JWT令牌以及登录拦截

最新推荐文章于 2024-07-31 18:52:02 发布
最新推荐文章于 2024-07-31 18:52:02 发布
阅读量1.2k 收藏 28
点赞数 18
分类专栏: SpringBoot 文章标签: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61591135/article/details/135728672
版权

1.登录校验—JWT令牌

**JWT:**JSON Web Token(JSON Web 令牌),令牌是用户的合法身份凭证(实际上是一个字符串)

官网:https://jwt.io/

  • JWT令牌实际上是一个包含了用户的某些信息的字符串,将原始的json数据格式进行了安全的封装。

在浏览器中发送登录请求后,后端要对前端发送的请求中的用户信息进行校验,如果校验成功,那就登录成功,后端会生成一个JWT令牌(存放着用户的信息如id、账号等)用来标识用户的身份,并将该令牌响应给前端,前端将这个令牌存储起来(可以存放在cookie中,也可以存放在其他的存储空间,比如localStorage中),在接下来的前端的每一次请求中都会携带着JWT令牌到后端,后端要对前端的每一次请求进行拦截,得到并校验前端的令牌的有效性,如果令牌是有效的,就说明用户已经执行了登录操作,直接放行进行请求的处理;否则就说明用户未执行有效操作,直接拒绝访问。

1.1JWT令牌的组成

JWT令牌由三部分(头、有效载荷、签名)组成,三个部分之间使用英文的点来分隔。

  • 第一部分:Header(头):记录签名算法、令牌类型等。例如:{“alg”:“HS256”,“type”:“JWT”}
  • 第二部分Payload(有效载荷):携带一些自定义的信息、默认信息。例如{“id”:“1”,“username”:“Tom”}
  • 第三部分Signature(签名):防止JWT被篡改、确保安全性。将header、payload和自定义的密钥,通过指定签名算法计算而来。篡改令牌中的任何一个字符,在对令牌进行解析时都会报错。

在生成JWT令牌时,会对JSON格式的数据进行一次base64编码,注意Base6是编码方式,而不是加密方式。(Base是一种基于64个可打印的字符来表示二进制数据的编码方式)

JWT令牌还可以指定过期时间,过期后该令牌就失效了。

1.2 JWT令牌的生成和校验

1.2.1 引入JWT依赖

JWT令牌使用要引入JWT令牌的依赖,直接在工具包中提供的API来完成JWT令牌的生成和校验

<!-- JWT依赖-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
1.2.2 创建JWT工具类
  • JWT工具类里面包含生成JWT令牌、解析JWT令牌的方法
public class JwtUtils {

    private static String signKey = "wenyin";//签名密钥为“wenyin”
    private static Long expire = 3600000L; //有效时间为1小时

    /**
     * 生成JWT令牌
     * @param claims JWT第二部分负载 payload 中存储的内容
     * @return
     */
    public static String generateJwt(Map<String, Object> claims){
        String jwt = Jwts.builder()
                .addClaims(claims)//自定义信息(有效载荷)
                .signWith(SignatureAlgorithm.HS256, signKey)//签名算法(头部)
                .setExpiration(new Date(System.currentTimeMillis() + expire))//过期时间
                .compact();
        return jwt;
    }

    /**
     * 解析JWT令牌
     * @param jwt JWT令牌
     * @return JWT第二部分负载 payload 中存储的内容
     */
    public static Claims parseJWT(String jwt){
        Claims claims = Jwts.parser()
                .setSigningKey(signKey)//指定签名密钥
                .parseClaimsJws(jwt)//指定令牌Token
                .getBody();
        return claims;
    }
}
1.2.3 使用JWTUtils在登录成功之后生成JWT令牌
    @PostMapping("/login")
    public Result login(String username, String password){
        //根据用户名查询用户
        User user = userService.findByName(username);
        if(user == null) {
            return Result.error("用户名不存在或账号异常");
        }
        //使用md5对密码进行加密,与数据库中的已加密的密码进行比较
        if(Md5Util.getMD5String(password).equals(user.getPassword())) {
            //设置JWT令牌的有效载荷
            //claims指的是声明或声明的部分,它们是JWT包含的有效载荷的一部分。这些声明包含有关被认证主体的信息。
            Map<String,Object> cliams = new HashMap<>();
            cliams.put("id",user.getId());
            cliams.put("username", user.getUsername());
            String token = JwtUtil.genToken(cliams);
            return Result.success(token);
        }
        return Result.error("密码错误");
    }

