     * @return
     */
    private String createNewToken(String appId){
        //获取当前时间
        Date now = new Date(System.currentTimeMillis());
        //过期时间
        Date expiration = new Date(now.getTime()+7200000);
        return Jwts.builder().setSubject(appId)
                .setIssuedAt(now).setIssuer("Online YAuth Builder")
                .setExpiration(expiration)
                .signWith(SignatureAlgorithm.HS256,"Authv1.0.0")
                .compact();
    }
}

4.5、启动应用

访问:http://localhost:8080/api/token?appId=c2R4bWtqX21vYmls&appSecret=mKk7r7IJkc+RVjvPh3M4PG6VIGUlgD7jOo3VwkHJKSOL9Qyd7BW1YInvJX

拿到token

这里写图片描述

访问http://localhost:8080/api/user,带上获取的token

这里写图片描述

源码:https://gitee.com/vesus198/springboot-demo/tree/master/springboot-jwt

vesus198
关注
  • 2
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
基于JWTSpringboot项目api接口安全服务
qq_39539238的博客
11-12 312
JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 JWT请求流程 1. 用户使用账号和面发出post请求;2. ...
SpringBoot项目——jwt 登录验证与编写前后端分离API
敲代码的小李同学的博客
08-06 1481
SpringBoot项目中,编写后端API,前端调用API,实现前后端分离方式 jwt 注册登录验证。
Springboot 开发 -- 集成 JWT 构建安全API接口服务
最新发布
dazhong2012的专栏
05-29 2607
通过上述步骤,我们成功地在SpringBoot项目中集成了JWT,实现了API接口服务的身份验证。JWT提供了一种安全、高效的方式来处理身份验证和信息交换,特别适合于微服务和分布式系统。然而,需要注意的是,JWT不适用于需要高度安全的场景,如支付系统,因为JWT一旦发出,就无法撤销,除非等到它自然过期。此外,由于JWT通常存储在客户端,因此它们容易受到跨站脚本攻击(XSS)的影响。
springboot整合jwtapi接口权限认证的demo
qq_33129875的博客
12-01 271
Demo介绍: 1,使用jwt工具类为使用者生成token 2,后续接口请求需要携带token header信息 3,拦截器进行token合法校验,成功方能获取数据。 demo git地址:https://github.com/RuofeiSun/springboot-jwt.git 项目依赖: <!--Spring框架基本的核心工具--> <dependency> <groupId>org.springframe..
Springboot3 + SpringSecurity + JWT + OpenApi3 实现认证授权
m0_71777195的博客
06-07 5646
目前全网最新的 Spring Security + JWT 实现双 Token 的案例!此项目由作者个人创作,可以供大家学习和项目实战使用,创作不易,转载请注明出处!该项目使用目前最新的 Sprin Boot3 版本,采用目前市面上最主流的 JWT 认证方式,实现双token刷新。温馨提示:SpringBoot3 版本必须要使用 JDK11 或 JDK19。
SpringBoot采用jwt作为REST API安全机制的应用示例
左直拳的马桶_日用桶
06-15 999
对外提供数据接口安全性是必须考虑的问题。JWT无需存储客户端状态,也无须预先分配api_key、secrity_key,仅需校验数据签名,检查时间戳,就能保证请求的身份信息的完整性和防止重放攻击;而对于客户端来说,也没有跨域问题,不失为一种轻量的REST API安全机制。......
JWT VS OAuth2, 如何设计一个安全API接口
Java笔记虾
11-16 414
点击关注公众号,利用碎片时间学习本文会详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT)假设:你已经或者正在实现API;你正在考虑选择一个合适...
Spring Boot Security OAuth2 实现支持JWT令牌的授权服务器源码.zip
03-25
Spring Boot Security OAuth2 是一个广泛使用的框架,用于构建安全、授权的API服务。本项目重点在于实现一个支持JWT(JSON Web Token)令牌的授权服务器,这将使我们能够为客户端提供安全的认证和授权。 首先,让...
开发Spring BootBootstrap视频课程下载整理.zip
08-21
在本压缩包“开发Spring BootBootstrap视频课程下载整理.zip”中,包含了关于Spring BootBootstrap的开发课程资源。这两个技术都是现代Web开发中的关键组件,Spring Boot简化了Spring框架的配置,而Bootstrap则...
spring boot 整合JWT+shiro
10-09
在本文中,我们将深入探讨如何将`Spring Boot`与`JWT (JSON Web Token)`和`Shiro`框架整合,以实现安全的身份验证和授权管理。`JWT`是一种轻量级的认证机制,常用于分布式系统中,而`Shiro`是Java的一个安全框架,...
