JWT进行请求头校验

最新推荐文章于 2024-06-02 10:54:56 发布
最新推荐文章于 2024-06-02 10:54:56 发布
阅读量218 收藏
点赞数
分类专栏: java 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71777195/article/details/132773915
版权
java 专栏收录该内容
3552 篇文章 115 订阅
订阅专栏

JWT请求头校验

这里进行请求头校验,我们首先要添加过滤器JwtAuthenticationFilter,到SpringSecurity默认提供的过滤器链中。

为什么要添加过滤器?

是为了在请求到达控制器之前进行身份验证和授权处理Spring Security默认提供的过滤器链是一组预定义的过滤器,用于处理各种安全相关的任务,比如身份验证、授权、会话管理等。这些过滤器按照特定的顺序被调用,以确保请求的安全性。将JwtAuthenticationFilter加入到过滤器链中,可以使请求在进入控制器之前经过自定义的身份验证和授权逻辑。这样可以保护你的API免受未经身份验证或未授权的访问,确保只有合法的用户才能访问受保护的资源。

创建过滤器

创建filter包,在包下创建JwtAuthenticationFilter

image-20230809174653257

这里就是先获取请求头内令牌的内容,再调用工具类的方法对令牌进行解析,方法内部校验令牌的合法与解析,将jwt令牌转化成UserDetails类型,用于往UsernamePasswordAuthenticationToken类中包装用户基本信息,再封装来自请求的详细身份验证信息,例如 IP 地址、会话 ID 等;最后,将认证对象设置到当前的安全上下文中,这样就代表验证完成了。再调下一个用过滤器方法。

image-20230809174831627

image-20230809174850394

image-20230809175827386

这里toUser中密码随便写的原因是,我们不用password,在UsernamePasswordAuthenticationToken第二个参数是凭证,就是密码之类的,我们不需要,所以传null。

image-20230809180316413

添加过滤器

回到SecurityConfiguration配置类,我们将他引入,并将其添加在验证用户名密码的过滤器之前

image-20230809181004864

测试

创建TestController,进行简单测试

image-20230809181326473

登录获取token

image-20230809181237355

image-20230809181749313

测试成功,不要忘了加Bearer 哦。

我们不输入值,发现不是json格式的,我们进行完善

image-20230809181855906

完善

回到SecurityConfiguration配置类,添加配置,conf.accessDeniedHandler(this::accessDenied);是登录进去,但没有权限访问一些页面的处理器,其他没有什么要注意的,也可以把这些处理器写成一个,那样就清爽多了,但我懒,代码就不贴了。