2. 拦截器

拦截器的作用:

  • 拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码。

​ 自定义拦截器需要实现HandlerInterceptor接口,重写该接口的三个方法(这三个方法前加上了default关键字,表明这三个方法是接口的默认方法,这些方法带有具体的实现,意味着一个类实现了一个包含default方法的接口的时候,并不需要强制重写这些default方法),你可以根据自己的需要选择性地重写这些方法,而不是全部都要实现。

​ HandlerInterceptor接口是Spring MVC框架中的一个核心接口,主要用于实现AOP风格的拦截器功能。可以实现对HTTP请求的全面控制和定制处理,包括请求的预处理,请求后处理以及请求完全结束后的清理工作。

HandlerInterceptor接口源码:

public interface HandlerInterceptor {
    
    //preHandle(处理请求前)方法会在请求实际到达控制器(Controller)方法之前被调用,它允许你进行预处理操作,例如、登录拦截、权限验证、参数校验等,如果该方法返回true,则继续执行后继的处理器(如Controller方法),若返回false,则中断请求的进一步处理,并直接返回。
    default boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        return true;
    }

    //postHandle(处理请求之后)方法在请求处理完毕且视图渲染之前执行(即Controller方法已经执行完毕但响应尚未发送给客户端),在此方法,可以访问或修改模型数据(ModelAndView对象),或者对视图做出一些格外的处理工作。
    default void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable ModelAndView modelAndView) throws Exception {
    }

    //afterCompletion(完成请求处理之后)方法在整个请求处理完毕之后,包括视图渲染完成之后调用,它可以用于资源清理、记录日志等工作。即使在preHandle()阶段就阻止了请求的处理,afterCompletion()依然会被调用。
    default void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable Exception ex) throws Exception {
    }
}

2.1 自定义登录拦截器

自定义登录拦截器需要实现HandlerInterceptor接口,并重写其方法

​ 通过拦截器来拦截前端发起的请求,将登录校验的逻辑全部编写在拦截器当中。在校验的过程当中,如发现用户登录了(携带JWT令牌且是合法令牌),就可以直接放行,去访问spring当中的资源。如果校验时发现并没有登录或是非法令牌,就可以直接给前端响应未登录的错误信息。

@Component
public class LoginInterceptor implements HandlerInterceptor {
    @Autowired
    private StringRedisTemplate stringRedisTemplate;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//        令牌验证,从前端的请求头里面得到Authorization中的jwt令牌判断是否登录成功
        String token = request.getHeader("Authorization");

        try {
            Map<String, Object> claims = JwtUtil.parseToken(token);
            return true;
        } catch (Exception e) {
            /**
             * 设置响应状态码为401,表示未登录
             */
            response.setStatus(401);
            return false;
        }
    }
}

