Springboot JWT实现接口鉴权

已于 2024-07-03 09:50:11 修改
阅读量181 收藏
点赞数 3
文章标签: java 开发语言 spring boot
于 2024-06-28 11:04:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lovely0321/article/details/140037486
版权

接口权限拦截器

import com.auth0.jwt.JWT;
import com.auth0.jwt.exceptions.JWTDecodeException;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang.StringUtils;
import org.junit.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.crypto.spec.SecretKeySpec;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.reflect.Method;
import java.security.Key;
import java.util.List;
import java.util.Map;


/**
 * 接口权限拦截器
 *
 */
@Slf4j
public class AuthenticationInterceptor implements HandlerInterceptor {

    public static final String jwtSecret = "ABCDEFGHIJKLMNOPQRSTUVMXYZABCDEFGHIJKLMNOPQRSTUVMXYZABCDEFGHIJKLMNOPQRSTUVMXYZABCDEFGHIJKLMNOPQRSTUVMXYZ";

    public static final String BASIC_TOKEN_PREFIX = "Basic ";

    public static final String NUC_COOKIE_NAME = "_a";

    public static final String HEADER = "UserInfo";

    public static final String HEAD_TOKEN = "Authorization";

    @Autowired
    AppService appService;

    protected Claims checkToken(HttpServletRequest req) {
        String[] headers = {HEADER, HEAD_TOKEN};
        String tokenString = getTokenString(req, headers, NUC_COOKIE_NAME);
        log.info("tokenString:" + tokenString);
        if (StringUtils.isNotEmpty(tokenString)) {
            return decryptJwtToken(tokenString);
        }
        return null;
    }

    /**
     * 获取token,优先从header获取,再从cookie获取
     *
     * @param req
     * @return
     */
    public static String getTokenString(HttpServletRequest req, String[] headerKeys, String cookieName) {
       
        for (String header : headerKeys) {
            String tokenString = req.getHeader(header);
            if (!StringUtils.isEmpty(tokenString)) {
                return tokenString;
            }
        }
        
        Cookie tokenCookie = getCookieByName(req, cookieName);
        if (tokenCookie != null) {
            return tokenCookie.getValue();
        }
        return null;
    }

    public static Cookie getCookieByName(HttpServletRequest req, String cookieName) {
        if (req.getCookies() != null) {
            Cookie[] var3 = req.getCookies();
            int var4 = var3.length;
            for (int var5 = 0; var5 < var4; ++var5) {
                Cookie cookie = var3[var5];
                if (StringUtils.equals(cookieName, cookie.getName())) {
                    return cookie;
                }
            }
        }
        
        return null;
    }

    public Claims decryptJwtToken(String jwt) {
        try {
            Claims claims = Jwts.parser()
                    .setSigningKey(generateKey())
                    .parseClaimsJws(jwt.substring(BASIC_TOKEN_PREFIX.length())).getBody();
            return claims;
        } catch (Exception e) {
            return null;
        }
    }

    private Key generateKey() {
        Key signingKey = new SecretKeySpec(jwtSecret.getBytes(), SignatureAlgorithm.HS512.getJcaName());
        return signingKey;
    }

    private boolean localCheckToken(HttpServletRequest request, Object object) {
        // 从 http 请求头中取出 token
        String token = request.getHeader("Token");
        log.info("Token串:" + token);
        // 如果不是映射到方法直接通过
        if (!(object instanceof HandlerMethod)) {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) object;
        Method method = handlerMethod.getMethod();
        //检查是否有LoginToken注释,有则跳过认证
        if (method.isAnnotationPresent(LoginToken.class)) {
            LoginToken loginToken = method.getAnnotation(LoginToken.class);
            if (loginToken.required()) {
                return true;
            }
        }

        //检查有没有需要用户权限的注解
        if (method.isAnnotationPresent(CheckToken.class)) {
            CheckToken checkToken = method.getAnnotation(CheckToken.class);
            if (checkToken.required()) {
                // 执行认证
                if (token == null) {
                    throw new RuntimeException("无token,请重新获取!");
                }
                // 获取 token 中的 app id
                String appId;
                try {
                    appId = JWT.decode(token).getClaim("appId").asString();
                } catch (JWTDecodeException j) {
                    throw new RuntimeException("token解析异常");
                }
                AppQuery appQuery = new AppQuery();
                appQuery.setAppId(appId);
                PageBean<AppVO> pageBean = appService.queryApp(appQuery);
                if (pageBean.getList() == null || pageBean.getList().size() == 0 || appId == null) {
                    throw new RuntimeException("应用不存在,请先申请!");
                }
                Boolean verify = JwtUtil.isVerify(token, pageBean.getList().get(0));
                if (!verify) {
                    throw new RuntimeException("非法访问!");
                }
                
                return true;
            }
        }
        return true;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
          return localCheckToken(request, handler);
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }

