JWT的神奇用法

最新推荐文章于 2024-09-10 10:21:38 发布
最新推荐文章于 2024-09-10 10:21:38 发布
阅读量651 收藏 12
点赞数 28
文章标签: java maven spring spring boot idea interpreter模式 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67646306/article/details/140342452
版权

目录

一、什么是JWT

二、JWT的结构

三、JWT在Java中的实现

3.1、添加依赖

3.2、创建一个JwtProperties类

3.3、创建一个JwtUtil类在类里创建生成jwt和解析jwt的方法,方便后来直接调用方法

3.4、在登录接口调用createJWT方法来生成JWT,将jwt返回给前端,后续的每次请求都会携带JWT

3.5、定义JwtTokenAdminInterceptor拦截器,对登录接口不拦截,其他接口要进行JWT校验,校验通过即可访问

3.6、将自定义的拦截器进行注册

四、JWT的优点和缺点

一、什么是JWT

JSON Web Tokens(JWT)是一种用于在网络应用环境间传递声明的一种紧凑的、URL安全的方式。JWT可以被用来在身份验证和信息交换中安全地在服务之间传递信息

二、JWT的结构

JWT由三部分组成,分别是Header(头部)、Payload(负载)和Signature(签名):

  • Header(头部):通常包含两部分:token的类型(这里是JWT)和所使用的签名算法(如HS256或RS256)。
  • Payload(负载):包含所谓的Claims(声明),它们是关于实体(通常是用户)和其他数据的声明。例如,可以包含用户的ID、用户名、角色等。
  • Signature(签名):用于验证消息在传输过程中未被篡改,并且,对于使用私钥签名的token,还可以验证发送者的身份。

三、JWT在Java中的实现

3.1、添加依赖

首先,需要在项目的pom.xml文件中添加JWT库的依赖。常用的库有jjwt

<dependency>
                <groupId>io.jsonwebtoken</groupId>
                <artifactId>jjwt</artifactId>
                <version>0.9.1</version>
            </dependency>

3.2、创建一个JwtProperties类

用来映射yml文件关于jwt的参数,进行全局配置

@Compoent注解,是把该类交给ioc容器管理

@ConfigurationProperties是完成yml文件的映射,prefix="sky.jwt"是标明参数前缀、

@Data是lombok为该类生成get和set方法用来获取参数的值

@Component
@ConfigurationProperties(prefix = "sky.jwt")
@Data
public class JwtProperties {

    /**
     * 管理端员工生成jwt令牌相关配置
     */
    private String adminSecretKey;
    private long adminTtl;
    private String adminTokenName;

 在yml文件对参数进行赋值

#自定义的,于java类相绑定的
sky:
  jwt:
    # 设置jwt签名加密时使用的秘钥
    admin-secret-key: itcast
    # 设置jwt过期时间,二十个小时
    admin-ttl: 72000000
    # 设置前端传递过来的令牌名称
    admin-token-name: token

3.3、创建一个JwtUtil类在类里创建生成jwt和解析jwt的方法,方便后来直接调用方法

/**
     * 生成jwt
     * 使用Hs256算法, 私匙使用固定秘钥
     *
     * @param secretKey jwt秘钥
     * @param ttlMillis jwt过期时间(毫秒)
     * @param claims    设置的信息
     * @return
     */
    public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {
        // 指定签名的时候使用的签名算法,也就是header那部分
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        // 生成JWT的时间
        long expMillis = System.currentTimeMillis() + ttlMillis;
        Date exp = new Date(expMillis);

        // 设置jwt的body
        JwtBuilder builder = Jwts.builder()
                // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setClaims(claims)
                // 设置签名使用的签名算法和签名使用的秘钥
                .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置过期时间
                .setExpiration(exp);

        return builder.compact();
    }

    /**
     * Token解密
     *
     * @param secretKey jwt秘钥 此秘钥一定要保留好在服务端, 不能暴露出去, 否则sign就可以被伪造, 如果对接多个客户端建议改造成多个
     * @param token     加密后的token
     * @return
     */
    public static Claims parseJWT(String secretKey, String token) {
        // 得到DefaultJwtParser
        Claims claims = Jwts.parser()
                // 设置签名的秘钥
                .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims;
    }

3.4、在登录接口调用createJWT方法来生成JWT,将jwt返回给前端,后续的每次请求都会携带JWT

/**
     * 登录
     *
     * @param employeeLoginDTO
     * @return
     */
    @ApiOperation(value = "员工登录")
    @PostMapping("/login")
    public Result<EmployeeLoginVO> login(@RequestBody EmployeeLoginDTO employeeLoginDTO) {
        log.info("员工登录:{}", employeeLoginDTO);

