【springboot进阶】jwt在前后端分离的最佳实践方式(二)

已于 2022-06-15 10:41:32 修改
阅读量1.1k 收藏 3
点赞数
分类专栏: springboot进阶应用 文章标签: java springboot web安全
于 2022-06-07 22:26:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lrb0677/article/details/125154321
版权
本文介绍了在支付宝小程序的用户认证登录场景下,如何使用JWT进行用户鉴权,并将JWT信息传递到Controller控制器。首先,展示了创建JWT并设置过期时间的过程,接着讲解了如何创建用户鉴权拦截器,注册拦截器以及参数解析器,确保JWT的有效性和将用户信息注入到Controller的方法参数中。最后,给出了Controller的示例,展示如何直接使用解析后的JWT用户信息。
摘要由CSDN通过智能技术生成

目录

一、实战场景

二、实战处理

创建用户鉴权拦截器

注册拦截器

参数解析器

添加解析器

控制器

第二小节,我们结合实战,看看在拦截器中如何校验jwt,又如何将jwt的载荷(payload)传递到controller控制器。

以下内容,我们用支付宝小程序场景来进行实战说明。

一、实战场景

支付宝小程序用户认证登录时序图

在支付宝小程序内,得到用户授权的authCode,经过支付宝授权平台认证通过后,由后端服务器生成对应用户的jwt,并返回给前端小程序,最终将其缓存起来,用于后续业务接口的调用。

对于能解密的密文,我们尽量的少暴露用户的信息,所以我们只会在jwt中保存用户的user_id和小程序的app_id。

//密钥secret
String JWT_USER_AUTH_SECRET = "qwerasdf123";
 
JWTCreator.Builder builder = JWT.create();
//添加claim
builder.withClaim("app_id", "20220606162783612");
builder.withClaim("open_id", "123456789");
//可根据实际情况,添加字段信息,数据以key-value方式保存

//设置JWT令牌的过期时间为一天
Calendar instance = Calendar.getInstance();
instance.add(Calendar.SECOND, 1 * 86400);
builder.withExpiresAt(instance.getTime());
//生成JWT
String token = builder.sign(Algorithm.HMAC256(JWT_USER_AUTH_SECRET));
System.out.println(token);

二、实战处理

一般用户鉴权可以写在过滤器或者是拦截器,从执行顺序来看,过滤器要比拦截器更靠前。

这两者的区别在于: 

  • Filter是依赖于Servlet容器,属于Servlet规范的一部分,而拦截器则是独立存在的,可以在任何情况下使用。
  • Filter的执行由Servlet容器回调完成,而拦截器通常通过动态代理的方式来执行。
  • Filter的生命周期由Servlet容器管理,而拦截器则可以通过IoC容器来管理,因此可以通过注入等方式来获取其他Bean的实例,因此使用会更方便。

创建用户鉴权拦截器

自定义的拦截器实现HandlerInterceptor,并重写preHandle方法,对请求进行拦截,校验请求附带的jwt是否合法。

public class AuthenticationInterceptor implements HandlerInterceptor {

    
    /***
     * 在请求处理之前进行调用(Controller方法调用之前)
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        
        
        //如果不是映射到方法直接通过
        if(!(handler instanceof HandlerMethod)) {
            return true;
        }

        //判断是否为通行注解,这里通过注解的方式,能灵活放行一些不需要鉴权的方法
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        //这个注解是加在方法上,所以从方法上获取这个注解
        Method method = handlerMethod.getMethod();
        if(method.isAnnotationPresent(PassAuthToken.class)) {
            PassAuthToken passAuthToken = method.getAnnotation(PassAuthToken.class);
            if (passAuthToken.required()) {
                return true;
            }
        }

        //从头部获取授权信息
        String authorization = request.getHeader("Authorization");
        if (StrUtil.isEmpty(authorization)) {//如果授权信息为空,则抛出异常,中断请求链
            //抛出自定义异常后,由统一异常处理类返回对应错误信息
            throw new AuthException("授权信息为空");
        }

