原来这就叫JWT啊

最新推荐文章于 2024-03-23 19:59:35 发布
最新推荐文章于 2024-03-23 19:59:35 发布
阅读量332 收藏 3
点赞数 1
文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mi_man_chi_you/article/details/122278398
版权

一、JWT是什么?

JWT的全称为json web token。不要把它想得多么高深,其实就是一种生成token的方式。一般我们访问一个系统的流程就是:请求登录接口,该接口会返回一个token,请求其他接口都要带上token,token验证通过才能访问成功,而JWT可以理解为就是生成token的一种机制。

二、JWT怎么用?

1、添加jwt的依赖
<!-- JWT -->
<dependency>
	<groupId>com.auth0</groupId>
	<artifactId>java-jwt</artifactId>
	<version>3.4.0</version>
</dependency>
2、新建一个TokenService,用来生成token
@Service
public class TokenService {
	// token过期时间5分钟
	private static final long EXPIRE_TIME = (60 * 1000 * 5);

	public String getToken(User user) {
		return JWT.create()
				// 需要放入token中的信息
				.withAudience(user.getId())
				// 设置token过期时间
				.withExpiresAt(new Date(System.currentTimeMillis() + EXPIRE_TIME))
				// 用户密码当作密钥
				.sign(Algorithm.HMAC256(user.getPassword()));
	}
}

User类就是一个普通的pojo,这里就不把代码贴出来了。这个getToken方法表示将用户的密码作为密钥,把用户的id放进token中,设置token过期时间为5分钟。

3、新建两个注解,一个注解表示需要验证,另一个表示跳过验证
  • 需要验证:
//可以作用在方法,类和接口上
@Target({ElementType.METHOD, ElementType.TYPE})
//编译器会将SkipToken的信息保存在虚拟机中
@Retention(RetentionPolicy.RUNTIME)
public @interface NeedToken {
	// required 属性默认值为true
	boolean required() default true;
}
  • 跳过验证:
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface SkipToken {
	boolean required() default true;
}
4、新建一个AuthInterceptor类,用于拦截请求
public class AuthInterceptor implements HandlerInterceptor {
	@Autowired
	private UserService userService;

	@Override
	public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,Object object) {
		// 从 http 请求头中取出 token
		String token = httpServletRequest.getHeader("token");
		// 只拦截方法,不是方法直接返回true
		if (!(object instanceof HandlerMethod)) {
			return true;
		}
		HandlerMethod handlerMethod = (HandlerMethod) object;
		Method method = handlerMethod.getMethod();
		// 有SkipToken注解的直接跳过认证
		if (method.isAnnotationPresent(SkipToken.class)) {
			SkipToken skipToken = method.getAnnotation(SkipToken.class);
			if (skipToken.required()) {
				return true;
			}
		}
		// 有NeedToken注解的就进行认证
		if (method.isAnnotationPresent(NeedToken.class)) {
			NeedToken needToken = method.getAnnotation(NeedToken.class);
			if (needToken.required()) {
				if (token == null) {
					throw new RuntimeException("无token,请重新登录");
				}
				// 获取 token 中的 userId
				String userId;
				try {
					userId = JWT.decode(token).getAudience().get(0);
				} catch (JWTDecodeException j) {
					throw new RuntimeException("401");
				}
				// 根据userId查询数据库
				User user = userService.findUserById(userId);
				if (user == null) {
					throw new RuntimeException("用户不存在,请重新登录");
				}
				// 用查出来的user的密码去校验token
				JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
				try {
                    // 没发生异常就表示校验通过
					jwtVerifier.verify(token);
				} catch (JWTVerificationException e) {
					throw new RuntimeException("401");
				}
				return true;
			}
		}
		return true;
	}

	@Override
	public void postHandle(HttpServletRequest httpServletRequest,HttpServletResponse httpServletResponse, Object o,ModelAndView modelAndView) {
	}

	@Override
	public void afterCompletion(HttpServletRequest httpServletRequest,HttpServletResponse httpServletResponse,Object o, Exception e) {
	}
}

这个拦截器的处理逻辑就是:

  • 只拦截方法,如果不是方法,就放行;
  • 如果拦截的方法有@SkipToken注解,放行;
  • 如果拦截的方法有@NeedToken注解,则需要验证token;
  • 取出请求头中的token,拿出token中的userId,根据此userId去数据库查询对应的记录;
  • 再将查出来的user的password去验证token,验证成功则放行;
  • 如果没有@NeedToken也没有@SkipToken注解的,也放行。
5、新建一个InterceptorConfig类,将我们上面写的拦截器配置到spring容器中去
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
	@Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authInterceptor())
                .addPathPatterns("/**");   
    }
    @Bean
    public AuthInterceptor authInterceptor() {
        return new AuthInterceptor();
    }
}
6、在controller中的用法
@RestController
@RequestMapping("api")
public class UserController {
	@Autowired
    private UserService userService;
    @Autowired
    private TokenService tokenService;
   
    @SkipToken
    @PostMapping("/user")
    public JsonResult login(User user){
        User dbUser = userService.findForLogin(user);
        if (dbUser == null){
            return new JsonResult(200, "用户名或密码错误", null);
        } else {
            String token = tokenService.getToken(dbUser);
            Map<String, Object> resultMap = new HashMap<>();
            resultMap.put("token", token);
            resultMap.put("user", dbUser);
            return new JsonResult(200, "登录成功", resultMap);
        }
    }
    
    @NeedToken
    @GetMapping("/getMessage")
    public String getMessage(){
        return "你已通过验证";
    }
    
    @SkipToken
    @GetMapping("/noToken")
    public String noToken() {
    	return "无需token访问";
    }
}

