后端——》JWT结合swagger进行接口安全认证

最新推荐文章于 2024-03-28 17:14:04 发布
最新推荐文章于 2024-03-28 17:14:04 发布
阅读量1.2k 收藏 3
点赞数 2
分类专栏: 后端 文章标签: JWT安全校验 token生成 swagger注解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nienianzhi1744/article/details/102622722
版权

JWT(json web token)。

1,jwt(全称json web token)。主要是用来生成token的,token是一串加密过的字符串。

      流程是这样的

  • 用户使用用户名密码请求服务器
  • 服务器进行验证用户信息,并生成一个token存在数据库中
  • 服务器通过验证并把token发送给用户
  • 客户端存储token,一般存在local Storage。并在每次请求时附加这个token值,可以以参数形式加在ajax的请求头或者请求体中
  • 服务器验证token,token验证与数据库中存的token比较,验证通过,则做业务逻辑处理并返回数据

      好处是这样的

  • 支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输
  • 更适用于移动应用: 如果客户端是一个iOS, Android时,Cookie是不被支持的,这时采用Token认证机制就会简单得多。
  • 上手简单贼简单的那种。下面细说。
  • 你猜

 2,实现步骤(看了下别的博客的介绍,把简单的步骤搞的很复杂,所以自己重新捋了一遍)

  1. pom文件中添加依赖 
    <!-- 添加依赖JwtPermission -->
<dependency>
   <groupId>com.github.whvcse.JwtPermission</groupId>
   <artifactId>jwtp-spring-boot-starter</artifactId>
   <version>2.0.2</version>
</dependency>

     

  2. 添加相应的实体、数据库建对应的表。各个表的关联关系应该从表名的字面意思上就可以了解,实在不了解的话可以看下面的建表语句中有字段备注介绍(前五张sys相关的表需要创建相应的实体,token相关的表只需要建表就好了不需要创建实体)
1,系统用户表:sys_user
2,系统角色表:sys_role
3,系统权限表:sys_authorities
4,用户角色关联表:sys_user_role
5,角色权限关联表:sys_role_authorities
6,根据jar包中的代码建oauth_token表和oauth_token_key表。

https://download.csdn.net/download/nienianzhi1744/11878539(具体见建表sql和表关系说明都在这个链接里)

  3.  登录的时候校验用户名和密码,通过后创建token存到数据库并返回给客户端。

     

 

// 几个公司私有的接口(userJpaService,userRoleService,authoritiesService)没有导入,这几个接口主要写的是根据id查询实体的方法
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiImplicitParam;
import io.swagger.annotations.ApiImplicitParams;
import io.swagger.annotations.ApiOperation;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import org.wf.jwtp.provider.Token;
import org.wf.jwtp.provider.TokenStore;

@Api(value = "其他配置——用户登录相关接口", tags = "main")//swagger注解,可以不加
@Controller
public class MainController extends BaseController {
    @Autowired
    private UserJpaService userJpaService;

    @Autowired
    private UserRoleJpaService userRoleService;

    @Autowired
    private AuthoritiesJpaService authoritiesService;
    
    @Autowired
    private TokenStore tokenStore;

    @ResponseBody
    @ApiOperation(value = "用户登录")//ApiOperation和ApiImplicitParams是swgger注解,便于接口API交互,可以不加
    @ApiImplicitParams({
            @ApiImplicitParam(name = "username", value = "账号", required = true, dataType = "String", paramType = "form"),
            @ApiImplicitParam(name = "password", value = "密码", required = true, dataType = "String", paramType = "form")
    })
    @PostMapping("${api.version}/login")
    @Log(describe = "用户登录",operationType= OperationType.LOGON)//此处为自定义注解,用于记录用户操作,可以不加
    public Map login(String username, String password) {
        Map returnMap=new HashMap<>();
        /*根据用户名获取实体*/
        User user = userJpaService.getByUsername(username);
        /*若数据库中无该用户的数据*/
        if(user==null){
            returnMap.put("fail","登录失败");
        }
        /*若密码对不上,数据库中的密码应该是加密的,此处仅为演示不做加密处理*/
        else if(!password.equals(user.getPassword())){
            returnMap.put("fail","密码输入有误");
        }else{
            /*根据用户id获取角色的id集合*/
            String[] roles = arrayToString(userRoleService.getRoleIds(user.getUserId()));
            /*根据用户id获取权限id集合*/
            String[] permissions = listToArray(authoritiesService.listByUserId(user.getUserId()));
            /*调用TokenStore的createNewToken创建token*/
            Token token = tokenStore.createNewToken(String.valueOf(user.getUserId()), permissions, roles);
            returnMap.put("success","登录成功");
            returnMap.put("access_token",token.getAccessToken());
        }
        return returnMap;
    }