    @Test
    public void test() {
        String jwt = "5001062a21696331e6ad87e6f2f7a76db744a1239c86350038f266166728b86a11aa6c70d794c738745d012062912ff93d47";
        decryptJwtToken(jwt);
    }
}

jwt生成token工具类

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

/**
 * jwt生成token工具类
 */
public class JwtUtil {

    /**
     * 用户登录成功后生成Jwt
     * 使用Hs256算法  私匙使用用户密码
     *
     * @param ttlMillis jwt过期时间
     * @param app      登录成功的app对象
     * @return
     */
    public static String createJWT(long ttlMillis, AppVO app) {
        //指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        //生成JWT的时间
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);

        //创建payload的私有声明(根据特定的业务需要添加,如果要拿这个做验证,一般是需要和jwt的接收方提前沟通好验证方式的)
        Map<String, Object> claims = new HashMap<String, Object>();
        claims.put("appId", app.getAppId());
        claims.put("appKey", app.getAppKey());
        claims.put("appSecret", app.getAppSecret());

        //生成签名的时候使用的秘钥secret,这个方法本地封装了的,一般可以从本地配置文件中读取,切记这个秘钥不能外露哦。它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
        String key = app.getAppSecret();
        //生成签发人
        String subject = app.getAppKey();

        //下面就是在为payload添加各种标准声明和私有声明了
        //这里其实就是new一个JwtBuilder,设置jwt的body
        JwtBuilder builder = Jwts.builder()
                //如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setClaims(claims)
                //设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。
                .setId(UUID.randomUUID().toString())
                //iat: jwt的签发时间
                .setIssuedAt(now)
                //代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可以存放什么userid,roldid之类的,作为什么用户的唯一标志。
                .setSubject(subject)
                //设置签名使用的签名算法和签名使用的秘钥
                .signWith(signatureAlgorithm, key);
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            //设置过期时间
            builder.setExpiration(exp);
        }
        return builder.compact();
    }


    /**
     * Token的解密
     * @param token 加密后的token
     * @param app  应用对象
     * @return
     */
    public static Claims parseJWT(String token, AppQuery app) {
        //签名秘钥,和生成的签名的秘钥一模一样
        String key = app.getAppSecret();

        //得到DefaultJwtParser
        Claims claims = Jwts.parser()
                //设置签名的秘钥
                .setSigningKey(key)
                //设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims;
    }


    /**
     * 校验token
     * 在这里可以使用官方的校验,我这里校验的是token中携带的密码于数据库一致的话就校验通过
     * @param token
     * @param app
     * @return
     */
    public static Boolean isVerify(String token, AppVO app) {
        //签名秘钥,和生成的签名的秘钥一模一样
        String key = app.getAppSecret();

        //得到DefaultJwtParser
        Claims claims = Jwts.parser()
                //设置签名的秘钥
                .setSigningKey(key)
                //设置需要解析的jwt
                .parseClaimsJws(token).getBody();

        if (claims.get("appSecret").equals(app.getAppSecret())) {
            return true;
        }

        return false;
    }

}

import com.fasterxml.jackson.annotation.JsonIgnoreProperties;
import io.swagger.annotations.ApiModel;
import io.swagger.annotations.ApiModelProperty;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
## 查询应用Bean
/**
 * 应用
 */
@Data
@ApiModel
@AllArgsConstructor
@NoArgsConstructor
@JsonIgnoreProperties(ignoreUnknown=true)
public class AppQuery {
    @ApiModelProperty(value = "应用ID")
    private String appId;
    @ApiModelProperty(value = "应用key")
    private String appKey;
    @ApiModelProperty(value = "应用秘钥")
    private String appSecret;
    @ApiModelProperty(value = "系统标识")
    private String systemKey;
    @ApiModelProperty(value = "系统名称")
    private String systemName;
}

