spring boot集成jwt

最新推荐文章于 2022-04-09 09:45:14 发布
最新推荐文章于 2022-04-09 09:45:14 发布
阅读量314 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18549249/article/details/80171666
版权
本文介绍了JWT在前后端分离应用中的交互流程,包括客户端登录请求、服务器生成并返回token、客户端存储及在请求头添加token的步骤。同时,详细阐述了在Spring Boot中集成JWT的四个步骤:添加依赖、配置Java代码、实现自定义过滤器以及整合到系统登录模块。
摘要由CSDN通过智能技术生成

JWT前后端分离,交互流程


1.客户端通过用户名、密码请求服务器端登录

2.服务器验证用户名、密码通过后、生成token返回到客户端

3.客户端拿到token后存储到客户端本地,h5可存储到本地localstorage中

4.客户端所有请求需要登录后、才允许发送的请求、需要在header头添加token

5.服务器从header头拿到token解析、解析成功后执行业务逻辑、解析失败返回状态403、客户端获取403状态后需跳转登录页面重新登录

集成步骤

1.pom.xml添加依赖

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.7.0</version>
        </dependency>

2.增加相关Java配置

@Configuration
@EnableWebSecurity
@Order(1)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private TokenUtil tokenUtil;

    @Override
    public void configure(WebSecurity web) throws Exception {
        // Filters will not get executed for the resources
        web.ignoring().antMatchers("/", "/resources/**", "/static/**", "/public/**", "/webui/**", "/h2-console/**"
            , "/configuration/**", "/swagger-ui/**", "/swagger-resources/**", "/api-docs", "/api-docs/**", "/v2/api-docs/**"
            , "/*.html", "/**/*.html" ,"/**/*.css","/**/*.js","/**/*.png","/**/*.jpg", "/**/*.gif", "/**/*.svg", "/**/*.ico", "/**/*.ttf","/**/*.woff","/**/*.otf");
    }

    //If Security is not working check application.properties if it is set to ignore
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
        .exceptionHandling().and()
        .anonymous().and()
        // Disable Cross site references
        .csrf().disable()
        // Add CORS Filter
        .addFilterBefore(new CorsFilter(), ChannelProcessingFilter.class)
        // Custom Token based authentication based on the header previously given to the client
        .addFilterBefore(new VerifyTokenFilter(tokenUtil), UsernamePasswordAuthenticationFilter.class)
        // custom JSON based authentication by POST of {"username":"<name>","password":"<password>"} which sets the token header upon authentication
        .authorizeRequests()
        .anyRequest().authenticated()
        ;
    }
}
@Service
@Slf4j
public class TokenUtil {

    //private static final long VALIDITY_TIME_MS = 10 * 24 * 60 * 60 * 1000;// 10 days Validity
    // 2 hours  validity
    private static final long VALIDITY_TIME_MS =  2 * 60 * 60 * 1000;
    private static final String AUTH_HEADER_NAME = "Authorization";

    public static final String REDIS_TOKEN_KEY = "redis_token_key!@#@#@%%^&";

    private String secret="mrin";

    @Autowired
    RedisUtil redisUtil;

    public Optional<Authentication> verifyToken(HttpServletRequest request) {
      final String token = request.getHeader(AUTH_HEADER_NAME);

      if (token != null && !token.isEmpty()){
        final TokenUser user = parseUserFromToken(token.replace("Bearer","").trim());
        if (user != null) {
            String redisToken = this.getRedisToken(user.getUser().getUserId());
            if(StringUtils.isNotEmpty(redisToken)){
                return  Optional.of(new UserAuthentication(user));
            }
        }
      }
      return Optional.empty();
    }

    //Get User Info from the Token
    public TokenUser parseUserFromToken(String token){

        Claims claims = Jwts.parser()
            .setSigningKey(secret)
            .parseClaimsJws(token)
            .getBody();

        User user = new User();
        user.setUserId( (String)claims.get("userId"));
        user.setRole(Role.valueOf((String)claims.get("role")));
        if (user.getUserId() != null && user.getRole() != null) {
            if(user.getPassword() == null){
                user.setPassword(user.getUserId());
            }
            return new TokenUser(user);
        } else {
            return null;
        }
    }

    public String createTokenForUser(TokenUser tokenUser) {
      return createTokenForUser(tokenUser.getUser());
    }

    public String createTokenForUser(User user) {
      return Jwts.builder()
//        .setExpiration(new Date(System.currentTimeMillis() + VALIDITY_TIME_MS))
        .setSubject(user.getUserId())
              .claim("createTime", System.currentTimeMillis())
              .claim("userId", user.getUserId())
        .claim("role", user.getRole().toString())
        .signWith(SignatureAlgorithm.HS256, secret)
        .compact();
    }