    private String[] listToArray(List<String> list) {
        String[] strs = new String[list.size()];
        for (int i = 0; i < list.size(); i++) {
            strs[i] = list.get(i);
        }
        return strs;
    }

    private String[] arrayToString(Object[] objs) {
        String[] strs = new String[objs.length];
        for (int i = 0; i < objs.length; i++) {
            strs[i] = String.valueOf(objs[i]);
        }
        return strs;
    }

}

 

   客户端接收到返回的map中的token后通过

localStorage.setItem("key","value")将map中的token值存到localstorage。

  4,最后一步,这一步就简单了。

     登录后在后续的ajax的业务请求中,把localstorage中的token值带上,在后台与数据库中的值校验。这个方法就比较多啦。

     先说下策(不建议使用),直接将token以参数形式放到后台,后台接收并校验。

     再说上策(建议使用):

前端:重新封装ajax请求。将token的值放到请求头中。这样每次使用ajax的时候就不用添加token了,直接调用这个封装好的ajax直接使用。

var token=localStorage.getItem("key")
$.ajax({
             type: "post",
             url:"xxx",
             contentType: "application/json;charset=utf-8",
             data :JSON.stringify({"tbId": 1}),
             dataType: "json",
             beforeSend: function (XMLHttpRequest) {
         		XMLHttpRequest.setRequestHeader("Authorization", "Bearer "+token);
             },
             success: function (data) {
            	 alert(data);
             },error:function(error){
                 console.log(error);
             }
)

后端:配置swagger注解,swagger的配置中将参数中的请求头作为必传项。在被请求的接口上面添加swaager注解,校验请求头中的token。

   1,添加pom依赖

   

<dependency>
      <groupId>io.springfox</groupId>
      <artifactId>springfox-swagger2</artifactId>
      <version>2.2.2</version>
    </dependency>
    <dependency>
      <groupId>io.springfox</groupId>
      <artifactId>springfox-swagger-ui</artifactId>
      <version>2.2.2</version>
    </dependency>

     2,swagger配置 

import springfox.documentation.schema.ModelRef;
import springfox.documentation.service.Parameter;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import springfox.documentation.builders.ApiInfoBuilder;
import springfox.documentation.builders.ParameterBuilder;
import springfox.documentation.builders.PathSelectors;
import springfox.documentation.builders.RequestHandlerSelectors;
import springfox.documentation.service.ApiInfo;
import springfox.documentation.spi.DocumentationType;
import springfox.documentation.spring.web.plugins.Docket;
import springfox.documentation.swagger2.annotations.EnableSwagger2;

import java.util.ArrayList;
import java.util.List;


@Configuration
@EnableSwagger2
public class SwaggerConfig {
    @Bean
    public Docket createRestApi() {
        return new Docket(DocumentationType.SWAGGER_2)
                .apiInfo(apiInfo())
                .select()
                .apis(RequestHandlerSelectors.basePackage("com.xxx.xxx.controller"))
                .paths(PathSelectors.any())
                .build()
                .globalOperationParameters(headerInfo());//************把消息头添加;
    }

    private ApiInfo apiInfo() {
        return new ApiInfoBuilder()
                .title("API文档")
                .description("后台管理系统")
                .termsOfServiceUrl("")
                .version("1.0")
                .build();
    }

    private  List<Parameter> headerInfo(){
        ParameterBuilder ticketPar = new ParameterBuilder();
        List<Parameter> pars = new ArrayList<Parameter>();
        ticketPar.name("Authorization").description("access_token")//name表示名称,description表示描述
                .modelRef(new ModelRef("string")).parameterType("header")
                .required(true).defaultValue("Bearer ").build();//required表示是否必填,defaultvalue表示默认值
        pars.add(ticketPar.build());//添加完此处一定要把下边的带***的也加上否则不生效
        return pars;
    }
}

    3,在接口上添加swagger注解,如图

   