        //此时的授权信息为'Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoiMTIzNDU2IiwidXNlcl9uYW1lIjoi5byg5LiJIiwiZXhwIjoxNjU0NTI2MDU5fQ.MCuHhUOoRkMeabCk2SlfubDAL7ZgOopn7nti5QDaEhY'
        String[] tokens = authorization.split(" ");
        if (null == tokens || tokens.length != 2 || StrUtil.isBlank(tokens[1])) {
            throw new AuthException("未找到授权信息");
        }
        
        //后面的部分才是我们生成的jwt
        String token = tokens[1];
        //获取jwt里面的用户信息
        JwtUser jwtUser = this.getJwtUser(token);

        //将用户信息通过request传递到下一层,然后通过解析器将用户信息加到方法参数上
        request.setAttribute("CurrentUser", jwtUser);
        
        //返回true,则代表放行
        return true;
    }    

    /**
     * 获取jwt的用户信息
     *
     * @param token
     * @return
     */
    private JwtUser getJwtUser(String token) throws AuthException {

        DecodedJWT jwt = this.getDecodedJWT(PublicConstants.JWT_USER_AUTH_SECRET, token);
        if (ObjectUtil.isNotEmpty(jwt)) {
            JSONObject userJson = this.convertClaimToJson(jwt);
            if (ObjectUtil.isNotEmpty(userJson)) {
                //jwt的用户信息bean
                JwtUser jwtUser = new JwtUser();
                //封装平台app_id
                String appId = userJson.getString("app_id");
                jwtUser.setAppId(appId);
                //封装用户open_id
                String openId = userJson.getString("open_id");
                jwtUser.setOpenId(openId);
                //这里可以通过openId查询数据库,封装一些其他的用户信息,让它带到后面的控制器参数上

                return jwtUser;
            }
        }

        return null;
    }


     /**
     * 获取解密jwt信息
     *
     * @param secret
     * @param token
     * @return
     */
    private DecodedJWT getDecodedJWT(String secret, String token) throws AuthException {
        Algorithm algorithm = Algorithm.HMAC256(secret);
        JWTVerifier verifier = JWT.require(algorithm).build();

        try {
            //先使用常规接口的秘钥
            DecodedJWT jwt = verifier.verify(token);
            return jwt;
        } catch (Exception e) {
            throw new AuthException("授权信息错误");
        }
    }

}

要将jwt拿到的用户信息传递到controller控制器,这一行是重点。

request.setAttribute("CurrentUser", jwtUser);

注册拦截器

集成WebMvcConfigurationSupport,重写addInterceptors方法,加入我们自定义的拦截器。需要注意的是自定义的拦截器需要使用bean方式声明,这样才能够在拦截器中注入其他的bean。

@Configuration
public class WebMvcConfig extends WebMvcConfigurationSupport {

    //这里以bean的方式声明拦截器,那么在拦截器中才可以注入其他的bean,例如注入用户service,用于查询用户表信息等
    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }

    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        //这里可以定义拦截器的路径
        registry.addInterceptor(authenticationInterceptor()).addPathPatterns("/api/**");
    }    

}

参数解析器

自定义的参数解析器,实现HandlerMethodArgumentResolver,重写supportsParameter方法,定义支持的参数;重写resolveArgument方法,分解实参。

public class JwtUserArgumentResolver implements HandlerMethodArgumentResolver {

    //定义这个解析器要处理什么,当方法返回true,才会执行下面的resolveArgument方法
    @Override
    public boolean supportsParameter(MethodParameter methodParameter) {
        Class<?> clazz = methodParameter.getParameterType();
        return clazz == JwtUser.class;
    }

    @Override
    public Object resolveArgument(MethodParameter methodParameter, ModelAndViewContainer modelAndViewContainer, NativeWebRequest nativeWebRequest, WebDataBinderFactory webDataBinderFactory) {
        //获取当前请求对象
        HttpServletRequest request = nativeWebRequest.getNativeRequest(HttpServletRequest.class);

        //从拦截器传递的请求链中获取用户信息
        JwtUser jwtUser = (JwtUser) request.getAttribute("CurrentUser");

        return jwtUser;
    }
}

这里有个地方需要注意,就是controller控制器的JwtUser参数必须要放在第一位,否则无法注入成功。

添加解析器

@Configuration
public class WebMvcConfig extends WebMvcConfigurationSupport {

    //这里以bean的方式声明拦截器,那么在拦截器中才可以注入其他的bean,例如注入用户service,用于查询用户表信息等
    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }

    //添加参数解析器
    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
        argumentResolvers.add(new JwtUserArgumentResolver());
    }

    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        //这里可以定义拦截器的路径
        registry.addInterceptor(authenticationInterceptor()).addPathPatterns("/api/**");
    }    

}

控制器

在控制器中,在方法上直接填入JwtUser,从参数解析器里面就可以实现自动注入jwt的信息。

@RestController
@RequestMapping("/api/user")
public class UserController {

	@Resource
	UserService userService;

	@GetMapping("/info")
    public Result userPlayTimes(JwtUser jwtUser) {

        String openId = jwtUser.getOpenId();

        UserInfo userInfo = userService.getByOpenId(openId);

        return ResultUtil.success(userInfo);
    }
	
}

SpringBoot2.2.6 整合Jwt实现前后端分离
04-23
SpringBoot2.2.6整合MyBatis3.5.4,利用JWT技术实现前后端分离 数据库采用的是MySQL
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip
07-02
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+...
全网最详细教程:前后端分离项目JWT解决方案
qq_14853853的博客
12-30 2051
目录前言:1.JWT介绍1.1什么是JWT1.2结构解析headerpayloadSignature1.3小结2.环境搭建2.1引入依赖2.2工具类2.3后端主要代码讲解2.4前端主要代码3.总结 前言: 本文主要讲解谷歌浏览器80版本session不一致问题的解决方案,方案一大家可以看看这篇文章,是基于session的方式传送门。 提示:这里简述项目相关背景: 例如:项目场景:示例:通过蓝牙芯片(HC-05)与手机 APP 通信,每隔 5s 传输一批传感器数据(不是很大) 1.JWT介绍 1.1什么是
springsecurity+jwt实现前后端分离认证授权
最新发布
qq_30166465的博客
09-20 779
Spring Security 中文文档Spring Security是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。Spring Security基于过滤器链的概念,可以轻松地集成到任何基于Spring的应用程序中。它支持多种身份验证选项和授权策略,开发人员可以根据需要选择适合的方式。此外,Spring Security还提供了一些附加功能,如集成第三方身份验证提供商和单点登录,以及会话管理和密码编码等。
springboot进阶jwt前后端分离最佳实践方式(一)
06-05 1186
了解前后端分离的背景,session技术和token技术的差异,jwt的组成和应用
【深入浅出 Spring Security(十三)】使用 JWT 进行前后端分离认证(附源码)
qq_63691275的博客
07-07 4314
使用JWT进行前后端分离认证实现,其后端主要实现其实就是分为俩步(在已经封装好JWT生成和验证工具类的基础上),第一步就是登录认证成功后如何将生成的 jwt 响应给前端?——在AuthenticationSuccessHandler中进行实现;第步就是前端携带该 jwt 向服务器端发送请求后,如何去认证该请求?——去重写BasicAuthenticationFilter中的doFilterInternal方法,在此方法中进行认证即可...
SpringBoot2+ JWT 前后端分离 自定义token 校验,及自定义全局异常处理
u014212540的博客
07-16 1050
SpringBoot2 + JWT 实现微信小程序登录, token 校验 及 自定义全局异常处理
SpringBootSecurity学习(13)前后端分离版之JWT
Blues的专栏
10-04 1700
JWT 使用 前面简单介绍了把默认的页面登录改为前后端分离的接口异步登录的方法,可以帮我们实现基本的前后端分离登录功能。但是这种基本的登录和前面的页面登录还有一个一样的地方,就是使用session和cookie来维护登录状态,这种方法的问题在于,扩展性不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。 一种解...
基于springboot和vue前后端分离的博客系统+源代码+文档说明
11-28