自定义拦截器之后还需要注册配置拦截器

注册配置拦截器:实现WebMvcConfigurer接口,并重写addInterceptors方法,注册自定义拦截器对象,定义需要拦截的资源和不需要拦截的资源。

@Configuration  
public class WebConfig implements WebMvcConfigurer {
    //拦截器对象
    @Autowired
    private LoginInterceptor loginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
       //注册自定义拦截器对象
        registry.addInterceptor(loginInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/login");
//          "/**",表示拦截所有资源,`excludePathPatterns("不拦截路径")`指定哪些资源不需要拦截。
    }
}
闻音麻花
关注
专栏目录
jwt (二)简单demo + 拦截
鸦教授的博客
11-01 891
1. 一个网站,有些页面是不需要登录就可以访问的(比如说登录页面),有些页面是需要登录(有jwt即有用户信息)才可以访问的(比如说会员系统页面) ,需要登录后才可以访问的页面有很多,在访问这些页面前,我们可以统一做一些处理,比如判断是否有jwt,没有此退出到登录页面,有jwt后查询出用户信息,去数据库查是否存在这个用户信息,没有也不能访问等等。 拦截器涉及到2个类:WebMvcConfi...
基于JWT+拦截器实现用户登录拦截
qq_43375881的博客
01-19 1628
基于JWT+拦截器实现用户登录拦截 首先是maven依赖 <dependency> <groupId>com.nimbusds</groupId> <artifactId>nimbus-jose-jwt</artifactId> <version>6.0</version> </dependency> 然后是JwtUti
令牌登录方式流程(token)
三少
08-10 6254
用户登录 登录需求分析 1:获取账号跟密码 2:通过账号密码查询数据库获取用户对象user 3:如果用户存在,表示登录成功 4:使用UUID创建出随机的唯一的token值 String token = .... 5:以token'为key,user为value 缓存到redis中 6:将token跟用户对象使用json格式放回浏览器 浏览器: 接受到返回值,解析出token跟用户信息,并缓存 前端发起请求是,获取浏览器缓存的token值,通过请求头的方式携带到后端服务器 接口2:
jwt (json web token) + springboot
qq_45812181的博客
09-04 982
jwt官网 :https://jwt.io/ jwt 官网介绍 jwt就是一json串,且该串不需要服务器保存,一旦生成 不可撤销、不可删除,在到达设置的过期时间之前一直都有效。 jwt的作用 一言以蔽之:作为数据安全校验,且该条数据不是完全加密,而是采用的部分加密。 没有加密的部分是用来做传递信息的(如允许被外界识别的用户类型、用户名),加密的那部分才是用来做校验的。 可以把token放在请求头中或者cookie中。 认证流程 首先,前端通过Web表单将用户名和密码发送到后端的接口。这一过程一般是
JWT令牌、过滤器Filter、拦截器Interceptor
m0_46702681的博客
06-16 1658
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}
JWT两种拦截方式
weixin_47270717的博客
09-09 3715
filter(过滤器)和interceptor(拦截器)的区别 filter基于filter接口中的doFilter回调函数,interceptor则基于Java本身的反射机制。 filter是依赖于servlet容器的,没有servlet容器就无法回调doFilter方法,而interceptor与servlet无关; filter的过滤范围比interceptor大,filter除了过滤请求外通过通配符可以保护页面、图片、文件等,而interceptor只能过滤请求,只对action起作用,在act
后端学习1.3 利用JWT生成、验证token;对特定接口配置拦截
Congee_porridge的博客
08-02 1118
利用JWT生成token,token中包含用户名等信息;实现token反解析用户名功能。配置拦截器,用户工作日志接口需在header中提供Token才能放行。并利用拦截器和方法注解验证Token是否过期、是否提供;若未提供,请抛出异常状态。...
JWT令牌&&拦截
最新发布
weixin_64308540的博客
07-31 859
JWT令牌&&拦截
用户登录实现(拦截器,JWT令牌)
05-28
用户登录实现(拦截器,JWT令牌)
Springboot前后端分离,JWT+Security+Redis实现登录拦截及权限认证,包含全局异常处理以及统一返回风格
12-25
在此项目中,Redis可以用来存储JWT令牌,以减少服务器的负载,提高令牌验证的速度。同时,Redis也可以用于存储用户的会话信息,提高用户体验。 5. **登录拦截与权限认证**:当用户登录时,Spring Security会验证...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring Security和JWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
JWT令牌验证
尽力漂亮的博客
10-12 2346
JWT令牌验证1、jwt的由来及解决的问题2、jwt的细节处理 1、jwt的由来及解决的问题 2、jwt的细节处理 1、传统开发对资源的访问限制利用session完成图解 Map<String, Object> claims = new HashMap<String, Object>(); claims.put("uname",user.getUname());...
SpringBoot配置JWT拦截
Kristabo的博客
