在springboot中使用拦截器+JWT验证token的流程

最新推荐文章于 2024-07-28 23:39:13 发布
最新推荐文章于 2024-07-28 23:39:13 发布
阅读量624 收藏 5
点赞数 10
文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73556978/article/details/136701750
版权
文章讲述了作者在SpringBoot项目中如何使用JWT进行用户身份验证,通过自定义拦截器处理HTTP请求,解析token并验证其有效性。
摘要由CSDN通过智能技术生成

我的计算机设计大赛的项目需要用到JWT来进行用户身份验证,项目采用springboot技术,因为我没学过springSrcurity所以只能用原生的拦截器+JWT技术进行验证,我是跟着【SpringBoot整合JWT】这篇文章做的,老师讲的很详细跟着一步一步来也可以实现JWT身份验证,但是对于验证过程的整个流程是不太清楚的,不知道代码是怎么运行完成验证的,后面自己debug和测试了下,在这里分享给大家!

stpe1:拦截器拦截http请求

首先使用spring提供的拦截器拦截前端发送的http请求,写一个配置类继承WebMvcConfigurer,实现里面的addInterceptors方法,在方法里调用InterceptorRegistry对象的addInterceptor方法提添加要拦截的url和放行的url 

/**
 * 拦截器,拦截/yangsheng路径下的所有请求进行token身份验证,但是放行/yangsheng/login
 */
@Configuration
public class InterceptConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //添加拦截器
        registry.addInterceptor(new JWTInterceptor())
                //拦截的路径 需要进行token验证的路径
                .addPathPatterns("/yangsheng/**")
                //放行的路径
                .excludePathPatterns("/yangsheng/user/login")
                .excludePathPatterns("/yangsheng/user/register");
    }
}

 step2:对请求头进行分析,并进行拦截

通过上述拦截器拦截下http请求后就要对请求头进行分析了,分析是否携带token,token是否过期,是否合法等等。

这里会用到一个我们自己写的JWTUtil工具类

package com.example.yangshengproject.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Map;

/**
 * JWT工具类
 *
 * @author zhangzuhao
 * @version 1.0
 * @date 2023/5/18 21:28
 */

public class JWTUtil {
    /**
     * 密钥要自己保管好
     */
    private static String SECRET = "!Q@W#E$R";

    /**
     * 传入payload信息获取token
     * @param map payload
     * @return token
     */
    public static String getToken(Map<String, String> map) {
        JWTCreator.Builder builder = JWT.create();

        //payload
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });

        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.DATE, 1); //默认1天过期

        builder.withExpiresAt(instance.getTime());//指定令牌的过期时间
        return builder.sign(Algorithm.HMAC256(SECRET));
    }

    /**
     * 验证token 合法性
     */
    public static DecodedJWT verify(String token) {
        //如果有任何验证异常,此处都会抛出异常
        return JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token);
    }

    /**
     * 获取token信息方法
     */
    public static Map<String, Claim> getTokenInfo(String token) {

        return JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token).getClaims();
    }
}

   new一个JWTInterceptor类作为JWT拦截器,实现HandlerInterceptor,实现里面的preHandler方法,这个方法会返回一个boolean值如果为true就会执行下一拦截器直到没有拦截器可执行就进入业务代码,如果返回false会立马中这次请求务不往下执行。

  方法中通过request.getHeader("token")获取到请求头中token的信息,接着通过JWTUtil的verify方法进行验证如果没有抛异常说明验证通过,返回true,否则抛出异常try catch后返回false。

import com.auth0.jwt.interfaces.DecodedJWT;
import com.example.yangshengproject.utils.JWTUtil;
import com.fasterxml.jackson.databind.ObjectMapper;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.servlet.HandlerInterceptor;

import java.util.HashMap;
@Slf4j
public class JWTInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        HashMap<String, String> map=new HashMap<>();
        //从http请求头获取token
        String token = request.getHeader("token");
        try {
            //如果验证成功放行请求
            DecodedJWT verify = JWTUtil.verify(token);
            return true;
        }
        catch (Exception exception)
        {
            map.put("msg","验证失败:"+exception);
        }
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json:charset=UTF=8");
        response.getWriter().println(json);
        return false;
    }
}

