使用JWT生成token实现权限验证

最新推荐文章于 2024-07-15 01:08:34 发布
最新推荐文章于 2024-07-15 01:08:34 发布
阅读量9.3k 收藏 73
点赞数 9
文章标签: java spring 后端 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59359926/article/details/123809705
版权

流程

        点击登录按钮,后端验证账号密码是否通过,如果通过则生成token,把token发送给前端,前端保存到cookie(前后端分离是不能使用保存session,因为每次发送ajax请求响应后都会断开服务器,就会导致session生命周期就销毁掉,然后再发送请求时再重新连接服务器,session已经不存在了),之后访问受限资源就需要取cookie拿到token,然后作为参数(放在请求头更安全)发送给后端,后端验证token。

Jwt介绍

Jwt是由三部分组成的字符串(header头部,payload载荷,signature签名)

头部:用于描述关于该 JWT 的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个 JSON 对象。例如:
{
    "typ": "JWT",
    "alg": "HS256"
}
载荷:其实就是自定义的数据,一般存储用户 Id,过期时间等信息。也就是 JWT 的核心所在,因为这些数据就是使后端知道此 token 是哪个用户已经登录的凭证。而且这些数据是存在 token 里面的,由前端携带,所以后端几乎不需要保存任何数据。
例如:
{
    "uid": "xxxxidid", //用户id
    "exp": "12121212" //过期时间
}
签名:1.头部和载荷 各自base64加密后用.连接起来,然后就形成了 xxx.xx 的前两段 token。2.最后一段 token 的形成是,前两段加入一个密匙用 HS256 算法或者其他算法加密形成。3. 所以 token3 段的形成就是在签名处形成的。

将这三部分用.连接成一个完整的字符串,构成了最终的jwt

一、添加依赖

        //提供JWT的java类
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.10.3</version>
        </dependency>
        //提供JWT算法
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

二、给登录按钮添加单击事件@click="doSubmit"。给账号文本框密码文本框都添加@blur="checkInfo"事件。发送请求,接收响应信息

重点代码:  setCookieValue("token",vo.msg) 调用自定义方法setCookieValue把token放到cookie 

<script type="text/javascript">
            var baseUrl = "http://localhost:8080/";
			var vm = new Vue({
				el:"#container",
				data:{
					username:"",
					password:"",
					tips:"",
					colorStyle:"color:red",
					isRight:false,
				},
				methods:{
					doSubmit:function(){
						if(vm.isRight){
							var url = baseUrl+"user/login";
							axios.get(url,{
								params:{
									username:vm.username,
									password:vm.password
								}
							}).then((res)=>{
								//res.data 才表示接口返回的数据
								var vo = res.data;
								
								if(vo.code == 10000){
									//如果登录成功,就把token存储到cookie,后端是把token放在msg里
									setCookieValue("token",vo.msg); 
									window.location.href="index.html";
								}else{
									vm.tips = "登录失败,账号或密码错误!"
								}
									
							});
							
						}else{
							vm.tips = "请正确输入帐号和密码!";
						}
					},
					checkInfo:function(){
						if(vm.username == ""){
							vm.tips = "请输入帐号!";
							vm.isRight = false;
						}else if(vm.username.length<8 || vm.username.length>20){
							vm.tips = "账号长度必须为8-20个字符!";
							vm.isRight = false;
						}else{
							//账号合法,校验密码
							if(vm.password == ""){
								vm.tips = "请输入密码!";
								vm.isRight = false;
							}else if(vm.password.length<6 || vm.password.length>16){
								vm.tips = "密码长度必须为6-16个字符!";
								vm.isRight = false;
							}else{
								vm.tips ="";
								vm.isRight = true;
							}
						}
					}
				}
			});
			

		</script>

三、Controller接收请求

@GetMapping("/user/login")
    public ResultVO login(@RequestParam("username") String name,
                          @RequestParam("password") String pwd){
        return userService.checkLogin(name,pwd);
    }

四、Service和ServiceImpl处理业务、生成token

public interface UserService {

    public ResultVO checkLogin(String name, String pwd);
}

@Service
@Scope("singleton")//singleton单例模式,全局有且仅有一个实例
public class UserServiceImpl implements UserService {
    @Resource
    private UsersMapper usersMapper;

   @Override
    public ResultVO checkLogin(String name, String pwd) {
        //使用tkmapper查询user 你们用自己写的mapper也可以
        Example example = new Example(Users.class);
        Example.Criteria criteria = example.createCriteria();
        criteria.andEqualTo("username",name);