    public void putRedisToken(String key,String token){
        try {
            log.info("put token for key:"+key);
            redisUtil.set(key,token);
        } catch (Exception e) {
            e.printStackTrace();
            log.info("put token error:"+ e.getMessage());
        }
    }

    public String getRedisToken(String key){
        try {
            log.info("get token for key:"+key);
            return redisUtil.get(key);
        } catch (Exception e) {
            e.printStackTrace();
            log.info("get token error:"+ e.getMessage());
        }
        return null;
    }

    public void removeRedisToken(String key){
        try {
            log.info("remove token for key:"+key);
            redisUtil.delete(key);
        } catch (Exception e) {
            e.printStackTrace();
            log.info("remove token error:"+ e.getMessage());
        }
    }
}


public class TokenUser extends org.springframework.security.core.userdetails.User {
    private User user;

    //For returning a normal user
    public TokenUser(User user) {
        super( user.getUserId(), user.getPassword(), AuthorityUtils.createAuthorityList(user.getRole().toString()  )  );
        //super(user.getUserName(), user.getPassword(), true, true, true, true,  AuthorityUtils.createAuthorityList(user.getRole().toString()));
        this.user = user;
    }

    public User getUser() {
        return user;
    }

    public String getRole() {
        return user.getRole().toString();
    }
}

@Entity
public class User {
    @Id
    @Getter @Setter private String userId;
    @Getter @Setter private String password = "";
    @Getter @Setter private String company;
    @Getter @Setter private String firstName;
    @Getter @Setter private String lastName;
    @Getter @Setter private String email;

    @JsonIgnore @Getter @Setter private int    securityProviderId;
    @JsonIgnore @Getter @Setter private int    defaultCustomerId;

    @JsonIgnore @Getter @Setter private String phone;
    @JsonIgnore @Getter @Setter private String address1;
    @JsonIgnore @Getter @Setter private String address2;
    @JsonIgnore @Getter @Setter private String country;
    @JsonIgnore @Getter @Setter private String postal;

    @Enumerated(EnumType.STRING)
    @Getter @Setter private Role role;

    //@JsonIgnore
    @JsonIgnore @Getter @Setter private boolean isActive;
    //@JsonIgnore
    @JsonIgnore @Getter @Setter private boolean isBlocked;
    @JsonIgnore @Getter @Setter private String  secretQuestion;
    @JsonIgnore @Getter @Setter private String  secretAnswer;
    @JsonIgnore @Getter @Setter private boolean enableBetaTesting;
    @JsonIgnore @Getter @Setter private boolean enableRenewal;
}

public enum Role {
    USER, ADMIN
}

3.实现自定义过滤器

/**
This filter checks if there is a token in the Request service header and the token is not expired
it is applied to all the routes which are protected
*/
@Slf4j
public class VerifyTokenFilter extends GenericFilterBean {

    private final TokenUtil tokenUtil;
    //private AuthenticationFailureHandler loginFailureHandler = new SimpleUrlAuthenticationFailureHandler();

    public VerifyTokenFilter(TokenUtil tokenUtil) {
        this.tokenUtil = tokenUtil;
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request  = (HttpServletRequest)  req;
        HttpServletResponse response = (HttpServletResponse) res;
        try {
            Optional<Authentication> authentication = tokenUtil.verifyToken(request);
            if (authentication.isPresent()) {
              SecurityContextHolder.getContext().setAuthentication(authentication.get());
            }
            else{
              SecurityContextHolder.getContext().setAuthentication(null);
            }
            filterChain.doFilter(req, res);
        }catch (JwtException e) {
            log.error("token验证失败:"+e.getMessage());
            responseErrorInfo(response,e.getMessage());
        }catch (Exception e) {
            log.error("token验证失败:"+e.getMessage());
            responseErrorInfo(response,e.getMessage());
        }finally {
            SecurityContextHolder.getContext().setAuthentication(null);
        }
    }

    private void responseErrorInfo(HttpServletResponse response,String message){
        try {
            response.setHeader( "Content-type" , MediaType.APPLICATION_JSON_UTF8_VALUE );
            response.setCharacterEncoding( StandardCharsets.UTF_8.displayName() );
            Result result = new Result();
            result.setStatus(Result.Status.ERROR);
            result.setMessage(message);
            result.setCode(TokenCodeEnum.VALIDFAIED.getCode());
            response.getWriter().print(JSONObject.toJSONString(result));
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

