springboot集成JWT实现token认证的示例和一些常见问题

最新推荐文章于 2023-07-31 10:11:05 发布
最新推荐文章于 2023-07-31 10:11:05 发布
阅读量697 收藏 1
点赞数
分类专栏: JWT 文章标签: spring boot jwt java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrxutada/article/details/108166066
版权

springboot的拦截器无效的问题

springboot+jwt+token

1.扫描包的问题

导致拦截器失效的原因可能是没有扫描到配置拦截器的包
查看spring启动类的,添加@ComponentScan(basePackages = {"com.example.demo.config"})或@SpringBootApplication(scanBasePackages = {"com.example.demo.config"})

2.springboot版本问题

springboot2版本以上不支持WebMvcConfigurerAdapter,pom文件中可查看自己的版本。
将拦截器配置到Spring Boot环境中,有两种方法

// 方法一:实现WebMvcConfigurer接口
public class WebConfig implements WebMvcConfigurer{
	// ...
}
// 方法二:继承WebMvcConfigurationSupport类
public class WebConfig extends WebMvcConfigurationSupport{
	// ...
}

这两种方式有冲突,如果其他有可能的原因都排查了,可以看看是不是冲突问题,我的就是因为我写了一个实现方式的,结果有人在swagger里面写了一个继承的,排查了好久才看到,两边需要统一。
WebMvcConfigurer是自动配置,而WebMvcConfigurationSupport 是手动配置,当classpath中存在WebMvcConfigurationSupport 对象时,自动配置就不会生效,所以需要统一。

3.路径问题

@Override
public void addInterceptors(InterceptorRegistry registry) {   			
	registry.addInterceptor(authenticationInterceptor).addPathPatterns("/**");
			.excludePathPatterns("/","/user/login");
}

addPathPatterns()里面的路径是"/**",不是"/*"。也可以把全局路径加上,要注意自己的项目的路径,看看配置文件是否有。/**表示当前目录以及所有子目录,/*表示当前目录,不包括子目录。
excludePathPatterns()里面是不需要拦截的路径,是"/"。

4.注解问题

配置拦截器的类上要加@Configuration注解,这样才能统一管理拦截器实例。
拦截器的类上要加@Component注解,这样当前拦截器才能被扫描到。

5.简单的示例

  1. 引入依赖
		<!--引入JWT依赖->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>

2.创建自定义注解,拦截器就可以通过注解来区分是否需要拦截,需要拦截的方法条件注解即可

/**
 * require token.
 *
 * @author Mei
 * @since 2020/8/20
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface LoginToken {
    boolean required() default true;
}

/**
 * skip token.
 *
 * @author Mei
 * @since 2020/8/20
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface SkipToken {
    boolean required() default true;
}

3.编写JwtUtil工具类

/**
 * JWT工具类.
 *
 * @author Mei
 * @since 2020/8/20
 */
@Slf4j
public class JwtUtil {
    /**
     * 密钥,不泄露,不更改
     */
    private static final String SECRET_KEY = "设置自己的密钥";
    /**
     * token过期时间(单位:豪秒)
     */
    public static final long TOKEN_EXPIRE_TIME = 24 * 60 * 60 * 1000;
    /**
     * 签发人
     */
    private static final String ISSUER = "issuer";


    /**
     * token生成器
     *
     * @param userId 用户Id
     * @param role   角色
     * @return token
     */
    private static String generateToken(final long userId,
                                        final Integer role) {
        Date now = new Date();
        // 算法
        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
        String token =
                JWT.create()
                        .withIssuer(ISSUER)
                        .withIssuedAt(now)
                        .withExpiresAt(new Date(now.getTime() + TOKEN_EXPIRE_TIME))
                        .withClaim("role", role)
                        .withClaim("userId", userId)
                        .sign(algorithm);
        log.info("generateToken: 生成的token为 [{}]", token);
        return token;
    }


    /**
     * 生成token
     *
     * @param user 员工信息
     * @return 生成后的token
     */
    public static String generateToken(User user, int role) {
        return generateToken(
                user.getId(),
                role);
    }

    /**
     * 验证token
     *
     * @param token token
     * @return true/false
     */
    public static boolean verify(String token) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
            JWTVerifier verifier = JWT.require(algorithm).withIssuer(ISSUER).build();
            verifier.verify(token);
            return true;
        } catch (Exception e) {
            log.warn("verify:[{}]", e.getMessage());
            log.error(e.getMessage(), e);
            return false;
        }
    }

    /**
     * 解析token(从token获取UserId)
     *
     * @param token token
     * @return ID
     */
    public static Long getUserId(String token) {
        try {
            return JWT.decode(token).getClaim("userId").asLong();
        } catch (Exception ex) {
            ex.printStackTrace();
        }
        return null;
    }
    
}

4.编写拦截器

/**
 * 拦截器.
 *
 * @author Mei
 * @since 2020/8/20
 */
@Slf4j
@Component
public class AuthenticationInterceptor implements HandlerInterceptor {

    @Resource
    private UserService userService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        log.info("preHandle:拦截 [request:{}, response:{}, handler:{}]", request, response, handler);

