JWT认证过滤器

最新推荐文章于 2024-03-27 22:39:33 发布
最新推荐文章于 2024-03-27 22:39:33 发布
阅读量212 收藏
点赞数
文章标签: hive hadoop 数据仓库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68935893/article/details/132065973
版权 
package com.java1234.common.security;

import com.java1234.common.constant.JwtConstant;
import com.java1234.entity.CheckResult;
import com.java1234.entity.SysUser;
import com.java1234.service.SysUserService;
import com.java1234.util.JwtUtils;
import com.java1234.util.StringUtil;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtException;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Arrays;

public class JwtAuthenticationFilter extends BasicAuthenticationFilter {

    @Autowired
    private SysUserService sysUserService;

    @Autowired
    private MyUserDetailServiceImpl myUserDetailService;

    private static final String URL_WHITELIST[] = {
            "/login",
            "/logout",
            "/captcha",
            "/password",
            "/image/**"

    };


    public JwtAuthenticationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        String token = request.getHeader("token");
        System.out.println("请求url"+request.getRequestURI());
        //如果token是空 或者 url在白名单里,则放行
        if(StringUtil.isEmpty(token) || new ArrayList<String>(Arrays.asList(URL_WHITELIST)).contains(request.getRequestURI())){
            chain.doFilter(request,response);
            return;
        }
        CheckResult checkResult = JwtUtils.validateJWT(token);
        if(!checkResult.isSuccess()){
            switch (checkResult.getErrCode()){
                case JwtConstant.JWT_ERRCODE_NULL:throw new JwtException("Token不存在");
                case JwtConstant.JWT_ERRCODE_FAIL:throw new JwtException("Token验证不通过");
                case JwtConstant.JWT_ERRCODE_EXPIRE:throw new JwtException("Token过期");
            }
        }
        Claims claims = JwtUtils.parseJWT(token);
        String username = claims.getSubject();
        SysUser sysUser = sysUserService.getByUsername(username);

        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(username,null,myUserDetailService.getUserAuthority());
        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
        chain.doFilter(request,response);
    }
}


package com.java1234.common.constant;

/**
 * 系统级静态变量
 * @author java1234_小锋
 * @site www.java1234.com
 * @company Java知识分享网
 * @create 2019-08-13 上午 9:51
 */
public class JwtConstant {

    /**
     * token
     */
    public static final int JWT_ERRCODE_NULL = 4000;			//Token不存在
    public static final int JWT_ERRCODE_EXPIRE = 4001;			//Token过期
    public static final int JWT_ERRCODE_FAIL = 4002;			//验证不通过

    /**
     * JWT
     */
    public static final String JWT_SECERT = "8677df7fc3a34e26a61c034d5ec8245d";			//密匙
    public static final long JWT_TTL = 24*60 * 60 * 1000;									//token有效时间
}


package com.java1234.util;

import com.java1234.common.constant.JwtConstant;
import com.java1234.entity.CheckResult;
import io.jsonwebtoken.*;
import org.bouncycastle.util.encoders.Base64;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Date;

/**
 * jwt加密和解密的工具类
 * @author java1234_小锋
 * @site www.java1234.com
 * @company Java知识分享网
 * @create 2019-08-13 上午 10:06
 */
public class JwtUtils {

    /**
     * 签发JWT
     * @param id
     * @param subject 可以是JSON数据 尽可能少
     * @param ttlMillis
     * @return
     */
    public static String createJWT(String id, String subject, long ttlMillis) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        SecretKey secretKey = generalKey();
        JwtBuilder builder = Jwts.builder()
                .setId(id)
                .setSubject(subject)   // 主题
                .setIssuer("Java1234")     // 签发者
                .setIssuedAt(now)      // 签发时间
                .signWith(signatureAlgorithm, secretKey); // 签名算法以及密匙
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date expDate = new Date(expMillis);
            builder.setExpiration(expDate); // 过期时间
        }
        return builder.compact();
    }

    /**
     * 生成jwt token
     * @param username
     * @return
     */
    public static String genJwtToken(String username){
        return createJWT(username,username,60*60*1000);
    }

    /**
     * 验证JWT
     * @param jwtStr
     * @return
     */
    public static CheckResult validateJWT(String jwtStr) {
        CheckResult checkResult = new CheckResult();
        Claims claims = null;
        try {
            claims = parseJWT(jwtStr);
            checkResult.setSuccess(true);
            checkResult.setClaims(claims);
        } catch (ExpiredJwtException e) {
            checkResult.setErrCode(JwtConstant.JWT_ERRCODE_EXPIRE);
            checkResult.setSuccess(false);
        } catch (SignatureException e) {
            checkResult.setErrCode(JwtConstant.JWT_ERRCODE_FAIL);
            checkResult.setSuccess(false);
        } catch (Exception e) {
            checkResult.setErrCode(JwtConstant.JWT_ERRCODE_FAIL);
            checkResult.setSuccess(false);
        }
        return checkResult;
    }

