Java中使用JWT实现token认证

最新推荐文章于 2024-05-30 07:31:24 发布
最新推荐文章于 2024-05-30 07:31:24 发布
阅读量2.6k 收藏 7
点赞数 1
分类专栏: SpringBoot 文章标签: Springboot JWT token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mr_accompany/article/details/104159436
版权

1. 实现跳过认证(PassToken)及需要认证(UserLoginToken)的注解类

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
    boolean required() default true;
}
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserLoginToken {
    boolean required() default true;
}

2. 实现获取Token类(TokenService)

@Service
public class TokenService {
    public String getToken(User user) {
        // 过期时间,5分钟
        long EXPIRE_TIME = 5*60*1000;
        // 生成过期时间
        Date expireDate = new Date(System.currentTimeMillis()+EXPIRE_TIME);
        String token = JWT.create().withAudience(user.getId())// 将 user id 保存到 token 里面
                .withExpiresAt(expireDate)// 设置过期时间
                .sign(Algorithm.HMAC256(user.getPassword()));// 以 password 作为 token 的密钥
        return token;
    }
}

3. 实现token认证类(AuthenticationInterceptor)

public class AuthenticationInterceptor implements HandlerInterceptor {
    @Autowired
    UserService userService;

    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
        String token = httpServletRequest.getHeader("token");// 从 http 请求头中取出 token
        // 如果不是映射到方法直接通过
        if(!(object instanceof HandlerMethod)){
            return true;
        }
        HandlerMethod handlerMethod=(HandlerMethod)object;
        Method method=handlerMethod.getMethod();
        //检查是否有passtoken注释,有则跳过认证
        if (method.isAnnotationPresent(PassToken.class)) {
            PassToken passToken = method.getAnnotation(PassToken.class);
            if (passToken.required()) {
                return true;
            }
        }
        //检查有没有需要用户权限的注解
        if (method.isAnnotationPresent(UserLoginToken.class)) {
            UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class);
            if (userLoginToken.required()) {
                // 执行认证
                if (token == null) {
                    throw new RuntimeException("尚未登录,请登录");
                }
                // 获取 token 中的 user id
                String userId;
                try {
                    userId = JWT.decode(token).getAudience().get(0);
                } catch (JWTDecodeException j) {
                    throw new RuntimeException("token认证名称错误,请重新登录");
                }
                User user = userService.findUserById(userId);
                if (user == null) {
                    throw new RuntimeException("用户不存在,请重新登录");
                }
                // 验证 token
                JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
                try {
                    jwtVerifier.verify(token);
                } catch (JWTVerificationException e) {
                    throw new RuntimeException("token认证密码错误或登录已过期,请重新登录");
                }
                return true;
            }
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest,
                           HttpServletResponse httpServletResponse,
                           Object o, ModelAndView modelAndView) throws Exception {

    }
    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest,
                                HttpServletResponse httpServletResponse,
                                Object o, Exception e) throws Exception {
    }
}

4. 因为需要抛出异常,实现一个全局异常捕获类()

@ControllerAdvice
public class GloablExceptionHandler {
    @ResponseBody
    @ExceptionHandler(Exception.class)
    public Object handleException(Exception e) {
        String msg = e.getMessage();
        if (msg == null || msg.equals("")) {
            msg = "服务器出错";
        }
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("status", 500);
        jsonObject.put("message", msg);
        return jsonObject;
    }
}

5. 添加配置类(InterceptorConfig),让所有的映射路径都进行验证

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**");    // 拦截所有请求,通过判断是否有 @UserLoginToken 注解 决定是否需要登录
    }

    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }
}

6. 实现访问类(UserController)

@RestController
@RequestMapping("/api")
public class UserController {
    @Autowired
    UserService userService;
    @Autowired
    TokenService tokenService;
    //登录
    @PostMapping("/login")
    public Object login(@RequestBody User user){
        JSONObject jsonObject=new JSONObject();
        User userForBase=userService.findUserById("user");
        if(userForBase==null){
            jsonObject.put("message","登录失败,用户不存在");
            return jsonObject;
        }else {
            if (!userForBase.getPassword().equals(user.getPassword())){
                jsonObject.put("message","登录失败,密码错误");
                return jsonObject;
            }else {
                String token = tokenService.getToken(userForBase);
                jsonObject.put("token", token);
                jsonObject.put("user", userForBase);
                return jsonObject;
            }
        }
    }

    @UserLoginToken
    @GetMapping("/getMessage")
    public Object getMessage(){
        Map<String, Object> retMap = new HashMap<>();
        retMap.put("message", "你已通过验证");
        retMap.put("status", 200);
        return retMap;
    }
}

