SpringBoot中使用JWT令牌完成登录校验(hutool工具包)

已于 2024-05-12 15:01:50 修改
阅读量937 收藏 9
点赞数 15
文章标签: spring boot 后端 java
于 2024-05-10 14:02:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73043906/article/details/138633331
版权

一、JWT简单介绍

  JWT(JSON Web Token)是一种基于JSON的加密令牌,可以用作于前端向后端发起请求时的身份凭证。

JWT由三部分组成: 

(1)header :头部。指明了JWT使用的签名算法(例如HS256)和令牌类型(JWT),经过base64编码后形成令牌第一部分。

(2) payload :负载。简单来说该部分是可以放入一些不敏感的数据后经过base64编码得到,例如登录用户的id:

{
   "id" : 1
}

(3) signature : 签名。该部分保证了JWT令牌的安全性。这里我们需要自定义一个密钥(简单来说就是一个自定义的字符串)。由headerpayload经过base64编码后加上自定义密钥使用上文指定的HS256算法进行加密形成令牌的第三部分

所以最终生成的JWT令牌就会长这个样子 : header.payload.signature,  例如

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VySWQiOjh9.0m8EK5x87XIDaEH7Yl7CbQi1Zj48-QoGIronj5YVCaM

这里就主要分享一下日常写springboot项目时如何去利用JWT完成简单的一个登录身份校验功能

二、依赖

  使用JWT首先要引入其依赖,因为我们使用的是hutool工具包中的JWT功能,所以这里我们引入的是hutool工具包的依赖

        <!--hutool-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.7.17</version>
        </dependency>

三、使用

(1)创建JWT

  要完成登录校验,我们首先要根据前端传来的登录参数查询我们的数据库看此次登录的用户是否存在,若存在我们就可以使用hutool包中的JWTUtil类的createToken() 创建JWT。

        HashMap<String, Object> map = new HashMap<>();
        map.put("userId", user.getId());
        String key = "wxxcxlogin";
        String token = JWTUtil.createToken(map, key.getBytes());
        System.out.println(token);

  createToken()方法有很多重载,这里我们选择使用的方法需要两个参数,

  1.   一个是用户自定的信息(payload)我们使用HashMap来传递,保存的是从数据库中查到的此次登录的用户ID。
  2.   另一个是上文提到的自定义的密钥。(ps:这里只是简单使用一下,一般来说应该把密钥定义在配置文件中)

  执行完方法后会自动生成一个token。

(2)使用JWT

  创建完后我们就要把JWT传递给前端,前端会将后端传递的JWT进行保存,并在之后需要登录身份验证的请求中都会在请求头中加上保存的JWT(也可封装一个共同的请求),以便后端能够从请求头中获取到JWT并加以校验,这里前端我们使用微信小程序作为示例:

 wx.setStorageSync('token', res.data.data.token)
 header: {
        'Content-Type': 'application/json', 
        'token': wx.getStorageSync('token'),
        ...header,
      },

这里只是简单示例一下,具体前端的逻辑还要小伙伴们根据自己的项目情况完成更改。

(3)后端校验JWT

  前端请求发出后,在后端中我们需要去创建一个拦截器来拦截请求并获取请求头中的JWT完成校验。

  具体代码逻辑如下:

@Component
@Slf4j
public class UserLoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 1. 获取前端传来的token
        String token = request.getHeader("token");
        log.info("已获取到token:{}",token);

        // 2.判空
        if( token == null || token.equals("")){
            log.info("未登录,拒绝访问");
            return false;
        }

        // 3.验证并解析token , 获取数据
        String key = "wxxcxlogin";
        boolean result = JWTUtil.verify(token, key.getBytes());
        if( !result ){
            log.info("token错误,拒绝访问");
            return false;
        }
        JWT jwt = JWTUtil.parseToken(token);
        Integer userId = (Integer) jwt.getPayload("userId");


        // 4.判断
        if( userId == null || userId <= 0) {
            log.info("token错误,拒绝访问");
            return false;
        }

        // 5.token正确,保存用户id并放行
        Context.setCurrentId(userId);
        log.info("token校验成功,成功登录");
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        // 清除掉ThreadLocal中的id
        Context.removeCurrentId();
    }
}

