JWT流程

最新推荐文章于 2024-06-14 00:29:41 发布
最新推荐文章于 2024-06-14 00:29:41 发布
阅读量255 收藏 1
点赞数 10
分类专栏: Spring secrunity 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mywaya2333/article/details/136276192
版权

在Spring Security中使用JWT通常需要进行以下步骤:

  1. 创建JWT工具类:首先,你需要创建一个用于生成和解析JWT的工具类。这个工具类通常会使用现有的JWT库(如jjwt)来实现JWT的生成和解析功能。

  2. 配置Spring Security:在Spring Security的配置中,你需要添加一个JWT过滤器来验证请求中的JWT,并根据其中的信息进行用户认证和授权。通常情况下,这个JWT过滤器会在UsernamePasswordAuthenticationFilter之前执行。

  3. 定义登录接口:客户端在登录时需要提供用户名和密码,服务器验证通过后会生成一个JWT,并返回给客户端。

  4. 处理登录请求:后端需要编写处理登录请求的控制器方法,验证用户的身份信息,并生成JWT返回给客户端。

  5. 验证JWT:客户端在每次请求时需要将JWT放在请求的Header中发送给服务器,服务器会验证JWT的签名和有效性,并根据其中的信息进行用户认证和授权。

import io.jsonwebtoken.*;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;
import java.util.Date;

@Component
public class JwtTokenProvider {

    @Value("${jwt.secret}")
    private String jwtSecret;

    @Value("${jwt.expiration}")
    private int jwtExpirationMs;

    public String generateToken(String username) {
        Date now = new Date();
        Date expiryDate = new Date(now.getTime() + jwtExpirationMs);

        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(now)
                .setExpiration(expiryDate)
                .signWith(SignatureAlgorithm.HS512, jwtSecret)
                .compact();
    }

    public String getUsernameFromToken(String token) {
        Claims claims = Jwts.parser()
                .setSigningKey(jwtSecret)
                .parseClaimsJws(token)
                .getBody();

        return claims.getSubject();
    }

    public boolean validateToken(String token) {
        try {
            Jwts.parser().setSigningKey(jwtSecret).parseClaimsJws(token);
            return true;
        } catch (SignatureException ex) {
            System.out.println("Invalid JWT signature");
        } catch (MalformedJwtException ex) {
            System.out.println("Invalid JWT token");
        } catch (ExpiredJwtException ex) {
            System.out.println("Expired JWT token");
        } catch (UnsupportedJwtException ex) {
            System.out.println("Unsupported JWT token");
        } catch (IllegalArgumentException ex) {
            System.out.println("JWT claims string is empty.");
        }
        return false;
    }
}

接着,我们需要编写一个JWT过滤器 JwtTokenFilter,用于在Spring Security过滤器链中验证请求中的JWT。

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.util.StringUtils;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class JwtTokenFilter extends OncePerRequestFilter {

    private JwtTokenProvider jwtTokenProvider;

    public JwtTokenFilter(JwtTokenProvider jwtTokenProvider) {
        this.jwtTokenProvider = jwtTokenProvider;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        try {
            String jwt = getJwtFromRequest(request);

            if (StringUtils.hasText(jwt) && jwtTokenProvider.validateToken(jwt)) {
                String username = jwtTokenProvider.getUsernameFromToken(jwt);

                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(username, null, null);
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        } catch (Exception ex) {
            logger.error("Could not set user authentication in security context", ex);
        }

        filterChain.doFilter(request, response);
    }

    private String getJwtFromRequest(HttpServletRequest request) {
        String bearerToken = request.getHeader("Authorization");
        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7);
        }
        return null;
    }
}

最后,我们需要一个处理登录请求的控制器方法,并在认证成功后生成JWT返回给客户端。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.ResponseEntity;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;
import java.util.HashMap;
import java.util.Map;

@RestController
public class AuthController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private JwtTokenProvider jwtTokenProvider;

    @Autowired
    private CustomUserDetailsService userDetailsService;

    @PostMapping("/api/auth/login")
    public ResponseEntity<?> authenticateUser(@RequestBody LoginForm loginRequest) {

        Authentication authentication = authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword()));

        SecurityContextHolder.getContext().setAuthentication(authentication);

        String jwt = jwtTokenProvider.generateToken(loginRequest.getUsername());
        return ResponseEntity.ok(new JwtAuthenticationResponse(jwt));
    }
}

在这个示例中,AuthController 是一个处理登录请求的控制器类,JwtTokenProvider 是用于生成和验证JWT的工具类,JwtTokenFilter 是一个JWT过滤器,用于在Spring Security过滤器链中验证请求中的JWT。

最后,LoginForm 是一个简单的表单类,用于接收登录请求中的用户名和密码,JwtAuthenticationResponse 是一个简单的类,用于返回包含JWT的响应。

