JWT用于长时间保存用户认证信息(续)

最新推荐文章于 2024-08-04 11:01:37 发布
最新推荐文章于 2024-08-04 11:01:37 发布
阅读量586 收藏
点赞数
文章标签: java jvm 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75015716/article/details/127781576
版权
  • 生成解析的JWT中的secretKey不应该定义在2个类中
  • 解析JWT时出现的异常,未处理
  • 认证信息中不包含id
  • 认证信息中的权限还没有数据
  • 还未结合前端

使用配置类文件自定义JWT参数

生成和解析的JWT都需要使用secretKey,并且生成和解析的值完全相同。所以需要选择一个公共的位置来配置secretKey值。由于这个值是允许被软件的使用者进行修改,因此应该将值定义在配置文件中。则可以在application.properties或者application.yml文件中

#当前项目中的自定义配置
project:
    #JWT相关配置
    jwt:
        #生成和解析JWT时使用的secretKey
        secret-key: as3fsfds3sf3sdf56sdf
        #JWT的有效时长,以分钟为单位
        duration-in-minute: 600

在.properties或.yml中添加配置之后,在加载时。会将这些配置读取到Spring框架内置的Enviroment对象中。操作系统的配置和JVM的配置也会自动读取到Enviroment中。配置文件中的配置优先级时最低的(会被覆盖),使用@Value读取值,这个值是从Environmet中读取的,而不是配置文件。

添加配置后,在生成和解析JWT时使用,即在两个类(登录管理员和过滤器)的全局属性中,通过@Value注解为这2个属性注入配置值

@Value("${project.jwt.secert-key}")
private String secretKey;
@Value("${project.jwt.duration-in-minute}")
private Long durationInMinute;

处理解析JWT时出现的异常

当前是使用过滤器解析JWT,而过滤器是Java EE项目中最早接收到请求的组件,此时其他组件均为开始处理此请求。所以,如果在过滤器请求中出现异常,Controller无法知晓,则全局异常处理器也无法处理异常,只能在过滤器中使用try...catch处理。

处理异常需要响应JSON格式,但是,由于过滤器解析JWT时,Spring MVC的相关组件还没运行,无法转化成JSON格式的字符串。需要在项目中添加依赖项,用于将对象转换成JSON格式的字符串。

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.75</version>
</dependency>

然后在服务代码添加新的枚举,用于返回错误的代码

public enum ServiceCode{
    /**
    错误:JWT签名错误
    */
    ERR_JWT_SIGNATURE(6000),
    /**
    错误:JWT数据格式错误
    */
    ERR_JWT_MALFORMED(6100),
    /**
    错误:JWT已过期
    */
    ERR_JWT_EXPIRED(6200),
}