03-24 1439
JWT在之前文章提到过,JWT(JSON Web Token)是一种用于身份验证和授权的开放标准(RFC 7519),它允许在网络中安全地传输声明(claims)作为 JSON 对象。JWT 可以通过数字签名或加密来验证数据的完整性和真实性,从而保证数据在传输过程中不被篡改。工作流程用户通过用户名和密码等方式进行身份验证。服务器验证用户身份,并生成一个 JWT。服务器将 JWT 发送给客户端。客户端将 JWT 存储起来,通常是在本地存储或者内存中。
13---SpringBoot整合JWT,实现登录拦截
Zero摄氏度的博客
01-01 2337
- JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 - 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录
Java中使用 jwt + 拦截器配置 超级详细教程(详细源码)
Jiang_bug的博客
06-01 6740
一、创建JWT 1.导入依赖 maven <!--引入JWT依赖,由于是基于Java,所以需要的是java-jwt--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version>
Flask项目中的JWT禁用
weixin_45439324的博客
12-03 349
Flask项目中的JWT禁用 场景 前提:用户在多个终端登录 用户在修改了密码之后,需要颁发新的token,禁用还在有效期内的老token 后台封禁用户 解决方案 在redis中使用set类型保存新生成的token 客户端使用token进行请求时,如果验证token通过,则从redis中判断是否存在该用户的user:{}:token记录: 若不存在记录,放行,进入视图进行业务处理...
JSON Web 令牌JWT)攻击_jwt payload 用户id(1)
m0_61067876的博客
04-07 648
JSON Web令牌JWT)是一种开放标准(RFC 7519),用于在网络应用间传递声明信息。它是一种轻量级、自包含的安全性传输格式,通常用于在身份验证和授权过程中传递用户的身份信息和其他声明。JWT由三部分组成,标头、有效负载和签名。每个部分之间用点号"."分隔。如下所示:Header(头部):包含令牌的类型(即JWT)以及所使用的签名算法,例如HMAC SHA256或RSA。Payload(负载):包含用户的声明信息,例如用户ID、角色、权限等。
JWT令牌的使用
wptalenter的博客
05-21 716
1 JWT的结构 JWT令牌由三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz Header 头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或RSA)一个例子如下: 下边是Header部分的内容 { "alg":"HS256", "typ":"JWT" } 将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。 Payload 第二部分是负载,内容也是一个json对象,...
jwt 验证 与jwt拦截
Mazhen5255的博客
03-11 529
关于jwt验证
生成一个jwt令牌拦截
06-04
JWT(JSON Web Token)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。一般来说,JWT 用于认证和授权,其主要应用场景为 API 接口鉴权。生成 JWT 的流程可以通过拦截器来实现,以下是一个简单的生成 JWT 令牌拦截器实现过程: 1. 创建一个 JWT 工具类,用于生成和解析 JWT 令牌。 2. 创建一个 JWT 拦截器类,该类需要实现 HandlerInterceptor 接口。 3. 在 preHandle 方法中,判断当前请求是否需要生成 JWT 令牌,如果需要,则使用 JWT 工具类生成令牌,并将其存储在请求头中。 4. 在 postHandle 方法中,将生成的 JWT 令牌返回给客户端。 5. 在 afterCompletion 方法中,清除请求头中的 JWT 令牌。 以下是一个简单的生成 JWT 令牌拦截器示例: ``` public class JwtInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 判断当前请求是否需要生成 JWT 令牌 if (request.getRequestURI().startsWith("/api/")) { // 获取用户信息 User user = (User) request.getSession().getAttribute("user"); // 判断用户信息是否为空 if (user != null) { // 使用 JWT 工具类生成令牌 String token = JwtUtils.generateToken(user); // 将生成的 JWT 令牌存储在请求头中 response.setHeader("Authorization", token); } else { // 用户信息为空,返回未授权状态码 response.setStatus(HttpStatus.UNAUTHORIZED.value()); return false; } } return true; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { // 将生成的 JWT 令牌返回给客户端 response.setHeader("Authorization", response.getHeader("Authorization")); } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { // 清除请求头中的 JWT 令牌 response.setHeader("Authorization", null); } } ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

闻音麻花

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值