Jwt 如何在 springboot 项目中进行接口访问鉴权

已于 2023-12-21 10:35:04 修改
阅读量309 收藏
点赞数
分类专栏: Java 文章标签: spring boot java 后端 JWT
于 2023-12-20 17:43:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ppdouble/article/details/130775827
版权

文章目录

结合以下文章:
jwt.io 官网详细介绍

SpringBoot集成JWT实现Token登录验证

SpringBoot项目使用JWT+拦截器实现token验证

spring-boot + JWT实现TOKEN登录接口验证

SpringBoot集成JWT实现token验证

SpringBoot 开发 – JWT 认证教程

1 springboot 框架负责接口的拦截和放行

1.1 原理

使用 HandlerInterceptor (对于 springboot 框架不推荐使用 doFilter)

1.2 思路

白名单思路, 拦截所有接口目录/**, 放行需要的接口

@Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**");
}

1.3 坑: Springboot 访问了错误处理路径 /error

接口程序中有未处理的异常, 报了 Null Pointer Exception, Springboot 调用默认的错误处理接口 /error 企图调用错误处理程序, 第二次触发了 HandlerInterceptor, 由于/error不带 token, 所以被拒绝,最终报 token 校验不通过的错误信息.

这里的解决方法:

1 处理程序中所有异常, 在最外层捕捉不可预见的异常, 返回统一错误信息,服务内部错误
2 自定义 springboot 的 error path 为符合自己程序的路径, 并用 controller 定义处理程序. 当springbot框架本身或者依赖包出现不可预知的错误时,转到这里, 可以返回统一错误信息

其它方法也可以尝试使用 @ControllerAdvice 自定义异常处理类, 处理程序自身不可预知的错误

2 jwt token 负责携带数据和签名的生成及校验

官方库

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.19.4</version>
</dependency>

2.1 初始化

JWTCreator.Builder builder = JWT.create();

2.2 设置 Header

Map<String,Object> headerMap = new HashMap<>();
builder.withHeader(headerMap);

2.3 携带数据 payload

自定义数据

for (Map.Entry<String,String> entry:data.entrySet()) {
    builder.withClaim(entry.getKey(), entry.getValue());
}

设置过期时间

builder.withExpiresAt(expireDate);

Token 放在请求Header的Authorization字段里。Token 携带数据userId

Token 的格式:

header

{
  "kid": "XXXXXXXXXXXXXXXXXX0MDVmLWIyMjEtMjQ1MWU3NWYxXXXXX5",
  "typ": "JWT",
  "alg": "RS256"
}

payload

{
  "exp": 1684829637,
  "userId": "xxxxxxxxxxxx==",
  "iat": 1684829607
}

2.4 签名 sign 后, 生成 token

token = builder.sign(Algorithm.HMAC256(secretKey))

如果使用RSA非对称算法,可以从jwt库的源码看出使用私钥签名

token = builder.sign(Algorithm.RSA256(rsaPrivateKey))

java-jwt-4.0.0-sources.jar!/com/auth0/jwt/algorithm/RSAAlgorithm.java

    @Override
    public byte[] sign(byte[] headerBytes, byte[] payloadBytes) throws SignatureGenerationException {
        try {
            RSAPrivateKey privateKey = keyProvider.getPrivateKey();
            if (privateKey == null) {
                throw new IllegalStateException("The given Private Key is null.");
            }
            return crypto.createSignatureFor(getDescription(), privateKey, headerBytes, payloadBytes);
        } catch (NoSuchAlgorithmException | SignatureException | InvalidKeyException | IllegalStateException e) {
            throw new SignatureGenerationException(this, e);
        }
    }

2.5 校验

配置算法

JWTVerifier verifier = JWT.require(Algorithm.HMAC256(secretKey)).build();