应用返回的bean

import io.swagger.annotations.ApiModel;
import io.swagger.annotations.ApiModelProperty;
import lombok.Data;

/**
 * 应用
 * 
 */
@Data
@ApiModel
public class AppVO {
    @ApiModelProperty(value = "应用Id")
    private String appId;
    @ApiModelProperty(value = "应用账号")
    private String appKey;
    @ApiModelProperty(value = "应用秘钥")
    private String appSecret;
    @ApiModelProperty(value = "系统标识")
    private String systemKey;
    @ApiModelProperty(value = "系统名称")
    private String systemName;
    @ApiModelProperty(value = "创建人")
    private String createdUser;
    @ApiModelProperty(value = "更新人")
    private String updatedUser;
    @ApiModelProperty(value = "创建日期")
    private String createdDate;
    @ApiModelProperty(value = "更新日期")
    private String updatedDate;
    @ApiModelProperty(value = "是否有效")
    private String isValid;
}

接口权限注解

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 接口权限
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface CheckToken {
    boolean required() default true;
}

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 接口权限注解
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginToken {
    boolean required() default true;
}

Controller

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;
import org.apache.commons.lang3.StringUtils;
import org.codehaus.jra.Put;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.ui.Model;
import org.springframework.validation.annotation.Validated;
import org.springframework.web.bind.annotation.*;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

@Api(tags = "提供业务系统接口")
@RestController
@RequestMapping({"/api/v1/"})
public class ExternalController {
    private Logger logger = LoggerFactory.getLogger(ExternalController.class);

    @ApiOperation("获取token")
    @PostMapping(value = "getToken")
    public WebResponse token(@RequestBody AppQuery app) {
        AppVO appVO = appService.queryAppByAppKey(app);
        if (appVO == null) {
            return WebResponse.buildFail("appKey或appSecret校验不通过!");
        }
        String token = JwtUtil.createJWT(900000, appVO);
        return WebResponse.buildSuccess(token, "获取token成功!");
    }