        // 从 http 请求头中取出 token
        String token = request.getHeader("Authorization");

        log.info("preHandle:Authorization 为[token:{}]", token);
        // 如果不是映射到方法直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }

        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        //检查是否有SkipToken注释,有则跳过认证
        if (method.isAnnotationPresent(SkipToken.class)) {
            log.info("跳过认证");
            SkipToken loginToken = method.getAnnotation(SkipToken.class);
            if (loginToken.required()) {
                return true;
            }
        }
        //检查有没有需要用户权限的注解
        if (method.isAnnotationPresent(LoginToken.class)) {
            LoginToken checkToken = method.getAnnotation(LoginToken.class);
            if (checkToken.required()) {
                // 执行认证
                if (token == null) {
                    response.sendRedirect(request.getContextPath() + "/user/login");
                    return true;
                }
                // 获取 token 中的 userId
                long userId;
                try {
                    userId = JWTUtil.getUserId(token);
                } catch (JWTDecodeException j) {
                    throw new RuntimeException("访问异常!");
                }
                User user = userService.getById(userId);
                if (user == null) {
                    throw new RuntimeException("用户不存在,请重新登录");
                }
                Boolean verify = JWTUtil.verify(token);
                if (!verify) {
                    throw new RuntimeException("非法访问!");
                }
                return true;
            }
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

5.配置拦截器

/**
 * 配置拦截器.
 *
 * @author Mei
 * @since 2020/8/21
 */
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Resource
    private AuthenticationInterceptor authenticationInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 拦截所有请求,通过判断是否有 @SkipToken注解 决定是否需要登录
        registry.addInterceptor(authenticationInterceptor).addPathPatterns("/**");
    }
}

6.Controller

	@PostMapping(path = "/login")
    @ApiOperation(value = "登录", notes = "根据用户名和密码登录,返回token")
    @SkipToken
    public R login(HttpServletRequest request,
                   @RequestParam(value = "name") String userName,
                   @RequestParam(value = "pwd") String passWord) {
        String msg = "用户不存在";
        User user1 = new User();
        user1.setName(userName);
        User user = userService.selectOne(user1);
        if (user != null) {
            if (user.getPwd().equals(passWord)) {
                msg = "登录成功";
                String token = JWTUtil.generateToken(user, 1);
                return R.ok(msg).put("user", user).put("Authorization", token);

            } else {
                msg = "密码错误";
                return R.ok(msg);
            }
        }
        return R.error(msg);
    }

    @GetMapping(path = "/all")
    @ApiOperation(value = "查询所有用户")
    @LoginToken
    public Object all() {
        List<Map<String, Object>> list;
        list = userService.selectAll();
        return R.ok().putAll(list);
    }

7.测试
测试登录,返回token
测试登录测试查询,带上token,返回结果
在这里插入图片描述
不带token、token带错、token过期,都会拿不到数据。

6.代码改进

示例的方式可能太多地方需要添加注解了,这样会比较麻烦,一般来说,除了登录不需要token之外,其他基本都需要token,当然还是根据具体业务来。这样就可以把示例代码的拦截器的内容稍微改一下,拦截器配置类是默认拦截所有请求的("/**"),那就只需要把不需要token的请求添加注解就可以了,这样就不用把所有需要token的请求添加注解了。也可以在拦截器配置类里面添加不需要token的路径,但是如果,不需要token的路径增多,这里也会增多,所以@SkipToken注解可以保留。
拦截器类代码

@Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        log.info("preHandle:拦截 [request:{}, response:{}, handler:{}]", request, response, handler);

        // 从 http 请求头中取出 token
        String token = request.getHeader("Authorization");

        log.info("preHandle:TOKEN 为[token:{}]", token);
        // 如果不是映射到方法直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }

        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        //检查是否有PassToken注释,有则跳过认证
        if (method.isAnnotationPresent(SkipToken.class)) {
            log.info("跳过认证");
            SkipToken loginToken = method.getAnnotation(SkipToken.class);
            if (loginToken.required()) {
                return true;
            }
        } else if (token == null) {
            response.sendRedirect(request.getContextPath() + "/user/login");
            return true;
        } else {
            // 获取 token 中的 userId
            long userId = JwtUtil.getUserId(token);
            User user = userService.getById(userId);
            if (user == null) {
                throw new RuntimeException("用户不存在,请重新登录");
            }
            Boolean verify = JwtUtil.verify(token);
            if (!verify) {
                throw new RuntimeException("非法访问!");
            }
            return true;
        }

        return true;
    }

拦截器配置类代码

	@Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 拦截所有请求,通过判断是否有 @LoginToken注解 决定是否需要登录
        registry.addInterceptor(interceptor).addPathPatterns("/**")
                .excludePathPatterns("/**/user/login", "/error")
                .excludePathPatterns("/**/swagger-ui.html",
                        "/**/webjars/springfox-swagger-ui/**",
                        "/**/swagger-resources/**");

