JWT在项目中的简单应用

最新推荐文章于 2022-11-12 13:51:49 发布
最新推荐文章于 2022-11-12 13:51:49 发布
阅读量791 收藏 5
点赞数 1
分类专栏: java 文章标签: java jwt spring boot spring 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37825219/article/details/108962776
版权

JWT在项目中的简单应用

JWT介绍

JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串。

JWT的项目应用

引入依赖:

 <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>

定义两个自定义注解,LoginToken表示登陆,可以跳过token验证。CheckToken需要做token验证。

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface LoginToken {
    boolean required() default true;
}
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface CheckToken {
    boolean required() default true;
}

定义生成token的JWT工具类,包含了token的生成、校验、刷新等。

/**
 * @ClassName: JwtUtil
 */
public class JwtUtil {

    //有效时间,如果有效时间小于20分钟,刷新token
    public final static Integer checkDate = 20*60*1000;
    public final static Integer validDate = 30*60*1000;
    public final static String TOKEN = "token";

    /**
     * 用户登录成功后生成Jwt
     * 使用Hs256算法  私匙使用用户密码
     *
     * @param ttlMillis jwt过期时间
     * @param user      登录成功的user对象
     * @return
     */
    public static String createJWT(long ttlMillis, User user) {
        //指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        //生成JWT的时间
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);

        //创建payload的私有声明(根据特定的业务需要添加,如果要拿这个做验证,一般是需要和jwt的接收方提前沟通好验证方式的)
        Map<String, Object> claims = new HashMap<String, Object>();
        claims.put("id", user.getId());
        claims.put("username", user.getUsername());
        claims.put("password", user.getPassword());

        //生成签名的时候使用的秘钥secret,这个方法本地封装了的,一般可以从本地配置文件中读取,切记这个秘钥不能外露哦。它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
        String key = user.getPassword();

        //生成签发人
        String subject = user.getUsername();

        //下面就是在为payload添加各种标准声明和私有声明了
        //这里其实就是new一个JwtBuilder,设置jwt的body
        JwtBuilder builder = Jwts.builder()
                //如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setClaims(claims)
                //设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。
                .setId(UUID.randomUUID().toString())
                //iat: jwt的签发时间
                .setIssuedAt(now)
                //代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可以存放什么userid,roldid之类的,作为什么用户的唯一标志。
                .setSubject(subject)
                //设置签名使用的签名算法和签名使用的秘钥
                .signWith(signatureAlgorithm, key);
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            //设置过期时间
            builder.setExpiration(exp);
        }
        return builder.compact();
    }

    /**
     * Token的解密
     * @param token 加密后的token
     * @param user  用户的对象
     * @return
     */
    public static Claims parseJWT(String token, User user) {
        //签名秘钥,和生成的签名的秘钥一模一样
        String key = user.getPassword();

        //得到DefaultJwtParser
        Claims claims = Jwts.parser()
                //设置签名的秘钥
                .setSigningKey(key)
                //设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims;
    }

    /**
     * 校验token
     * 在这里可以使用官方的校验,我这里校验的是token中携带的密码于数据库一致的话就校验通过
     * @param token
     * @param user
     * @return
     */
    public static String isVerify(String token, User user) {
        try {
            //签名秘钥,和生成的签名的秘钥一模一样
            String key = user.getPassword();

            //得到DefaultJwtParser
            Claims claims = Jwts.parser()
                    //设置签名的秘钥
                    .setSigningKey(key)
                    //设置需要解析的jwt
                    .parseClaimsJws(token).getBody();
            if (claims == null) {
                return null;
            }
            if (claims.get("password").equals(user.getPassword())) {
                return refreshJwt(token,claims,user);
            }
            return null;
        } catch (ExpiredJwtException e) {
            e.printStackTrace();
        } catch (UnsupportedJwtException e) {
            e.printStackTrace();
        } catch (MalformedJwtException e) {
            e.printStackTrace();
        } catch (SignatureException e) {
            e.printStackTrace();
        } catch (IllegalArgumentException e) {
            e.printStackTrace();
        }
        return  null;
    }
    /***
     * 刷新token,区分不同功能的配置
     * @param claims
     * @return
     */
    private static String refreshJwt(String jwt, Claims claims,User user) {
        Date exp = claims.getExpiration();
        // 当 过期时间-当前时间(分)<配置时间 时刷新
        if ( exp.getTime()-System.currentTimeMillis() <= checkDate) {
            String newjwt = createJWT(validDate, user);
            if (newjwt != null) {
                return newjwt;
            }
        }
        return jwt;
    }
}