Spring Boot 开发的 OAuth 认证服务器
11-05
本教程将深入讲解如何使用Spring Boot开发一个OAuth 2.0认证服务器。 1. **OAuth 2.0 概述** OAuth 2.0 是一种授权协议,允许第三方应用在用户许可的情况下访问其受保护的资源。它主要由四个角色构成:资源所有...
spring boot+jwt实现api的token认证详解
08-26
主要给大家介绍了关于spring boot+jwt实现api的token认证的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一学习学习吧
JWT+spring boot2完整项目.zip
12-30
Spring Boot简化了Spring应用的初始搭建以及开发过程,它集成了大量常用的第三方库配置,如数据源、JPA、MVC、安全等,使得开发者可以快速地创建一个独立的、生产级别的基于Spring的应用。 3. **JWT集成Spring ...
SpringBoot使用API KEY保护接口安全
weixin_43890927的博客
06-27 1568
在这里,我们检查请求头是否包含 API Key,如果为空 或者Key值不等于密钥,那么就抛出一个 BadCredentialsException。我们只需要实现doFilter()方法,在这个方法中我们从请求头中获取API Key,并将生成的Authentication对象设置到当前的SecurityContext实例中。API密钥是一个标记,用于向API客户端标识API,而无需引用实际用户。在本教程中,我们将讨论如何在Spring Security中实现基于API密钥的身份验证。
Spring Boot + JWT = 安全无忧的RESTful API
果酱 の 博客
01-03 770
如何在Spring Boot应用程序中使用JWT进行安全认证
spring boot 开发—第八篇整合OAuth2保证api接口安全
liuweilong07的专栏
05-25 8802
1、 OAuth 概念 OAuth 是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而不需要将用户名和密码提供给第三方应用。OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站在特定的时段内访问特定的资源。这样,OAuth让用户可以授权第三方网站访问他们存储在另外服务提...
SpringBoot】之接口设计防篡改和防重放攻击
王廷云的博客
09-12 5085
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全防范;最后介绍了如何通过参数加密和签名校验的方式进行有效防范。
学习SpringBootAPI安全解决方案
禅与计算机程序设计艺术
01-28 1061
1.背景介绍 在现代互联网应用中,API安全性是非常重要的。API安全性可以确保应用程序的数据和功能不被未经授权的用户访问或篡改。Spring Boot是一个用于构建Spring应用程序的框架,它提供了许多用于实现API安全性的功能。在本文中,我们将讨论如何学习Spring BootAPI安全解决方案。 1.背景介绍 API安全性是一项关键的信息安全措施,它旨在保护API的数据和功能免受未...
【项目实践】SpringBoot三招组合拳,手把手教你打出优雅的后端接口
RudeCrab的博客
03-24 2588
SpringBoot参数校验 + 全局异常处理 + 数据统一响应,手把手教你搭建优雅的后端接口体系
php开发接口jwt使用,PHP如何使用JWTApi接口身份认证的实现
06-01
JWT是一种基于JSON的Web Token,它可以用来在不同应用之间安全传递信息。在PHP开发中,可以使用一些第三方库来实现JWT的生成和验证。 下面是一个使用Firebase JWT库的示例代码: 首先,安装Firebase JWT库: ``` composer require firebase/php-jwt ``` 然后,使用以下代码来生成JWT: ```php use Firebase\JWT\JWT; $key = "secret_key"; $payload = array( "iss" => "example.org", "aud" => "example.com", "iat" => 1356999524, "nbf" => 1357000000 ); $jwt = JWT::encode($payload, $key); ``` 其中,$key是用于签名JWT的密钥,$payload是JWT的负载,可以包含任意信息。 使用以下代码来验证JWT: ```php use Firebase\JWT\JWT; $key = "secret_key"; $jwt = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJleGFtcGxlLm9yZyIsImF1ZCI6ImV4YW1wbGUuY29tIiwiaWF0IjoxMzU2OTk5NTI0LCJuYmYiOjEzNTcwMDAwMDB9.9hLZtLJb2bu7OzEgKle9fj1yL0qVQGGfjU6cR1fXVvY"; try { $decoded = JWT::decode($jwt, $key, array('HS256')); print_r($decoded); } catch (Exception $e) { echo 'Invalid token: ' . $e->getMessage(); } ``` 其中,$key是用于签名JWT的密钥,$jwt是要验证的JWT。如果验证成功,$decoded会包含JWT的负载信息。 需要注意的是,JWT只提供了身份认证,但没有提供授权和权限控制。在API接口中,还需要使用其他授权和权限控制技术来保护API资源的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值