jwt请求头校验

最新推荐文章于 2024-07-08 18:28:15 发布
最新推荐文章于 2024-07-08 18:28:15 发布
阅读量231 收藏 4
点赞数 5
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56277423/article/details/139388328
版权

1. 项目结构

确保项目中有以下结构:

  • config 包:包含 SecurityConfigJwtRequestFilter 类。
  • util 包:包含 JwtUtil 工具类。
  • controller 包:包含控制器类。
  • service 包:包含用户详细信息服务类。
  • model 包:包含数据模型类(例如 AuthRequest)。

2. JwtRequestFilter 类

实现 JWT 请求头的校验逻辑:

import io.jsonwebtoken.JwtException;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    @Autowired
    private JwtUtil jwtUtil;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {

        final String authorizationHeader = request.getHeader("Authorization");

        String username = null;
        String jwt = null;

        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            jwt = authorizationHeader.substring(7);
            try {
                username = jwtUtil.extractUsername(jwt);
            } catch (JwtException e) {
                // Token 验证失败
                response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
                response.getWriter().write("Invalid JWT Token");
                return;
            }
        }

        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

            if (jwtUtil.validateToken(jwt, userDetails.getUsername())) {

                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
                        userDetails, null, userDetails.getAuthorities());
                usernamePasswordAuthenticationToken
                        .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        chain.doFilter(request, response);
    }
}

3. JwtUtil 工具类

用于生成、验证、解析和刷新 Token 的工具类:

import io.jsonwebtoken.*;
import io.jsonwebtoken.security.Keys;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.security.Key;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.function.Function;

@Component
public class JwtUtil {

    @Autowired
    private JwtConfig jwtConfig;

    private Key getKey() {
        return Keys.hmacShaKeyFor(jwtConfig.getSecret().getBytes());
    }

    public String generateToken(String username) {
        Map<String, Object> claims = new HashMap<>();
        return createToken(claims, username);
    }

    private String createToken(Map<String, Object> claims, String subject) {
        return Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + jwtConfig.getExpiration()))
                .signWith(getKey(), SignatureAlgorithm.HS256)
                .compact();
    }

    public boolean validateToken(String token, String username) {
        final String tokenUsername = extractUsername(token);
        return (tokenUsername.equals(username) && !isTokenExpired(token));
    }

    public String extractUsername(String token) {
        return extractClaim(token, Claims::getSubject);
    }

    public <T> T extractClaim(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = extractAllClaims(token);
        return claimsResolver.apply(claims);
    }

    private Claims extractAllClaims(String token) {
        return Jwts.parserBuilder().setSigningKey(getKey()).build().parseClaimsJws(token).getBody();
    }

    private boolean isTokenExpired(String token) {
        return extractExpiration(token).before(new Date());
    }

    private Date extractExpiration(String token) {
        return extractClaim(token, Claims::getExpiration);
    }

    public String refreshToken(String token) {
        final Claims claims = extractAllClaims(token);
        return createToken(claims, claims.getSubject());
    }
}

4. SecurityConfig 类

配置 Spring Security 以使用 JwtRequestFilter 进行请求过滤:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtRequestFilter jwtRequestFilter;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests().antMatchers("/authenticate").permitAll()
                .anyRequest().authenticated()
                .and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

5. Controller 类

提供认证接口和受保护资源接口:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.web.bind.annotation.*;

@RestController
public class AuthController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtUtil jwtUtil;

    @PostMapping("/authenticate")
    public String createAuthenticationToken(@RequestBody AuthRequest authRequest) throws Exception {
        authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(authRequest.getUsername(), authRequest.getPassword())
        );

        final UserDetails userDetails = userDetailsService
                .loadUserByUsername(authRequest.getUsername());

        return jwtUtil.generateToken(userDetails.getUsername());
    }

    @GetMapping("/protected")
    public String protectedEndpoint() {
        return "This is a protected resource";
    }

    @GetMapping("/refresh")
    public String refreshToken(@RequestParam String token) {
        return jwtUtil.refreshToken(token);
    }
}