        Employee employee = employeeService.login(employeeLoginDTO);

        //登录成功后,生成jwt令牌
        Map<String, Object> claims = new HashMap<>();
        claims.put(JwtClaimsConstant.EMP_ID, employee.getId());
        //token就是由createJWT方法生产的jwt令牌w
        String token = JwtUtil.createJWT(
                jwtProperties.getAdminSecretKey(),
                jwtProperties.getAdminTtl(),
                claims);

        EmployeeLoginVO employeeLoginVO = EmployeeLoginVO.builder()
                .id(employee.getId())
                .userName(employee.getUsername())
                .name(employee.getName())
                .token(token)//将jwt封装到VO返回给前端
                .build();
        //进行返回
        return Result.success(employeeLoginVO);
    }

3.5、定义JwtTokenAdminInterceptor拦截器,对登录接口不拦截,其他接口要进行JWT校验,校验通过即可访问

//注入JwtProperties对象
    @Autowired
    private JwtProperties jwtProperties;
    /**
     * 校验jwt
     *
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //判断当前拦截到的是Controller的方法还是其他资源
        if (!(handler instanceof HandlerMethod)) {
            //当前拦截到的不是动态方法,直接放行
            return true;
        }

        //1、从请求头中获取令牌
        String token = request.getHeader(jwtProperties.getAdminTokenName());

        //2、校验令牌
        try {
            log.info("jwt校验:{}", token);
            Claims claims = JwtUtil.parseJWT(jwtProperties.getAdminSecretKey(), token);
            Long empId = Long.valueOf(claims.get(JwtClaimsConstant.EMP_ID).toString());
            //调用线程空间的方法 将解析出来jwt令牌的empID存入这个单独空间(每个用户的请求都是一个单独的线程)
            BaseContext.setCurrentId(empId);
            //log.info("当前线程为:"+BaseContext.getCurrentId());
            log.info("当前员工id:{}", empId);
            //3、通过,放行
            return true;
        } catch (Exception ex) {
            //4、不通过,响应401状态码
            response.setStatus(401);
            return false;
        }
    }

3.6、将自定义的拦截器进行注册

创建一个WebMvcConfiguration实现WebMvcConfigurationSupport接口

@Autowired
    private JwtTokenAdminInterceptor jwtTokenAdminInterceptor;
    /**
     * 注册自定义拦截器
     *
     * @param registry
     */
    protected void addInterceptors(InterceptorRegistry registry) {
        log.info("开始注册自定义拦截器...");
        registry.addInterceptor(jwtTokenAdminInterceptor)
                .addPathPatterns("/admin/**")
                .excludePathPatterns("/admin/employee/login");
}

四、JWT的优点和缺点

优点:

  • 安全性高:基于Token的验证机制,可以避免敏感信息在Cookie中的存储,降低被窃取的风险
  • 无状态和可扩展性:服务器不需要存储Session信息,每个请求都带有Token,减少了服务器的会话管理开销
  • 性能:在网络传输过程中,性能表现更佳

缺点:

  • Token续签问题:需要设计合理的过期时间和刷新机制,以避免用户频繁重新登录
  • 存储安全:Token存储在客户端,存在被XSS攻击窃取的风险,建议使用HTTP Only Cookie或专门的安全存储机制
  • 无法在服务端注销:一旦JWT发出,服务端无法主动使它失效,除非增加额外逻辑,如黑名单机制
冲鸭,牛码
关注
  • 28
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JSON Web Token (JWT)笔记(token实现单点登录功能)
qq_43813373的博客
04-05 3142
文章目录cookie(浏览器客户端)session(web服务端)单点登录三种方式 cookie(浏览器客户端) 百度百科-cookie(安全威胁) cookie是客户端技术,存储在本地浏览器中,每次发送请求带着cookie值发送。 Cookie,有时也用其复数形式Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 简介 Cookie 并不是它的原意“甜饼”的意思, 而是一
110%通过Django&React 2020完成JWT身份验证
编程故事的地方
02-22 1234
ReactJS是一个很棒的前端框架,而Django是一个很棒的后端框架。 但是,像往常一样,在处理琐碎复杂的事情时,很难将两者很好地放在一起。 这不像是在墙上贴香蕉。 这是一个中级教程,超出了大多数使Django和React协同工作的教程范围。 我不仅要在这里给您留下一张不完整的图片。 这就是整个shebang。 克服它并构建有用的东西。 当我们第一次为我的初创公司Lollipop.ai做这件...
Python常用库的用法介绍都给大家整理出来啦,非常实用,建议收藏
Gtieguo的博客
12-02 1899
从代码角度讲:库就是一堆类(class)和函数(function)的集合。从应用角度讲:库类似生活中的工具箱,箱子里有很多做其他事情必不可少的工具。举一个例子,如果你想抓取某网站的数据或图片,那么你就需要能处理相关底层网络连接的代码,而这些代码都已经被写好了,你只需要调用库里的函数或类,能够提高开发效率。面对不同的情况,自然需要不同的工具箱,那么,都有哪些Python库呢?Python零基础入门道精通视频合集【整整800集】Python爬虫项目零基础入门合集,细狗都学会了,你还不会?
2020年通过Django&React完成110%的JWT身份验证-2020年
编程故事的地方
02-22 910
ReactJS是一个很棒的前端框架,而Django是一个很棒的后端框架。 但是,像往常一样,在处理琐碎的琐碎事情时,很难将两者很好地放在一起。 这不像将香蕉贴在墙上。 这是一个中级教程,超出了大多数教程的内容,以使Django和React一起工作。 我不仅要在这里给您留下一张不完整的图片。 这就是整个shebang。 克服它并构建有用的东西。 当我们第一次为我的初创公司Lollipop.a...
探秘RestTemplate:解析远程调用的神奇力量(一)
凛鼕将至的博客
03-02 1257
RestTemplate是一种用于发送HTTP请求和接收HTTP响应的Spring框架的类。它是基于HttpClient的封装,提供了简化和方便的方法来执行HTTP请求,包括GET、POST、PUT、DELETE等。通过使用RestTemplate,开发人员可以轻松地与RESTful服务进行通信,访问和操作资源。RestTemplate还支持通过参数传递和接收JSON、XML等不同格式的数据。总的来说,RestTemplate是一个非常强大且易用的工具,它在分布式系统开发中起到了极为重要的作用。
.NET Core POCOController在动态Web API中的应用
素履独行 | 元培的个人博客
08-25 1718
Hi,大家好,我是Payne,欢迎大家关注我的博客,我的博客地址是:https://blog.yuanpei.me。在上一篇文章中,我和大家分享了ASP.NET中动态Web API的实现,这种方案的现实意义是,它可以让我们把任意一个接口转换为Web API,所以,不单单局限在文章里提到的WCF迁移到Web API,任意领域驱动开发(DDD)中的服务层,甚至是更为普遍的传统三层,都可以通过这种方式快...
@staticmethod 和 @classmethod 之间的区别
kalman2019的博客
12-12 670
用 @staticmethod 装饰的函数和用 @classmethod 装饰的函数有什么区别?
MVC5 - ASP.NET Identity登录原理 - Claims-based认证和OWIN
weixin_33997389的博客
12-19 79
原文地址:http://www.cnblogs.com/jesse2013/p/aspnet-identity-claims-based-authentication-and-owin.html   在Membership系列的最后一篇引入了ASP.NET Identity,看到大家对它还是挺感兴趣的,于是来一篇详解登录原理的文章。本文会涉及到Claims-based(基于声明)的认证,我...
Vue组件框架(ElementUI+Axios+Vuex)
风吟Pro的博客
08-24 765
比如导航栏,可以把他封装起来,再其他位置进行使用新建组件标签查看样式组件化开发扩展因为ElementUI比较成熟的是基于Vue2.x的版本,所以我们这里创建一个Vue2的项目来演示ElementUI切换到工程文件目录下,命令新建文件,选择2.0版本进行创建vue create 项目名创建完毕后加入工程创建一个组件基础内容,可以直接嵌入使用不过这样有个缺点,就是内容只能在卡片内部进行使用,无法被调用卡片的页面进行获取这里Vue提供了一个属性,供外界调用者对数据进行处理。
备战金九银十,java中高级核心知识全面解析,让你吊打面试官
uuqaz的博客
07-24 3100
