基于 JWT 的登录认证

最新推荐文章于 2025-03-22 20:37:30 发布
最新推荐文章于 2025-03-22 20:37:30 发布
阅读量652 收藏 24
点赞数 20
文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71975922/article/details/146029373
版权

基于 JWT 的登录认证

JWT(JSON Web Token)是一种用于身份验证和授权的开放标准(RFC 7519),它通过 JSON 对象在客户端和服务器之间安全地传输信息。JWT 通常用于实现无状态的登录认证机制。

以下是关于 JWT 令牌登录认证 的详细说明:

1. JWT 的结构

JWT 由三部分组成,用 . 分隔:

  1. Header(头部)
    • 包含令牌的类型(如 JWT)和签名算法(如 HS256)。
    • 示例:
{
  "alg": "HS256",
  "typ": "JWT"
}

2.Payload(负载)

  • 包含用户信息和其他声明(如过期时间、签发者等)。
  • 示例:
{
  "sub": "1234567890", // 用户 ID
  "name": "John Doe",  // 用户名
  "iat": 1516239022,  // 签发时间
  "exp": 1516242622   // 过期时间
}

3.Signature(签名)

  • 对头部和负载进行签名,确保令牌未被篡改。
  • 签名算法:HMAC SHA256RSA SHA256
  • 示例:
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)

最终的 JWT 格式:

Header.Payload.Signature

2. JWT 的工作流程

  1. 用户登录
    • 用户提交用户名和密码。
    • 服务器验证用户名和密码,如果验证通过,生成 JWT 并返回给客户端。
  2. 客户端存储 JWT
    • 客户端(如浏览器)将 JWT 存储在 localStoragesessionStorageCookie 中。
  3. 客户端发送 JWT
    • 客户端在每次请求时,将 JWT 放在请求头中(通常是 Authorization 字段)。
  4. 服务器验证 JWT
    • 服务器从请求头中提取 JWT,验证其签名和有效期。
    • 如果 JWT 有效,允许请求继续;否则返回 401 Unauthorized

3. JWT 的优点

  • 无状态:服务器不需要存储会话信息,适合分布式系统。
  • 安全性:通过签名防止篡改。
  • 跨域支持:适合单点登录(SSO)和跨域认证。
  • 灵活性:可以在负载中存储自定义信息。

4. JWT 的缺点

  • 无法撤销:一旦签发,在过期前无法撤销(除非使用黑名单机制)。
  • 负载大小:JWT 比传统的 Session ID 大,可能增加网络开销。
  • 安全性依赖密钥:如果密钥泄露,JWT 可能被伪造。

5. 实现登录认证的步骤

以下是基于 JWT 的登录认证实现步骤:

(1)用户登录
  • 客户端发送用户名和密码到服务器。
  • 服务器验证用户名和密码,如果验证通过,生成 JWT 并返回。
@PostMapping("/login")
public ResponseEntity<String> login(@RequestBody LoginRequest loginRequest) {
    // 验证用户名和密码
    User user = userService.findByUsername(loginRequest.getUsername());
    if (user == null || !passwordEncoder.matches(loginRequest.getPassword(), user.getPassword())) {
        return ResponseEntity.status(401).body("Invalid username or password");
    }

    // 生成 JWT
    String token = JwtUtil.generateToken(user.getId(), user.getUsername());
    return ResponseEntity.ok(token);
}
(2)生成 JWT
  • 使用工具类生成 JWT。
public class JwtUtil {
    private static final String SECRET_KEY = "your-secret-key"; // 密钥
    private static final long EXPIRATION_TIME = 86400000; // 过期时间:24 小时

    public static String generateToken(Long userId, String username) {
        return Jwts.builder()
                .setSubject(userId.toString()) // 用户 ID
                .claim("username", username)  // 自定义声明
                .setIssuedAt(new Date())     // 签发时间
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) // 过期时间
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY) // 签名算法和密钥
                .compact();
    }
}
(3)验证 JWT
  • 在拦截器或过滤器中验证 JWT。
public class JwtUtil {
    public static Map<String, Object> parseToken(String token) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
    }
}
(4)拦截器验证
  • 在拦截器中验证 JWT,并决定是否放行请求。
@Component
public class LoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("Authorization");
        try {
            Map<String, Object> claims = JwtUtil.parseToken(token);
            return true; // 验证成功,放行
        } catch (Exception e) {
            response.setStatus(401); // 验证失败,返回 401
            return false;
        }
    }
}
(5)注册拦截器
  • 在 Spring 配置中注册拦截器。
@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Autowired
    private LoginInterceptor loginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginInterceptor)
                .addPathPatterns("/**") // 拦截所有路径
                .excludePathPatterns("/login", "/register"); // 排除登录和注册接口
    }
}