        List<Users> users = usersMapper.selectByExample(example);
        if(users.size()==0){
            return new ResultVO(10001,"登录失败,用户名不存在",null);
        }else {
            Users user = users.get(0);
            String md5Pwd = MD5Utils.md5(pwd);
            // 数据库密码是MD5加密过的,MD5算法又不可逆,所以只能把登录密码加密后去和数据库的密码比对
            if(user.getPassword().equals(md5Pwd)){
                //如果登录成功,生成token

                JwtBuilder builder = Jwts.builder();

                HashMap<String,Object> map = new HashMap<>();
                map.put("key1","value1");
                map.put("key2","value2");

                String token = builder.setSubject(name)                     //载荷部分,主题,就是token中携带的数据,这里把用户名放进去
                        .setIssuedAt(new Date())                            //设置token的生成时间
                        .setId(users.get(0).getUserId() + "")               //设置用户id为token  id      ''是因为用户id是int类型,需要转换为字符串类型
                        .setClaims(map)                                     //map中可以存放用户的角色权限信息
                        .setExpiration(new Date(System.currentTimeMillis() + 24*60*60*1000)) //设置token过期时间,当前时间加一天就是时效为一天过期
                        .signWith(SignatureAlgorithm.HS256, "ycj123456")     //签名部分,设置HS256加密方式和加密密码,ycj123456是自定义的密码
                        .compact();
                return new ResultVO(10000,token,user);//把token封装到ResultVO传到前端。
            }else {
                return new ResultVO(10001,"密码错误",null);
            }
        }
    }
}

五、MD5、返回的工具类

package com.ycj.utils;

import java.math.BigInteger;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

//MD5 生成器
public class MD5Utils {
	public static String md5(String password){
		//生成一个md5加密器
		try {
			MessageDigest md = MessageDigest.getInstance("MD5");
			//计算MD5 的值
			md.update(password.getBytes());
			//BigInteger 将8位的字符串 转成16位的字符串 得到的字符串形式是哈希码值
			//BigInteger(参数1,参数2) 参数1 是 1为正数 0为零 -1为负数
			return new BigInteger(1, md.digest()).toString(16);
		} catch (NoSuchAlgorithmException e) {
			e.printStackTrace();
		}
		return null;
	}
}

public class ResStatus {

    public static final int OK=10000;
    public static final int NO=10001;

    public static final int LOGIN_SUCCESS = 2000;  //认证成功
    public static final int LOGIN_FAIL_NOT = 20001; //用户未登录
    public static final int LOGIN_FAIL_OVERDUE = 20002; //用户登录失效

}

@Data
@AllArgsConstructor
@NoArgsConstructor
public class ResultVO {
    private int code;
    private String msg;
    private Object data;
}

六、Dao查询用户信息

这里是使用tkMapper,selectByExample()就是它提供的,你们也可以自己写mapper

public interface UsersMapper extends Mapper<User>,MySqlMapper<User> {
//继承了Mapper<T>,MySqlMapper<T>就不用写dao和mapper了
}

七、从cookie中存取token

//cookie只能存放键值对
var operator = "=";
//window.document.cookie可以拿到cookie所有的key=value;形式的字符串。所以从cookie拿值,遍历cookie的所有key,直到key等于keyStr,
//就可以拿到对应的值,例如我们要拿名为token的key,调用方法getCookieValue(token)就可以拿到key为token的值(value)
function getCookieValue(keyStr){
	var value = null;
	var s = window.document.cookie;
	var arr = s.split("; ");
	for(var i=0; i<arr.length; i++){
		var str = arr[i];
		var k = str.split(operator)[0];
		var v = str.split(operator)[1];
		if(k == keyStr){
			value = v;
			break;
		}
	}
	return value;
}
//往cookie中设置格式:document.cookie = key=value,例如token=fohweoif2n334023noi2r
function setCookieValue(key,value){
	document.cookie = key+operator+value;
}

八、携带token访问受限资源示例,发送请求,接收响应信息

重点代码:var token = getCookieValue("token");    headers:{token:token  //访问受限资源必须把token传到后端校验},

<script type="text/javascript">
			var vm = new Vue({
				el:"#container",
				data:{
					token:null,
				},
                created:function(){
					var token = getCookieValue("token");
					if(token == null){
						var loginUrl = "login.html?tips=请先登录!&returnUrl=shopcart.html";//returnUrl是登录成功后重新返回这个页面的url
						window.location.href = encodeURI(loginUrl);
					}else{
						//请求当前用户的购物车记录
						this.token = token;//this.token是data中的token
						var userId = getCookieValue("userId");
						var url = baseUrl+"shopcart/list";
						axios({
							url:url,//写受限资源的url
							method:"get",
							headers:{
								token:token  //访问受限资源必须把token传到后端校验
							},
							params:{
								userId:userId  //这里userId是我访问受限资源所需要的,你们根据自己的需求
							}
						}).then((res)=>{
							console.log(res.data);
							if(res.data.code==20002 || res.data.code==20001){
								//token过期或未登录
								var loginUrl = "login.html?tips=请先登录!&returnUrl=shopcart.html";
								window.location.href = encodeURI(loginUrl);
							}else{
								//请求成功,拿到数据,进行渲染页面
								this.shopcarts = res.data.data;
							}
						});
					}
				},
			});
		</script>

