Springboot整合jwt实现和前端交互的Token认证

最新推荐文章于 2024-05-30 15:07:12 发布
最新推荐文章于 2024-05-30 15:07:12 发布
阅读量1k 收藏 5
点赞数 2
文章标签: 前端 spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66893068/article/details/126262869
版权

目录

JWT验证流程

后端

1,在pom.xml中导入jwt包

2,新增一个工具类。

3,写入拦截器

4,新添一个配置类,来配置对那些请求进行拦截。

前端

1,配置store/index.js

2,然后修改登录方法即可。

 总结

JWT验证流程

首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程- 
-般是一 个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议) 
,从而避免敏感信息被嗅探。

后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload 
(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。
形成的JWT就是一个形同11. zzz. xxx的字符串。token head .
 payload . singurater

后端将JWT字符串作为登录成功的返回结果返回给前端。 
前端可以将返回的结果保存在localStorage或sessionStorage上, 
退出登录时前端删除保存的JWT即可。

前端在每次请求时将JWT放入HTTP Header中的Authorization位。 
(解决XSS和XSRF问题)

后端检查是否存在,如存在验证JWT的有效性。例如,检查签名是否正确;
检查Token是否过期;检查Token的接收方是否是自己(可选)

验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,
返回相应结果。

后端

1,在pom.xml中导入jwt包

        <!--token实现包-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.19.2</version>
        </dependency>

2,新增一个工具类。

package com.example.demo.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.example.demo.pojo.User;
import java.util.Date;

public class TokenUtils {
    private static final long EXPIRE_TIME= 10*60*60*1000;
    private static final String TOKEN_SECRET="txdy";  //密钥盐
    /**
     * 签名生成
     * @param user
     * @return
     */
    public static String sign(User user){
        String token = null;
        try {
            Date expiresAt = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            token = JWT.create()
                    .withIssuer("auth0")
                    .withClaim("userAccount", user.getUserAccount() )
                    .withExpiresAt(expiresAt)
                    // 使用了HMAC256加密算法。
                    .sign(Algorithm.HMAC256(TOKEN_SECRET));
        } catch (Exception e){
            e.printStackTrace();
        }
        return token;
    }
    /**
     * 签名验证
     * @param token
     * @return
     */
    public static boolean verify(String token){
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(TOKEN_SECRET)).withIssuer("auth0").build();
            DecodedJWT jwt = verifier.verify(token);
            System.out.println("认证通过:");
            System.out.println("userAccount: " + jwt.getClaim("userAccount").asString());
            System.out.println("过期时间:      " + jwt.getExpiresAt());
            return true;
        } catch (Exception e){
            return false;
        }
    }
}

3,写入拦截器

package com.example.demo.utils;

import com.alibaba.fastjson.JSONObject;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class TokenInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)throws Exception{
        if(request.getMethod().equals("OPTIONS")){
            response.setStatus(HttpServletResponse.SC_OK);
            return true;
        }
        response.setCharacterEncoding("utf-8");
        String token = request.getHeader("token"); //前端vue将token添加在请求头中
        if(token != null){
            boolean result = TokenUtils.verify(token);
            if(result){
                System.out.println("通过拦截器");
                return true;
            }
        }
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        try{
            JSONObject json = new JSONObject();
            json.put("msg","token verify fail");
            json.put("code","50000");
            response.getWriter().append(json.toJSONString());
            System.out.println("认证失败,未通过拦截器");

        }catch (Exception e){
            e.printStackTrace();
            response.sendError(500);
            return false;
        }
        return false;
    }
}

4,新添一个配置类,来配置对那些请求进行拦截。

package com.example.demo.utils;
import org.springframework.context.annotation.Configuration;
import org.springframework.scheduling.concurrent.ConcurrentTaskExecutor;
import org.springframework.web.servlet.config.annotation.AsyncSupportConfigurer;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import java.util.ArrayList;
import java.util.List;
import java.util.concurrent.Executors;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    /**
     * 开启跨域
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        // 设置允许跨域的路由
        registry.addMapping("/**")
                // 设置允许跨域请求的域名
                .allowedOrigins("*")
                // 是否允许携带cookie参数
                .allowCredentials(true)
                // 设置允许的方法
                .allowedMethods("*")
                // 跨域允许时间
                .maxAge(3600);
    }

    private TokenInterceptor tokenInterceptor;

    //构造方法
    public WebMvcConfig(TokenInterceptor tokenInterceptor) {
        this.tokenInterceptor = tokenInterceptor;
    }