7. 进行postman访问

* http://127.0.0.1:8080/api/login

* http://127.0.0.1:8080/api/getMessage

没登录之前访问效果

登录成功

登录成功带token访问

token错误或登录时间过期后访问

github项目源码地址

https://github.com/kenyonlover/spring_boot_jwt_test
陌笙Diary
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java实现基于JWTtoken认证
淮右布衣的博客
03-14 1754
java实现基于JWTtoken认证1.引入依赖2.创建JWT工具类3.创建JWT注解类4.创建用于JWT验证的拦截器5.在SpringMVC.xml配置拦截器7. 1.引入依赖 <!--引入JWT依赖,由于是基于Java,所以需要的是java-jwt--> <dependency> <groupId>io.jsonwebtoken&lt...
java token拦截器_Java基于JWTtoken认证
weixin_39881167的博客
03-02 1037
一、背景引入由于Http协议本身是无状态的,那么服务器是怎么识别两次请求是不是来自同一个客户端呢,传统用户识别是基于seesion和cookie实现的。大致流程如下:用户向服务器发送用户名和密码请求用户进行校验,校验通过后创建session绘画,并将用户相关信息保存到session服务器将sessionId回写到用户浏览器cookie用户以后的请求,都会鞋带cookie发送到服务器服务器得到c...
SpringBoot之JWT令牌校验
qq_73918355的博客
04-17 3460
您首先定义了一个JWT字符串,模拟了用户传递过来的token
间件学习-jwt登录验证
weixin_43596589的博客
07-30 907
间件学习-jwt登录验证 jwt json web token 简要说明 前端传验证信息到后端,后端验证通过,返回一个对象,只不过这个对象是被加密的,这样后端就可以为无状态的,每次请求的时候,请求头带上token ,里面封装了对象的信息,我们只需要用拦截器进行拦截,解析token,后端就可以知道是谁登录了界面,可以设置相应的超时时间,超时时间不应太长或者太短,根据实际情况而定,超时用户就需要从新登录 优点: 减少服务器的压力,不用向以前一样将对象保存在session里面,或者是利用redis保存信息,因为
JavaJWT技术解析与实践:安全高效的身份认证
最新发布
Innocence_0的博客
05-30 665
什么是JWT(JSON Web Token)?JWT是一种用于身份验证和授权的开放标准(RFC7519),它是基于JSON格式的轻量级安全令牌。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。通常,JWT被用于在不同的系统之间传递安全性的声明信息,以便用户在跨域应用进行身份验证。JWT有什么好处,能干啥?轻量级:JWT是基于JSON格式的,相比于传统的XML格式,它更加轻巧且易于解析。
JWT(java web token)
LC的博客
12-08 681
JWT(java web token) JWT包含三部分: Header 头部 Payload 负载 Signature 签名 其结构看起来是这样的 Header.Payload.Signature。 #JWT的组成 ##Header 在header通常包含了两部分:token类型和采用的加密算法。{ “alg”: “HS256”, “typ”: “JWT”} 接下来对这部分内容使用 Base64Url 编码组成了JWT结构的第一部分。 ##Payload 它包含了claim, Claim是一些实体(通常
JWT生成token以及验证token
CKQ_me的博客
06-06 3270
JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 JWT的构成 jwt由三个部分组成 第一部分:头部(header),第二部分:playload(称为载荷),第三部分:signature(签证) ...
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
编程不良人JWT笔记
拧发条鸟的博客
07-15 905
JWT 1.简介 1.含义 JWT简称JSON Web Token,也就是通过JSON形式作为Web应用的令牌,用于各方之间安全地将信息作为JSON对象传输,在数据传输的过程还可以完成数据加密、签名等相关处理。 2.认证流程 1.认证流程 - 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。 - 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Paylo
java开发jwt认证 令牌,jwt.jar包 jwt 实现token认证,支持jdk1.7版本 java令牌
06-30
jwt.jar包 jwt所需jar包集合 使用commons-codec.jar + java-jwt.jar进行token认证,支持jdk1.7及以上版本,目前大多数jwt支持至少需要1.8及以上,资源不好找,且行且珍惜。 如果需要源码以及功能实现方式,请联系...
JWT Token实现方法及步骤详解
09-07
JSON Web Token (JWT) 是一种安全的身份验证和信息传输机制,尤其在前后端分离的应用架构广泛应用。JWT 用于在不同系统之间安全地传递信息,尤其是用户认证信息,且无需在每次请求时与服务器交互。它由三部分组成...
Java实现基于token认证的方法示例
08-25
Java实现基于token认证的方法示例 一、 token认证的优势 在介绍 Java 实现基于 token 认证的方法示例之前,我们首先需要了解 token 认证相比传统的 cookie 认证的优势。token 认证有以下几个优势: 1. 支持跨域...
SpringSecurity之JWT实现token认证和授权.zip
08-09
