SpringBoot集成Token

最新推荐文章于 2023-10-06 18:29:55 发布
最新推荐文章于 2023-10-06 18:29:55 发布
阅读量1.1k 收藏 8
点赞数
分类专栏: # springBoot 文章标签: spring boot redis java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengjinlong521/article/details/129519021
版权
文章介绍了如何在SpringBoot项目中使用jjwt插件来简单实现Token认证,避免了集成Redis的复杂性。JWT包含header,payload和signature三部分,用户登录后携带JWT进行后续请求,服务器验证JWT合法性。文章提供了创建、解析和检查Token过期的代码示例。
摘要由CSDN通过智能技术生成

简介

在项目开发中,Token 是常见且重要的一个功能,目前对于 Token 设计有很多成熟的方案;比如使用 Redis 存储管理 Token,不过这种方式需要而额外集成 Redis 服务,虽然 Redis 查询效率很高,但是对于普通项目来说,还是增加了开发难度;本章将介绍一个简单易用的 Token 插件:jjwt,该插件直接与 SpringBoot 集成即可,其原理是:在服务端加密生成一个三段式加密字符串,前端每次请求都要将该 Token 传递给服务端(建议放在 Header 中),后台通过解析该 Token 字符串,判断其是否合法,超时等

基本原理

从这个架构图中可以看出 JWT 主体分为 3 个部分:user,application server,authentication server;
非常常见的一个架构,首先用户需要 通过登录等手段向 authentication server 发送一个认证请求,authentication会返回给用户一个 JWT (这个JWT 的具体内容格式是啥后面会说,先理解成一个简单的字符串好了) 此后用户向application server发送的所有请求都要捎带上这个 JWT,然后application server 会验证这个 JWT 的合法性,验证通过则说明用户请求时来自合法守信的客户端

JWT 结构

这个 JWT 的格式,就是一个由三部分组成的字符串:header.payload.signatue;其中 header 主要包含了加密算法等信息;payload 则主要包含后端服务器放入的自定义信息,如:登录用户的信息;signature 就是使用算法生成的能够实现身份认证的字符串

实现步骤

1. 在项目的 pom.xml 配置文件中添加如下依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.7.0</version>
</dependency>

 2. 添加一个公共类 Token,提供生成 Token,校验等基本方法

/**
 * @ClassName Token
 * @Author Andy
 * @Date 2020/7/14 14:32
 * @Description 用于生成, 解析 token 的工具类
 **/
public class Token {
    // 密钥
    private static SecretKeySpec key = "";

    // 对密钥加密
    static {
        key = new SecretKeySpec(Constant.SECRET_KEY.getBytes(), SignatureAlgorithm.HS512.getJcaName());
    }

    // 生成 token
    public static String createToken(String subject, Map < String, Object > claims, Date expireDate) {
        JwtBuilder builder = Jwts.builder()
            .setClaims(claims) // payload 私有申明,存放一些个人信息,必须放在第一个
            .setIssuer(Constant.AUTHOR) // token 的签发人
            .setIssuedAt(new Date()) // token 的签发时间
            .setSubject(subject) // token 的所有人, 一般放用户的 id 之类的
            .setExpiration(expireDate) // 过期时间
            .signWith(SignatureAlgorithm.HS512, key); // token 的签名算法
        return builder.compact();
    }

    // 生成 token
    public static String createToken(String subject, Date expireDate) {
        return createToken(subject, new HashMap < > (), expireDate);
    }

    // 解析 token
    public static Claims parseToken(String token) {
        try {
            return Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();
        } catch (Exception e) {
            throw new CommonException(Exceptions.TOKEN_PARSE_ERROR);
        }
    }

    // 将 token 标记为过期
    public static void markTokenExpired(String token) {
        Date expireDate = CommonUtil.currentTimeAddSeconds(1);
        Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody().setExpiration(expireDate);
    }

    // 判断 token 是否过期
    public static boolean checkTokenExpired(String token) {
        Claims claims = parseToken(token);
        return !CommonUtil.checkExpired(claims.getExpiration());
    }

    // 获取 token 的 subject 信息, 登录成功保存的时用户的主键
    public static String getSubject(HttpServletRequest request) {
        return parseToken(getToken(request)).getSubject();
    }
   