以上就是JWT的用法,其实在实际生产中一般会配合shiro使用。

贪挽澜月
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot集成JWT实现token验证
qq_41828543的博客
01-22 2036
原文:https://www.jianshu.com/p/e88d3f8151db JWT官网: https://jwt.io/ JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的...
使用JWT身份认证
weixin_38335432的博客
10-25 322
Jwt
后端Jwt实现Token编码、解码以及axios的request请求头的Token传输方式
最新发布
辰辰Ado_I
03-23 813
JWT是token的一种实现方式,全称是:JSON Wwb Token。简单来讲,Jwt是一种字符串,可以根据用户信息进行相关的编码操作生成带有用户信息的JWT token,我们可以根据这个来判断其信息是否正确或者是否被篡改。
Spring boot 项目(八)——自定义拦截器
weixin_45974176的博客
09-18 178
Jwt简介 1、Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 2、JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 3、JWT生成的token是无状态的,服务端不存储,即一旦生成在有效期之前一直
springboot banner.txt 在线制作
狼魂之力
10-22 1933
https://www.cnblogs.com/bdjsdl/p/13439469.html 另外 有几个网站也是在线制作 banner的 http://patorjk.com/software/taag/ https://www.bootschool.net/ascii http://www.network-science.de/ascii/ https://www.degraeve.com/img2txt.php 佛祖保佑 永无bug _ooOoo_
Django项目中使用JWT的实现代码
01-02
1.requiremwnts: Django版本:2.2 ...1)使用pycharm新建一个Django项目,我的项目名称叫:django_jwt 2)使用语句 python manage.py startapp django_restframework_jwt新建一个名为django_restframework_j
Jwt认证示例-鉴权授权
06-05
在本文中,我们将介绍如何在 .NET 中使用 JWT 实现授权,包括如何创建和验证 JWT、如何在应用程序中使用 JWT 进行身份验证和授权、如何使用策略和角色进行权限控制等,如何实现全局必须授权等。
Nodejs中的JWT和Session的使用
01-20
最近的项目需要在node服务端做一个用户登录的校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWT和Session 使用JWT JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,...
【ASP.NET编程知识】asp.net基于JWT的web api身份验证及跨域调用实践.docx
05-18
根据JWT的定义,在JWT中承载用户身份信息的数据段叫Payload。这里需要建立一个类"AuthInfo"用来表示Payload,该类包含用户名、角色列表和是否是管理员等信息。 在编写登录接口时,我们首先需要编写一个...
你管這破玩意兒叫Token1
08-03
【标题】:“你管這破玩意兒叫Token1” 【描述】:“1. 首先用户登录,server 会为用户生成一个 session,为其分配唯一的 sessionId,这个 sessionId 是与某个用户绑定的, 1” 【标签】:“git intellij idea” ...
关于jwt的类dsl语义封装
zhangpan_soft的博客
04-08 198
可以看到上述的代码好似和我们熟知建造者模式类似, 但是在编译器里写的是否, 会发现, 你做了第一步之后,下一步是什么,是完全自动提示的, 不需要再有额外的文档阐述, 我觉得这种是非常好的,程序自带解释.可以看到整个JwtUtil工具类已有了自我解释能力,我非常欣赏这样的工具包,就如cola的状态及,okhttp一样, 用起来是非常好用的.
spring boot+JWT实现前后端分离快速开发
月七
12-13 385
spring boot+JWT实现前后端分离快速开发 直接步入正题 首先看pom.xml,主要是spring boot的依赖包以及jwt的依赖包。 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.or...
使用jwt生成token
zhoujie的博客
04-29 5370
这是jwt 官网 https://jwt.io/,有兴趣撸友的可以看一下。 在官网中可以看到,给了一个示例,左边的token 解码以后,就会由youy右边的三部分组成,分别是 头,有效载荷,验证签名。 头(包含算法和类型),有效载荷这个就比较核心了,用户可以在这里添加自己想添加的信息,包含token过期时间等。详情请参考这位撸友大佬https://blog.csdn.net/csdn_bl...
基于JWT的权限验证及实战演练
热门推荐
小糖豆
09-21 1万+
前言: 大部分系统,除了大部分金融类的系统需要严格的安全框架(如shiro),一般的系统安全性要求都不是很高,只需要简单的权限验证(比如登录验证)即可,下面将简单介绍JWT用法及登录验证的实现方式(注解方式) jwt分析(原理啊什么的废话就不说了,只说用法) header(头部),头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。(所以算法一样,头部也是一样的,下面例子可以...
JWTJava和Android中的使用
mythmayor的博客
07-26 9307
一、JWT简介 JWT即JSON Web Token。JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。 此信息可以通过数字签名进行验证和信任。 JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 虽然JWT可以加密以在各方之间提供保密,但我们将专注于签名令牌...
Springboot 简单的token的使用及拦截的同时植入用户信息
是猿非猿有猿及猿的博客
05-25 676
1.依赖写入 <!-- jwt token--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 2.配置拦截器
restful风格请求,基于token鉴权实例
01-03 444
点赞再看,养成习惯 开发环境: jdk 8 intellij idea maven 3.6 所用技术: springboot restful 项目介绍 基于restful风格做的设计实例,即可jwt做token效验,实现增删查改,同时搭配自定义注解,方便过滤token验证 自定义注解 1.需要做验证的注解 @Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interf
重构_改善既有代码的设计_第二版(Java代码示例)
a5f4s6f4a65f4a6sf的博客
06-21 5151
前言 最近在读《重构_改善既有代码的设计(第2版)》这本书,一本非常经典,并且非常容易读懂的书,强力推荐刚入职场或未入职场的同学去读,书中的代码示例是用JavaScript来编写的,该文只是将书中的代码示例翻译成Java版本,并不会复制书中过多的内容,其中一些做法并不完全相同,加了自己的风格或者是说一些浅显的理解,非常欢迎各位批评和指正。 第一个示例 示例需求: 设想有一个戏剧演出团,演员们经常要...
JWT(token)基础使用
dsaggdsd的博客
07-09 607
public class JwtUtil { //过期时间 30min private static final int EXPIRE_TIME = 30; //私钥 private static final String TOKEN_SECRET = "privateKey"; private static final String USER_NAME = "name"; /** * 签发对象:这个用户的id * .
用就jwt 写一个鉴权
01-16
好的,为了使用 JWT 进行鉴权,您需要遵循以下步骤: 1. 将用户的登录信息(如用户名和密码)发送到您的认证服务器,该服务器将验证这些信息并返回 JWT。 2. 客户端收到 JWT 后,将其存储在...希望这对您有帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值