 这里使用ThreadLocal完成保存用户id的操作,这样方便后续使用

 具体代码逻辑如下:

public class Context {
    private static ThreadLocal<Integer> threadLocal = new ThreadLocal<>();

    public static Integer getCurrentId(){
        return  threadLocal.get();
    }

    public static void setCurrentId(Integer id) {
        threadLocal.set(id);
    }

    public static void removeCurrentId() {
        threadLocal.remove();
    }
}

  写完拦截器我们需要去配置类中注册拦截器

  具体代码逻辑如下:

@Configuration
public class MvcConfig extends WebMvcConfigurationSupport {
    @Autowired
    UserLoginInterceptor userLoginInterceptor;

    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(userLoginInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/user/**")
    }

}

  在配置类中我们可以用addPathPatternsexcludePathPatterns等方法来控制这个拦截器需要拦截和放行哪些请求。

(4)测试

     1.首先正常登录获取一个token

     2.其次可以用postman发起一个需要被拦截的请求并在其请求头中加入正确的token,看请求是否可以正常通过;

     3.然后修改token值并发起一个同样的请求,看请求是否被拦截。

结语:这样就使用hutool工具包完成了一个简易的基于JWT的登录身份校验功能

原野的黑夜
关注
  • 15
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
07-根据Hutool工具的JWT实现单点登录功能
NikoChina的博客
06-10 1166
*** 盐值很重要,不能泄漏,且每个项目都应该不一样,可以放到配置文件*//**** 使用JWT生成Token* @param id 需要再token保存的用户主键id* @param mobile 需要再token保存的用户手机号* @return 生成token*/// 当前时间// 设置有效期// 设置token的Payload 载荷信息// 签发时间// 过期时间// 生效时间// 保存的内容// 生成token 使用key作为salt。
SpringBoot+Security+JWT src code
05-20
- 为了提高安全性,JWT的签名校验通常会使用私钥,生产环境私钥应该妥善保管。 - 可以添加刷新令牌的功能,以便在JWT过期前更新令牌,避免频繁的登录操作。 - 可以考虑使用Redis或数据库存储JWT,以实现吊销...
SpringBoot使用JWT实现登录验证的方法示例
08-25
主要介绍了SpringBoot使用JWT实现登录验证的方法示例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Hutool实现用户密码加盐(Salt)工具类
最新发布
Demon_Hao的博客
04-01 801
但是加盐后,即使相同的密码,由于盐的不同而得到的哈希值也是不同的,这样一来,攻击者需要为每一个不同的盐重新计算对应的哈希值,大大增加了破解密码的成本和难度。总的来说,密码加盐是一种增强密码安全性的重要手段,通过引入随机生成的盐值,可以有效防止彩虹表攻击和碰撞攻击,提高密码的复杂度和难度,增加破解密码的成本和时间,从而保护用户的密码安全。提高密码的复杂度:盐是一个随机生成的字符串,它会增加密码的长度和复杂度,使得即使用使用简单密码,也会因为盐的存在而变得复杂起来,增加破解密码的难度。2、密码加点盐工具类。
结合hutoolJWT工具类,开箱即用。
GuLuZaizzz的博客
09-21 340
Hutool是一个小而全的Java工具类库,通过静态方法封装,降低相关API的学习成本,提高工作效率,使Java拥有函数式语言般的优雅,让Java语言也可以“甜甜的”。Hutool的工具方法来自每个用户的精雕细琢,它涵盖了Java开发底层代码的方方面面,它既是大型项目开发解决小问题的利器,也是小型项目的效率担当;Hutool是项目“util”包友好的替代,它节省了开发人员对项目公用类和公用工具方法的封装时间,使开发专注于业务,同时可以最大限度的避免封装不完善带来的bug。
利用hutool生成和验证JWT
KobeSacre的博客
06-13 2636
【代码】利用hutool生成和验证JWT
JWT制作token(hutool工具类的使用
qq_46431018的博客
07-21 4370
JWT生成token
Spring Boot 使用 Hutool-jwt 实现 token 验证
