Jwt加filter实现app认证

已于 2022-07-29 18:48:08 修改
阅读量688 收藏 1
点赞数 1
分类专栏: 后端 文章标签: jwt filter
于 2021-07-19 17:27:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nglhaeg/article/details/118904938
版权

导入jwt依赖

  		<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

token实体类

@Data
public class TokenDto implements Serializable {

    /**
     * token
     */
    private String token;

    /**
     * 到期时间
     */
    private String expire;

}

封装jwt生成token工具类

/**
 * jwt生成、验证工具
 * 注意点:
 *  1、生成的Token可以通过base64解密出明文信息
 *  2、base64解密出的明文信息,修改后再进行编码会解密失败(核心)
 *  3、无法作废已颁布的token,除非改密钥
 */
public class JwtUtils {

    /**
     * 过期时间,一周
     */
    private static final long EXPIRE = 1000 * 60 * 60 * 24 * 7;

    /**
     * SECRET 是签名密钥,只生成一次即可,生成方法:
     * Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
     * String secretString = Encoders.BASE64.encode(key.getEncoded()); # 本文使用 BASE64 编码
     * */
    private static final String SECRET = "PVjALNPPuVzHQaPrGQJJ94r3u0ZoL2hcnEUPAcOAwkM=";

    /**
     * 主题
     */
    private static final String SUBJECT = "enterprise";

    /**
     * 负载部分自定义数据的key
     */
    public static final String CUSTOM_PAYLOAD_PHONE_KEY = "phone";
    public static final String CUSTOM_PAYLOAD_TYPE_KEY = "type";
    public static final String CUSTOM_PAYLOAD_TENANTID_KEY = "tenantId";

    /**
     * 令牌类型
     */
    public static final String TYPE_APPLETS = "applets";
    public static final String TYPE_WEB = "web";

    /**
     * 根据自定义信息生成令牌
     * @param type      请求类型,app、web
     * @param tenantId  租户ID
     * @param phone     手机号
     * @return
     */
    public static TokenDto getToken(String type, String tenantId, String phone){
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        TokenDto dto = new TokenDto();
        Date exp = new Date(System.currentTimeMillis()+EXPIRE);
        String token = Jwts.builder()
                .setSubject(SUBJECT)
                // 自定义内容
                .claim(CUSTOM_PAYLOAD_TYPE_KEY,type)
                .claim(CUSTOM_PAYLOAD_TENANTID_KEY,tenantId)
                .claim(CUSTOM_PAYLOAD_PHONE_KEY,phone)
                // 令牌颁发时间
                .setIssuedAt(new Date())
                // 令牌过期时间
                .setExpiration(exp)
                // 签名加密算法 和 密钥
                .signWith(signatureAlgorithm,getSecretKey())
                // 返回字符串
                .compact();
        dto.setToken(token);
        dto.setExpire(TimeUtil.dateToStamp2(exp));
        return dto;
    }

    /**
     * Base64.getDecoder().decode(getBase64Security())
     * 检查token有效性,token校验失败会抛异常
     * @param   token
     * @return  返回null即校验失败
     */
    public static Claims checkJwt(String token){
        //签名秘钥,和生成的签名的秘钥一模一样
        SecretKey key = getSecretKey();
        Claims claims;
        try {
            claims = Jwts.parser()  //得到DefaultJwtParser
                    .setSigningKey(key)         //设置签名的秘钥
                    .parseClaimsJws(token).getBody();
        } catch (Exception e) {
            claims = null;
        }//设置需要解析的jwt
        return claims;
    }

    /**
     * SecretKey 根据 SECRET 的编码方式解码后得到:
     * Base64 编码:SecretKey key = Keys.hmacShaKeyFor(Decoders.BASE64.decode(secretString));
     * Base64URL 编码:SecretKey key = Keys.hmacShaKeyFor(Decoders.BASE64URL.decode(secretString));
     * 未编码:SecretKey key = Keys.hmacShaKeyFor(secretString.getBytes(StandardCharsets.UTF_8));
     * */
    private static SecretKey getSecretKey() {
        byte[] encodeKey = Base64.decodeBase64(SECRET);
        SecretKey key = new SecretKeySpec(encodeKey, 0, encodeKey.length, "AES");
        return key;
    }

登录过滤器实现Filter接口

/**
 * 登录过滤器
 */
@AllArgsConstructor
@WebFilter(urlPatterns = "/app/api/v1/pri/*",filterName = "loginFilter")
public class LoginFilter implements Filter {

    private final RedisUtil redisUtil ;

    /**
     * 容器加载时执行
     * @param filterConfig
     * @throws ServletException
     */
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

        System.out.println("login filter init...");

    }

    /**
     * 每次请求都会调用,如果返回提示信息始终不变,可以简化
     * @param servletRequest
     * @param servletResponse
     * @param filterChain
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        System.out.println("login filter doFilter...");