通过以上配置,我们完成了Spring Security中配合JWT使用的完整示例。

mywaya2333
关注
  • 10
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt流程
zjcyixi的博客
05-06 970
jwt json web token,接口安全验证 session cookie 客户端向服务端发起请求-》服务端生成jsessionid,同时生成一个session文件放到服务器-》jsessionid返回客户端-》客户端存在cookie中-》下次请求的时候携带jsessionid-》服务端通过jsessionid查询文件-》能找到成功-》找不到失败 用户量非常大的时候一台服务器不能满足,负载均衡。 客户端存储,自认证,节约服务器资源,适合做单点登录 jwt三部分构成的:头部,载和,签证 生成:..
JWT认证原理,流程
weixin_45557544的博客
11-06 4199
JWT1,什么是jwt官网翻译:通俗解释:2,JWT能做什么2.1,授权 1,什么是jwt 官网 翻译: jsonwebtoken(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的,自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的,jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/秘钥对进行签名 通俗解释: JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息
JWT流程
qq_39787513的博客
12-14 715
JWT流程
JWT认证流程
Leon_Jinhai_Sun的博客
01-02 1829
首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程- -般是一 个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议) ,从而避免敏感信息被嗅探。 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload (负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。形成的JWT就是一个形同11. zzz. xxx的字符串。token head . payload . singurater 后端将JWT字符串作为登录成
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
jwt工作流程
张俊杰 的博客
10-22 1017
在身份验证中,当用户成功登录系统时,授权服务器将会把 JSON Web Token 返回给客户端,用户需要将此凭证信息存储在本地(cookie或浏览器缓存)。当用户发起新的请求时,需要在请求头中附带此凭证信息,当服务器接收到用户请求时,会先检查请求头中有无凭证,是否过期,是否有效。如果凭证有效,将放行请求;若凭证非法或者过期,服务器将回跳到认证中心,重新对用户身份进行验证,直至用户身份验证成功。 以访问 API 资源为例,下图显示了获取并使用 JWT 的基本流程: ...
JWT学习流程及使用
m0_62356399的博客
07-19 665
然而,Session 是在服务器端的,而 JWT 是在客户端的。因为 JWT 可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。单点登录是现在广泛使用的 JWT 的一个特性,因为它的开销很小,而且可以轻松地跨域使用。JWT 一般被用来在身份提供者和服务提供者间传递被认证用户的身份信息,以便于从资源服务器获取资源,也可以增加一些额外的业务逻辑所需的声明信息。JWT,即 JSON Web Token,定义了一种紧凑的、自包含的方式,用于在网络应用环境间以 JSON 对象安全地传输信息。
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 7879
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
JWT学习笔记
01-21
JWT的认证流程 1. 用户登录时,服务器端将用户的信息作为JWT的Payload,并将其与头部分别进行Base64编码拼接后签名,形成一个Token。 2. 服务器端将Token作为登录成功的返回结果返回给客户端,客户端可以将返回的...
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Python 基于jwt实现认证机制流程解析
01-19
1.jwt的优缺点 jwt的优点: 1. 实现分布式的单点登陆非常方便 2. 数据实际保存在客户端,所以我们可以分担数据库或服务器的存储压力 jwt的缺点: 1. 数据保存在了客户端,我们服务端只认jwt,不识别客户端。 2. ...
JWT认证原理、流程整合springboot实战应用
01-18
JWT认证原理、流程整合springboot实战应用
详解用JWT对SpringCloud进行认证和鉴权
08-26
主要介绍了详解用JWT对SpringCloud进行认证和鉴权,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Nginx之静态文件服务器的搭建
wyx的博客
06-13 874
静态文件服务器是指提供HTML文件访问或客户端 可直接从中下载文件的Web服务器。对于图片、 JavaScript或CSS文件等渲染页面外观的、不会动态改 变内容的文件,大多数网站会单独提供以静态文件服 务器的方式对其进行访问,实现动静分离的架构。在以上配置中,每个server指令域等同于一个虚 拟服务器,每个location指令域等同于一个虚拟目录。
百度网盘限速解决办法
生活在别处
06-13 8122
比如可以获取下载直链后,使用IDM(Internet Download Manager)对该直链进行多线程下载,但是并不会有实际速率提升效果,因为百度网盘在服务器端进行了限速,多线程的速率总和被限制在了100KB/s左右。(现在虽然是所谓玩游戏获得会员下载体验,实际上点击后会在百度网盘内打开一个web游戏,并不需要游玩游戏,直接等待会员下载体验时间结束即可关闭web游戏窗口)所以,客户端这些改动伎俩通通没有实际效果,即使在客户端显示无限速、显示会员体验,都只是自欺欺人而已。
多进程并发服务器
dc爱傲雪和技术
06-12 277
3.子进程:完成通信,接受一个客户端连接,就创建一个子进程用于通信。要实现TCP通信服务器处理并发的任务,使用多线程或者多进程来解决。2.父进程负责等待并接受客户端的连接。
Linux 常用命令 - userdel 【删除用户】
随便转转
06-12 173
userdel 这个命令源自于 “user delete”,即用户删除。这个命令主要用于在 Linux 系统中删除用户账户及其相关文件。当管理员需要移除一个用户及其在系统中的所有踪迹时,会用到这个命令。
Linux---系统的初步学习【 项目二 管理Linux文件和目录】
最新发布
B6665X的博客
06-14 919
​ 是存储在计算机上的。在Windows系统中,我们理解的文件可以是文本文档、图片、程序、音乐、视频等。在Linux中,,也就是除了Windows中所理解的文件,目录、字符设备、光驱、硬盘、打印机、进程、线程、管道等都是文件。​ Linux系统中的文件都有存放路径,就是指该文件存放的位置。​ Linux中的如同Windows中的,是用来协助管理计算机文件、具有路径标识的一块存储空间。​ 根目录是目录的最高层,其他所有目录和文件都在根目录下面,生成一个树状结构,使用这种树状、具有层次的文件结构,主要目的是方便
springsecurity整合jwt流程
04-11
b的springsecurity整合jwt流程是什么? Spring Security和JWT(JSON Web Token)结合使用是一种非常流行的身份验证方案。整合的流程包括:1. 配置Spring Security;2. 实现JWT的token生成和解析;3. 定义一个实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值