JWT的token在javaweb项目中的应用(二)

最新推荐文章于 2024-08-23 15:05:57 发布
最新推荐文章于 2024-08-23 15:05:57 发布
阅读量295 收藏 1
点赞数 1
分类专栏: JAVA 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ninja_/article/details/110121996
版权

一、引入jwt依赖


        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>

二、登陆拦截器

package org.jeecg.modules.shiro.authc.aop;

import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import org.jeecg.common.constant.CommonConstant;
import org.jeecg.config.mybatis.TenantContext;
import org.jeecg.modules.shiro.authc.JwtToken;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


@Slf4j
public class JwtFilter extends BasicHttpAuthenticationFilter {

    private boolean allowOrigin = true;

    public JwtFilter() {
    }

    public JwtFilter(boolean allowOrigin) {
        this.allowOrigin = allowOrigin;
    }

    /**
     * 执行登录认证
     *
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        try {
            executeLogin(request, response);
            return true;
        } catch (Exception e) {
            throw new AuthenticationException("Token失效,请重新登录", e);
        }
    }

    /**
     *
     */
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String token = httpServletRequest.getHeader(CommonConstant.X_ACCESS_TOKEN);

        JwtToken jwtToken = new JwtToken(token);
        // 提交给realm进行登入,如果错误他会抛出异常并被捕获
        getSubject(request, response).login(jwtToken);
        // 如果没有抛出异常则代表登入成功,返回true
        return true;
    }

    /**
     * 对跨域提供支持
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        if (allowOrigin) {
            httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
            httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
            httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
            //update-begin-author:scott date:20200907 for:issues/I1TAAP 前后端分离,shiro过滤器配置引起的跨域问题
            // 是否允许发送Cookie,默认Cookie不包括在CORS请求之中。设为true时,表示服务器允许Cookie包含在请求中。
            httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
            //update-end-author:scott date:20200907 for:issues/I1TAAP 前后端分离,shiro过滤器配置引起的跨域问题
        }
        // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        String tenantId = httpServletRequest.getHeader(CommonConstant.TENANT_ID);
        TenantContext.setTenant(tenantId);
        return super.preHandle(request, response);
    }
}

三、jwt工具类

package org.jeecg.common.system.util;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.google.common.base.Joiner;

import java.util.Date;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

import org.apache.shiro.SecurityUtils;
import org.jeecg.common.constant.DataBaseConstant;
import org.jeecg.common.exception.JeecgBootException;
import org.jeecg.common.system.vo.LoginUser;
import org.jeecg.common.system.vo.SysUserCacheInfo;
import org.jeecg.common.util.SpringContextUtils;
import org.jeecg.common.util.oConvertUtils;


public class JwtUtil {

	// Token过期时间30分钟(用户登录过期时间是此时间的两倍,以token在reids缓存时间为准)
	public static final long EXPIRE_TIME = 30 * 60 * 1000;

	/**
	 * 校验token是否正确
	 *
	 * @param token  密钥
	 * @param secret 用户的密码
	 * @return 是否正确
	 */
	public static boolean verify(String token, String username, String secret) {
		try {
			// 根据密码生成JWT效验器
			Algorithm algorithm = Algorithm.HMAC256(secret);
			JWTVerifier verifier = JWT.require(algorithm).withClaim("username", username).build();
			// 效验TOKEN
			DecodedJWT jwt = verifier.verify(token);
			return true;
		} catch (Exception exception) {
			return false;
		}
	}

	/**
	 * 获得token中的信息无需secret解密也能获得
	 *
	 * @return token中包含的用户名
	 */
	public static String getUsername(String token) {
		try {
			DecodedJWT jwt = JWT.decode(token);
			return jwt.getClaim("username").asString();
		} catch (JWTDecodeException e) {
			return null;
		}
	}

	/**
	 * 生成签名,5min后过期
	 *
	 * @param username 用户名
	 * @param secret   用户的密码
	 * @return 加密的token
	 */
	public static String sign(String username, String secret) {
		Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
		Algorithm algorithm = Algorithm.HMAC256(secret);
		// 附带username信息
		return JWT.create().withClaim("username", username).withExpiresAt(date).sign(algorithm);
		

	}

	/**
	 * 根据request中的token获取用户账号
	 * 
	 * @param request
	 * @return
	 * @throws JeecgBootException
	 */
	public static String getUserNameByToken(HttpServletRequest request) throws JeecgBootException {
		String accessToken = request.getHeader("X-Access-Token");
		String username = getUsername(accessToken);
		if (oConvertUtils.isEmpty(username)) {
			throw new JeecgBootException("未获取到用户");
		}
		return username;
	}
	
	/**
	  *  从session中获取变量
	 * @param key
	 * @return
	 */
	public static String getSessionData(String key) {
		//${myVar}%
		//得到${} 后面的值
		String moshi = "";
		if(key.indexOf("}")!=-1){
			 moshi = key.substring(key.indexOf("}")+1);
		}
		String returnValue = null;
		if (key.contains("#{")) {
			key = key.substring(2,key.indexOf("}"));
		}
		if (oConvertUtils.isNotEmpty(key)) {
			HttpSession session = SpringContextUtils.getHttpServletRequest().getSession();
			returnValue = (String) session.getAttribute(key);
		}
		//结果加上${} 后面的值
		if(returnValue!=null){returnValue = returnValue + moshi;}
		return returnValue;
	}
	