Code思铮
关注
  • 10
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot】46、SpringBoot整合JWT实现Token验证拦截器篇)
Asurplus
02-28 21万+
前言 上篇文章我们已经实现了使用自定义注解验证 token 信息,这样我们就会发现,当我们需要验证的接口较多时,我们需要每个方法上面都加上 @JwtToken 这个注解,也是非常麻烦, 本片文章,我们继续使用拦截器来实现 token 信息的验证 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot整合JWT实现Token验证(整合篇) 如果对自定义注解验证 token 信息感兴趣的朋友,可以看看我的这篇博客:【SpringBoot】四十五、Spr
springboot登陆拦截器+Jwt+ThreadLocal 组合使用
小哇
09-21 2137
登陆接口。
Spring Boot实战之Filter实现使用JWT进行接口认证
sun_t89的专栏
07-16 7万+
Spring Boot实战之Filter实现使用JWT进行接口认证 jwt(json web token) 用户发送按照约定,向服务端发送 Header、Payload 和 Signature,并包含认证信息(密码),验证通过后服务端返回一个token,之后用户使用token作为登录凭证,适合于移动端和api jwt使用流程 本文示例接上面几篇文章的代码
使用auth0.jwt创建和解析token,登录和请求验证处理
最新发布
m0_73952463的博客
07-28 391
简单的创建和解析一个token
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 9251
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt拦截器实现token权限验证
springBoot项目 项目集成JWT使用token身份验证
qq_1641486826的博客
01-05 1005
RESTful API认证方式 大致有以下4种 Basic Authentication HTTP Basic authentication is described in RFC 2617. It’s a simple username/password scheme. 将用户名与密码进行Base64转码,但这种转码是可逆的。某些爬虫工具可能会获取这些请求信息,直接获取用户的账号和密码,如果...
SpringBoot集成JWT实现Token登录验证
我爱写代码 我爱写代码 我爱写代码
05-04 1082
SpringBoot集成JWT实现Token登录验证
springbootjwt实现token验证
lorogy的博客
01-08 1129
什么是jwt Json web token (JWT),用于进行身份验证,开销小,适用于单点登录。优点是token是以json加密的形式保存在客户端的,跨语言;能将用户需要的所有信息都加密到token里,不用多次查询数据库;不用在服务端保存会话信息,适用于分布式微服务。 用户使用账密发送post请求 服务器使用私钥创建jwt(生成签名) 服务器返回这个jwt给浏览器 浏览器将该jwt加在之后所有请求的请求头 服务器拦截请求验证jwt(校验token验证通过则返回响应信息给浏览器 jwt构成: 头
springboot + jwt + websocket + 拦截
09-02
在IT行业Spring BootJWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统实现的一种间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
基于springboot+jwt实现刷新token过程解析
08-19
拦截器,我们使用JwtUtil.verify()方法来验证Token的有效期,如果 Token 已经过期,则重新登录。 优点和缺点 在线刷新Token的方式可以实时刷新Token,提高了系统的安全性。但是,这种方式需要频繁地访问Redis,...
SpringBoot】45、SpringBoot整合JWT实现Token验证(注解篇)
热门推荐
Asurplus
02-28 21万+
前言 上篇文章,我们已经在 SpringBoot 整合了 JWT 并实现了 Token 验证,那我们在实际应用就会发现,如果每个 视图层(controller)都手动验证 token,代码就会显得特别臃肿,本篇文章主要为了解决该问题。 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot整合JWT实现Token验证 自定义注解 1、创建自定义注解 package com.asurplus.common.annotation; import
SpringBoot集成JWT实现token验证流程
10-15
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).这篇文章主要介绍了SpringBoot集成JWT实现token验证,需要的朋友可以参考下
spring boot jwt Interceptor 例子
12-11
spring boot jwt 和 interceptor的例子。 其jwt的例子网上有很多,但是都是要数据库支持,这个只是用假数据模拟,不需要数据库支持。另外还有一个拦截器的简单例子。已经在sts 4 测试通过。
SpringBoot+shiro+redis+jwt .zip
01-03
这个项目实例将帮助开发者理解如何在`SpringBoot`集成`Shiro`、`JWT`和`Redis`,实现一套完整的鉴权流程。通过对这些组件的实践,开发者可以更深入地掌握Web安全管理和分布式系统的身份验证策略。
Springboot实现JWT拦截器校验
qq_67195968的博客
11-05 114
Springoot集成Jwt实现拦截校验
jwt (二)简单demo + 拦截器
鸦教授的博客
11-01 881
1. 一个网站,有些页面是不需要登录就可以访问的(比如说登录页面),有些页面是需要登录(有jwt即有用户信息)才可以访问的(比如说会员系统页面) ,需要登录后才可以访问的页面有很多,在访问这些页面前,我们可以统一做一些处理,比如判断是否有jwt,没有此退出到登录页面,有jwt后查询出用户信息,去数据库查是否存在这个用户信息,没有也不能访问等等。 拦截器涉及到2个类:WebMvcConfi...
Spring Boot 如何集成JWT实现Token验证
weixin_44837153的博客
03-06 974
它定义了一种紧凑的,自包含的方式,用于通信双方之间以JSON对象的形式安全传递信息。JWT使用HMAC算法或者是RSA的公私秘钥的数字签名技术,所以这些信息是可被验证和信任的。近年来,随着前后端分离、微服务等架构的兴起,传统的cookie+session身份验证模式已经逐渐被基于Token的身份验证模式取代。然后,调用http://localhost:8080/testToken 验证token是否有效。JWT(Java版)的github地址:https://github.com/jwtk/jjwt
Springboot 整合JWTtoken)+mybatis+自定义注解 实现简单的登录拦截模块
默默不代表沉默
12-02 3439
这个实例的登录模块大概简单包含以下三个小功能: 用户注册 用户输入帐号密码,后台使用Spring Security的BCryptPasswordEncoder 进行密码加密,存库。 用户登录 用户输入帐号密码,后台查库使用Spring Security的BCryptPasswordEncoder进行密码校验,若登录成功,则返回JWT生成的token,带有过期时间。 token校验 用户...
基于JWT令牌和拦截器实现登录校验
qq_63145239的博客
03-30 1341
浏览器发出未经服务器校验的请求,访问者可以随意访问更改数据库的内容,很不安全,所以用拦截器jwt令牌完成浏览器请求的校验提示:以下是本篇文章正文内容,下面案例可供参考通过拦截器拦截来自浏览器的请求,只有携带jwt令牌的请求才能访问服务端。
前端如何与springboot拦截器进行jwttoken校验
06-07
3. 在SpringBoot,需要编写一个拦截器来实现JWT Token的校验。可以通过实现HandlerInterceptor接口,并重写preHandle方法来实现拦截器。 4. 在preHandle方法,可以通过HttpServletRequest对象获取请求头JWT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值