在 SpringBoot 项目中简单实现 JWT 验证

最新推荐文章于 2024-03-06 08:42:54 发布
最新推荐文章于 2024-03-06 08:42:54 发布
阅读量342 收藏
点赞数
分类专栏: java 文章标签: spring boot servlet spring Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ma_nong33/article/details/128948119
版权

使用 SpringBoot 提供 api 的时候,我更喜欢使用 jwt 的方式来做验证。网上有会多 Spring Security 整合 jwt 的,也有 Shiro 整合 jwt 的,感觉有点复杂。这里分享一下自己在项目中的简单实现。

依赖包

除了 SpringBoot 基本的依赖,需要一个生成 jwt 和序列化的包。生成 jwt 的包依赖很多,因为我项目里使用了 hutool 这个包,就只用用它了。

<dependency><groupId>cn.hutool</groupId><artifactId>hutool-all</artifactId><version>5.8.9</version></dependency><dependency><groupId>cn.hutool</groupId><artifactId>hutool-all</artifactId><version>5.8.9</version></dependency>

jwt用户模型

定义一个 Jwt 的 sub 字段模型,存储用户:

import lombok.Data;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;

@DatapublicclassJwtUser {
    /**
     * 用户编号
     */private Integer id;
    /**
     * 用户名
     */private String name;
    /**
     * 角色
     */private String role;

    /**
     * 获取当前请求用户
     * @return
     */publicstatic JwtUser getCurrentUser() {

        RequestAttributesrequestAttributes= RequestContextHolder.currentRequestAttributes();
        HttpServletRequestrequest= ((ServletRequestAttributes) requestAttributes).getRequest();
        return (JwtUser) request.getAttribute("user");
    }
}

验证注解

定义一个用于请求类和方法的注解

import java.lang.annotation.*;

@Inherited@Target({ElementType.TYPE,ElementType.METHOD})@Retention(RetentionPolicy.RUNTIME)public@interface Authorize {

    /**
     * 是否匿名可以访问
     * @return
     */booleananonymous()defaultfalse;

    /**
     * 角色
     * @return
     */
    String[] roles() default {};
}

JWT 帮助类

用于生成 jwt 和 解析 JwtUser 对象。

import cn.hutool.jwt.JWT;
import cn.hutool.jwt.JWTUtil;
import cn.hutool.jwt.signers.JWTSigner;
import cn.hutool.jwt.signers.JWTSignerUtil;
import com.google.gson.Gson;
import com.mpyf.xapi.security.JwtUser;
import lombok.var;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

publicclassJwtTokenUtils {

    publicstaticfinalStringSECRET="your_secret";
    publicstaticfinalStringISS="com.your.cn";

    privatestaticfinalintEXPIRATIONHOURS=24; //过期时间24小时//创建tokenpublicstatic String createToken(JwtUser user) {
        return createToken(user, EXPIRATIONHOURS);
    }

    publicstatic String createToken(JwtUser user, int hours) {
        StringsubJson=newGson().toJson(user);
        JWTSignerjwtSigner= JWTSignerUtil.hs512(SECRET.getBytes());

        JWTjwt= JWT.create().setSigner(jwtSigner);
        jwt
                .setJWTId(UUID.randomUUID().toString().replace("-", ""))
                .setSubject(subJson) //用户信息
                .setIssuer(ISS)      //签发者//.setAudience("受众")//.setNotBefore(new Date())
                .setIssuedAt(newDate())
                .setExpiresAt(newDate(System.currentTimeMillis() + hours * 3600 * 1000));
        return jwt.sign();
    }

    publicstatic JwtUser getUser(String token) {

        if (StringHelper.isNullOrEmpty(token)) returnnull;

        varjwt= JWTUtil.parseToken(token);
        JWTSignerjwtSigner= JWTSignerUtil.hs512(SECRET.getBytes());
        jwt.setSigner(jwtSigner);

        if (jwt.validate(10)) {
            varsubJson= jwt.getPayload("sub").toString();
            JwtUseruser=newGson().fromJson(subJson, JwtUser.class);
            return user;
        } else {
            returnnull;
        }
    }
}

验证拦截器

定义jwt的验证拦截器,从请求头获取 token 解析并验证。

import com.mpyf.xapi.helper.JwtTokenUtils;
import com.mpyf.xapi.helper.StringHelper;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;

/**
 * jwt 验证拦截器
 */@ComponentpublicclassJwtAuthInterceptorimplementsHandlerInterceptor {