	/**
	  * 从当前用户中获取变量
	 * @param key
	 * @param user
	 * @return
	 */
	//TODO 急待改造 sckjkdsjsfjdk
	public static String getUserSystemData(String key,SysUserCacheInfo user) {
		if(user==null) {
			user = JeecgDataAutorUtils.loadUserInfo();
		}
		//#{sys_user_code}%
		
		// 获取登录用户信息
		LoginUser sysUser = (LoginUser) SecurityUtils.getSubject().getPrincipal();
		
		String moshi = "";
		if(key.indexOf("}")!=-1){
			 moshi = key.substring(key.indexOf("}")+1);
		}
		String returnValue = null;
		//针对特殊标示处理#{sysOrgCode},判断替换
		if (key.contains("#{")) {
			key = key.substring(2,key.indexOf("}"));
		} else {
			key = key;
		}
		//替换为系统登录用户帐号
		if (key.equals(DataBaseConstant.SYS_USER_CODE)|| key.equals(DataBaseConstant.SYS_USER_CODE_TABLE)) {
			if(user==null) {
				returnValue = sysUser.getUsername();
			}else {
				returnValue = user.getSysUserCode();
			}
		}
		//替换为系统登录用户真实名字
		else if (key.equals(DataBaseConstant.SYS_USER_NAME)|| key.equals(DataBaseConstant.SYS_USER_NAME_TABLE)) {
			if(user==null) {
				returnValue = sysUser.getRealname();
			}else {
				returnValue = user.getSysUserName();
			}
		}
		
		//替换为系统用户登录所使用的机构编码
		else if (key.equals(DataBaseConstant.SYS_ORG_CODE)|| key.equals(DataBaseConstant.SYS_ORG_CODE_TABLE)) {
			if(user==null) {
				returnValue = sysUser.getOrgCode();
			}else {
				returnValue = user.getSysOrgCode();
			}
		}
		//替换为系统用户所拥有的所有机构编码
		else if (key.equals(DataBaseConstant.SYS_MULTI_ORG_CODE)|| key.equals(DataBaseConstant.SYS_MULTI_ORG_CODE_TABLE)) {
			if(user.isOneDepart()) {
				returnValue = user.getSysMultiOrgCode().get(0);
			}else {
				returnValue = Joiner.on(",").join(user.getSysMultiOrgCode());
			}
		}
		//替换为当前系统时间(年月日)
		else if (key.equals(DataBaseConstant.SYS_DATE)|| key.equals(DataBaseConstant.SYS_DATE_TABLE)) {
			returnValue = user.getSysDate();
		}
		//替换为当前系统时间(年月日时分秒)
		else if (key.equals(DataBaseConstant.SYS_TIME)|| key.equals(DataBaseConstant.SYS_TIME_TABLE)) {
			returnValue = user.getSysTime();
		}
		//流程状态默认值(默认未发起)
		else if (key.equals(DataBaseConstant.BPM_STATUS)|| key.equals(DataBaseConstant.BPM_STATUS_TABLE)) {
			returnValue = "1";
		}
		if(returnValue!=null){returnValue = returnValue + moshi;}
		return returnValue;
	}
	
	public static void main(String[] args) {
		 String token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1NjUzMzY1MTMsInVzZXJuYW1lIjoiYWRtaW4ifQ.xjhud_tWCNYBOg_aRlMgOdlZoWFFKB_givNElHNw3X0";
		 System.out.println(JwtUtil.getUsername(token));
	}
}

 