        HttpServletRequest req = (HttpServletRequest) servletRequest;
        HttpServletResponse resp = (HttpServletResponse) servletResponse;
        String token = req.getHeader(AppConstant.APP_TOKEN_HEADER);
        if(StringUtils.isNotEmpty(token)){
            // 1、校验token
            Claims claims = JwtUtils.checkJwt(token);
            if(null != claims){
                String phone = (String)claims.get(JwtUtils.CUSTOM_PAYLOAD_PHONE_KEY);
                if(StringUtils.isNotEmpty(phone)){
                    // 2、判断缓存
                    String redisToken = redisUtil.get(AppConstant.APP_TOKEN_REDIS_PREFIX + phone);
                    if(StringUtils.isNotEmpty(redisToken) && StringUtils.equals(token,redisToken)){
                        // 3、更新token缓存时间
                        redisUtil.setEx(AppConstant.APP_TOKEN_REDIS_PREFIX+phone,token,AppConstant.APP_TOKEN_EXPIRE);
                        // 4、继续执行后续链路
                        filterChain.doFilter(servletRequest,servletResponse);
                    }else {
                        renderJson(resp,R.fail(401,"请求未授权"));
                    }
                }else {
                    renderJson(resp,R.fail(401,"请求未授权"));
                }
            }else {
                renderJson(resp,R.fail(401,"请求未授权"));
            }
        }else {
            renderJson(resp,R.fail(401,"请求未授权"));
        }
    }

    /**
     * 容器销毁的时候执行
     */
    @Override
    public void destroy() {
        System.out.println("login filter destroy...");
    }

    /**
     * 返回JSON数据
     * @param response
     * @param json
     */
    private void renderJson(HttpServletResponse response, R<Object> json){
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        try (PrintWriter writer = response.getWriter()){
            writer.print(JSON.toJSONString(json));
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