    // 根据 token 获取 subject 信息
    public static String getSubject(String token) {
        return parseToken(token).getSubject();
    }

    // 根据 HttpServletRequest 获取 token
    public static String getToken(HttpServletRequest request) {
        return request.getHeader(Constant.HEADER_TOKEN);
    }

    // 获取 token 的签发人
    public static String getIssuer(String token) {
        return parseToken(token).getIssuer();
    }
}

这里使用到其它关联类的方法或属性如下

Constant.class

// token 签发者
public static final String AUTHOR = "duzimei";
// 获取 header 中 token 标识
public static final String HEADER_TOKEN = "token";
// token 密钥加密字符串(取自 《肖申克的救赎》经典台词)
public static final String SECRET_KEY = "Fear can hold you prisoner.Hope can set you free";
// 设置 token 的过期时间为 1 个小时(单位秒)
public static final Integer EXPIRE_DATE = 3600;

CommonUtil.class

// 在当前时间基础上加 seconds 秒
public static Date currentTimeAddSeconds(int seconds) {
    Calendar now = Calendar.getInstance();
    now.add(Calendar.SECOND, seconds);
    return now.getTime();
}

// 判断于当前日期是否过期
public static boolean checkExpired(Date expiration) {
    return expiration.after(new Date());
}

异常定义请忽略,根据自己项目而实现

3. 定义一个 UserController.class,添加登录方法,当用户登录成功后,返回一个 Token

@RestController
@RequestMapping("/user")
public class User {    
    @Autowired
    private UserService userService;

    @PostMapping("/login")
    public Map<Integer, String> login(@RequestBody JSONObject params) {
        Map<Integer, String> result = new HashMap<>();
        String userAccount = params.getString("account");
        String password = params.getString("password");
        User tempUser = userService.getUserByAccount(userAccount);
        if(null == tempUser) {
            result.put(-1, "用户不存在");
        } else if(!password.equals(tempUser.getPassword())) {
            result.put("-2", "密码不正确");
        } else {
            // 用户登录成功, 添加 token 返回给客户端
            // 1. 设置 token 过期时间
            Date expireDate = CommonUtil.currentTimeAddSeconds(Contant.EXPIRE_DATE);
            // 2. 这里我们把用户的 id 信息放到 subject 中
            String token = Token.createToken(tempUser.getUserId(), expireDate); 
            result.put(0, token);
        }
        return result;
    }
}

4. 前端当用户登录成功后,向后台发送其它请求的时候,将 Token 放到 Header 中一起传送给后台

$.ajax({
    headers: {
        "token": 从后台获取到的token
    },
    url: "http://xxx:8080/user/info",
    method: "GET",
    data: null,
    dataType: "json",
    contentType: "application/json",
    success: function(data) {
        console.log(data);
    },
    error: function(x, s, e) {
        console.log("异常信息: " + x.responseText);
    }
})

5.解析Token

在后台对应方法中,就可以通过解析 Token 获取用户 id,判断请求是否合法;像下面这种请求,前端根本不用传递用户的 id 到后台,后台通过解析 Token,获取 Token 的 subject 属性就能拿到用户 id,在一定程度上提高了安全性

@RestController
@RequestMapping("/user")
public class UserController {
    @Autowired
    private UserService userService;

    @GetMapping("/info")
    public Map<Integer, Object> getUserInfo(HttpServletRequest request) {
        Map<Integer, Object> result = new HashMap<>();
        String token = Token.getToken(request);
        // 对 token 进行校验
        if(StringUtils.isEmpty(token)) { // 如果没有获取到 Token
            result.put(-1, "没有获取到 Token, 请求被阻止"); 
        } else if(!Constant.AUTHOR.equals(Token.getIssuer(token))) { // 如果 Token 的签发人不正确
            result.put(-2, "非法的 Token, 请求被阻止");
        } else if(Token.checkTokenExpired(token)) { // 如果 Token 已过期
            result.put(-3, "过期的 Token, 请求被阻止");
        } else {
            String userId = Token.getSubject(token);
            User user = userService.getUserById(userId);
            result.put(0, user);
        }
        return result;
    }
}