6. AuthRequest 类

封装认证请求数据:

public class AuthRequest {
    private String username;
    private String password;

    // getters and setters
}

7. UserDetailsService 实现类

实现 UserDetailsService 来加载用户信息:

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;

@Service
public class MyUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 根据用户名从数据库中加载用户信息
        // 这里只是一个示例,实际实现中需要从数据库加载
        if ("user".equals(username)) {
            return new org.springframework.security.core.userdetails.User("user", "$2a$10$E/9i7K8EYkRHJYB9U0GPeO0T.j5UjPoD9QliBF9/hWq5U8Zm1JZ3G", new ArrayList<>());
        } else {
            throw new UsernameNotFoundException("User not found with username: " + username);
        }
    }
}

总结

  1. 过滤器 (JwtRequestFilter):从请求头中提取 JWT,并验证其有效性。如果有效,将用户信息存储在 SecurityContext 中。
  2. 工具类 (JwtUtil):用于生成、验证、解析和刷新 JWT。
  3. 安全配置 (SecurityConfig):配置 Spring Security 使用 JWT 进行认证和授权。
  4. 控制器 (AuthController):提供认证接口和受保护资源接口。
  5. 用户详细信息服务 (UserDetailsService):从数据库加载用户信息。
兔姐
关注
JWT进行请求头校验
m0_71777195的博客
09-09 253
最后,将认证对象设置到当前的安全上下文中,这样就代表验证完成了。默认提供的过滤器链是一组预定义的过滤器,用于处理各种安全相关的任务,比如身份验证、授权、会话管理等。是登录进去,但没有权限访问一些页面的处理器,其他没有什么要注意的,也可以把这些处理器写成一个,那样就清爽多了,但我懒,代码就不贴了。这里就是先获取请求头内令牌的内容,再调用工具类的方法对令牌进行解析,方法内部校验令牌的合法与解析,将jwt令牌转化成。第二个参数是凭证,就是密码之类的,我们不需要,所以传null。配置类,我们将他引入,
JWT校验
Monster
03-08 2185
1. 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 通俗说:\color{#FF3030}{通俗说:}通俗说: 在数据传输过程中还可
JWT(json web token)
努力学习,努力爱你!
07-22 1198
JWT,全称是JsonWebToken,是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;https//jwt.iohttps我们最终可以利用jwt实现无状态登录在Web应用中,别再把JWT当做session使用,绝大多数情况下,传统的cookie-session机制工作得更好。...
使用请求头认证来测试需要授权的 API 接口
biyusr的专栏
07-25 441
源代码在这里https//github.com/WeihanLi/WeihanLi.Web.Extensions有想自己改的可以直接拿去用,目前提供了基于请求头的认证和基于QueryString的认证两种认证方式。
请求头 验证是否为空
新一的技术笔记
09-12 1514
String access = request.getHeader("x-access-id"); String signature = request.getHeader("x-signature"); if(StringUtils.isBlank(access) || StringUtils.isBlank(signature)){ ...
配置拦截器+token请求头验证+解决跨域
weixin_47450795的博客
11-24 2245
前期准备 1.token工具类 2.redis工具类 使用链接里的更新版工具类代码,否则可能或报空指针。 3.springboot项目 添加拦截器 1.创建一个interceptor包,创建LoginInterceptor.java和WebConfig.java WebConfig.java: package com.hospital.total_managed.interceptor; import org.springframework.context.annotation.Configuration