启动类上要加@ServletComponentScan注解

image-20210719170803873

登录接口示列

    @PostMapping("/login")
    @ApiOperationSupport(order = 2)
    @ApiOperation(value = "物业APP登录", notes = "手机号和密码")
    @ApiImplicitParams({
            @ApiImplicitParam(name = "data", value = "手机号和密码加密后的字符串", paramType = "query", dataType = "string", required = true),
            @ApiImplicitParam(name = "tenantId", value = "租户ID", paramType = "header", dataType = "string", required = true)
    })
    public String loginApp(HttpServletRequest request,String data) {
        PropertyAppUser appUser = AesPkcs5Util.pareData(data, new PropertyAppUser(),apiCryptoProperties.getAesKey());
        String tenantId = getTenantId(request);
        if (null == appUser || StringUtils.isEmpty(tenantId) || StringUtils.isEmpty(appUser.getAccount()) || StringUtils.isEmpty(appUser.getPassword())) {
            return AesPkcs5Util.encryptResponseData(R.fail("参数错误!"),apiCryptoProperties.getAesKey());
        }
        PropertyAppUser user = propertyAppUserService.getByPhone(appUser);
        if (null == user) {
            return AesPkcs5Util.encryptResponseData(R.fail("用户名或密码错误!"),apiCryptoProperties.getAesKey());
        }
        // 将传过来的密码加密
        String lowerPwd = DigestUtil.encrypt(appUser.getPassword());
        if (StringUtils.equals(user.getPassword(), lowerPwd)) {
            String oldToken = redisUtil.get(AppConstant.APP_TOKEN_REDIS_PREFIX + appUser.getAccount());
            if (StringUtils.isNotEmpty(oldToken)) {
                redisUtil.del(AppConstant.APP_TOKEN_REDIS_PREFIX + appUser.getAccount());
            }
            // 构造新的token,放入缓存
            TokenDto dto = JwtUtils.getToken(JwtUtils.TYPE_APP, tenantId, appUser.getAccount());
            //设置key和值还有过期时间
            redisUtil.setEx(AppConstant.APP_TOKEN_REDIS_PREFIX + appUser.getAccount(), dto.getToken(), AppConstant.APP_TOKEN_EXPIRE);
            // TODO 目前仅返回token,需要封装为app需要的包装类
            Map<String,Object> map = propertyAppUserService.loginAppUser(user);
            map.put("token",dto.getToken());
            map.put("expire",dto.getExpire());
            return AesPkcs5Util.encryptResponseData(R.data(map,"登录成功!"),apiCryptoProperties.getAesKey());
        } else {
            return AesPkcs5Util.encryptResponseData(R.fail("用户名或密码错误!"),apiCryptoProperties.getAesKey());
        }
    }
TROWS
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JwtFilter (过滤器)
10000guo的博客
01-07 3263
JWTFilter&JWT&Filter
自定义Spring Security过滤器 JwtAuthenticationTokenFilter
最新发布
zyx1234321的博客
11-19 376
这个过滤器的作用是在请求到达时验证 JWT,并将用户信息存储到 Spring Security 的上下文和 ThreadLocal 中,方便后续的权限验证和用户信息获取。放在所有过滤器前面,检查浏览器携带的token是否合法。
Jwt+Filter+SpringBoot+Redis实现Cookie自动登陆
m0_62314761的博客
05-21 438
FIlter拦截器拦截前端发送过来的请求,然后通过检查请求的cookie然后进行匹配检查,如果没有cookie则证明没有登录过,则需要过滤跳转到查询数据库验证用户名和密码看看是否有此人,如果有则以用户的名字(或者其他信息)通过Jwt生成Token并存入到Cookie里返回给客户端。下次登录的时候拦截器再拦截请求然后通过Jwt工具解码检查里面的cookie并与Redis里存的cookie进行匹配,如果符合了就直接跳转不再需要登录。
jwt+token验证
qq_51127361的博客
09-19 1834
导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId
登录 jwt ,filter
zhaogengzi的专栏
08-22 172
当前所在位置和请求位置,然后从3维度来判断是否是跨哉请求,只要有一个不同就属于。cookie 在请求头中叫做cookie,在响应头中叫set-cookie。session基于cookie实现
解析SpringSecurity+JWT认证流程实现
08-18
在SpringSecurity中,我们使用JWT认证方式来实现认证,通过生成一个JWT token来验证用户的身份。在认证流程中,我们首先需要生成一个JWT token,然后将其传递给客户端,客户端在每次请求时都需要带上这个token,以便...
python中JWT用户认证实现
09-16
主要介绍了python中JWT用户认证实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
gateway和jwt网关认证实现过程解析
08-25
Gateway 和 JWT 网关认证实现过程解析 Gateway 和 JWT 网关认证是当前 Web 应用程序中最常用的身份验证方法之一。Gateway 作为入口点,负责处理所有的请求,而 JWT(JSON Web Token)则是用于身份验证和授权的 ...
php 后端实现JWT认证方法示例
10-18
主要介绍了php 后端实现JWT认证方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django+JWT实现Token认证实现方法
09-19
主要介绍了Django+JWT实现Token认证实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
.net core中JWT身份验证原理与配置,含详细示例代码(tonken生成,解密,验证)
key12315的专栏
03-08 444
.net core中JWT身份验证原理与配置,含详细示例代码(tonken生成,解密,验证)
C#/.NET 微服务专题(JWT的权限认证使用)
热门推荐
一点一滴
01-17 2万+
JWT客户端的使用 安装:Microsoft.AspNetCore.Authentication.JwtBearer public void ConfigureServices(IServiceCollection services) { #region jwt校验 services.AddAuthentication(JwtBearerDefaults.Authenticatio...
认证过滤器
Leon_Jinhai_Sun的博客
06-05 2095
认证
java login jwt token filter
舒适hanxs4
01-02 299
jwt token login
SpringSecurity结合Jwt实现定制化认证过滤器的详细步骤
qq_45105989的博客
11-03 1162
实现定制化认证过滤器只是认证,而授权还是交给Security框架实现。Payload本质上是一个Map集合,上面的命名表示Map集合默认键名,我们通过put()来定义参数。
spring boot整合spring security以及JWT
qq_35101267的博客
05-12 1876
首先是pom的依赖: <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>2.0.0</version> </dependency> <!--阿里巴巴druid连接池--> <de
shiro学习——整合jwt时全局异常处理器无法处理JWTFilter中抛出的异常
weixin_43344930的博客
08-09 4598
springboot+shiro+jwt全局异常处理器无法处理JWTFilter中抛出的异常一、shiro中会出现的异常1、 AuthencationException2、 AuthorizationException二、为什么无法被全局异常处理器处理三、解决方案1、把统一返回的信息写入response中2、使用重定向到处理该错误的controller中 一、shiro中会出现的异常 1、 AuthencationException AuthenticationException 异常是Shiro在登录认
JWTapp/小程序中使用
JUN_LLLL的博客
05-06 701
一、使用流程 1、pom文件引入 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> 2、注解声明 一个用于验证t...
jwt
遥是此间桃花庵
10-10 388
文章目录1.JWT是什么2.为什么使用JWT3.JWT的工作原理4. JWT组成5.jwt实现验证: 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2.为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3.JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName...
@WebFilter(filterName="AuthorityCheckFilter",urlPatterns="/*")
07-28
您好!对于您提供的@WebFilter注解,它是用于在Java Web应用程序中实现过滤器的注解。该注解用于指定过滤器的名称和要过滤的URL模式。 在这个例子中,@WebFilterfilterName属性设置为"AuthorityCheckFilter",表示过滤器的名称为"AuthorityCheckFilter"。urlPatterns属性设置为"/*",表示该过滤器将应用于应用程序中的所有URL。 过滤器是一种可以在请求到达Servlet之前或响应离开Servlet之前对请求和响应进行预处理和后处理的组件。在这种情况下,"AuthorityCheckFilter"过滤器将在每个请求到达Servlet之前执行,并根据某些规则或逻辑检查请求的权限。 请注意,以上回答仅基于提供的代码片段,并且可能无法涵盖完整的实现细节。如果您有任何其他问题,请随时提问!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值