最后在过滤器的类中,使用try...catch包裹解析JWT的代码,并处理相关异常

try {
    claims = Jwts.parser()
            .setSigningKey(secretKey)
            .parseClaimsJws(jwt)
            .getBody();
} catch (SignatureException e) {
    log.debug("解析JWT时出现SignatureException");
    String message = "非法访问!";
    JsonResult<Void> jsonResult = JsonResult.fail(
        								ServiceCode.ERR_JWT_SIGNATURE, message);
    String jsonResultString = JSON.toJSONString(jsonResult);
最低0.47元/天 解锁文章
m0_75015716
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT用于长时间保存用户认证信息
m0_75015716的博客
11-09 1499
JWT用于长时间保存用户认证信息
WEB 安全认证方式介绍+Spring Security 入门案例
qq_29342297的博客
10-31 860
WEB 安全认证 Http Basic Auth Http Basic Auth 就是简单的访问API的时候,带上访问的username和password,由于信息会暴露出去,我们会在请求头中看到多出的用Base64 加密的一串字符。为自己的访问凭证。但安全程度过低。 案例:在Tomcat中配置Http Basic Auth 修改tomcat的conf目录下的tomcat-user.xml文件 <?xml version='1.0' encoding='utf-8'?> <tomc
jwt怎么获取当前登录用户_获取jwt(json web token)中存储的用户信息
weixin_39958019的博客
12-19 2018
一个JWT实际上就是一个字符串,它由三部分组成,头部(header)、载荷(Payload)与签名。Payloadpayload中可以保存用户信息。var claims = new Claim[]{new Claim(JwtRegisteredClaimNames.Sub, account),new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid(...
JWT原理 对比 appid secretkey 鉴权
stevewong的专栏
07-06 3872
参考 看东西就先看官网 小结 大概思想就是 1、客户端用用户名密码请求server,server校验通过之后,返回JWT,里面包含着用户信息(base64编码的payload可破解,不应该包含敏感信息) 2、客户端从此在header上带着这个JWT请求server 3、server拿到JWT,解密成功则说明鉴权成功,否则鉴权失败 问题 流程是这么个流程,但感觉疑点重重 问题1、具体应用场景是啥,JWT里存什么呢 参考这个:比较正确的用法 我是单纯瞎想的,没有实证。拿钉钉做例子吧,有点类似于单点登录的感觉 假
django使用JWT保存用户登录信息
09-17
主要介绍了Django使用jwt获取用户信息的实现方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot+JWT实现登陆token验证并存储用户信息
Jul_C18672868641的博客
02-10 3429
/用来跳过验证的PassToken @Target({@Data @ApiModel("返回结果") public class R < T > {/*** 错误码*/ @ApiModelProperty("错误码") private Integer code;/*** 错误消息*/ @ApiModelProperty("错误消息") private String msg;/*** 内容*/ @ApiModelProperty("内容") private T data;
详解用JWT对SpringCloud进行认证和鉴权
08-26
签的做法是额外生成一个refreshToken用于获取新token,refreshToken需存储于服务端,其过期时间比JWT的过期时间要稍长。用户携带refreshToken参数请求token刷新接口,服务端在判断refreshToken未过期后,取出关联...
jwt认证
02-09
JavaScript环境中,JWT用于实现用户身份的传递和验证,确保数据在客户端与服务器之间的安全传输。以下是对JWT认证的详细介绍: 1. JWT结构: JWT由三部分组成,分别是Header(头部)、Payload(载荷)和...
jwt简单的介绍和了解
10-27
1. **用户认证**:登录后,服务器返回一个JWT,客户端将其保存在本地(如Cookie或LocalStorage),后请求附带上此JWT,服务器验证后即可确定用户身份。 2. **授权**:JWT可以包含权限信息,使得资源服务器可以直接...
notesAppAPI:使用 JWT 进行用户登录的便签应用
07-12
- **JWT过期**:JWT应该设置合理的过期时间,避免长时间有效造成安全风险。 - **刷新令牌**:为了延长会话,可以引入刷新令牌机制,当JWT即将过期时,用户可以通过刷新令牌获取新的JWT。 - **状态管理**:前端需要...
SpringBoot整合JWT
10-09
在上面的代码中,我们使用了 `JWT.create()` 方法来生成 token,并设置了头信息、过期时间、签名时间和用户信息。 三、JWT 的验证 在 SpringBoot 中,我们可以使用 JWT 来验证用户的身份。下面是一个使用 JWT 验证...
jwt怎么获取当前登录用户_使用Spring Security从JWT令牌中提取当前登录的用户信息...
weixin_39849054的博客
12-19 1179
小编典典您需要做的第一件事是在创建JWT时将用户信息存储在JWT内,然后在使用JWT时将其提取。我有一个类似的情况,我通过扩展双方解决它TokenEnhancer和JwtAccessTokenConverter。我使用TokenEnhancer来将我的扩展类型的主体嵌入CustomUserDetailsJWT其他信息中。public class CustomAccessTokenEnhancer ...
.net6 基本使用JWT生成Token,模拟用户登录,启动api授权,需要登录携带token才能请求数据,基本给用户添加权限管理
热门推荐
weixin_44442366的博客
04-07 1万+
1. 创建好项目,添加一个控制器,新建用户登录api接口和接收用户登录信息类Dto Dto就包含两个字段,账号和密码 2. 安装NuGet包,搜索JWT,安装图下这个包 3. 在appsettings.json添加JWT加密需要的私钥,发布者等相关配置信息,私钥用户可以自定义。 私钥:SecretKey 发布者:Issuer 接收者:Audience "Authentication": { "SecretKey": "nadjhfgkadshgoihfkajhkjdhsfaidkuahfh
jwt token 附加用户信息_[入门篇] Jwt 认证
weixin_35974217的博客
01-09 564
认证和授权的区别首先我们要弄清楚认证(Authentication)和授权(Authorization)的区别,以免混淆了。认证是确认的过程中你是谁,而授权围绕是你被允许做什么,即权限。显然,在确认允许用户做什么之前,你需要知道他们是谁,因此,在需要授权时,还必须以某种方式对用户进行身份验证。什么是Jwt根据维基百科的定义,JSON WEB Token(JWT),是一种...
JWT身份认证的使用方式
qq_58946786的博客
09-19 1076
JWT概述说明,组成部分,安装导入相关包,定义secret秘钥,获取用户信息,捕获解析JWT失败后产生的错误
JWT创建token报错:secret key byte array cannot be null or empty.
weixin_61321344的博客
09-14 923
**在springboot项目的测试单元中,测试一个利用JWT来产生token报错:java.lang.IllegalArgumentException: secret key byte array cannot be null or empty.**
关于JWT
qq_45891099的博客
06-07 1064
数据加密的基本过程,就是对原来为明文的文件或者数据按某种算法进行处理,使其成为不可读的一段代码。通常称为密文,通过这样的处理,来达到保护数据不被非法人窃取的目的。加密算法分为对称加密和非对称加密,其中对称加密算法的加密和解密的密钥相同,非对称加密算法的密钥不同,常见的 对称加密 算法主要有 、、 等,常见的非对称算法主要有 、 等.对称加密算法又称为共享密钥加密算法,在对称加密算法中,使用的密钥是同一个,发送和接收双方用这个密钥对数据进行加密和解密,这就要求双方事先都知道这个密钥。数据加密过程:在对称加密算
枚举工具类
最新发布
qq_43049583的博客
08-04 322
java枚举工具类
springboot jwt用户认证
09-04
Spring Boot JWT(Json Web Token)用户认证是一种基于令牌的用户认证机制,可以帮助开发人员在Spring Boot应用中实现用户身份验证和授权。 下面是一些步骤来实现Spring Boot JWT用户认证: 1. 添加依赖:在你的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值