javaWeb的jwt令牌校验

最新推荐文章于 2024-07-09 09:57:35 发布
最新推荐文章于 2024-07-09 09:57:35 发布
阅读量982 收藏 19
点赞数 20
文章标签: java 开发语言 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73077921/article/details/134815515
版权

JWT令牌校验(Interceptor+jwt)

全称JSON Web Token
官网https://jwt.io/
定义了一种简洁,自包含的格式,用于通信双方以json数据格式安全的传输信息,由于数字签名的存在,这些数据是可靠的。

jwt令牌组成

a.b.c

  • a部分:Header(头),记录jwt令牌类型,签名算法等
  • b部分:Payload(有效载荷),携带一些自定义数据,默认信息等
  • c部分:Signature(签名),防止Token被篡改,确保安全性。将header,payload,并加入指定密钥,通过指定签名算法计算出的数字签名。
Base64加密

是一种基于64个可打印字符(A-Z,a-z,0-9,_/)来表示二进制数据的编码方式。=号是补位符
ab部分的原始信息数据通过Base64加密后产生ab部分。

jwt的登陆认证
  1. 登陆成功后生成jwt令牌
  2. 后续每个请求,都要携带jwt令牌,系统在每次请求处理前先通过拦截器校验令牌(有两种校验jwt令牌的方法,一种通过Filter过滤器校验,一种通过Interceptor拦截器校验,这里我采用Interceptor校验),通过后再处理请求。

如何使用jwt令牌

jwt依赖配置

pom.xml文件中引入以下代码

<dependency>
      //版本自行选择
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
</dependency>
jwt令牌生成与解密功能封装成类
public class JwtUtil {
    /**
     * 生成jwt
     * 使用Hs256算法, 私匙使用固定秘钥
     *
     * @param secretKey jwt秘钥
     * @param ttlMillis jwt过期时间(毫秒)
     * @param claims    设置的信息
     * @return
     */
    public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {
        // 指定签名的时候使用的签名算法,也就是header那部分
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        // 生成JWT的时间
        long expMillis = System.currentTimeMillis() + ttlMillis;
        Date exp = new Date(expMillis);

        // 设置jwt的body
        JwtBuilder builder = Jwts.builder()
                // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setClaims(claims)
                // 设置签名使用的签名算法和签名使用的秘钥
                .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置过期时间
                .setExpiration(exp);

        return builder.compact();
    }

    /**
     * Token解密
     *
     * @param secretKey jwt秘钥 此秘钥一定要保留好在服务端, 不能暴露出去, 否则sign就可以被伪造, 如果对接多个客户端建议改造成多个
     * @param token     加密后的token
     * @return
     */
    public static Claims parseJWT(String secretKey, String token) {
        // 得到DefaultJwtParser
        Claims claims = Jwts.parser()
                // 设置签名的秘钥
                .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims;
    }

}
jwt令牌生成

生成jwt令牌需要四个参数

  • secretKey jwt秘钥
  • ttlMillis jwt过期时间(毫秒)
  • claims 设置的信息
  • signatureAlgorithm 签名算法
JwtBuilder builder = Jwts.builder()
                .setClaims(claims)//设置自定义信息
                .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))//第一个参数为签名算法,第二个参数为自己制定的密钥,注意jwt令牌生成和解密的密钥要一致
                .setExpiration(System.currentTimeMillis() + ttlMillis);//设置过期时间,系统时间加上有效期

String jwt=builder.compact();//JwtBuilder调用compact()方法生成jwt令牌。
jwt令牌解密

解密需要两个参数

  • secretKey jwt密钥
  • jwt令牌
public static Claims parseJWT(String secretKey, String token) {
        // 得到DefaultJwtParser
        Claims claims = Jwts.parser()
                // 设置签名的秘钥,注意注意了,这里密钥一定不能变QAQ
                .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims;
    }

上述代码一切尽在不言中。
上述代码创建出JwtUtil工具类为在Interceptor拦截器中调用做准备工作。

Interceptor拦截器的使用

定义拦截器,实现HandlerInterceptor接口,并重写其所有方法。

public interface HandlerInterceptor {
    default boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//目标方法进行前执行,注意,返回true拦截器才会放行,false不会放行。
        return true;
    }

    default void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable ModelAndView modelAndView) throws Exception {//目标方法执行后执行
    }

    default void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable Exception ex) throws Exception {//视图渲染完毕后执行,最后执行。
    }
}

jwt令牌校验和生成需要在请求前处理,则只需实现preHander方法。
JwtProperties实体类的实现

@Component
@ConfigurationProperties(prefix = "sky.jwt")
@Data
public class JwtProperties {
    /**
     * 管理端员工生成jwt令牌相关配置
     */
    private String adminSecretKey;
    private long adminTtl;
    private String adminTokenName;
    /**
     * 用户端微信用户生成jwt令牌相关配置
     */
    private String userSecretKey;
    private long userTtl;
    private String userTokenName;
}