}

4.集成系统业务登录模块

//登录后生成token
            User user = new User();
            user.setUserId(userInfoVO.getLoginName() + userVO.getClientTypeEnum().getCode());
            user.setPassword(userInfoVO.getLoginName());
            TokenUser currentUser = new TokenUser(user);
            String tokenString = this.tokenUtil.createTokenForUser(currentUser);
            userInfoVO.setToken(tokenString);
            this.tokenUtil.putRedisToken(userInfoVO.getLoginName()+userVO.getClientTypeEnum(),tokenString);

qq_18549249
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot整合JWT
weixin_45782384的博客
12-29 97
新建一个SpringBoot项目 导入 Maven 坐标 <!--引入 jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 配置application.properties文件 server.po
spring boot + jwt登录
08-02
开发者可以通过研究这些代码来学习如何在自己的项目中实现Spring BootJWT集成。 总结一下,Spring Boot结合JWT提供了一种高效且安全的登录验证方法,它允许前后端分离的应用在不泄露敏感信息的情况下进行用户...
Spring Boot 集成 JWT
Dong滴个Dong的博客
01-21 163
JWT (JSON Web Token)介绍, 官网 , github 定义: JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在各方之间作为JSON对象安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。JWTS可以使用秘密(使用HMAC算法)或公钥/私钥对使用RSA或ECDSA来签名。 JWT的主要应用场景 身份认证...
SpringBoot 集成 JWT
wguo-up-site
03-30 1836
1. Jwt消息构成 1.1 组成 一个token 分为3 部分 头部(header) 载荷 (payload) 签证 (signature) 三部分之间用 . 号作为分隔 如: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
spring boot整合JWT 2
10-17
Spring Boot集成Spring Security,首先需要在`pom.xml`文件中添加依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-starter-security ``` 然后,创建一个配置类`SecurityConfig`...
53-Spring Boot实现JWT1
08-08
在本文中,我们将探讨如何使用Spring Boot来实现基于JWT(JSON Web Token)的OAuth2.0授权机制。...通过理解并实践上述步骤,你可以轻松地在Spring Boot应用中集成JWT,为你的无状态API提供强大的安全保障。
SpringBoot集成JWT快速入门Demo
最新发布
04-10
编译器版本:IntelliJ IDEA 2020.3.2 x64 JDK版本:java 1.8.0_111 SpringBoot集成JWT快速入门Demo,演示jwt生成与验证等功能,可以通过swaggler或者Postman进行测试。
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring Security和JWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
springboot 整合jwt
04-09 423
关于jwt的实现原理,可以自行查找资料。我们只关注如何实现。 一:首先引入依赖。目前有两个库实现了jwt的功能。 两个库都实现了jwt功能,只不过使用的api不太相同。使用其中任何一个都可以。通过查看maven官网,jjwt好久没有更新了。而java-jwt一直有更新。为了以后少点麻烦还是使用java-jwt. 二:创建jwt帮助类,实现三个功能, 1.创建token 最关键需要两个变量,一个是到期时间,一个是秘钥 private static final long EXPIRE_T.
JWT工具类
xiaoyixiao_的博客
05-09 716
JWT JWT介绍 JWT(Json Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上 JWT最重要的作用就是对 token信息的防伪作用。 JWT的原理, 一个JWT由三个部分组成:公共部分、私有部分、签名部分。最后由这三者组合进行base64编码得到JWT。 1、 公共部分 主要是该JWT的相关配置参数,比如签名的加密算法、格式类型、过期时间等
springboot整合jwt
letterss的博客
01-18 524
简介 Jwt全称是:json web token。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 优点 简洁: 可以通过URL、POST参数或者在HTTP header发送,因为数据量小,传输速度也很快; 自包含:负载中可以包含用户所需要的信息,避免了多次查询数据库; 因为Token是以JSON加密的形式保存...
springboot 集成JWT
weixin_55384994的博客
03-13 236
jwt的请求流程 用户使用账号和面发出post请求; 服务器使用私钥创建一个jwt; 服务器返回这个jwt给浏览器; 浏览器将该jwt串在请求头中像服务器发送请求; 服务器验证该jwt; 返回响应的资源给浏览器。 优点 简洁(Compact):可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库 因为Token是以JSON加密的形式保存在客户端的,所以J..
JWT
m0_46487331的博客
12-14 842
Author:Allen_Huang Version:1.0.0 一. JWT简介 什么是JWTJWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 为什么使用JWT? 随着技术的发展,分布式web应用的普.
深入SpringBootJWT集成与使用
Hello World
04-05 2388
JSON Web Token(JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,该token也可直接被用于认证,也可被加密。是目前最流行的跨域认证解决方案。
spring boot Security jwt aouth2整合代码
05-26
以下是Spring Boot集成Spring Security、JWT和OAuth2的示例代码: 1. 添加依赖 在pom.xml文件中添加以下依赖: ```xml <!-- Spring Security --> <groupId>org.springframework.boot <artifactId>spring-boot-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值