6. 安全性建议

  • 使用 HTTPS:防止 JWT 被窃取。
  • 设置合理的过期时间:减少令牌泄露的风险。
  • 使用强密钥:确保密钥足够复杂。
  • 黑名单机制:如果需要撤销令牌,可以使用黑名单机制。

总结

  • JWT 是一种无状态的身份验证机制,适合分布式系统和跨域认证。
  • 通过拦截器或过滤器验证 JWT,可以实现登录认证。
  • 注意 JWT 的安全性和性能问题。

Spring MVC 拦截器的注册

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private LoginInterceptor loginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginInterceptor)
                .addPathPatterns("/**") // 拦截所有路径
                .excludePathPatterns("/user/login", "/user/register", "/static/**", "/public/**"); // 排除登录、注册和静态资源
    }
}

1. 类定义

@Configuration
public class WebConfig implements WebMvcConfigurer {
  • @Configuration
    • 标记该类为 Spring 的配置类,用于定义 Bean 或配置组件。
  • WebMvcConfigurer
    • Spring MVC 提供的接口,用于自定义 MVC 配置(如拦截器、视图解析器、消息转换器等)。

2. 注入拦截器

@Autowired
private LoginInterceptor loginInterceptor;
  • @Autowired
    • 自动注入 LoginInterceptor 拦截器对象。
  • LoginInterceptor
    • 自定义的拦截器,用于在请求到达控制器之前执行某些逻辑(如身份验证)。

3. 注册拦截器

@Override
public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(loginInterceptor)
            .addPathPatterns("/**") // 拦截所有路径
            .excludePathPatterns("/user/login", "/user/register", "/static/**", "/public/**"); // 排除登录、注册和静态资源
}
  • addInterceptors 方法
    • 用于注册拦截器并配置拦截规则。
  • registry.addInterceptor(loginInterceptor)
    • 注册 LoginInterceptor 拦截器。
  • addPathPatterns("/**")
    • 指定拦截器拦截所有路径(/** 表示匹配所有请求)。
  • excludePathPatterns("/user/login", "/user/register", "/static/\**", "/public/\**")
    • 排除某些路径,不进行拦截:
      • /user/login:登录接口。
      • /user/register:注册接口。
      • /static/**:静态资源路径(如 CSS、JS、图片等)。
      • /public/**:公共资源路径。

4. 拦截器的作用

  • 功能
    • 在请求到达控制器之前执行某些逻辑(如身份验证、日志记录等)。
    • 如果拦截器逻辑通过,请求继续执行;否则,拦截请求并返回错误响应。
  • 适用场景
    • 身份验证(如 JWT 验证)。
    • 权限检查。
    • 日志记录。
    • 请求参数预处理。