    @OverridepublicbooleanpreHandle(HttpServletRequest request, HttpServletResponse response, Object handler)throws Exception {

        //Authorization:Bearer+空格+tokenStringtoken= request.getHeader("Authorization");
        if (token != null) {
            token = token.replace("Bearer ", "");
        }
        //处理模拟登录的jwtif (StringHelper.isNullOrEmpty(token)) {
            token = request.getParameter("jwt");
        }
        if (StringHelper.isNullOrEmpty(token)) {
            //兼容从请求参数传tokenObjectjwt= request.getAttribute("jwt");
            if (jwt != null) {
                token = jwt.toString();
            }
        }
        JwtUseruser= JwtTokenUtils.getUser(token);
        request.setAttribute("user", user);

        if (handler instanceof HandlerMethod) {
            HandlerMethodh= (HandlerMethod) handler;
            Authorizeauthorize= h.getMethodAnnotation(Authorize.class);
            if (authorize == null) {
                authorize = h.getMethod().getDeclaringClass().getAnnotation(Authorize.class);
            }

            //如果没有Authorize或者可以匿名访问,直接返回if (authorize != null && !authorize.anonymous()) {
                {
                    if (user == null) {
                        response.sendError(HttpServletResponse.SC_UNAUTHORIZED);
                        returnfalse;
                    } elseif (authorize.roles() != null && authorize.roles().length > 0 &&
                            Arrays.stream(authorize.roles()).allMatch(s -> !s.equalsIgnoreCase(user.getRole()))) {
                        //没权限
                        response.sendError(HttpServletResponse.SC_FORBIDDEN);
                        returnfalse;
                    }
                }
            }
        }
        returntrue;
    }
}

注册拦截器

在 WebMvc 配置中注册拦截器,并支持跨域请求

import com.mpyf.xapi.security.JwtAuthInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.*;


@ConfigurationpublicclassWebMvcConfigimplementsWebMvcConfigurer {

    @Autowired
    JwtAuthInterceptor jwtAuthInterceptor;


    @OverridepublicvoidaddInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtAuthInterceptor).addPathPatterns("/api/**");
        WebMvcConfigurer.super.addInterceptors(registry);
    }

    @OverridepublicvoidaddCorsMappings(CorsRegistry registry) {

        registry.addMapping("/api/**")
                .allowedOriginPatterns("*")
                .allowedMethods("*")
                .allowedHeaders("*")
                //.maxAge(3600)
                .allowCredentials(true);
        WebMvcConfigurer.super.addCorsMappings(registry);
    }
}

Controller中使用

@RestController@RequestMapping("/api/test")@Authorize(roles = {"admin", "user"})publicclassTestController {

    @GetMapping("admin_and_user")public String admin_and_user(){
        return"admin 和 user 角色都可以访问";
    }
    @GetMapping("admin_only")@Authorize(roles = "admin")//覆盖Controller的设置public String admin_only(){
        return"只有 admin 角色可以访问";
    }
    @GetMapping("public_all")@Authorize(anonymous = true)public String public_all(){
        return"匿名可以访问";
    }
}

不用 Spring Security 和 Shiro ,是不是更简单呢!