  这样,添加了swagger注解的接口在请求的时候就会自动校验请求中请求头中的 token。

Mr_xujiee
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JwtPermission:基于token验证的Java Web权限控制框架,使用jjwt,支持redis和db多种存储方式,可用于前后端分离项目,功能完善、使用简单、易于扩展
05-10
JwtPermission 更新日志 2020-01-14 (v3.1.1) 使用RedisTokenStore不需要jdbc相关的包及配置 增加支持统一身份认证(单点登录)功能 对于排除拦截的接口也提供获取当前用户信息的方法 2019-12-16 (v3.0.0) 增加refresh_token机制 增加@Ignore注解(用于忽略验证) 增加url自动匹配权限机制(自带RESTful模式模式和简化模式) 增加自定义查询权限和角色的sql配置 1、简介 基于token验证的Java Web权限控制框架,使用jjwt,支持redis和db多种存储方式,可用于前后端分离项目,功能完善、使用简单、易于扩展。   2、使用 2.1、SpringBoot集成 2.1.1、导入 <dependency> <groupId>com.github.whvcse</groupId> <artifa
如何使用终端命令去调用测试Spring Boot2 Cloud OAuth2 JWT授权服务器接口生成Token
zhengzizhi的专栏
09-03 1336
范例项目目录结构图如下: AuthorizationServerApplication.java package com.contoso; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; @Sp...
Swagger添加JWT验证(ASP.NET)
最新发布
m0_46319477的博客
03-28 394
1)客户端向授权服务系统发起请求,申请获取“令牌”。2)授权服务根据用户身份,生成一张专属“令牌”,并将该“令牌”以JWT规范返回给客户端3)客户端将获取到的“令牌”放到http请求的headers中后,向主服务系统发起请求。主服务系统收到请求后会从headers中获取“令牌”,并从“令牌”中解析出该用户的身份权限,然后做出相应的处理(同意或拒绝返回资源)
SpringBoot集成JWT实现Token登录验证
热门推荐
Young_深情不及里子的博客
11-25 1万+
JSON Web令牌(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑而独立的方式在各方之间安全地传输信息为JSON对象。学习总结一下SpringBoot整合JWT的登录token验证,简单易理解哦~
13-1、微服务统一认证 Spring Cloud OAuth2 + JWT--》oauth开放授权协议
JoyceYoung的博客
01-08 412
一、oauth介绍 (一)基本介绍 比如,登录拉勾网的时候,不在拉勾网注册账户,而是使用qq账户登录。 使⽤OAuth2解决问题的本质是,引⼊了⼀个认证授权层,认证授权层连接了资源的拥有者,在授权层⾥⾯,资源的拥有者可以给第三⽅应⽤授权去访问我们的某些受保护资源 (二)实现思路 二、搭建认证服务器(Authorization Server) 新建项⽬lagou-cloud-oauth-server-9999 (1)pom <dependencies> <!--导入Eu
Spring Security Oauth2 JWT
m0_73282829的博客
03-11 224
小白型复制粘贴用Spring Security Oauth2 JWT登录认证模块样板
SpringSecurity OAuth2中关于TokenStore实现类JwtTokenStore的详解
向心行者
01-17 6343
1、前言   在《SpringSecurity OAuth2中真正创建Token的实现类DefaultTokenServices、TokenStoreToken存储管理)的详解》中,我们分析了在OAuth2中,Token是如何创建的,同时也了解了TokenStore是如何管理Token的,并详细分析了InMemoryTokenStore 实现类的逻辑,而JdbcTokenStore 和 RedisTokenStore 实现思路是类似的,但是JwtTokenStore 的实现类就和InMemoryToken
Golang Gin框架搭建项目(五)jwt登录和权限验证
qq_26900081的博客
06-28 4462
1、AuthUtil.go : 用于生成和解析token 2、jwt相关配置:额外加上以下内容Golang Gin框架搭建项目(二)解析json配置文件_Bear Coding的博客-CSDN博客_gin解析json 3、登录接口:不包含业务逻辑,只验证jwt功能.........
.NET 6 WebApi Swagger 配置 JWT token+Authorize认证
qq_61325957的博客
05-03 3296
所以读者姥爷如果只是单纯返回token的时候,记得在控制器右上角的Authorize里 先写Bearer+空格+你的token。然后 我们还要启用验证,还是在program.cs下,注意顺序,不能乱,一定要先认证、再授权 ,否则会验证失败。我这里下载的是6.0版本的 下载自信版提示报错和自己的版本不搭配,大家看自己core的版本而定吧。在这里稍稍提醒一下各位读者,在token接口里,我返回token串是写的。好了,今天的分享到这里,希望能够帮助到你,我们下期见。然后再去点击刚才的控制器。
java jwt token reids_GitHub - whvcse/JwtPermission: 基于token验证的Java Web权限控制框架,使用jjwt,支持redis和db多种存储方式...
weixin_42552315的博客
02-24 518
JwtPermission更新日志2020-01-14 (v3.1.1)使用RedisTokenStore不需要jdbc相关的包及配置增加支持统一身份认证(单点登录)功能对于排除拦截的接口也提供获取当前用户信息的方法2019-12-16 (v3.0.0)增加refresh_token机制增加@Ignore注解(用于忽略验证)增加url自动匹配权限机制(自带RESTful模式模式和简化模式)增加自定...