    /**
     * 生成加密Key
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.decode(JwtConstant.JWT_SECERT);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }


    /**
     * 解析JWT字符串
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }

    public static void main(String[] args) throws InterruptedException {
        //小明失效 10s
        String sc = createJWT("1","小明", 60 * 60 * 1000);
        System.out.println(sc);
        System.out.println(validateJWT(sc).getErrCode());
        System.out.println(validateJWT(sc).getClaims().getId());
        System.out.println(validateJWT(sc).getClaims().getSubject());
        //Thread.sleep(3000);
        System.out.println(validateJWT(sc).getClaims());
        Claims claims = validateJWT(sc).getClaims();
        String sc2 = createJWT(claims.getId(),claims.getSubject(), JwtConstant.JWT_TTL);
        System.out.println(sc2);
    }

}
九品印相
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springboot+Spring-Security+JWT 实现用户登录和权限认证
congge
06-08 26万+
如今,互联网项目对于安全的要求越来越严格,这就是对后端开发提出了更多的要求,目前比较成熟的几种大家比较熟悉的模式,像RBAC 基于角色权限的验证,shiro框架专门用于处理权限方面的,另一个比较流行的后端框架是Spring-Security,该框架提供了一整套比较成熟,也很完整的机制用于处理各类场景下的可以基于权限,资源路径,以及授权方面的解决方案,部分模块支持定制化,而且在和oauth2.0进...
small-applications:项目开发模板,包含功能:shiro+jwt权限认证、各种工具类、统一异常处理、监听器、拦截器、过滤器、适配器、aop、二维码生成、app包解析工具、逆向工程、rabbitmq处理请求日志等
05-26
过滤器 适配器 aop 二维码生成 app包解析工具 逆向工程 rabbitmq处理请求日志 webservice发布和调用 扫码登陆 sql日志控制台打印显示出来 阿里云文件上传 阿里云短信发送 quartz动态定时任务,添加、删除任务
自定义Spring Security过滤器 JwtAuthenticationTokenFilter
zyx1234321的博客
11-19 362
这个过滤器的作用是在请求到达时验证 JWT,并将用户信息存储到 Spring Security 的上下文和 ThreadLocal 中,方便后续的权限验证和用户信息获取。放在所有过滤器前面,检查浏览器携带的token是否合法。
一文带你快速了解登录校验相关技术,如JWT令牌,Filter,Interceptor
qq_56999608的博客
03-27 1205
本篇将带你快速了解与登录校验相关的技术,如JWT令牌,Filter过滤器,Interceptor拦截器等。一、JWT令牌1、概述JWT(JSON Web Token) ,官网:https://jwt.io/定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:1)第一部分:Header(头),记录令牌类型、签名算法等。例如: {...
JwtAuthenticationFilter config
GGHuWei的博客
07-17 2123
/** 验证用户名密码正确后 生成一个token并将token返回给客户端 @author huwei */ public class JwtAuthenticationFilter extends UsernamePasswordAuthenticationFilter { private final StringRedisTemplate stringRedisTemplate; private final AuthenticationManager authenticationManager;
Jwt认证过滤器实现
qq_58137891的博客
05-09 1136
定义Jwt过滤器后,当用户是已登录状态时,在请求头中携带token便可访问相关网页。
JwtAuthenticationTokenFilter
Mr_Huifeng的博客
02-27 649
JwtAuthenticationTokenFilter
springboot +安全+ jwt +复述,实现微信小程序登录及令牌权限鉴定
01-27
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定 tips:这是实战篇,默认各位看官具备相应的基础(文中使用了Lombok插件,如果使用源码请先安装插件) @[TOC] 项目配置 依赖 <groupId>org.spring...
基于过滤器实现的一款配合spring快速开发的安全认证框架,思想是希望通过简单的配置,并且实现核心的方法达到认证和鉴权的目的
最新发布
04-06
easy-security 基于过滤器实现的一款配合spring快速开发的安全认证框架,思想是希望通过简单的配置,并且实现核心的方法达到认证和鉴权的目的。easy-security 不限制存取token方式,无论是保存到服务端还是使用JWT等...
sureness认证鉴权框架.rar