Anguar 使用interceptor拦截器设置请求头传入jwt token
S筱潇S四维Smile
08-28 3474
1.创建http-interceptors.ts文件 import { Injectable } from "@angular/core"; import { HttpInterceptor, HttpRequest, HttpHandler, HttpErrorResponse, HttpHeaderResponse, HttpResponse, HttpEven...
校验请求头携带的jwt
09-03
校验请求头中携带的JWT (JSON Web Token),您需要进行以下步骤: 1. 获取请求头中的JWT:从请求头中获取 JWT 字符串,通常在 "Authorization" 字段中。 2. 解析JWT:使用 JWT 库(如 `jsonwebtoken`)来解析 JWT...
python flask + jwt + SSO 校验案例
Mr.Zhang 努力奔跑!
03-22 635
最后,需要为项目生成一个密钥,并将其存储在配置文件中。在上述代码中,我们使用的是字符串'secret_key',实际上您应该使用一个更加安全的随机生成的字符串来作为密钥。在上述代码中,jwt_required装饰器用于校验JWT。当JWT无效时,会返回同样的状态码。然后,需要编写登录接口的代码,其中可以使用requests模块来向远程的SSO服务器发起get请求,获取到服务器返回的token并将其存储在header中。首先,需要安装PyJWT模块,这是用于实现JWT校验的常用模块之一。
webservice 安全认证请求头信息
08-10
NULL 博文链接:https://1193605999.iteye.com/blog/2210417
请求头,响应头
luemeon的博客
11-14 903
=
过滤器和拦截器_浅聊过滤器 + 拦截器 + JWT
weixin_40007548的博客
12-15 487
前言还记得上次我写过几篇在实际项目中如何使用jwt《公众号授权 + jwt》、《小程序授权+ jwt》、《微信支付》紧接着,就有个小伙伴,问了我一个这样的问题:授权使用jwt签发token后,登录、注册等,用户是不需要token的,此时,应该怎么排除这些请求的url呢?得嘞,今天咱们就掰扯掰扯这件事,如何使用“过滤器”或“拦截器”实现登录、注册的过滤是不是有人也这么写过?在写此文时,我曾...
服务端校验jwt与前端请求头保存token
a2010630304的博客
09-12 856
前后端登录校验token
登录认证功能中的会话技术
m0_72167535的博客
04-08 380
如果用户没有登录,此时就不允许他执行相关的业务操作,直接给前端响应一个错误的结果,最终跳转到登录页面,要求他登录成功之后,再来访问对应的数据。输出的结果就是生成的JWT令牌,,通过英文的点分割对三个部分进行分割,我们可以将生成的令牌复制一下,然后打开JWT的官网,将生成的令牌直接放在Encoded位置,此时就会自动的将令牌解析出来。接下来,在后续的每次请求时,都会将Cookie的值,携带到服务端,那服务端呢,接收到Cookie之后,会自动的根据JSESSIONID的值,找到对应的会话对象Session。
JWT登录校验
最新发布
m0_58730471的博客
07-08 703
jwt登录校验
深入解析 JWT(JSON Web Tokens):原理、应用场景与安全实践
gulugulu1103的博客
11-23 3860
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在 Web 应用程序和服务之间尤其流行用于身份验证和信息交换。一个 JWT 实际上是将 header、payload 和 signature 三部分分别进行 Base64 编码,然后用点(。在 Web 应用和 API 身份验证中,JWT 的使用非常普遍。例如,用户登录到系统后,系统会创建一个 JWT,并将其发送回用户。
JWT令牌存储到浏览器中localStorage中,并且往页面请求头中添加token
weixin_52183261的博客
02-17 1125
其中response.data.data是后端返回的数据为jwt字符串。
后端Jwt实现Token编码、解码以及axios的request请求头的Token传输方式
辰辰Ado_I
03-23 1039
JWT是token的一种实现方式,全称是:JSON Wwb Token。简单来讲,Jwt是一种字符串,可以根据用户信息进行相关的编码操作生成带有用户信息的JWT token,我们可以根据这个来判断其信息是否正确或者是否被篡改。
JAVA篇:Springboot 实现请求头&请求参数的组合验证
qq_22651615的博客
11-13 4344
开发场景中涉及到请求头的一些值校验,例如经典的Authorization-token令牌鉴权登陆,这种基本借助拦截器就可以快速实现相关功能。但有些场景,不仅仅是对请求头进行校验,可能还需要对请求体中的参数做校验或处理,例如:请求数据中的敏感敏感数据脱敏。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值