ninja_
关注
专栏目录
JWT(json web token)认证实现【Playload 存储自定义对象】
iOS逆向与安全
12-09 1400
会将空转为字符串“null”生成jwt:sign(
JavaWeb+Vue3前后端分离项目使用JWT技术
zhangshuai66的博客
11-09 1079
1、首先导入JWT的jar包或是添加Maven依赖,这里我使用的是Maven2、在javaweb项目的utils创建JWTUtil3、何时生成token呢,当然是在登录成功时候后端生成token就结束了,接下来就是VUE3如何保存后端发来的token,并且vue向后端发送网络请求携带token
JWT工具类
qq_43104877的博客
04-24 230
JWT相关工具类 package org.jeecg.common.system.util; import com.auth0.jwt.JWT; import com.auth0.jwt.JWTVerifier; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.exceptions.JWTDecodeExceptio...
JWT(java web token) 使用整理合集
xiatiandexiangrikui的博客
11-26 1万+
1: JSON Web Token是什么 JWT——Json web token 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,可实现无状态、分布式的Web应用授权。 2:JWT结构 JWT包含了使用.分隔的三部分: Header 头部 Payload 负载 Signature 签名 其结构看起来是这样的Header.Payload.Signature Header ...
Hutool JWTUtil 简介
最新发布
李长渊的博客
08-23 680
Hutool JWTUtil 简介
JWT项目应用
qq_58055172的博客
08-17 403
JWT
获取头信息header参数access_token失败,获取header头信息带下划线参数失败
jjz98735的博客
09-01 1353
java、http请求获取头信息header参数access_token失败,获取header头信息带下划线参数失败
spring boot2整合shiro安全框架实现前后端分离的JWT token登录验证
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
04-08 1379
代码略多,粘贴一些关键的代码,完整demo当然必须放在GitHub上面啦,当然带SQL文件的,在项目里面 GitHub地址:https://github.com/zhang-xiaoxiang/shiro-jwt 说明:由于初衷是解决自己项目的bug的,就找的网上的一面博客瞎搞了一个demo.然后报的错网上难以找到解决办法,后来自己解决了,就记录一下,所以不算教程,我看评论大伙说的修改密码后之前的token仍然有效,可以使用redis处理,或者其他业务逻辑代码处理一下,这个仅仅是一个demo,当然很多培训机
前端Vue后端JavaWeb实现token简单登录校验
qq_45925974的博客
01-20 1552
工作室项目里面需要实现登录校验,因为打算做的app,现在没学安卓,暂时用的vue做了个H5版的,所以用的是token进行登录校验,没有使用传统的cookie session 时间:2021-1-20 一、技术要点 前端: 1.Axios及拦截器 2.vue路由 后端: 1.token的使用(用的是jwt) 2.servlet及过滤器 、流程 前端登录发送axios请求, 后端接收数据后核验,如果正确返回生成的token和用户的基本信息,否则返回401 前端接收token后存储在localstorag.
掌握JWT:Json Web Token基础与实践教程
通过以上知识点的详细说明,我们可以了解到Json Web TokenJava Web开发的基础应用,以及如何使用Maven和IntelliJ IDEA进行项目管理与开发。通过实际的源码示例,我们可以更好地理解JWT的生成和验证过程。这些...
Json Web Token 介绍与基本使用完整源码
02-16
Json Web TokenJWT)是一种轻量级的身份验证和授权机制,广泛应用于Web应用程序,特别是单页应用(SPA)和微服务架构JWT通过在客户端和服务器之间传递JSON编码的信息来实现用户认证,无需在服务器端存储会话...
Jeecg配置单点登录 登录验证完整代码
11-02
Jeecg配置单点登录 登录验证完整代码
【Shiro+SpringBoot】JWT+Shiro安全的解决用户授权认证地址过滤问题
芒果味的博客
12-05 713
JWT应用场景 关于JWT是什么,可理解为使用带签名的token来做用户和权限验证,现在流行的公共开放接口用的OAuth 2.0协议基本也是类似的套路。这里只是说下选择使用jwt不用session的原因。 首先,是要支持多端,一个api要支持H5, PC和APP三个前端,如果使用session的话对app不是很友好,而且session有跨域攻击的问题。 Shir...
Shiro + JWT + Spring Boot Restful 入门
Pastxu的小屋
04-29 1040
特性 完全使用了 Shiro 的注解配置,保持高度的灵活性。 放弃 Cookie ,Session ,使用JWT进行鉴权,完全实现无状态鉴权。 JWT 密钥支持过期时间。 对跨域提供支持。 准备工作 在开始本教程之前,请保证已经熟悉以下几点。 Spring Boot 基本语法,至少要懂得Controller、RestController、Autowired等这些基本注释。其实看看官方的 Getting-Start 教程就差不多了。 JWT...
【分享项目】给你看看我们公司的登录认证是怎么做的?!(SpringBoot+Shiro+Token+Redis)...
qq_18244417的博客
09-08 6681
背景交代以前项目权限认证没有使用安全框架,都是在自定义filter判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring sec...
springboot2 前后台分离,token放入header进行验证的坑
热门推荐
博客模板
05-17 1万+
springboot2 使用前后台分离,token放入header进行验证的配置 注意 registry.addInterceptor(new MyInterceptorConfig ()); 不能添加,否则headertoken有时无法获取到 @Configuration public class MyWebMvcConfigurer implements WebMvcConfigurer {...
关于postman传参TOKEN的位置,HttpServletRequest请求头设置,设置heaher
weixin_61503139的博客
11-28 1161
1.直接传值2.在请求头传值。
java restful token_java基于token验证之登陆验证(示例代码)
weixin_27038245的博客
03-06 676
转自博客https://blog.csdn.net/weixin_39102174/article/details/90411116以上博主讲的更清除些,此博客是为了自己加深记忆。对于前后端分离的项目来说session来判断是否登陆实现比较困难,token是比较好的方式。大概流程:1.用户登陆,若成功则后台生成一个token,并把此token返回给客户端浏览器2.客户端接收到token后,每次请...
登陆相关,拦截登陆,设置权限
sztdbk的博客
05-29 614
jwt 拦截器 用来拦截登陆,判断token是否生效 这里demo的token是在session拿到的token,登陆时将token存入了session当 @Slf4j public class JWTFilter extends AuthenticationFilter { /** * 判断用户是否想要登入。 * 检测 header 里面是否包含 Token */ protected boolean isLoginAttempt(HttpServle
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值