07-11
无特定框架依赖(本质就是过滤器处拦截判断,已有springboot,quarkus,javalin,ktor等集成样例) 支持动态修改权限配置(动态修改配置每个rest api谁有权访问) 支持主流http容器 servlet 和 jax-rs 支持多种认证策略, jwt...
e-commerce-website:使用auth0和JWT,commerce.js和stripe.js进行登录身份验证的电子商务网站
03-18
电子商务网站 ...特征 ...将过滤器选项添加到类别和存储页面 添加darkMode选项 改进之处 不要使用commerce.js并使用mongoDB和类似CDN的图像。这将使大部分后端都在一台服务器上,并允许我们快速查询结果。
自定义JWT认证过滤器
Leon_Jinhai_Sun的博客
01-23 2014
身份认证 - 1 登录成功之后前端就可以获取到了jwt的信息,前端中我们是保存在了store中,同时也保存在了localStorage中,然后每次axios请求之前,我们都会添加上我们的请求头信息,可以回顾一下: 前端项目的axios.js 所以后端进行用户身份识别的时候,我们需要通过请求头中获取jwt,然后解析出我们的用户名,这样我们就可以知道是谁在访问我们的接口啦,然后判断用户是否有权限等操作。 那么我们自定义一个过滤器用来进行识别jwtJWTAuthenticationFilter
(二)添加JwtAuthenticationFilter类实现登录之后在请求头添加 token来访问数据
weixin_51431465的博客
09-17 251
【代码】(二)添加JwtAuthenticationFilter类实现登录之后在请求头添加 token来访问数据。
认证过滤器
Leon_Jinhai_Sun的博客
06-05 2057
认证
SpringBoot Security+JWT授权验证模块使用
Logicr的博客
12-23 1333
简介 通过JWT每次请求带上token可以进行无状态登录,不必保存Session等。 创建 在IDEA中使用Spring Initializr创建一个Security项目,注意,创建之后maven是不可用的,还需要添加maven支持,模块右键,Add Framework Support,选择maven。 依赖 添加JWT依赖,和一个web依赖包,毕竟要用来登录认证。 <!--jwt--> <dependency> <groupId>io.jsonwebtok
Spring Security前后端分离最佳实践(登录+JWT)
太空眼睛的专栏
03-31 1854
目录Spring Security前后端分离最佳实践(登录+JWT)开发环境jar包依赖Spring Security配置继承WebSecurityConfigurerAdapter登录过滤器LoginAuthenticationFiltertoken校验过滤器JwtTokenAuthenticationFilter**main()**函数启动类测试验证总结 Spring Security前后端分离最佳实践(登录+JWT) 现在前后端分离的Web应用越来越流行,后端提供一系列API,前端通过调用这些API
SpringSecurity+JWT认证流程解析 | CSDN新人第一弹
和耳朵
07-07 1830
纸上得来终觉浅,觉知此事要躬行。 楔子 本文适合: 对Spring Security有一点了解或者跑过简单demo但是对整体运行流程不明白的同学,对SpringSecurity有兴趣的也可以当作你们的入门教程,示例代码中也有很多注释。本文代码: 码云地址 GitHub地址 大家在做系统的时候,一般做的第一个模块就是认证与授权模块,因为这是一个系统的入口,也是一个系统最重要最基础的一环,在认证与授权服务设计搭建好了之后,剩下的模块才得以安全访问。 市面上一般做认证授权的框架就是shiro和Spring.
配置Spring Security AuthenticationFilterAuthenticationPrincipal
qiuweifan的博客
04-01 1953
5.自定义Spring Security AuthenticationFilter 最后,让我们编写JWTAuthenticationFilter从请求中获取 JWT 令牌,对其进行验证,加载与令牌关联的用户,并将其传递给 Spring Security - public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider tokenProvi
jwt自定义认证过滤器
an715396887的博客
08-09 295
JWT自定义认证过滤器的作用是在请求到达后端服务器之前对JWT令牌进行验证和解析,以确保请求的合法性和身份的真实性。验证令牌的有效性:通过检查令牌的签名和过期时间等信息,确保令牌是有效且未过期的。解析令牌获取用户信息:从令牌中提取用户身份信息,如用户名、角色或权限等,以便后续的身份验证和授权操作。进行身份验证:根据令牌中的用户信息,进行用户身份的验证,确保用户是合法的、存在的。设置用户上下文:将验证通过的用户信息存放在上下文中,以便在后续的请求处理过程中使用,如获取当前用户信息、进行权限控制等。
使用jwt过滤器的流程图
04-18
很抱歉,因为我是一个语言模型,我无法提供图片或图表,但是我可以提供一些文字描述来解释JWT过滤器的流程。 一般来说,JWT(JSON Web Token)用于认证和授权用户,而过滤器则用于检查、验证和拦截请求。接下来,我会简要介绍使用JWT过滤器的流程。 1. 客户端发送登录请求,并提交用户名和密码。 2. 服务器验证用户信息,如果验证通过,就生成一个JWT并将其发送给客户端。 3. 客户端收到JWT,并在每个请求中将其作为请求头添加到请求中。 4. 服务器的过滤器接收到请求,检查JWT是否有效。如果是有效的,请求将继续传递到下一个步骤。如果无效,请求将被拒绝。 5. 服务器的业务逻辑接收到请求,从JWT中读取用户信息,并验证用户是否有足够的权限执行该请求。 6. 如果用户有足够的权限,服务器会处理请求并返回响应给客户端。 这是简化的步骤,实际上使用JWT过滤器的流程可能更加复杂,需要根据业务需求和安全性考虑做出相应的调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值