盈梓的博客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring boot集成jwt安全验证
异世者的博客
06-20 544
相比于session,JWT无状态性,在集群后端系统有明显优势。 什么是JWT Json Web Token(JWT):JSON网络令牌,是为了在网络应用环境间传递声明而制定的一种基于JSON的开放标准((RFC 7519)。JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式用于通信双方之间以 JSON 对象行使安全的传递信息。因为数字签名的存在,这些信息是可信的。 JWT的组成 JWT含有三个部分: 头部(header) 载荷(payload) 签证(signature) 头
微服务聚合JWT实现权鉴
weixin_55229531的博客
07-17 9911
微服务聚合JWT实现权鉴
JWT安全学习笔记
zr1213159840的博客
04-19 1671
JWT安全学习笔记 什么是JWTJWT全称Json Web Token是一种跨域验证身份的方案,JWT不加密传输的数据,但是能够通过数字签名来验证数据未被篡改。 JWT的组成 JWT分为三部分,头部(Header),声明(claims),签名(signature),三个部分以英文句号.隔开。JWT的内容以Base64URL进行了编码。 头部和声明是由base64url加密的。签名是整合头部和声明利用密钥进行加密的结果。 (在HTTP传输过程,Base64编码的"=“,”+“,”/"等特殊URL编码
Spring Boot + JWT = 安全无忧的RESTful API
最新发布
Innocence_0的博客
03-06 1075
JWT(JSON Web Token)是一个开放标准(RFC7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。这些信息可以被验证和信任,因为它是数字签名的。通过这个简单的例子,我们看到了如何在SpringBoot应用程序使用JWT进行安全认证。JWT的整合提高了我们API的安全性,同时保持了良好的性能和可扩展性。如果你想要构建一个安全且现代的Web应用程序,那么SpringBootJWT无疑是你的不二之选。
jwt令牌实现登陆并且附带constants类,输出token
qq_66429395的博客
11-12 170
/ 3.缓存jti,有效期与token一致,过期或删除JTI后,对应的refresh-token失效。// 2.3.生成refresh-token,将refresh-token的JTI 保存到Redis。// 2.4.将refresh-token写入用户cookie,并设置HttpOnly为true。* 清理刷新refresh-token的jti,本质是refresh-token作废。// 2.生成新的access-token、refresh-token。// 2.2.生成access-token。
JWT使用HS512算法生成全局服务token原理
永远积极向上、永远热泪盈眶、永远豪情满怀、永远坦坦荡荡
12-28 1617
最近需要使用C++服务根据用户名生成全局服务的token,然后在java服务印证token正确性。因为java服务使用jwt库生成全局的token, 我就对应找C++jwt的库, github有开源库叫jwt-cpp然后我就下载了, 我使用没有找到java生成token好使用的接口、没有办法我只有看一下jwt生成token的步骤实现一遍。
Springboot整合Jwt
五行阿尔法的博客
11-04 215
刷新方案:当AccessToken即将过期的时候,例如提前30分钟,客户端利用RefreshToken请求指定的API获取新的。3、由于RefreshToken存储在服务端redis,假如这个RefreshToken也过期,则提示重新登录;相比除了ip,还有设备号,UA,header头终端信息,地点等可以采用,进行绑定。优点:服务端无需存储相关内容,性能高,假如用户广州登录,泄露了token给杭州的黑客,依旧用不了。缺点:如果用户用使用过程ip变动频繁,则操作会经常提示重新登录,体验不友好。
SpringBoot集成JWT(极简版):
SunPeng的博客
11-01 382
SpringBoot集成JWT(极简版):
springboot系列】springboot整合jwt
Think_and_work的博客
05-31 577
概念 JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 组成 jwt由三部分组成,分别是头部,载荷以及签证。 然后这三部分进行加密,然后用“.”连接在一起 如: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7H
SpringBoot整合JWT实现token登录验证
weixin_37592339的博客
06-20 342
记录了Cookie、Token、JWT的区别以及SpingBoot整合JWT的实操
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
SpringBoot集成JWT实现token验证源码.zip
12-20
SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip 【备注】 主要针对计算机相关专业的正在做毕设的学生和需要项目实战的Java学习者。 也可...
SpringBoot使用JWT实现登录验证的方法示例
08-25
主要介绍了SpringBoot使用JWT实现登录验证的方法示例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
SpringBoot集成JWT实现token验证的流程
10-15
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).这篇文章主要介绍了SpringBoot集成JWT实现token验证,需要的朋友可以参考下
springboot整合cage 验证
Smileyan's blog
01-06 7232
springboot整合cage 验证码 1. 例子下载github地址 由于代码非常简单,提供一个github下载地址,只有java文件。 https://github.com/smile-yan/example-cage-captcha 2. cage jar包下载地址 推荐使用maven,如果需要下载.jar,也可以在这个maven地址下载: https://mvnrepository.co...
史上最全面的基于JWT token登陆验证
SuperBins的博客
07-18 3489
介绍JWT 1、什么是JWTJWT(Json web token), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。 2、JWT的组成: jwt由header(头部),playload(载荷)、signature(签名三部分组成) 头部部分header { “alg”: “HS256”, “typ”: “JWT” } alg描述的是签名算法。默认值是HS...
JWT在spring boot的应用
yuluo的博客
08-26 422
JWT:全称为JSON Web Token ,通过数字签名的方式,以json对象为载体,在不同的服务终端之间安全的传输信息。
SpringBoot 图形验证码的生成和校验
盛夏温暖流年
02-26 1324
1. 编写工具类 package com.cn.beauty.util; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import javax.imageio.ImageIO; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession
springboot使用jwt实现登录验证
09-25
SpringBoot,可以通过编写相应的代码来实现JWT登录验证。通过对用户的登录信息进行校验,根据校验结果生成相应的token,并将token返回给用户。用户在后续的请求携带token,服务器会对token进行解析,以验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

盈梓的博客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值