Swagger 线上文档授权的几种方式
weixin_38045727的博客
06-07 3350
Swagger方便开发和联调,同时也会存在接口安全问题。所以在生产环境是禁止开放Swagger的,或者更严格一点,SIT、UAT都必须授权访问,Swagger安全方式通常有几种:在Swagger接口中添加认证授权机制,例如JWT令牌和OAuth2.0认证。使用Spring Security框架进行安全管理,针对Swagger接口添加相应的权限配置和拦截器。进行IP访问控制,只允许特定的IP地址访问Swagger接口。对Swagger接口进行加密,例如使用SSL证书或TLS协议进行数据加密传输。
php 后端实现JWT认证方法示例
10-18
主要介绍了php 后端实现JWT认证方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
php 后端实现JWT认证方法
04-20
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 这个是php版本的,web端也可以参考使用。 我博客里还有文章,是解释的。
asp.net core api+jwt+swagger CRM管理系统 后台接口
11-29
asp.net core api+jwt+swagger CRM管理系统 后台接口
swagger上传文件并支持jwt认证的实现方法
01-03
Swagger的目标是为REST APIs 定义一个标准的,与语言无关的接口,使人和计算机在看不到源码或者看不到文档或者不能通过网络流量检测的情况下能发现和理解各种服务的功能。当服务通过Swagger定义,消费者就能与远程的...
Springboot整合JWT,Swagger.zip
07-12
Springboot整合JWT,Swagger.完整代码,下载解压可运行
token发布与验证(服务端)
sayhitoloverOvO的博客
10-14 362
将所有的认证和授权配进行整合 package com.jt.resource.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.oauth2.provider.token.TokenStore; import org.springframew
springSecurity+jwt实现分布式鉴权和认证
qq_37824570的博客
03-09 3192
springSecurity+jwt实现分布式鉴权和认证
Spring Security + JWT + Swagger2 登录验证
Java技术攻略的博客
03-14 1371
还是对 Security 不太熟悉,Swagger2 的配置比较固定JWT Token Utile 工具类,主要用于管理 JWT 令牌。JWT Token Filter JWT 拦截器,这个就是 Security 和 JWT 的集成了,以及请求发来的时候解析 JWT 从而完成免登录这一操作。
jwt放行swagger
08-17
要在Spring Boot项目中使用JWT并且放行Swagger,你需要进行以下步骤: 1. 首先,你需要在pom.xml文件中添加SwaggerJWT的依赖项。根据你的需求,添加下面两个依赖项之一: - 引用中的依赖项: ``` <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>2.9.2</version> </dependency> <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger-ui</artifactId> <version>2.9.2</version> </dependency> ``` - 或者引用中的依赖项: ``` <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>2.2.2</version> </dependency> <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger-ui</artifactId> <version>2.2.2</version> </dependency> ``` - 同时,还需要添加JWT的依赖项,你可以根据你的需求选择合适的版本。 2. 接下来,在你的Spring Boot配置类中,配置Swagger的相关信息。你可以按照官方文档提供的说明进行配置。 3. 在JWT的配置类中,你需要添加一个拦截器或者过滤器来验证JWTtoken。确保只有有效的token才能访问受保护的资源,并放行Swagger相关的路径。 4. 最后,你需要在Spring Security的配置类中配置放行Swagger的路径。例如,你可以使用`antMatchers`方法来配置: ``` http .authorizeRequests() .antMatchers("/swagger-ui/**", "/v2/api-docs", "/swagger-resources/**", "/webjars/**") .permitAll() // 其他的配置项 ... ``` 这样,你就可以使用JWT进行身份验证,并且放行Swagger相关的路径,以便进行测试。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Springboot项目集成Shiro+JWT,同时集成swagger2](https://blog.csdn.net/weixin_43284510/article/details/89532526)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [后端——》JWT结合swagger进行接口安全认证](https://blog.csdn.net/nienianzhi1744/article/details/102622722)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值