 
    @ApiOperation("查询用户")
    @PostMapping(value = "users", consumes = {"application/json"})
    @CheckToken
    public WebResponse getUserList(
            @RequestBody @Validated WebRequest<UserRequestDTO> body) {
        return new WebResponse(thirdService.getUserList(body.getBody()));
    }
}
c小小贝壳
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot+jwt做登录(附完整代码)
qq_45821255的博客
09-06 2404
jwt做登录
基于springboot+oauth2.0+jwtToken认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
太顶了!简单几行代码,优雅的实现 SpringBoot 项目
m0_71777195的博客
05-10 922
Sa-Token是一个轻量级Java限认证框架。主要解决的问题如下:登录认证限认证单点登录OAuth2.0分布式Session会话微服务网关等一系列限相关问题。Sa-Token框架是一个轻量级的登录、框架,有利于我们开发。Sa-Token框架的官方文档:https://sa-token.cc/doc.html#/
对接第三方接口(Spring Boot+Aop+注解实现Api接口签名验证)
刘皇叔说Java的博客
01-02 4340
一个web系统,从接口的使用范围也可以分为对内和对外两种,对内的接口主要限于一些我们内部系统的调用,多是通过内网进行调用,往往不用考虑太复杂的操作。但是,对于对外的接口,我们就不得不重视这个问题,外部接口没有做的操作就直接发布到互联网,而这不仅有暴露数据的风险,同时还有数据被篡改的风险,严重的甚至是影响到系统的正常运转方案一:Spring Boot+Aop+注解实现Api接口签名验证方案二:在已有接口上,拦截器拦截,接口路径,白名单匹配。
如何在SpringBoot项目中使用JWT实现接口功能
francis的博客
03-18 3235
一、简介JWTJWT由Header(请求头)、Payload(携带的用户信息)、Signature(加密后生成的签名)三部分组成,也就是我们用过JWT所眼熟的header.payload.signature。JWT可以自定义Signing Key,能够有效的防止伪造或篡改token签名。 二、思考: 为什么要接口?怎样的业务场景下需要使用功能? ...
基于Springboot Aop实现注解式框架
Codewarning
10-16 1810
使用spring boot AOP开发的轻量级、简单的注解定角色和限的框架
Springboot四种实现方式各自的优缺点
TaloyerG的博客
08-28 1104
AOP(面向切面编程)是一种编程思想和技术,它可以在不修改原有代码的情况下,在程序运行时动态地将一些通用功能插入到指定位置,比如日志记录,事务管理,性能监控等。:Spring Security是一个基于Spring的安全框架,它提供了一套完整的安全解决方案,包括认证,授,密码加密,会话管理,攻击防护等。:过滤器是基于Servlet规范的一种机制,它可以在请求到达Servlet之前或之后进行过滤和处理,比如编码转换,压缩传输,安全检查等。
实现 jwt - SpringBoot + 微服务
weixin_62645763的博客
04-08 1413
jwt 服务auth-service和 user-service 用户服务为例,auth-service 和 user-service 两个项目位于目录同级,项目结构如下。写在 auth-service 里,主要逻辑就是在 controller 层,示例如下。
springboot项目jwt认证(企业级实现方案)
qq_45443475的博客
03-15 577
Resource@Override// 从 http 请求头中取出 token// 如果不是映射到方法直接通过if(!//检查是否有passtoken注释,有则跳过认证logger.info("=====pass token 跳过token 拦截=====");// 执行认证logger.info("请求路径:" + httpServletRequest.getRequestURI());
SpringBoot集成Spring Security用JWT令牌实现登录和的方法
08-19
在本文中,我们将深入探讨如何在SpringBoot应用中集成Spring Security并使用JWT(Json Web Token)来实现用户登录和。首先,我们先理解JWT的基本概念。 **1. JWT概念** JWT是一种开放标准(RFC 7519),用于在...
SpringBoot集成SpringSecurity和JWT做登陆实现
08-19
在本文中,我们将深入探讨如何使用SpringBoot与SpringSecurity及JWT(JSON Web Token)结合,以实现登录功能。SpringBoot因其简化配置和与其他框架的无缝集成,成为了开发小型应用的理想选择。前后端分离的架构...
springboot + jwt + websocket + 拦截
09-02
在IT行业中,Spring Boot、JWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统中实现的一种中间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
springboot-wx:微信小程序-基于SpringBoot实现Maven聚合,分为core核心模块,service服务模块,gateway对外网关模块,目前已经实现Shriojwt监控,为小程序提供统一规范接口,以及小程序配套后台
05-14
- w.b1.wx-apps 大概需要的实现的功能模块微信小程序Java和后台1.整合小程序2.接口服务3.对外提供api网关服务2.代码模块的具体划分1.wx-apps-core一些基本的Core信息,登录校验,全局的常量,枚举类,base基类的抽取,...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 310
1.导入hutool的maven依赖。2.复制一下代码执行。
golang 接口
m0_70982551的博客
07-24 1096
接口定义了一组方法,这些方法没有具体的实现接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现接口中定义的所有方法。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 145
1.导入hutool的maven依赖。2.直接复制一下代码运行。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 589
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot+springseurity+jwt进行登录
08-03
Spring Boot是一个基于Spring框架的快速开发的工具,它简化了Spring应用程序的配置和部署。 Spring Security是一个用于身份验证和授的强大框架,它提供了一种灵活的方式来保护应用程序的安全性。 JWT(JSON Web Token)是一种用于安全传输信息的开放标准,它使用JSON对象进行安全传输。它是一种无状态的方式,服务器不需要存储用户的状态信息。 在使用Spring Boot和Spring Security进行登录时,可以借助JWT来进行身份验证。 首先,需要配置Spring Security来处理用户的登录请求和验证。可以使用Spring Security提供的身份验证过滤器来进行用户名和密码的验证。验证成功后,可以生成一个JWT,并返回给客户端。 在客户端接收到JWT后,将其存储在本地(通常是在前端的Cookie或LocalStorage中)。在进行后续的请求时,需要将JWT作为请求的头部信息中的Authorization字段发送给服务器。 服务器在接收到请求时,会先验证JWT的合法性,验证通过后可以根据JWT中的信息来进行后续的操作。 可以在服务器端配置一个自定义的JWT过滤器,用于验证JWT的合法性,并根据JWT中的信息来进行操作。可以根据需要从JWT中解析出用户的角色和限信息,并根据这些信息来进行接口的访问控制。 通过以上的配置,可以实现基于Spring Boot、Spring Security和JWT的登录机制。这样可以保证系统的安全性,同时也能提高开发效率和灵活性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值