拦截器的定义

@Component
@Slf4j
public class JwtTokenUserInterceptor implements HandlerInterceptor {

    @Autowired
    private JwtProperties jwtProperties;

    /**
     * 校验jwt
     *
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //判断当前拦截到的是Controller的方法还是其他资源
        if (!(handler instanceof HandlerMethod)) {
            //当前拦截到的不是动态方法,直接放行
            return true;
        }

        //1、从请求头中获取令牌
        String token = request.getHeader(jwtProperties.getUserTokenName());

        //2、校验令牌
        try {
            //log.info("jwt校验:{}", token);
            Claims claims = JwtUtil.parseJWT(jwtProperties.getUserSecretKey(), token);
            Long userId = Long.valueOf(claims.get(JwtClaimsConstant.USER_ID).toString());
            BaseContext.setCurrentId(userId);
            //log.info("当前用户id{}", userId);
            //3、通过,放行
            return true;
        } catch (Exception ex) {
            //4、不通过,响应401状态码
            response.setStatus(401);
            return false;
        }
    }
}

注册拦截器

@Configuration
@Slf4j
public class WebMvcConfiguration extends WebMvcConfigurationSupport {
    @Autowired
    private JwtTokenUserInterceptor jwtTokenUserInterceptor;
    /**
     * 注册自定义拦截器
     *
     * @param registry
     */
    protected void addInterceptors(InterceptorRegistry registry) {
        log.info("开始注册自定义拦截器...");
        registry.addInterceptor(jwtTokenUserInterceptor)
                .addPathPatterns("/user/**")
                .excludePathPatterns("/user/user/login")
                .excludePathPatterns("/user/shop/status");
    }
}

addInterceptor()方法写入拦截器类型,addPathPatterns()写入需要拦截的路径,excludePathPatterns()写入排除的路径,即/user/**下的/user/user/login和/user/shop/status除外,/user/**的其他路径都被拦截。

###使用jwt令牌校验时需要注意的点
技术方面其实没有特别需要注意的点,但是但是但是,不要把用户重要信息放在jwt令牌内,不要把用户重要信息放在jwt令牌内,不要把用户重要信息放在jwt令牌内,base64解码工具一解码就能知道了,除非自己加密了再放入!!!
如果你能耐心看完,那么非常感谢,以上是我对jwt令牌的学习心得,希望对你们有用。