九、设置拦截器

如果受限资源有多个,我们可以设置拦截器去校验token,就不用每次都去校验一次

配置拦截路径

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Autowired
    private CheckTokenInterceptor checkTokenInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(checkTokenInterceptor)
                .addPathPatterns("/shopcart/**")
                .addPathPatterns("/orders/**")
                .addPathPatterns("/useraddr/**")
                .addPathPatterns("/user/check");
}

拦截并解析token

@Component
public class CheckTokenInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //关于浏览器的请求预检.在跨域的情况下,非简单请求会先发起一次空body的OPTIONS请求,称为"预检"请求,用于向服务器请求权限信息,等预检请求被成功响应后,才发起真正的http请求。
        String method = request.getMethod();
        if("OPTIONS".equalsIgnoreCase(method)){
            return true;
        }
//        String token = request.getParameter("token");放入params才能用这个,放hearder用getHearder
        String token = request.getHeader("token");
        if(token == null){
            ResultVO resultVO = new ResultVO(ResStatus.LOGIN_FAIL_NOT, "请先登录!", null);
            doResponse(response,resultVO);
        }else{
            try {
                JwtParser parser = Jwts.parser();
                parser.setSigningKey("ycj123456"); //解析token的SigningKey必须和生成token时设置密码一致
                //如果token检验通过(密码正确,有效期内)则正常执行,否则抛出异常
                Jws<Claims> claimsJws = parser.parseClaimsJws(token);
                return true;//true就是验证通过,放行
            }catch (ExpiredJwtException e){
                ResultVO resultVO = new ResultVO(ResStatus.LOGIN_FAIL_OVERDUE, "登录过期,请重新登录!", null);
                doResponse(response,resultVO);
            }catch (UnsupportedJwtException e){
                ResultVO resultVO = new ResultVO(ResStatus.LOGIN_FAIL_NOT, "Token不合法,请自重!", null);
                doResponse(response,resultVO);
            }catch (Exception e){
                ResultVO resultVO = new ResultVO(ResStatus.LOGIN_FAIL_NOT, "请先登录!", null);
                doResponse(response,resultVO);
            }
        }
        return false;
    }
    //没带token或者检验失败响应给前端
    private void doResponse(HttpServletResponse response,ResultVO resultVO) throws IOException {
        response.setContentType("application/json");
        response.setCharacterEncoding("utf-8");
        PrintWriter out = response.getWriter();
        String s = new ObjectMapper().writeValueAsString(resultVO);
        out.print(s);
        out.flush();
        out.close();
    }