后端采用springboot实现,使用shiro和jwt做用户认证和授权,redis做nosql缓存,项目部署在宝塔面板上。 #### **技术栈** **前端** | 名称 | 技术点 | | ---------- | ------------------------- | | 基础 | vue...
基于SpringBoot+Mybatis-Plus+JWT 前后端分离的社区系统源码.zip
08-30
Plus+JWT 前后端分离的社区系统源码.zip基于SpringBoot+Mybatis-Plus+JWT 前后端分离的社区系统源码.zip基于SpringBoot+Mybatis-Plus+JWT 前后端分离的社区系统源码.zip基于SpringBoot+Mybatis-Plus+JWT 前后端分离...
基于 SpringBoot、Spring Security、JWT前后端分离权限管理系统+源代码+文档说明
11-28
- 高效率开发,使用代码生成器可以一键生成前后端代码。 ## 功能 - 用户管理:用户是系统操作者,该功能主要完成系统用户配置。 - 部门管理:配置系统组织机构(公司、部门、小组),树结构展现支持数据权限。 - ...
毕业设计&课设-基于 SpringBoot、Spring Security、JWT前后端分离权限管理系统.zip
06-16
2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。...
SpringBoot实现JWT保护前后端分离RESTful API
weixin_30865427的博客
10-13 212
原文链接:https://www.jianshu.com/p/e62af4a217eb 通常情况下, 将api直接暴露出来是非常危险的. 每一个api呼叫, 用户都应该附上额外的信息, 以供我们认证和授权. 而JWT是一种既能满足这样需求, 而又简单安全便捷的方法. 前端login获取JWT之后, 只需在每一次HTTP呼叫的时候添加上JWT作为HTTP Header即可. 本文将用不到...
一步步带你了解前后端分离利器之JWT
徐刘根的博客
01-30 8346
一、HTTP的无状态性 HTTP 是无状态协议,它不对之前发送过的请求和响应的状态进行管理。也就是说,无法根据之前的状态进行本次的请求处理。假设要求登录认证的 Web 页面本身无法进行状态的管理(不记录已登录的状态),那么每次跳转新页面不是要再次登录,就是要在每次请求报文中附加参数来管理登录状态。 不可否认,无状态协议当然也有它的优点。由于不必保存状态,自然可减少服务器的 CPU 及内存资源的
谈谈前后端分离及认证选择
汉堡请不要欺负面条
09-30 563
什么是前后端分离?为什么要前后端分离前后端分离,说的更多的是一种架构上的概念。在传统的web架构中,比如经典的MVC,会分数据层、逻辑层、视图层。这个视图层即我们所说的前端了,映射到代码层面,就是html、js、css等代码文件。数据层和逻辑层更多的是后端部分,例如我们的.java、.go、.py等文件。这些文件会在一个工程中,并不会单独的开发、测试、部署。 在前后端分离的架构中,前端和后端是分开的,分别在不同的工程中。前端有专门的前端开发人员来进行开发、测试,后端则有后端开发人员来进行开发..
前后端分离:最基础的SpringBoot+JWT实现登陆认证(附完整项目GitHub地址)
欢迎来到「小菠萝」的博客
02-18 1529
JWT官网地址:https://jwt.io/ 1. SpringBoot-JWT Demo结构 2. 数据库准备 只需要一张user表,用于保存用户的用户名和密码。 SET NAMES utf8mb4; SET FOREIGN_KEY_CHECKS = 0; -- ---------------------------- -- Table structure for user...
jwt配置 restful_SpringBoot实现JWT保护前后端分离RESTful API
weixin_29615645的博客
01-14 225
本文将用不到100行Java代码, 教你如何在Spring Boot里面用JWT保护RESTful api.登录前登录之后即可得到正确结果登陆后1. 什么是JWT了解JWT的同学可以跳过这一部分废话少说, 我们先看看什么是JWT. JSON Web Token其实就是一个包含认证数据的JSON, 大概长这样子分三个部分,第一部分{"alg":"HS512"}是签名算法第部分{"exp":149...
SpringScurity+JWT实战讲解前后端分离
qq_51269815的博客
05-16 421
一:编写登录成功和失败处理器 :LoginSuceessHandler @Component public class LoginSuceessHandler implements AuthenticationSuccessHandler { @Autowired JwtUtils jwtUtils; @Override public void onAuthenticationSuccess(HttpServletRequest request, HttpServletRes
前后端分离Springboot+shirt+jwt
niulinbiao的博客
06-17 177
前后端分离Springboot+shirt+jwt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

reui

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值