定义拦截器:

/**
 * @ClassName: AuthenticationInterceptor
 * @Description: 拦截器
 */
public class AuthenticationInterceptor  implements HandlerInterceptor {

    @Autowired
    UserService userService;

    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {

        // 从 http 请求头中取出 token
        String token = httpServletRequest.getHeader("token");
        // 如果不是映射到方法直接通过
        if (!(object instanceof HandlerMethod)) {
            return true;
        }

        HandlerMethod handlerMethod = (HandlerMethod) object;
        Method method = handlerMethod.getMethod();
        //检查是否有LoginToken注释,有则跳过认证
        if (method.isAnnotationPresent(LoginToken.class)) {
            LoginToken loginToken = method.getAnnotation(LoginToken.class);
            if (loginToken.required()) {
                return true;
            }
        }

        //检查有没有需要用户权限的注解
        if (method.isAnnotationPresent(CheckToken.class)) {
            CheckToken checkToken = method.getAnnotation(CheckToken.class);
            if (checkToken.required()) {
                // 执行认证
                if (token == null) {
                    throw new RuntimeException("无token,请重新登录");
                }
                // 获取 token 中的 user id
                String userId;
                try {
                    userId = JWT.decode(token).getClaim("id").asString();
                } catch (JWTDecodeException j) {
                    throw new RuntimeException("访问异常!");
                }
                User user = userService.findUserById(userId);
                if (user == null) {
                    throw new RuntimeException("用户不存在,请重新登录");
                }
                String jwt = JwtUtil.isVerify(token, user);
                if (StringUtils.isEmpty(jwt)) {
                    throw new RuntimeException("非法访问!");
                }
                httpServletResponse.setHeader(JwtUtil.TOKEN,jwt);
                return true;
            }
        }
        return true;
    }
    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
    }
    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }
}

拦截器的配置:

@Configuration
public class InterceptorConfig  implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**");    // 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录
    }

    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }
}

测试方法

@RestController
@RequestMapping("/api")
public class UserController {
    @Autowired
    private UserService userService;

    //登录
    @PostMapping("/login")
    @LoginToken
    public Object login(@RequestBody @Valid User user) {

        JSONObject jsonObject = new JSONObject();
        User userForBase = userService.findByUsername(user);
        if (userForBase == null) {
            jsonObject.put("message", "登录失败,用户不存在");
            return jsonObject;
        } else {
            if (!userForBase.getPassword().equals(user.getPassword())) {
                jsonObject.put("message", "登录失败,密码错误");
                return jsonObject;
            } else {
                String token = JwtUtil.createJWT(JwtUtil.validDate, userForBase);
                jsonObject.put("token", token);
                jsonObject.put("user", userForBase);
                return jsonObject;
            }
        }
    }

    //查看个人信息
    @CheckToken
    @GetMapping("/getMessage")
    public String getMessage() {
        return "你已通过验证";
    }
}