    @Override
    public void configureAsyncSupport(AsyncSupportConfigurer configurer) {
        configurer.setTaskExecutor(new ConcurrentTaskExecutor(Executors.newFixedThreadPool(3)));
        configurer.setDefaultTimeout(30000);
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        List<String> excludePath = new ArrayList<>();
        //排除拦截,除了注册登录(此时还没token),其他都拦截
        excludePath.add("/api/register");  //登录
        excludePath.add("/api/login");     //注册
        excludePath.add("/img/**");  //静态资源
        excludePath.add("/song/**");  //静态资源
        excludePath.add("/api/getPublicKey");

        registry.addInterceptor(tokenInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns(excludePath);
        WebMvcConfigurer.super.addInterceptors(registry);
    }
}

然后在更改一下controller中的登录方法。为了这几行代码就看清楚传了什么所以没有用已经写好的code返回类进行向前端返回东西。springboot要写的基本就这些,最好可以是熟悉这套逻辑后在cv。

前端

1,配置store/index.js

 import Vue from 'vue'
 import Vuex from 'vuex'

 Vue.use(Vuex)

export default new Vuex.Store({
  state: {
      user: localStorage.getItem('username') ? localStorage.getItem('username') : null,
      //若localSorage存在token,将值赋给Vuex.state.token
      token: localStorage.getItem('token') ? localStorage.getItem('token') : null
  },
  mutations: {
        setUsername(state, username) {
          state.username = username
          localStorage.setItem('username', username)
      },
      setToken(state, token) {
          localStorage.setItem('token', token)
          state.token = token
      },
       //我页面中写了退出登录的按钮所以补了一个logout用来清空localStorage中的数据
      logout(state) {
          localStorage.removeItem('token')
          state.token = null
          localStorage.removeItem('username')
          state.setUsername = null
           //我写的RSA加密需向后端获取公钥,为了方便我在拿到公钥后直接存入localStorage中,所以在这里也要清空
          localStorage.removeItem('publickey')
          state.publickey=null
      }
  }
})

2,然后修改登录方法即可。

login () {
      var _this = this
      console.log(this.$store.state)
      // 获取公钥进行加密,可以省略此步骤
      this.$axios.get('/getPublicKey').then(res => {
        let publicKey = res.data;
        // 如果有数则向后台传递数据
        if (publicKey) {
          //  onsole.log(this.publicKey)
          let encrypt = new JSEncrypt()
          encrypt.setPublicKey(publicKey)
          this.$axios.post('/login', {
            // post方式向后端传输数据,其地址应是/api/login
            username: this.loginForm.username,
            password: encrypt.encrypt(this.loginForm.password)
          }).then(successResponse => {
            // 200为通过
            if (successResponse.data.code === 200) {
               _this.$store.commit('setToken',successResponse.data.token);
               var data = this.loginForm
               _this.$store.commit('setUsername', successResponse.data.username)
               var path = this.$route.query.redirect;
           //跳转到登录成功后的页面
               this.$router.replace({ path: path === '/' || path === undefined ? '/index' : path });
            } else if(successResponse.data.code === 400){
              // 400后端返回的是登录名已存在,弹窗提示
              alert(successResponse.data.msg)
            }
          })
            .catch(failResponse => {
            })
        } else {
              this.$message.error('获取公钥失败')
        }
      })
    }

然后测试即可,这个是登录后8443后端返回的数据,username我是用来其他业务,正常来说可以传过来对象,或者不传。

 这个就可以看到request请求头中已经有token码了。往后其他业务需要验证的话,在后端添加就行

 总结

这套很基础,只是我练习的时候使用的,如果正式开发的话肯定不会这么处理,jwt也并不是最优的选择,最终还是要结合项目需求来确定。

此方法仅限练习使用!