如果使用RSA非对称算法,可以从jwt库的源码看出使用公钥校验

JWTVerifier verifier = JWT.require(Algorithm.RSA256(rsaPublicKey)).build();

java-jwt-4.0.0-sources.jar!/com/auth0/jwt/algorithm/RSAAlgorithm.java

    @Override
    public void verify(DecodedJWT jwt) throws SignatureVerificationException {
        try {
            byte[] signatureBytes = Base64.getUrlDecoder().decode(jwt.getSignature());
            RSAPublicKey publicKey = keyProvider.getPublicKeyById(jwt.getKeyId());
            if (publicKey == null) {
                throw new IllegalStateException("The given Public Key is null.");
            }
            boolean valid = crypto.verifySignatureFor(
                    getDescription(), publicKey, jwt.getHeader(), jwt.getPayload(), signatureBytes);
            if (!valid) {
                throw new SignatureVerificationException(this);
            }
        } catch (NoSuchAlgorithmException | SignatureException | InvalidKeyException
                | IllegalArgumentException | IllegalStateException e) {
            throw new SignatureVerificationException(this, e);
        }
    }

校验

DecodedJWT decodedJWT  = verifier.verify(token);

校验的方法是再生成一遍进行比较

2.6 获取信息

两种方法

  • 第一种方法: 在 HandlerInterceptor 里的 PreHandle 校验通过后, 立即解析 token, 拿到数据. 把解析结果放入 threadlocal 变量, 这样在整个请求的主线程里, 可以使用该变量, 并且该变量对其它线程不可见, 在请求结束的 afterCompletion() 方法里把 threadlocal 变量注销释放.
  • 第二种方法: 在需要获取信息的时候, 先获取该severlet请求的上下文 RequestContextHolder, 进而拿到请求Request中的 header, 进而拿到 token, 重新解析 token, 获取数据. 由于接口进来时, 已经通过校验, 可以不通过校验的方式获取解析后的token, 直接调用解析方法进行解析即可.

2.7 字段说明

nbf 可用于多机部署时, 服务器之间时间的微小差异

3 拦截器代码

Springboot 建议使用HandlerInterceptor进行拦截

定义 annotation, 对这个annotation 修饰的接口进行拦截


@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface AccessWithoutToken {
    boolean required() default true;
}


@Slf4j
public class AuthenticationInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        log.info("Request from {} to URI: {}, URL: {}", HttpClientUtil.getRemoteIp(request), request.getRequestURI(), request.getRequestURL().toString());
        // 如果不是映射到方法直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }

        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        log.info("Method {}, {}", method.getName(), method.getDeclaredAnnotations());
        if (method.isAnnotationPresent(AccessWithoutToken.class)) {
            AccessWithoutToken accessWithoutToken = method.getAnnotation(AccessWithoutToken.class);
            if (accessWithoutToken.required()) {
                return true;
            }
        }

        // Authorization: Bearer <token>
        String authorization = request.getHeader("Authorization");

        // TODO check token
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        if (!org.apache.commons.lang3.StringUtils.isBlank(authorization)) {

            String[] authorizationStr= StringUtils.split(authorization, SPACE);
            if (2 == authorizationStr.length) {
                String authType = authorizationStr[0];
                String token = authorizationStr[1];

                if (authType.equals("Bearer") && !org.apache.commons.lang3.StringUtils.isBlank(token)) {

                    DecodedJWT decodedJWT = JwtUtil.verifyToken(token);
                    if (null != decodedJWT) {
                        // TODO 校验通过获取信息
                        log.info("token: {}......, 校验通过, 签发时间{}, userId{}", token.substring(0, 32), decodedJWT.getIssuedAt().getTime(), decodedJWT.getClaim("userId"));
                        return true;
                    }
                } else {
                    log.error("Token 校验失败, auth prefix={}, token={}", authType, token);
                }
            } else {
                log.error("Token 校验失败, http header 中解析 Authorization 字段错误, authorization={}", authorization);
            }

        } else {
            log.error("Token 校验失败, http header 中没有 Authorization 字段, authorization={}", authorization);
        }
        try (PrintWriter writer = response.getWriter()) {
            writer.print(RestResponse.fail(RestCode.USER_VALIDATE_FAIL_JWT_TOKEN));
        } catch (Exception e) {
            log.error("登录 JWT Token 校验失败 未知错误 error=", e);
        }

        return false;
    }
}

扩展阅读

OWASP Top Ten 2021 : Related Cheat Sheets

okta What-is-the-lifetime-of-the-JWT-tokens

其它

关于springboot 默认 error path

customize springboot default error path
ErrorMvcAutoConfiguration.java
get-started-with-custom-error-handling-in-spring-boot-java/
spring-boot-custom-error-page
how-to-fix-spring-boot-customize-http-error-response-in-java
howto.actuator.customize-whitelabel-error-page
boot-features-error-handling