5. 拦截器的工作流程

  1. 请求到达
    • 客户端发送请求到服务器。
  2. 拦截器处理
    • 请求首先经过拦截器,执行 preHandle 方法。
    • 如果 preHandle 返回 true,请求继续执行;如果返回 false,请求被拦截。
  3. 控制器处理
    • 如果请求通过拦截器,到达控制器进行处理。
  4. 响应返回
    • 控制器处理完成后,返回响应给客户端。
m0_71975922
关注
【Golang】Gin框架中如何使用JWT来实现登录认证
景天科技苑
11-01 5万+
JWT: JSON Web Token,是一种用于身份验证和授权的开放标准,JWT可以在网络应用间安全的传输。JWT由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature) JWT具有可扩展性、简单、轻量级、跨语言等优点,是前后端分离框架中最常用的验证方式。
基于JWT实现用户身份认证
子悠のziyou
02-25 1496
JWT(JSON WEB TOKEN) 是目前最流行的跨域认证解决方案,是一种基于Token认证授权机制,JWT自身包含了身份验证所需要的所有信息,因此我们服务端不需要存储Session信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端压力。
Jwt选型和实现
qq_45317823的博客
02-19 586
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
JWT认证
Yietong的博客
10-12 1870
上面我们都是基于auth_user表去做签发认证的,但是我们日常基本程序都是自定义的表来做认证,所以我们来试试自定义user表models.pyviews.py# # 登录后才能访问,加一个认证类,# # 使用jwt提供的认证类必须要配合权限类使用## 自定义的用户签发tokentry:# 根据user签发token【三部分,头,荷载,签名】# 使用jwt模块签发token的函数,生成token。
JWT 认证机制
最新发布
qq_74114417的博客
03-22 924
JSON Web Token(JWT认证机制是一种无状态、基于令牌的身份验证方法,广泛应用于现代Web应用和API服务。
JWT 登录认证
国内某知名游戏公司小菜鸡工程师
07-04 5287
分布式跨域认证的解决新方案
JWT登录认证
weixin_48628145的博客
05-15 234
之后我们发送请求时(根据我们自己的设定),判断用不用携带token,需要携带token的请求,那就在cookie中获取token,后端接收到带token的请求,然后将token进行解析,得到uuid,然后去redis中查找。登录的时候:会先生成一个uuid,然后一般用(自己定义一个前缀名字:uuid)作为key,用户的信息作为value,存入到Redis中。5、服务器收到session_id,找到前期保存的数据,由此得知用户的身份。3、服务器向用户返回一个session_id,写入用户的cookie。
jwt作登入认证
ws54ws54的博客
12-06 545
1 Jwt组成 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 2.1 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以 被表示成一个JSON对象。 {“typ”:“JWT”,“alg”:“HS256”} 在头部指明了签名算法是HS256算法。 我们进行BASE64编 码http://base64.xpcha.com/,编码后的字符串如下: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 Base6
jwt实现登录验证
lyc000412的博客
03-12 2297
jwt实现登录验证
基于Spring Security的JWT实现登录认证及多账号登录互斥设计源码
10-09
本项目深入探讨了如何在Spring Security框架的基础上实现基于JSON Web Token(JWT)的登录认证机制,并且展示了如何设计单账号登录以及多账号登录互斥功能。通过该项目源码的学习,可以更好地理解如何将JWT作为安全...
Spring Security基于JWT实现SSO单点登录详解
08-25
Spring Security 基于 JWT 实现 SSO 单点登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
Python 基于jwt实现认证机制流程解析
09-16
### Python 基于JWT实现认证机制流程解析 #### 一、JWT简介及优缺点分析 JWT(JSON Web Token)是一种用于用户身份验证的技术,在现代Web应用开发中被广泛采用。它通过创建一个包含用户信息的令牌来实现认证,这个...
jwt 认证
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-13 8712
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。1. 基于token的认证当用户成功登录系统并成功验证有效之后,服务器会利用某种机制产生一个token字符串,这个token中可以包含很多信息,例如来源IP,过期时间,用户信息等, 把这个字符串下发给客户端,客户端在之后的每次请求中都携带着这个token,携带方式其实很自由,无论是cookie方式...
JWT 快速入门,并实现登录认证
m0_56966142的博客
03-10 4171
一、JWT 简介 jwt(JSON Web Tokens),是一种开发的行业标准RFC 7519 ,用于安全的表示双方之间的声明。目前,jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目。 1.1 Jwt认证流程 前端用户填写好用户名和密码,点击登录 后端对提交的用户名和密码进行校验,校验通过则发送token给前端 前端将token保存在cookie中,并在每一次请求时都将cookie一并发送给后端 后端对用户发送过来的token进行校验,并通过token识别是哪个用户。 1.2 sessio
jwt用户登录认证
happy_leizi的博客
03-18 3520
使用jwt登录认证有一个明显的好处就是不用再服务器端保存token,它只是在服务器端生成token和验证token,减轻了服务器端数据库的压力,而且较比传统的session认证也安全一些! 使用步骤: 一 在项目的settings中进行配置 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest...
使用JWT实现登录认证
progammer10086的博客
05-23 2132
session:存储再服务端,无法引用与分布式场景,并且需要占用服务端的资源cookie:存储再客户端,适用于分布式场景,但是存在安全问题,不支持垮域访问token:存储在localstorage中,更加灵活。
Jwt认证
在努力学习的路上
03-05 1135
jwt认证、拦截器、token过期时间
基于SpringBootJWT登录认证与实时日志展示技术
JWT认证是一种轻量级的认证机制,通常用于Web应用的身份验证。其工作原理是在用户登录时,服务器验证用户的凭证(如用户名和密码),然后生成一个包含用户信息的JWT。这个JWT会被发送给客户端并存储(通常在本地存储...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值