秋水qs
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot自定义异常和自定义返回格式(例如token)便于前端接收抛出
Y_R_Q的博客
07-18 1145
有的时候对于一些特殊的异常,我们需要进行别人的处理,那怎么自定义我们的异常的? //这里可继承你需要定义的错误 public class CustomException extends RuntimeException { //可以用来接受我们方法中传的参数 private String code; private String msg; public CustomException(String code,String msg) { //super("T
springboot+jwt实现token登陆权限认证实现
08-19
主要介绍了springboot+jwt实现token登陆权限认证实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Springboot 整合 JWT + Redis 实现Token 校验Demo
11-23
Springboot 整合 JWT + Redis 实现Token 校验Demo
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不恰巧的与我们的期望有所违背,原因:   (1)shiro默认的拦截跳转都是跳转url页面,而前后端分离后,后端并无权干涉页面跳转。   (2)shiro默认使用的登录拦截校验机制恰恰就是使用的session。   这当然不是我们
JWT实现token
不定期更新Java相关的各种内容
08-17 462
JTW实现token,含代码,可直接使用
SpringBoot整合JWT实现前后端Token验证
Shawn的个人博客
01-27 777
一、JWT介绍 1、JWT简介 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 官网:https://jwt.io/introduction/ 2
sprintboot微服务请求中token的传递
zfyymmd的博客
11-16 978
在访问FeignClient的controller中加入@RequestHeader将请求头中的token取出来作为参数传入FeignClient中在FeignClient中使用@RequestHeader将token参数放入到请求头中。
spring boot登录流程之登录成功返回token
yingmd2020的博客
08-25 1748
controller @PostMapping("/login") public Result<JSONObject> login(@RequestBody UserLoginModel userLoginModel) throws Exception { Result<JSONObject> result = new Result<>(); // 解密 String username = userLoginUtil.decrypt(userLog
前端网络基础 - Token
伏城之外的博客
03-19 2856
Session认证机制存在的问题 Session是基于Cookie工作的,所以当浏览器禁用cookie,或者发生跨站请求时,Session就无法工作了。 Session如果存储在服务器内存中,则会占用大量服务器内存,并且当项目是分布式部署到多个服务器时,session共享与同步成为一个问题。 Session如果存储的数据库中,则可以解决分布式部署多个服务器间session共享和同步问题,但是如果数据库挂了,则所有分布式服务器的session认证都会失败,所以数据库也要集群部署,这意味着一份se...
spring boot+jwt实现api的token认证详解
08-26
主要给大家介绍了关于spring boot+jwt实现api的token认证的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一学习学习吧
springBoot中使用JWT实现1.生成token,2.接收前端token进行身份认证,3.通过token获取对象信息
weixin_48122970的博客
08-06 4107
Spring MVC的配置中,可以通过实现WebMvcConfigurer接口的addInterceptors方法来注册自定义的HandlerInterceptor。通过使用HandlerInterceptor,我们可以实现一些与请求和响应相关的公共逻辑和功能,如身份验证、日志记录、参数解析、跨域处理等。拦截器提供了一种灵活的方式来对请求进行拦截和处理,帮助开发人员实现系统层面的功能和逻辑。
Java简单快速入门JWTtoken生成与验证)
greatming666的博客
09-08 7190
java jwt简单了解并快速上手
Spring Security采用JWT验证时filter异常处理和JWT续期问题
hey_lie的博客
11-03 1684
1.spring security JWT过滤器异常自定义处理 2.spring security 认证和授权时的异常自定义处理 3.JWT 续期问题
springboot拦截器过滤token,并返回结果及异常处理
热门推荐
OceanSky的专栏
05-27 3万+
1.springboot 拦截器处理过滤token,并且返回结果 package com.uufund.ecapi.config.interceptor; import com.uufund.ecapi.utils.LoggerUtil; import com.uufund.ecapi.utils.PackageReturnResult; import com.uufund.ecapi.util...
node.js-----生成jwt
niulinbiao的博客
08-13 505
参考文章:https://github.com/auth0/node-jsonwebtoken
jwt使用token传递前后端认证 实战项目演练
健康平安的活着的专栏
08-07 1996
客户端收到服务器返回JWT,可以储存在 Cookie 里面,也可以储存在 localStorage以后客户端每次与服务器通信,都要带上这个 JWT。方式1、可以放在 Cookie 里面自动发送,但是这样不能跨域方式2、更好的做法是放在 HTTP 请求的头信息Authorization字段里面方式3、JWT放在POST请求的数据体body里面。......
【前后端交互token过期验证策略(express+axios)
qq_34838046的博客
10-16 1313
文章目录逻辑服务端保存tokentoken更新部分代码校验token校验中间件 逻辑 登录时,服务端生成token,保存并返回token前端保存token 退出时,服务端删除服务端token。 发送请求时,前端携带token,服务端校验token并与保存的token对比。 校验token token未过期,正常返回token接近过期,服务端重新生成token返回前端更新tokentoken已过期,判断token与服务器保存的token是否相同。 若相同,则token正常过期,生成token,保
记录一次前端页面崩溃的产生及处理
最新发布
weixin_51123079的博客
05-30 504
记录一次前端页面崩溃的产生及处理
前端登录如何获取jwt响应标头Set-Cookie
07-10
前端登录获取JWT响应标头Set-Cookie的过程如下: 1. 前端发送登录请求(通常是通过表单提交或AJAX请求),将用户名和密码等凭据发送到后端服务器。 2. 后端服务器验证凭据,并生成JWT(JSON Web Token)作为用户的身份认证凭证。 3. 后端服务器在响应中设置Set-Cookie标头,将JWT作为Cookie的值进行设置。通常,Set-Cookie标头的值包含JWT的内容、过期时间、域等信息。 4. 前端接收到响应后,浏览器会自动将Set-Cookie中的值保存在浏览器的Cookie中。 5. 前端可以通过document.cookie属性获取保存在浏览器中的Cookie值,其中包括JWT的值。 注意:由于浏览器的同源策略限制,前端无法直接访问其他域下的Cookie。但在同一域名下,前端可以通过document.cookie属性获取当前域下的所有Cookie值。 以上是一种常见的前端获取JWT响应标头Set-Cookie的方式,具体实现可能会因后端框架或库的不同而略有差异。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值