    }
utada hikki
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot整合JWT:登陆生成token实现用户认证
代码从一开始的博客
07-02 759
1.在cfg(configration)包中增加JwtCfg 类,它声明了一个@Bean ,用于生成一个过滤器类,并且对/user 链接下的所有资源访问进行JWT的验证。 @Configuration public class JwtCfg { @Bean public FilterRegistrationBean jwtFilter() { final FilterRegistrationBean registrationBean = new FilterRegistra
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot(九)jwt + 拦截器实现token验证
最新发布
zhaojun的博客
07-31 5512
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证。
SpringBoot集成JWT实现token验证使用
qq_53762798的博客
03-30 258
大佬的JWT,供参考。
SpringBoot集成JWT实现token验证
qq_41828543的博客
01-22 1999
原文:https://www.jianshu.com/p/e88d3f8151db JWT官网: https://jwt.io/ JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的...
SpringBoot + JWT token验证
雍正写BUG
10-27 252
引入JWT依赖: <!--jwt--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version&...
SpringBoot集成JWT实现token验证源码.zip
12-20
SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip 【备注】 主要针对计算机相关专业的正在做毕设的学生和需要项目实战的Java学习者。 也可...
SpringBoot集成JWT生成token及校验方法过程解析
08-19
主要介绍了SpringBoot集成JWT生成token及校验方法过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot集成JWT实现token验证的流程
10-15
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).这篇文章主要介绍了SpringBoot集成JWT实现token验证,需要的朋友可以参考下
springboot+jwt实现token登陆权限认证实现
08-19
主要介绍了springboot+jwt实现token登陆权限认证实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot使用jwt_token验证登录用户
qq_27865749的博客
04-01 501
pom文件依赖 <!--jwt--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> &l
【图文详解】搭建 Spring Authorization Server + Resource + Client 完整Demo
热门推荐
土味儿
05-19 1万+
一个完整的Demo,有认证端,有资源端,有客户端;采用当前最新的技术。 非常感谢 码农小胖哥,仔细研读了他的很多文章。本项目中的很多逻辑和代码都源自于他。如果想深入学习OAuth2,强烈建议关注胖哥。 1、项目概述 1.1、概述 Server + Resource + Client 功能完善: 授权中心Server: 进行认证、授权,并发放token、刷新token,不负责token鉴权(由资源服务器自行鉴权); 资源服务器Resource:提供资源,需要携带token请求,可以自行鉴权; 客.
springboot整合JWT简单实现认证登陆(五)
qq_41604890的博客
12-24 327
1.pom.xml引入依赖 <!-- token --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.3.0</version> </dependency> 2.JWTUtil工具类 package com.zm.common.util; imp
关于Spring IoC的那些事
yasinshaw的博客
08-17 745
点击↑上方↑蓝色“编了个程”关注我~每周至少一篇原创文章这是本公众号的第 26篇原创文章荒腔走板今天把自己家里的键盘卸下来洗了一下。键盘是去年买的,国产静电容,宁芝的。整体上来说使用体...
JWT生成token及报错解决方案
xdy0426313的博客
06-09 4322
JWT生成token及报错解决方案 java.lang.ClassNotFoundException: javax.xml.bind.DatatypeConverter 使用JWT生成token @RestController public class AutherController { @RequestMapping("/login") public BaseResultBean auther(@RequestBody User user, HttpServletResponse re
springboot集成JWT生成token并自定义拦截器及解决拦截器失效问题
javaXingzhe的博客
03-09 1702
1.导入jwt依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.10.3</version> </dependency> 2.配置拦截 /** * WebMvcConfig配置 */ @Configuration public class WebM
java SpringBoot登录验证token拦截器
前方的路在刚开始
07-05 6933
springBoot拦截器定义,以及token获取,单点登录设定,全局异常定义。
亲测有效!SpringBoot项目采用JWT登录认证与保持,并解决跨域问题
weixin_45928161的博客
04-12 1284
在使用JWT实现认证时,需要将生成的token存储到前端,并在每次向后端发送请求时将token放入请求header中,这样后端才能识别该用户是否已登录以及是否有权限访问该接口。这段代码会在每次请求前检查localstorage中是否存在token,并将其添加到请求的header中。注意:为了避免XSS攻击,不要直接将token存储在localstorage中,可以考虑使用sessionStorage或者cookie等更加安全的存储方式。一步步跟着做就可以了。
springboot集成jwt
05-31
Spring Boot 集成 JWT(JSON Web Token)可以提供一种安全且可靠的身份验证和授权机制。JWT 是一种基于 JSON 的开放标准(RFC 7519),它定义了一种紧凑且自包含的方式来在网络上安全地传输信息。 要在 Spring Boot 中使用 JWT,可以使用第三方库(例如 jjwt 或者 auth0),它们提供了生成和解析 JWT 的 API。你需要在你的项目中引入相应的依赖,然后在代码中使用相应的 API 来实现 JWT 的生成和验证。 通常来说,生成 JWT 需要指定一个密钥(secret),这个密钥会被用来加密和验证 JWT。在 Spring Boot 中,可以通过在配置文件中设置属性来指定密钥。 具体实现过程可以参考一些开源项目或者教程,例如 Spring 官方文档中关于使用 jjwt 实现 JWT示例

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值