ppdouble
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot接口鉴权简单方式
qq_29998003的博客
12-28 8185
Springboot接口鉴权简单方式 今天遇到需要给springboot单独的模块需要做接口鉴权的机制,因为我们是多模块开发的项目。为了接口安全,实现方式为: 对称加密 白名单 这种方式就从软件和网络二个方面进行了安全保障。 拦截器 类似于jwt那种方式,header添加对称加密之后的sign,客户端请求,需携带这个请求接口。服务器端拦截器,获取该sign,如果解密成功,说明合法请求。 pu...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
SpringBoot项目的 4 种鉴权方案
程序员闪充宝
10-22 3093
大家好,我是宝哥!‍最近在重构公司以前产品的前端代码,摈弃了以前的session-cookie鉴权方式,采用token鉴权,忙里偷闲觉得有必要对几种常见的鉴权方式整理一下。目前我们常用的鉴权有四种:HTTP Basic Authenticationsession-cookieToken 验证OAuth(开放授权)一.HTTP Basic Authentication这种授权方式是浏览器遵守http...
接口鉴权方案 jwt
最新发布
qq_36428598的博客
06-24 703
setExpiration(new Date(currentTimeMillis + TOKEN_EXPIRE_MILLIS)) // 设置过期时间。.setIssuedAt(new Date(currentTimeMillis)) // 设置签发时间。.setSigningKey(generateKey()) // 设置签名密钥。@return 0 验证成功,1、2、3、4、5 验证失败。key(按照签名算法的字节长度设置key)5.使用注解在接口上。
SpringBoot接口鉴权
这里没有简介
02-01 2842
HandlerInterceptorAdapter抽象类进行接口鉴权。有的时候,我们要对接口进行管理,避免敏感信息,然后就有了如下案例。鉴权处理类(这里仅仅是判定UA长度进行判定,请自行替换)若接口不满意还可以选择如下接口
对接第三方接口鉴权Spring Boot+Aop+注解实现Api接口签名验证)
刘皇叔说Java的博客
01-02 4498
一个web系统,从接口的使用范围也可以分为对内和对外两种,对内的接口主要限于一些我们内部系统的调用,多是通过内网进行调用,往往不用考虑太复杂的鉴权操作。但是,对于对外的接口,我们就不得不重视这个问题,外部接口没有做鉴权的操作就直接发布到互联网,而这不仅有暴露数据的风险,同时还有数据被篡改的风险,严重的甚至是影响到系统的正常运转方案一:Spring Boot+Aop+注解实现Api接口签名验证方案二:在已有接口上,拦截器拦截,接口路径,白名单匹配。
Springboot集成JWT token实现权限验证
abfwaaf的博客
04-14 1259
解释上面的过程,用户在登陆之前还没有token,登录之后,通过调用TokenUtils来生成token,并且返回给前端,至此,该用户就有了token,在之后的请求首先会被Interceptor-Config类拦截下来,然后进入JwtInterceptor类进行token的校验,成功后才会进入controller层,否则就会抛出401的异常(这里的异常是自己手动设置的),然后就会返回给前端,前端就会发生页面跳转,跳转到login页面。这里只提供一个例子,其他的地方都是一样的。
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
08-19
在本文,我们将深入探讨如何在SpringBoot应用集成Spring Security并使用JWT(Json Web Token)来实现用户登录和鉴权。首先,我们先理解JWT的基本概念。 **1. JWT概念** JWT是一种开放标准(RFC 7519),用于在...
SpringBoot集成SpringSecurity和JWT做登陆鉴权的实现
08-19
在本文,我们将深入探讨如何使用SpringBootSpringSecurity及JWT(JSON Web Token)结合,以实现登录鉴权功能。SpringBoot因其简化配置和与其他框架的无缝集成,成为了开发小型应用的理想选择。前后端分离的架构...
springboot + jwt + websocket + 拦截
09-02
在IT行业Spring BootJWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统实现的一种间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
springboot shiro pac4j cas jwt认证心sso完整项目
09-11
在这个项目,Shiro主要负责子应用的权限控制,对用户请求进行鉴权,确保只有合法用户才能访问特定资源。 3. **pac4j**: Pac4j是一个用于身份验证的库,支持多种身份验证协议,如OAuth、OpenID Connect、CAS等。...
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码
04-22
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
SpringBoot使用token简单鉴权的具体实现方法
08-25
主要介绍了SpringBoot使用token简单鉴权的具体实现方法,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
Jwt使用
苍穹尘的博客
05-24 1717
Jwtspringboot项目的使用示例代码: 1、引入pom依赖 <!--引入JWT依赖,由于是基于Java,所以需要的是java-jwt--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> ...
Spring Boot整合Spring Security实现认证鉴权
weixin_57392053的博客
06-24 2304