这里只是介绍的关于 JWT 实现 Token 的简单用法,在实际开发过程中,建议使用 Spring 的 AOP 技术实现对 Token 的校验;我们这里只是实现了一个最简单的 Token,这 Token 中还可以放入其它信息,由于是单向加密的,所以数据传输非常安全;更进一步的实现,应根据实际开发具体实现

爱JAVA的少年闰土
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot整合jwt实现token,简明笔记
学习,是熵减的最有效途径。
06-21 2564
一篇搞定springboot整合jwt实现token
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 7768
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证。
SpringBoot项目引入token设置
陈厚伯的博客
11-27 4303
一. 先了解熟悉JWT(JSON Web Token) 看这些介绍、结构之类的,确实挺无聊的;想直接进入主题的话,就跳过第一大步。望各位同仁给出相关意见,以备我来更加深入的学习。 1. JSON Web Token是什么鬼? 这个东西,反正理解成一个标准就行了,啥标准我也不知道。反正就是用于各种信息的安全性传输。 1. JSON Web令牌应用的场景 1.授权,在用户登录后会给用户一个token,在用户后续的所有请求后台资源的操作都将携带这个token,只有被token允许的操作才能执行。 2.信息交换,应
SpringBoot 集成jwt实现token授权与验证
03-02 2380
SpringBoot Token 授权 验证
Springboot实现登录功能(tokenredis、登录拦截器、全局异常处理)
最新发布
qq_64680177的博客
10-06 3695
1、前端调用登录接口,往接口里传入账号,密码2、根据账号判断是否有这个用户,如果有则继续判断密码是否正确3、验证成功后,则是根据账号,登录时间生成token(用JWT)4、将token存入Redis当中,用于token过期策略5、将token和用户信息返回给前端6、此后调用后端任何接口都会先判断发来请求里token是否存在、有效(拦截器实现)7、然后继续接下来的正常调用。
SpringBoot框架集成token实现登录校验功能
08-25
SpringBoot框架集成token实现登录校验功能 SpringsBoot框架集成token实现登录校验功能是指在SpringBoot框架中使用token来实现登录校验功能的方法,这种方法可以在移动端和服务器端之间实现安全的身份验证。下面将...
SpringBoot集成JWT生成token及校验方法过程解析
08-19
SpringBoot集成JWT生成token及校验方法过程解析 本文主要介绍了SpringBoot集成JWT生成token及校验方法的过程解析,通过示例代码详细介绍了JWT token的生成和校验过程,为读者提供了详细的Reference和学习价值。 一...
SpringBoot集成Redis
02-26
SpringBoot集成Redis是一个常见的开发需求,它使得应用可以利用Redis的高性能、内存存储特性进行数据缓存和快速访问。在本项目中,我们将探讨如何在SpringBoot应用中配置和使用Redis,以及如何利用Redis实现登录缓存...
SpringBoottoken短信验证登入登出权限操作(token存放redis,ali短信接口)
08-25
首先,我们需要集成Redis来存储Token,因为Redis是一个高性能的键值数据库,特别适合用于存储临时性的数据,如用户登录后的Session信息。引入`spring-boot-starter-data-redis`依赖,确保SpringBoot能够与Redis通信...
springboot-token代码版eclipse
07-10
在"springboot-token"这个项目中,我们很显然关注的是如何在SpringBoot应用中实现Token验证,这通常涉及到安全控制和身份认证。Token是网络应用中常用的一种安全机制,用于在客户端和服务端之间维持会话状态,防止...
SpringBoot基于token的请求验证
一路向北的博客
09-09 4610
SpringBoot实现基于Token的请求验证
token的使用
qq_59125846的博客
05-18 221
【代码】token的使用。
9springboot整合token
Insist___的博客
02-05 471
文章目录1token验证的流程2 Token的优点3token的快速入门3.1引入依赖3.2token的创建和解析3.3 自定义claims4 token的工具类:JwtUtils5使用5.1 引入依赖5.2 引入JwtUtils5.3在yml文件注入配置5.4 在启动类中注入JwtUtils5.5登录5.6 从token中获取用户信息6 代码已上传: 1token验证的流程 使用基于 Token...
搭建springboot后端框架(五)自定义全局拦截器+自定义token机制
AVATAR
08-31 1401
项目搭建工具及版本: eclipse / jdk1.8 / springboot2.5.0 实现功能: 未集成shiro。自定义拦截器实现对项目所有请求url的拦截与过滤,结合自定义token机制,用redis控制token的失效时间。同时配置文件里面增加token启停的开关,可以用来控制是否启停token的功能。 token的传输规则为:前端请求头中增加x_access_token的key设值然后传送到后端,后端对每个请求都进行拦截校验这个token,具体的规则可以自定义。 1.app.