本文限于篇幅,故而只展示目录的内容,完整的Java面试学习文档小编已经帮你整理好了,有需要的朋友点赞+关注私信我222免费领取Java、大厂面试学习资料哦!它是简单的字符串列表,你可以添加一个元素到列表的头部,或者尾部。如何设计一个高可用系统?身份认证优缺点分析以及常见问题解决方案。可用性的判断标准是啥?新的主服务器是怎样被挑选出来的?种数据类型对应的编码和数据结构。用户态切换到内核态的几种方式。有哪些提高系统可用性的方法?容器与虚拟机两者是可以共存的。使用数据库实现查找附近的人。...
一系列令人敬畏的.NET核心库,工具,框架和软件
weixin_30530939的博客
06-17 3310
内容 一般 框架,库和工具 API 应用框架 应用模板 身份验证和授权 Blockchain 博特 构建自动化 捆绑和缩小 高速缓存 CMS 代码分析和指标 压缩 编译器,管道工和语言 加密 数据库 数据库驱动 数据库工具和实用程序 日期和时间 分布式计算 电子商务和支付 例外 功能编程 图像 GUI IDE 国际化 国际奥林匹克委...
网址备忘录
sinat_35444807的博客
10-31 1133
Bookmarks 前端学习 HTML canvas three.js Noise - value - 2D (1条消息) three.js script vertex和fragment在react中使用/纯js写法_草宝虫的博客-CSDN博客 texture = new THREE.TextureLoader().load()引入纹理,图片应该放在vue脚手架中的哪块 - SegmentFault 思否 Three.js – JavaScript 3D Library 前
前端文章精选目录
weixin_43964148的博客
10-18 491
文章目录:看文章不迷路 redux源码解读 Redux 源码解析系列(一) – Redux的实现思想 Redux源码解析系列 (二)-- 牛鼻的createStore Redux源码解析系列 (三)-- 神秘的中间件初体验 Redux源码解析系列 (四)-- 揭秘applyMiddleware工作原理 手写核心原理系列 手写Vuex核心原理,再也不怕面试官问我Vuex原理 手写webpack核心原理,再也不怕面试官问我webpack原理 手写Vue-router核心原理,再也不怕面试官问我Vue-rout
前端非框架类知识点汇总
weixin_46044936的博客
07-26 2456
html单词库 <link rel="stylesheet" href="css文件路径">css引入 <iframe src="danghang.html" width="100%" height="310px" frameborder="0"></iframe> 图片标签: img src="" title="" alt="" src属性 是指图像文件路径 alt属性 是在图片加载不出来时替换成文本 title属性 是在鼠标悬停的时候显示 srcset属性 是在不
spring事务详细讲解-深入浅出
小电玩
09-08 435
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境中设置的隔离级别,调整数据库隔离级别。
Java多线程:深入探索与详细解析
m0_63550220的博客
09-08 1432
作为Java中的基本执行单元,线程是轻量级的进程,由线程ID、程序计数器、Java虚拟机栈、本地方法栈、和线程私有内存等部分组成。每个线程都有独立的执行路径,但共享进程的资源(如内存)。:进程是系统资源分配的基本单位,它包含了一个或多个线程以及这些线程运行所需的资源。在Java中,JVM(Java虚拟机)就是一个进程,而运行在JVM上的多个线程则共享JVM的内存空间。:并发指的是多个任务在同一时间段内交替执行,而并行则指的是多个任务在同一时刻真正同时执行。
JAVA基础:数据类型、命名规范
weixin_53755148的博客
09-05 1362
变量类型就是用来指定变量中存储数据的类型。也称为数据类型。
Java集合:Stack详解
最新发布
yang_brother的博客
09-10 461
Java 中的Stack类是一个后进先出(LIFO, Last In First Out)的数据结构,它继承自Vector类。尽管Stack是一个可用的类,但它被认为是遗留的,并且在新代码中不推荐使用。通常建议使用Deque或ArrayDeque作为替代。
nodejs jwt 用法
09-14
在Node.js中使用JSON Web Token (JWT)的方法如下: 1. 首先,安装并引入jsonwebtoken模块: ``` npm install jsonwebtoken const jwt = require('jsonwebtoken'); ``` 2. 创建一个密钥用于签名和验证JWT。可以使用一个随机字符串作为密钥: ``` const secretKey = 'your-secret-key'; ``` 3. 生成JWT: ``` const token = jwt.sign({ payload }, secretKey, { expiresIn: '1h' }); ``` 这里的`payload`是包含用户信息的对象,`expiresIn`指定了token的有效期限。 4. 验证和解码JWT: ``` const decoded = jwt.verify(token, secretKey); ``` `decoded`将包含解码后的token信息,如果验证失败,将会抛出错误。 5. 在Express中使用JWT进行身份认证: ``` const expressJWT = require('express-jwt'); const app = express(); app.use(expressJWT({ secret: secretKey }).unless({ path: [/^\/api\// })); ``` 这里使用`express-jwt`中间件来验证请求的JWT,并指定了一个路径白名单,以便例外的路由不需要进行JWT验证。 请注意,以上是基本的使用方法,实际应用中可能还需要根据具体需求进行更多的配置和处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值