不见长安在
关注
JWT(json web token)认证实现【Playload 存储自定义对象】
iOS逆向与安全
12-09 1370
会将空转为字符串“null”生成jwt:sign(
教程:用Java创建和验证JWT
最佳 Java 编程
06-12 602
“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。 JavaJWT(JSON Web令牌)的支持过去需要进行大量工作:广泛的自定义,花费数小时来解决依赖项,以及仅用于组装简单JWT的代码页。 不再! 本教程将向您展示如何使用现有的JWT库做两件事: 生成一个J...
JAVA后端实现JWT令牌
jinkunqingning的博客
01-09 2209
首先解释一下JWT,在此之前,我们需要明确为什么需要JWT
Java实现JWT认证的完整指南:如何从零开始构建安全认证系统
weixin_46372265的博客
07-09 882
JWT是一种基于JSON的开放标准,用于在各方之间作为JSON对象安全地传输信息。它特别适合于在无状态环境中(如RESTful API)进行身份验证和信息交换。通过以上步骤,我们成功地在Java中实现了基于JWT的身份认证系统。这个系统具有高度的安全性和扩展性,适用于各种需要身份认证的应用场景。希望这篇文章对大家有所帮助,如果你觉得这篇文章对你有所帮助,欢迎关注我的博客。未来,我会继续分享更多关于Java开发的干货。让我们一起在技术的道路上不断探索,勇往直前!
几种常用的认证机制
热门推荐
yin__ren的博客
01-28 1万+
1. HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP
JavaJWT技术解析与实践:安全高效的身份认证
weixin_41245021的博客
07-26 2932
身份认证与授权是现代Web应用中至关重要的安全机制。JSON Web Token(JWT)作为一种轻量级的身份验证方案,已经成为Java开发中广泛使用的解决方案。本篇博客将深入解析JWT技术,探讨其在Java应用中的实践与应用。我们将了解JWT的基本原理,以及它如何实现安全高效的身份认证和授权。通过使用JWT,我们可以在无状态的分布式系统中实现简单且可扩展的用户身份验证,不再依赖传统的Session和Cookie。我们还将探讨如何在Java中集成JWT,以及如何将其应用于实际项目中。让我们一起深入探索JWT
什么是JWT及在JAVA中如何使用?
一切总会归于平淡
10-24 4513
JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。 也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。 此特性便于可伸缩性, 同时保证应用程序的安全
JavaWeb学习笔记】登录实现与校验
最新发布
07-28
同时,文章还介绍了jwt(json web token)令牌的使用,包括生成和校验jwt的过程,如何将jwt用于登录流程,并详细说明了过滤器(filter)和拦截器(interceptor)在登录校验中的应用。此外,文章还提供了全局异常...
JavaWeb+Vue3前后端分离项目使用JWT技术
zhangshuai66的博客
11-09 1051
1、首先导入JWT的jar包或是添加Maven依赖,这里我使用的是Maven2、在javaweb项目的utils创建JWTUtil3、何时生成token呢,当然是在登录成功时候后端生成token就结束了,接下来就是VUE3如何保存后端发来的token,并且vue向后端发送网络请求携带token。
JWT鉴权
wdy00000的博客
04-25 1986
文章目录一、什么是JWT二、JWT能做什么三、JWT介绍以及和传统Session的区别1)基于传统的Session认证2)基于JWT认证四、JWT的构成和认证流程五、JWT的优缺点 一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a
Spring boot+Spring security+JWT实现前后端分离登录认证及权限控制
m0_67391518的博客
07-28 503
基本上没讲什么底层实现,这篇是使用篇,后续会出SpringSecurity的底层源码讲解,并且如果本帖有问题的有疑问的读者可以在评论区留言,本人会积极处理。您的支持是我最大的动力,本人一直在努力的更新各种框架的使用和框架的源码解读~!httpshttpshttpshttpshttpshttpshttpshttpshttpshttps。...
JWT(JSON Web Tokens)入门与Java实践
weixin_61034310的博客
01-03 1364
JSON Web Tokens(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在网络之间安全地传输信息。本文介绍了JWT的基本概念、组成和工作流程,并提供了Java中使用JWT的示例代码。通过生成和验证JWT,你可以在Web应用中实现安全的身份验证和授权。在使用JWT时,请务必注意安全性考虑,并采取适当的措施来保护系统的安全。JWT由三部分组成:Header(头部)、Payload(负载)和Signature(签名),这三部分通过点(.)分隔。首先,你需要在项目的。
Java课堂:什么是JWT?最全讲解
博哥哥的博客
02-06 885
什么是JWT
java-jwt
qq_29799655的博客
05-15 1071
目录一. JWT 基础解释二. JWT Token 组成三. JavaJWT1. java-jwt2. jjwt-root三. 实际开发JWT 的使用 一. JWT 基础解释 先了解几个问题 JSON数据使用base64url编码,只对JSON数据是先扁平化处理再用64个可读无冲突字符来表达,没有加密效果 SHA256的摘要只是为JSON数据生成一个“指纹”,防止被篡改,属于完整性范畴,也无任何加密效果 摘要不等于签名,签名是用私钥加密摘要,默认情况下Token本身并没有任何加密机制,它依
java中使用JWT
男儿当自强
01-04 7131
JWT:JSON Web Token,是通过数字签名,以JSON对象为载体在服务间安全传输信息的方式。JWT由三部分组成:头信息、有效载体和签名。头信息包括:令牌类型和签名算法信息;有效载体是使用一个JSON对象作为数据内容,由于只是采用base64运算,并没有进行加密,因此通常存放一些非敏感数据;签名是采用不可逆签名算法对base64后的头信息拼接上点拼接上base64后的有效载体及签名秘钥进行运算得出,防止token信息被篡改,最后生成的Token是由base64后的头信息拼接上点拼接上base64后的
JAVA面试题分享五百二十五:JWT认证绕过的几种基操
之乎者也·的博客
02-17 1887
在这种情况下,攻击者就可以使用众所周知的秘密的单词列表来暴力破解服务器的加密密钥。JWE 也是一样的,只是令牌的实际内容是加密的,而不仅仅是编码的。由于我们知道/dev/null目录是一个空文件,kid的参数改为它后会导致服务器会使用该文件的内容来对JWT签名进行验证,所以我们签名的密钥就是空(Base64加密为`AA==`)如果攻击者生成自签名证书并使用相应的私钥创建伪造的令牌,并将“x5c”参数的值替换为新生成的证书并修改其他参数,即 n、e 和 x5t,那么基本上伪造的令牌将被接受由服务器。
Jwt选型和实现
qq_45317823的博客
02-19 535
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
什么是JWT(JSON WEB TOKEN)
weixin_34280237的博客
11-18 288
转自于:http://www.jianshu.com/p/576dbf44b2ae 什么是JWT Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供...
Java】来回顾下JWT知识点,了解一下什么是JWT?【转】
tongbowen_123的博客
10-14 163
通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。请注意,默认情况下JWT是未加密的,因为只是采用base64算法,拿到JWT字符串后可以转换回原本的JSON数据,任何人都可以解读其内容,因此不要构建隐私信息字段,比如用户的密码一定不能保存到JWT中,以防止信息泄露。创建签名,是保证jwt不能被他人随意篡改。
JavaWeb实现用户登录:拦截器与JWT令牌集成
JWT令牌包含三个部分:头部(Header)、载荷(Payload)和签名(Signature)。当用户成功登录后,服务器会生成一个JWT,并将其返回给客户端,客户端在后续的请求中携带这个令牌,服务器通过验证令牌来确认用户的身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不见长安在

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值