在这个主题,我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证和授权。 JWT 是一种轻量级的、安全的、无状态的身份验证机制,常用于API的鉴权。它通过在客户端和服务器之间传递令牌...
springboot+jwt实现token登陆权限认证实现
08-19
在本文,我们将介绍如何使用 Spring Boot 和 JWT 实现 Token 登录权限认证JWT(JSON Web Token)是一种基于 token 的身份验证机制,能够提供一种简洁、安全的方式来验证用户身份。 什么是 JWT JWT 是一种基于 ...
JWT,这一篇就够了
qq_18841277的博客
09-05 628
比如客户端传入 Header(A)、Payload(B)、Signature(C),我们需要通过A、B和密钥通过Base64编码后的值和C进行对比,如果值相同则正确。包含两个部分:令牌的类型和所使用的签名算法.标头使用的是Base64编码,注意Base64编码不是一种加密的过程,可以被解码为初始值。签名是将编码后的(标头、有效载荷和我们提供的一个密钥)和我们Header指定的签名算法进行编码。有效载荷存放的是用户的数据信息,通过Base64进行加密,不要在Payload存放重要的值。
Java实现token的生成与验证-登录功能
qq_42362007的博客
12-04 1464
一、token与cookie相比较的优势 1、支持跨域访问,将token置于请求头,而cookie是不支持跨域访问的; 2、无状态化,服务端无需存储token,只需要验证token信息是否正确即可,而session需要在服务端存储,一般是通过cookie的sessionID在服务端查找对应的session; 3、无需绑定到一个特殊的身份验证方案(传统的用户名密码登陆),只需要生成的token是符合我们预期设定的即可; 4、更适用于移动端(Android,iOS,小程序等等),像这种原生平台不支
Java实现Token登录验证(基于JWTtoken认证实现)
热门推荐
shuux666的博客
03-12 2万+
文章目录 一、JWT是什么? 二、使用步骤 1.项目结构 2.相关依赖 3.数据库 4.相关代码 三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在co
用户登录权限校验和跨域处理问题
osp2010的博客
01-03 1171
以下内容主要是:使用注解+session+拦截器+跨域处理 一 新增注解@UserLoginToken @Retention(RetentionPolicy.RUNTIME) public @interface UserLoginToken { boolean required() default true; } 二 增加拦截器 @Override publ...
不会吧,不会吧,不会还有人看了这篇文章还不精通JWT
XiaoLin
10-07 2673
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
jwt的verify
09-14
JWT的verify方法用于验证一个JWT令牌的合法性。在JavaEE环境下,可以使用jjwtjava-jwt的相应方法进行验证。 使用jjwt库时,可以通过调用Jwts.parser().setSigningKey()方法设置签名密钥,并使用parseClaimsJws()方法解析JWT令牌。如果解析成功且验证通过,即可确定JWT令牌是合法的。例如,以下是使用jjwt库进行JWT验证的示例代码: ``` import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureException; public class JWTUtils { private static final String SECRET_KEY = "your-secret-key"; public static boolean verifyToken(String token) { try { Claims claims = Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody(); // 验证通过,返回true return true; } catch (SignatureException e) { // 验证失败,返回false return false; } } } ``` 使用java-jwt库时,可以通过调用JwtVerifier.verify()方法验证JWT令牌。如果验证成功,即可确定JWT令牌是合法的。例如,以下是使用java-jwt库进行JWT验证的示例代码: ``` import com.auth0.jwt.JWT; import com.auth0.jwt.JWTVerifier; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.exceptions.JWTVerificationException; public class JWTUtils { private static final String SECRET_KEY = "your-secret-key"; public static boolean verifyToken(String token) { try { Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY); JWTVerifier verifier = JWT.require(algorithm) .build(); verifier.verify(token); // 验证通过,返回true return true; } catch (JWTVerificationException e) { // 验证失败,返回false return false; } } } ``` 以上代码的"your-secret-key"应替换为您自己的秘钥。调用verifyToken()方法并传入JWT令牌,即可验证JWT的合法性。如果验证通过,返回true;否则,返回false。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值