}

如果token校验通过,返回true,拦截器会放行,可以访问受限资源。否则,使用doResponse(response,resultVO)响应信息给前端页面。

给你一朵小红花H
关注
  • 9
    点赞
  • 73
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
JWT 生成Token验证
01-22
JWT生成token验证(过期时间)用于前后断分离,及APP认证,可结合redis使用也可单独使用
使用JWT创建Token验证Token
qq_38966550的博客
10-27 418
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
java通过jwt生成Token
最新发布
2301_79390585的博客
07-15 404
JWT(JSON Web Token)简而言之,JWT是一个加密的字符串,JWT传输的信息经过了数字签名,因此传输的信息可以被验证和信任。一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。
JWT Token生成验证
11-03
请参考博客:http://www.cnblogs.com/chenwolong/p/Token.html
基于JWTToken认证机制(一)
热门推荐
睁眼看世界
11-14 1万+
简介           JSON Web TokenJWT)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对其进行签名。 JWT的组成      
vue 中使用jwt 生成token
wwf1225的博客
09-18 2560
安装jwt: "jsonwebtoken":"^8.5.1", getToken(){ constjwt=require("jsonwebtoken");//引入jwt //constsecret="thisisaprivatekey";//指定一个用于生成token的密钥字符串 constsecret="wwf";//指定一个用于生成token的密钥字符串 consttok...
springboot+jwt实现token登陆权限认证的实现
08-19
Spring Boot + JWT 实现 Token 登录权限认证 在本文中,我们将介绍如何使用 Spring Boot 和 JWT 实现 ...通过使用 Spring Boot 和 JWT,我们可以实现 Token 登录权限认证,提供一种简洁、安全的方式来验证用户身份。
Django+JWT实现Token认证的实现方法
09-19
实现JWT权限校验,可以创建一个中间件,检查每个请求的Authorization头,如果存在JWT,就使用PyJWT解码并验证Token。同时,我们还需要处理Token的过期和刷新,可以设置一个刷新Token的机制,允许用户在Token即将...
SpringBoot集成JWT实现token验证-源码
10-02
总结来说,Spring Boot集成JWT实现token验证的过程包括引入依赖、配置Spring Security、创建自定义过滤器以及编写Token生成验证逻辑。这种方式不仅提高了安全性,还减少了服务器的负担,因为不再需要管理用户的...
Token的签发和验证JWT
qq_56715703的博客
02-14 1375
使用传统的cookie实现用户登录有缺陷就是很难实现跨域登录,目前流行的使用jwt (json web token)实现跨域登录。使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。
jwt工具类使用jwt实现token认证,仅仅是生成token和校验token的有效性
lh155136的博客
08-09 738
登录的时候,把用户名和密码加密,然后生成token,放到session中。登出的时候把session中的token设置为null即可。
JWT生成token以及验证token
CKQ_me的博客
06-06 3302
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 JWT的构成 jwt由三个部分组成 第一部分:头部(header),第二部分:playload(称为载荷),第三部分:signature(签证) ...
JWT-生成token
m0_69128892的博客
05-11 7116
一、什么是JWT JWT 即Json Web Token,将用户登录态以及数据用加密的json格式存储在客户端,服务端可以完全依靠这个字符串认定用户身份。简单来说,这是一种用户身份认证的解决方案。 二、JWT的组成 一个JWT实际上就是一个字符串,由三部分组成分别是: header(头部) payload(载荷) signature(签名) 结构如下:header.payload.signature 1.header(头部) header(头部)的信息指定了其Token类型和所使用的加密算法。 示例:
SpringBoot整合JWT(JSON Web Token)生成token验证
小hui的博客
06-19 2593
JWT(JSON Web Token)是是目前最流行的跨域认证解决方案。它通常被用于对用户进行身份验证和授权。这篇文章是springboot对jwt的整合实例
Java简单快速入门JWTtoken生成验证
greatming666的博客
09-08 8639
java jwt简单了解并快速上手
javaApi JWT token生成以及验证
qq_46859110的博客
09-30 6432
JWT简介 JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全。 在身份验证过程中, 当用户使用其凭据成功登录时, 将返回 JSON Web token, 并且必须在本地保存 (通常在本地存储中)。 每当用户要访问受保护的路由或资源 (端点) 时, 用户代理(user agent)必须连同请求一起发送 JWT, 通常在授权标头
auth0.jwt生成token
qq_40506747的博客
08-26 444
auth0.jwt生成token
基于SpringBoot的在线考试系统【建议收藏】
qq_48053850的博客
04-13 1847
核心技术:SpringBoot+mybatis;前端:vue;开发工具:idea;数据库:mysql5.7;模版引擎:thymeleaf;安全框架:JWT;日志:Hutool-log;数据库连接池:druid;本项目分前台用户界面功能和后台管理功能;前台用户界面功能:首页考试列表,展示考试信息及参加考试报名;公告信息;新闻信息;在线留言;用户登陆后台管理功能:管理员登录系统管理用户管理角色管理菜单管理课程管理题目管理授课老师管理订单管理菜单管理。
通过jwt生成token权限
05-13
JWT(JSON Web Token)是一种用于进行身份验证和授权的开放式标准。通过JWT生成token可以实现权限控制。简单来说,JWT是一个由三段组成的字符串,分别是头部(header)、载荷(payload)和签名(signature)。 在应用中,通常是用户进行登录后,系统将用户信息加密为token存储在客户端的本地存储(sessionStorage、localStorage或cookie)中。在之后的访问中,客户端每次向服务器发起请求时,都需要将加密后的token作为请求的一个头信息发送给服务器,服务器端使用相同的秘钥进行解析验证并返回相应的数据。 在JWT中,我们可以将用户的角色、权限等信息作为载荷,对相应的接口进行权限验证。当用户请求需要权限的接口时,服务器端会先解析token的载荷信息,再对用户的角色、权限等信息进行验证,从而实现对应接口的权限控制。 通过JWT生成token权限控制有很多优势,不仅可以减轻服务器的负担,而且可以提高系统的安全性。但是,也需要注意token安全性,避免出现token泄露的情况。为了加强安全性,建议将token设置为短时效性,并对其进行加密和签名保护。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值