sprintboot微服务请求中token的传递
zfyymmd的博客
11-16 1002
在访问FeignClient的controller中加入@RequestHeader将请求头中的token取出来作为参数传入FeignClient中在FeignClient中使用@RequestHeader将token参数放入到请求头中。
SpringBoot 整合 JWT 实现 Token 验证
qq_37634156的博客
06-20 2800
业务实现 1、创建Jwt生成验证token工具类 2、创建/oauth/token接口获取token 这里是我的生产环境上的获取token接口,主要功能就是根据传递过来的参数使用Jwt工具类创建token,再组合成规定的返回格式返回给对方。 基于HandlerInterceptor的实现类,对接口进行拦截,然后获取接口传递过来的token,用Jwt工具类进行解密,如果token验证通过则返回true并放行接口,验证不通过则返回错误信息。 5、测试获取token接口 至此功能实现
【保姆级教程】Spring Boot单元测试(Controller层的Header处有Token验证的详细示例代码),文末介绍Postman 的基本使用
热门推荐
小名同学
01-10 6万+
文章目录一、 单元测试的概念二、单元测试的作用三、Spring Boot引入的MockMvc的概念四、Service层的单元测试五、Controller层的单元测试六、断言的概念七、新断言assertThat使用八、Postman与Spring Boot 单元测试的区别九、Postman基本用法 一、 单元测试的概念 概念: 单元测试(unit testing),是指对软件中的最小可测试单元进行检查和验证。在Java中单元测试的最小单元是类。 单元测试是开发者编写的一小段代码,用于检验被测代码的一个很小的
定时器
一个跑不快胖子的博客
12-27 216
微信公众号开发中,用到quartz定时器定时保存access_token,这里记录一下过程: 1、在pom.xml中引入依赖: &lt;!-- quartz --&gt; &lt;dependency&gt; &lt;groupId&gt;org.quartz-scheduler&lt;/groupId&gt; &lt;artifactId&gt;quartz&lt;/ar...
ASP.NET Web API实现微信公众平台开发(二)access_token与定时任务
weixin_33711641的博客
09-29 209
承接上一篇,今天主要讲述如何实现定时获取微信access_token功能的实现。   access_token   首先我们根据微信的开发指南,任何对微信的操作都要使用合法获取的access_token,微信获取access_token限制每日次数,且每次token有效时间为7200秒。 获取token的API:   //http请求方式: GET https://api.we...
SpringBoot 集成token java代码
03-24
以下是一个简单的 SpringBoot 集成 tokenJava 代码示例: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtAuthenticationEntryPoint unauthorizedHandler; @Bean public JwtAuthenticationFilter authenticationTokenFilterBean() throws Exception { return new JwtAuthenticationFilter(); } @Override public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception { authenticationManagerBuilder .userDetailsService(userDetailsService) .passwordEncoder(passwordEncoder()); } @Bean(BeanIds.AUTHENTICATION_MANAGER) @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http .cors() .and() .csrf() .disable() .exceptionHandling() .authenticationEntryPoint(unauthorizedHandler) .and() .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .authorizeRequests() .antMatchers("/api/auth/**") .permitAll() .anyRequest() .authenticated(); // 添加 JWT filter http.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class); } } ``` 这段代码使用了 Spring Security 和 JWT 实现了 token 认证。其中,`JwtAuthenticationFilter` 是一个自定义的过滤器,用于解析和验证 JWT token。在 `configure` 方法中,我们配置了哪些请求需要认证,哪些请求不需要认证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值