image-20230809183359070

image-20230809183414470

在RestBean中又封装俩方法

image-20230809183436923

肥肥技术宅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT校验
Monster
03-08 2140
1. 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 通俗说:\color{#FF3030}{通俗说:}通俗说: 在数据传输过程中还可
深入解析 JWT(JSON Web Tokens):原理、应用场景与安全实践
gulugulu1103的博客
11-23 3126
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为 JSON 对象。由于其小巧和自包含的特性,它在 Web 应用程序和服务之间尤其流行用于身份验证和信息交换。一个 JWT 实际上是将 header、payload 和 signature 三部分分别进行 Base64 编码,然后用点(。在 Web 应用和 API 身份验证中,JWT 的使用非常普遍。例如,用户登录到系统后,系统会创建一个 JWT,并将其发送回用户。
jwt请求头校验
最新发布
m0_56277423的博客
06-02 183
过滤器 (:从请求头中提取 JWT,并验证其有效性。如果有效,将用户信息存储在 SecurityContext 中。工具类 (JwtUtil:用于生成、验证、解析和刷新 JWT。安全配置 (:配置 Spring Security 使用 JWT 进行认证和授权。控制器 (:提供认证接口和受保护资源接口。用户详细信息服务 (:从数据库加载用户信息。
过滤器与拦截器 - 登录校验与登录认证(JWT令牌技术)
weixin_51351637的博客
05-17 2417
会话:用户打开浏览器,访问web服务器资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。比如我们打开浏览器与Web服务器建立连接。首先访问login接口,再访问depts接口,最后访问emps接口。只要浏览器和服务器都没有关闭,那么这三次请求都是在一次会话中完成的。关闭服务器,所有的会话都会关闭关闭当前浏览器,当前会话结束会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。
JWT验证
阿巴阿巴
06-12 2423
JWT 的原理是,服务器认证以后,生成一个字符串,发回给用户,就像下面这样。它是一个很长的字符串,没有换行,中间用点()分隔成三个部分。怎么是json对象,方便前端使用么?话说这是认证用的,还指望用里面的信息?后端会再转换成json对象么?还是说一开始是个json对象,一开始这个怎么来的,为什么是少见的后端先生成JSON,因为后端先拿到数据么以后,用户与服务端通信的时候,都要发回这个字符串。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名(详见后文)
Spring Security基于jwt实现权限校验
Instanceztt的博客
12-01 1432
在中我实现了基于jwt实现的认证,本文在此基础上继续实现权限认证二 代码实现用户认证成功生成jwt时将权限信息加载到jwt中..................................................................................................定义和用于认证成功从jwt中解析jwt中的权限信息.....................................jwt校验成功后解析jwt并加载到安全上下文中.........
vue 导出文件,携带请求头token操作
10-14
首先,让我们来看标题和描述中提到的关键点:`vue 导出文件` 和 `携带请求头token`。这表明我们需要在Vue组件中创建一个方法来发送HTTP GET请求,同时在请求头中包含token。通常,token是用于验证用户身份的一种安全...
JWT Token生成及验证
11-03
你可以设置服务器端用于生成和签发JWT,客户端则使用这个JWT进行身份验证和请求授权。这种机制有助于减少服务器的负担,因为它不需要在每次请求时都查询数据库来验证用户。 总之,JWT Token提供了一种安全、轻量...
Springboot 整合 JWT + Redis 实现双Token 校验Demo
11-23
本教程将详细解释如何整合Spring Boot与JWT(JSON Web Token)以及Redis来实现双Token校验,确保用户会话的安全性和效率。 首先,JWT是一种轻量级的身份验证机制,它允许服务器通过生成一个包含必要信息的令牌(如...
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
标题中的".NET6平台开发WebApi-使用JWT进行用户鉴权"指的是在最新的.NET框架版本中创建Web API服务,并利用JWT进行用户的身份验证。这涉及到以下几个关键步骤: 1. **创建WebApi项目**:首先,我们需要使用.NET6 ...
vue项目使用axios发送请求让ajax请求头部携带cookie的方法
10-17
这样,当你在登录后设置了cookie,比如用户信息、会话ID等,这些信息将会被自动添加到Ajax请求的头部,供后端服务器校验。 一旦配置完成,Vue组件中的任何axios请求都会自动包含cookie。例如: ```javascript this...
JWT令牌存储到浏览器中localStorage中,并且往页面请求头中添加token
weixin_52183261的博客
02-17 974
其中response.data.data是后端返回的数据为jwt字符串。
了解JWT(跨域)
weixin_50999696的博客
11-22 1969
什么是JWT呢? 1、JWT(JSON Web Token) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 简单的讲就是,JWT是一个带签名及用户相关的信息加密成串,页面请求校验登录接口时,请求头中携带JWT串到后端服务,后端通过签名加密串匹配校验,保证信息未被篡改。校验通过则认为是可靠的
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 749
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
jwt进行token校验 -详细版
weixin_46649054的博客
05-28 7500
jwt的一些介绍 简单使用描述, 代码中使用演示 添加JWT的依赖 以及项目依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependenc
登录校验——JWT(JSON Web Token)介绍
qq_59708493的博客
12-01 407
JWT(JSON Web Token)是一种在Java前后端分离项目中实现登录功能的常用方式。本文将对前后端的分析,JWT在前后端的联系以及其在登录功能中的作用和优缺点进行详细介绍。
Jwt验证
yyyjuedinging的博客
07-10 1847
json web token 其实就是一个字符串 string令牌1、标头(Header)​ 令牌类型(即jwt) + 使用的签名算法 最后通过Base64编码加密组成字符串变成JWT的一部分。2、有效载荷(Payload)​ 令牌的第二部分,有效负载,包含有关实体和其他数据的声明,除敏感信息,同样使用Base64组码加密组成JWT第二部 分 3、签名(Signature)​ Signature需要使用编码后的header和payload以及我们提供的密钥,再使用header指定的算法(HS256)进行
jwt做登录校验流程?
程序猿老白~的博客
02-19 148
客户端使用用户名和密码请求登录,服务端收到请求,验证用户名和密码
校验请求头携带的jwt
09-03
校验请求头中携带的JWT (JSON Web Token),您需要进行以下步骤: 1. 获取请求头中的JWT:从请求头中获取 JWT 字符串,通常在 "Authorization" 字段中。 2. 解析JWT:使用 JWT 库(如 `jsonwebtoken`)来解析 JWT。解析过程会验证 JWT 的签名和有效期,并将 JWT 的负载(包含用户信息或其他数据)提取出来。 3. 验证签名:通过验证 JWT 的签名,确保它是由服务器签发的,并且未被篡改。您需要使用 JWT 库提供的密钥来验证签名。 4. 验证有效期:检查 JWT 的有效期是否过期。验证过程通常会比较当前时间与 JWT 的 "exp" (expiration time) 声明的时间戳。 5. 校验其他信息:根据您的需求,可以校验其他的声明信息,如 "aud" (audience)、"iss" (issuer) 等。 以下是一个简单的示例代码(使用 Node.js 和 `jsonwebtoken` 库)来实现上述步骤: ```javascript const jwt = require('jsonwebtoken'); function verifyJWT(token, secretKey) { try { // 解析 JWT const decoded = jwt.verify(token, secretKey); // 检查有效期 if (decoded.exp < Date.now() / 1000) { throw new Error('JWT has expired'); } // 返回解析后的负载 return decoded; } catch (error) { // 校验失败 console.error('Invalid JWT:', error.message); return null; } } // 使用示例 const token = 'your.jwt.token'; // 从请求头中获取的 JWT const secretKey = 'your-secret-key'; // 用于验证签名的密钥 const payload = verifyJWT(token, secretKey); if (payload) { // JWT 校验成功,可以在这里使用负载数据 console.log('User ID:', payload.userId); } ``` 请注意,以上代码仅为示例,您需要根据您的实际情况进行调整和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值