訾博(ZiBo)的博客
07-03 3077
在类声明一个静态成员变量,作为默认对象的实例,并将其初始化为默认值。其他代码可以直接访问该静态成员变量来获取默认对象。在类添加一个静态工厂方法,该方法返回默认对象的实例。静态工厂方法可以在内部创建并返回类的实例,根据需要设置默认的属性和状态。将默认对象的构造函数设置为公共的,并在其设置默认的属性和状态。其他代码可以直接使用该构造函数来创建默认的对象实例。
JAVA面试题分享五百二十四:使用 Spring Boot + Hutool 实现 JWT Token 生成及拦截功能
之乎者也·的博客
02-17 784
这一系列课程将包含Spring Boot 许多关键的技术和工具,包括 Mybatis-Plus、Redis、Mongodb、MinIO、Kafka、MySQL、消息队列(MQ)、OAuth2 等相关内容。使用 Spring Boot + Hutool 实现 JWT Token 生成及拦截功能在使用 Spring BootHutool 实现 JWT Token 生成及拦截功能时,首先需要在项目配置相关的依赖和属性。
利用hutool生成和验证JWT的示例
热门推荐
蓝色忧郁
10-25 1万+
文章目录利用hutool生成和验证JWT的示例简介示例CodeJwtTest.javaJwtVerify.java 利用hutool生成和验证JWT的示例 简介 利用hutool工具类生成json-web-token hutool-all在5.7以上的版本才支持jwt <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId>
SPRINGBOOT+JWT
07-16
8. **单元测试和集成测试**:为了保证代码质量,案例可能包含使用JUnit或Spock等工具编写的测试用例,对登录令牌生成和验证等功能进行测试。 9. **配置文件**:`application.properties` 或 `application.yml` ...
springboot+jwt实现token登陆权限认证的实现
08-19
在本文,我们将介绍如何使用 Spring BootJWT 实现 Token 登录权限认证。JWT(JSON Web Token)是一种基于 token 的身份验证机制,能够提供一种简洁、安全的方式来验证用户身份。 什么是 JWT JWT 是一种基于 ...
springboot拦截器实现拦截器 权限校验登录demo
11-14
Spring Boot应用,拦截器(Interceptor)是一个强大的工具,用于在请求被处理之前或之后执行自定义逻辑。本文将详细介绍如何在Spring Boot实现拦截器以进行权限校验登录验证,通过一个简单的Demo来阐述整个...
springboot_springsecurity_jwt_demo:源码主要用于学习SpringBoot + Spring Security JWT基于数据库的自定义用户详细信息服务实现Spring安全认证,内容包括自定义JWT拦截器,在请求到达目标之前对令牌进行校验,在请求超过的时候,解析请求头令牌,重新解析令牌以获得用户信息,再存入SecurityContextHolder,以及使用BCryptPasswordEncoder方法对密码进行加密与密码匹配,以及AuthenticationEntr
03-23
项目提到的"自定义JWT拦截器",这可能是一个实现了Spring MVC的Interceptor接口的类,用于在请求被处理前进行拦截,检查请求头JWT令牌,确保其有效性。如果令牌有效,拦截器会将用户信息放入...
Spring Security基于jwt实现权限校验
Instanceztt的博客
12-01 1418
我实现了基于jwt实现的认证,本文在此基础上继续实现权限认证二 代码实现用户认证成功生成jwt时将权限信息加载到jwt..................................................................................................定义和用于认证成功从jwt解析jwt的权限信息.....................................jwt校验成功后解析jwt并加载到安全上下文.........
hutool工具jwt运用代码demo
qq_44871403的博客
06-07 352
【代码】hutool工具jwt运用代码demo。
SpringBoot集成JWT实现Token登录验证
weixin_42672802的博客
12-18 3077
SpringBoot集成JWT实现Token登录验证
SpringBoot整合JWT
m0_63778432的博客
11-25 315
除了jwt,还用到了,也需要导入。
springboot记住密码jwt令牌
08-18
5. 创建JWT工具类:创建一个JWT工具类,用于生成和解析JWT令牌。 ```java @Component public class JwtTokenProvider { private static final String SECRET_KEY = "yourSecretKey"; private static final long ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值