Spring Security是一个基于Spring框架的安全性框架,可以为Web应用程序提供身份验证(Authentication)、授权(Authorization)、攻击防御等安全功能。Spring Security框架提供了一整套的身份验证、授权、ACL(访问控制列表)等模块和类库,还提供了一系列的安全过滤器、安全标签等,可以方便地实现常见的安全性控制。
SpringBoot使用Spring-AOP实现接口鉴权
qq_42582773的博客
09-27 1641
Spring AOP实现接口鉴权
接口鉴权--JWT
12-11 163
参考   一,传统和现在的接口测试的定义及接口的类型   二,认识URL   三,认识HTTP协议   四,接口认证方式:Bearer Token
SpringBoot学习:接口鉴权JWT
大小鱼鱼鱼鱼鱼
06-13 5446
import static org.apache.commons.lang3.StringUtils.defaultIfBlank; import static org.apache.commons.lang3.math.NumberUtils.toInt; import static org.apache.commons.lang3.math.NumberUtils.toLong; /** ...
springboot vue登录界面使用jwt鉴权
11-24
为了实现SpringBoot+Vue前后端分离的登录界面使用JWT鉴权,需要进行以下步骤: 1.在SpringBoot配置SpringSecurity,包括用户认证和授权,可以参考引用的实现方式。 2.在SpringBoot配置JWT,包括生成Token和解析Token,可以使用jjwt库实现,可以参考引用的maven依赖配置。 3.在Vue实现登录界面,包括输入用户名和密码,发送POST请求到后端验证用户信息,并获取Token。 4.在Vue使用获取到的Token进行后续请求的鉴权,可以在请求头添加Authorization字段,值为Bearer加上Token。 下面是一个简单的示例代码,仅供参考: 1. SpringBoot的配置 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtAuthenticationEntryPoint unauthorizedHandler; @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(); } @Override public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception { authenticationManagerBuilder .userDetailsService(userDetailsService) .passwordEncoder(passwordEncoder()); } @Bean(BeanIds.AUTHENTICATION_MANAGER) @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http .cors() .and() .csrf() .disable() .exceptionHandling() .authenticationEntryPoint(unauthorizedHandler) .and() .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .authorizeRequests() .antMatchers("/api/auth/**") .permitAll() .anyRequest() .authenticated(); // Add our custom JWT security filter http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } } ``` 2. Vue的登录界面 ```html <template> <div> <h2>Login</h2> <form @submit.prevent="login"> <div> <label>Username:</label> <input type="text" v-model="username" required> </div> <div> <label>Password:</label> <input type="password" v-model="password" required> </div> <button type="submit">Login</button> </form> </div> </template> <script> import axios from 'axios'; export default { data() { return { username: '', password: '' }; }, methods: { async login() { try { const response = await axios.post('/api/auth/login', { username: this.username, password: this.password }); const token = response.data.token; localStorage.setItem('token', token); axios.defaults.headers.common['Authorization'] = `Bearer ${token}`; this.$router.push('/'); } catch (error) { console.error(error); } } } }; </script> ``` 3. Vue的请求鉴权 ```javascript import axios from 'axios'; const token = localStorage.getItem('token'); if (token) { axios.defaults.headers.common['Authorization'] = `Bearer ${token}`; } axios.get('/api/protected/resource') .then(response => { console.log(response.data); }) .catch(error => { console.error(error); }); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值