测试结果
登陆:
在这里插入图片描述

校验:
在这里插入图片描述

关注公众号免费领取学习资料~

在这里插入图片描述

莫非技术栈
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
token系列2—解析(解码)及实际应用
yzw3270978316的博客
03-31 3904
Jwt系列2-解析及应用
老唐手把手教你配置security,并增加JWT校验(copy就用)。
KY_11的博客
12-20 695
简单配置security,并增加JWT校验(copy就用) 1.首先配置security 1.1导入security的jar包 <!--security 框架--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifac
jwt生成token与解析token
翎墨袅
11-06 4493
jwt token
为什么要使用JWT?实战项目怎么应用
weixin_43504955的博客
11-12 760
Java八股文...技术装逼指数:4颗星
项目实现JWT接口(详细步骤)
yuer629
09-01 906
1、用springboot脚手架构建项目https://start.spring.io 2、项目导入IDE 3、导入相关依赖包包 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> <..
JWT简单使用
JackyTong66的博客
07-26 386
JWT一般使用在授权认证的过程,一旦用户登录,后端返回一个token给前端,相当于后端给了前端返回了一个授权码,之后前端向后端发送的每一个请求都需要包含这个token,后端在执行方法前会校验这个token(安全校验),校验通过才执行具体的业务逻辑。...
JWT简单介绍与使用
weixin_51980047的博客
07-27 2186
JWT简单介绍与使用
jwt简单React应用程序:带jwt简单React应用程序
02-11
7. **状态管理**:React应用,可以使用Redux或MobX等状态管理库来集管理用户登录状态和JWT,确保在整个应用状态的一致性。 8. **安全考虑**:虽然JWT提供了安全优势,但也有其风险,如CSRF攻击和JWT的被盗用...
jwt-decoder:简单的桌面应用程序,用于离线解码JWT令牌
02-10
JWT-decoder 应用,CSS 可能用于定义按钮、文本框、布局等元素的外观和交互效果,创建一个简洁且易于使用的界面。 文件名列表的 "jwt-decoder-master" 暗示这是一个项目的主分支或者归档版本,其可能包含...
jwt_auth:使用JWT在NodeJs应用程序进行身份验证
04-29
在Node.js应用,JSON Web Token(JWT)是一种常见的用于身份验证和授权的机制。JWT是一种轻量级的标准(RFC 7519),它允许数据在各方之间安全地、无需服务器存储会话的情况下进行传输。这个教程将深入探讨如何在...
JWT项目用法
08-08
JWT原理:对登录和注册方法放行,用户名和密码验证正确后,服务端保存到redis缓存并设置有效期,返回给客户端userid和sessionid, 客户端自行保存(Cookie或者 h5的localStorage)。 其他接口统一拦截(header里的参数authorization 值为 userid_sessionid), 服务端到redis根据key:userid 取出根据 sessionid 与接收的客户端 sessionid验证是否一致。
JWT(JsonWebToken)+SpringMVC项目demo
09-21
JSON Web Token(JWT)是一个非常轻巧的规范。现在免费给大家分享一个JWT(JsonWebToken)+SpringMVC项目的demo!
ktor-auth-jwt-sample,关于如何在ktor应用程序流包含jwt的一个简单但略为详细的示例。.zip
09-25
本示例项目"ktor-auth-jwt-sample"旨在展示如何在ktor应用集成JWT进行用户认证。 ktor-auth-jwt-sample项目主要涉及以下知识点: 1. **ktor框架**:ktor的核心特性包括异步处理、可插拔的服务器和客户端支持、...
CatoProject:Cato项目。一个简单jwt身份验证应用程序
03-19
Cato项目是一个基于C#开发的简单JWT(JSON Web Token)身份验证应用程序,它展示了如何在Web应用实现安全的身份验证机制。JWT是一种轻量级的、标准的、用于安全地在各方之间传递信息的方式,通常用于身份验证和...
JWT项目应用
qq_58055172的博客
08-17 347
JWT
全网最详细教程:前后端分离项目JWT解决方案
qq_14853853的博客
12-30 1771
目录前言:1.JWT介绍1.1什么是JWT1.2结构解析headerpayloadSignature1.3小结2.环境搭建2.1引入依赖2.2工具类2.3后端主要代码讲解2.4前端主要代码3.总结 前言: 本文主要讲解谷歌浏览器80版本session不一致问题的解决方案二,方案一大家可以看看这篇文章,是基于session的方式传送门。 提示:这里简述项目相关背景: 例如:项目场景:示例:通过蓝牙芯片(HC-05)与手机 APP 通信,每隔 5s 传输一批传感器数据(不是很大) 1.JWT介绍 1.1什么是
jwt java 项目实例_springboot JWT项目实战demo
weixin_27923353的博客
02-16 581
本文是一篇实战demo,使用框架为io.jsonwebtoken的jjwt。你会了解到token的生成,解析过程,最后将在项目体验jwt的使用过程。如果不是很了解jwt,可以参考以下文章补充一下。目录1、引入所用到的库io.jsonwebtokenjjwt-api0.11.2io.jsonwebtokenjjwt-impl0.11.2runtimeio.jsonwebtokenjjwt-jack...
JWT的概念以及如何使用
qq_47905231的博客
06-02 364
JSON Web Token (JWT)
JWT介绍
m0_53151031的博客
11-21 1231
一、JWT出现的原因以及工作原理 1、JWT的定义: JSON Web Token (JWT),是目前最流行的跨域身份验证解决方案 二、JWT工具类的介绍以及三种场景 三、JWT与vuex在SPA项目应用
shiro+springboot+jwt项目
最新发布
05-23
以下是一个简单的Shiro+Spring Boot+JWT项目的实现步骤: 1.创建一个Spring Boot项目,并添加Shiro和JWT依赖项: ``` <groupId>org.apache.shiro <artifactId>shiro-spring <version>1.7.1 <groupId>io....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值