SpringBoot通过拦截器和JWT令牌实现登录验证

已于 2024-03-20 23:44:56 修改
阅读量664 收藏 1
点赞数 3
分类专栏: Java Spring 文章标签: spring boot java spring
于 2024-03-19 23:20:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21275565/article/details/136858529
版权
Java 同时被 2 个专栏收录
18 篇文章 0 订阅
订阅专栏
Spring
6 篇文章 0 订阅
订阅专栏
本文介绍了如何在SpringMVC应用中使用JWT工具类生成和验证令牌,自定义匿名访问注解,以及实现JWT验证拦截器,以控制API的访问权限。
摘要由CSDN通过智能技术生成

1. Jwt 工具类

引入依赖

<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>4.4.0</version>
</dependency>

JwtUtil 类包含了两个静态方法:generateToken() 用于生成 JWT,verifyToken() 用于验证 JWT

public class JwtUtil {

    //密钥
    private static final String SECRET_KEY = "xxxxxxxxx";

    // 过期时间60分钟
    private static final long EXPIRE_TIME = 60 * 60 * 1000;

    /**
     * 生成签名
     *
     * @param claims
     * @return
     */
    public static String generateToken(Map<String, Object> claims) {

        var jwtBuilder = JWT.create();

        // 设置传入的字典中的声明
        for (Map.Entry<String, Object> entry : claims.entrySet()) {
            jwtBuilder.withClaim(entry.getKey(), entry.getValue().toString());
        }

        //过期时间
        Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);

        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
        return jwtBuilder.withExpiresAt(date).sign(algorithm);


    }

    /**
     * 校验token是否正确
     *
     * @param token
     * @return
     */
    public static boolean verifyToken(String token) {
        try {
            if (token.startsWith("Bearer ")) {
                token = token.replace("Bearer ", "");
                return false;
            }

            Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
            DecodedJWT jwt = JWT.require(algorithm)
                    .build()
                    .verify(token);
            return true;
        } catch (Exception exception) {
            return false;
        }
    }
    
    /**
     * 获得token中的用户信息(无需secret解密也能获得)
     *
     * @param token
     * @return
     */
    public static String getUsername(String token) {
        try {
            if (token.startsWith("Bearer ")) {
                token = token.replace("Bearer ", "");
            }
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("userName").asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }
}

2. 匿名访问注解

自定义匿名访问注解,接口添加该注解,则跳过Jwt权限验证。

/**
 * 自定义注解
 * 允许匿名访问
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AllowAnon {
    boolean required() default true;
}

3. Jwt验证拦截器


public class JwtInterceptor implements HandlerInterceptor {

    /**
     * 在请求处理之前进行调用(Controller方法调用之前)
     *
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws IOException
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws IOException {

        System.out.println("Jwt Interceptor preHandle");

        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();

        //检查有没有允许匿名访问的注解
        if (method.isAnnotationPresent(AllowAnon.class)) {
            AllowAnon allowAnon = method.getAnnotation(AllowAnon.class);
            if (allowAnon.required()) {
                //允许匿名访问(无需权限)
                return true;
            }
        }

        String authorizationHeader = request.getHeader("Authorization");
        if (authorizationHeader == null || !authorizationHeader.startsWith("Bearer ")) {
            ResponseErrorMessage(response);
            return false;
        }
        String token = authorizationHeader.substring(7);
        try {
            //验证token
            if (JwtUtil.verifyToken(token)) {
                //验证成功
                return true;
            } else {
                //验证失败
                ResponseErrorMessage(response);
                return false;
            }
        } catch (Exception e) {
            ResponseErrorMessage(response);
            return false;
        }
    }

    /**
     * 请求处理之后进行调用,但是在视图被渲染之前(Controller方法调用之后)
     * preHandle方法处理之后这个方法会被调用,如果控制器Controller出现了异常,则不会执行此方法
     *
     * @param request
     * @param response
     * @param handler
     * @param modelAndView
     * @throws Exception
     */
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("Jwt Interceptor postHandle");
    }

    /**
     * 不管有没有异常,这个afterCompletion都会被调用
     *
     * @param request
     * @param response
     * @param handler
     * @param ex
     * @throws Exception
     */
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("Jwt Interceptor afterCompletion");
    }

    /**
     * 响应错误消息
     *
     * @param response
     * @throws IOException
     */
    private void ResponseErrorMessage(HttpServletResponse response) throws IOException {
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        response.setContentType("application/json; charset=UTF-8");
        response.getWriter().write("{\"success\":false,\"message\":\"授权失败\",\"data\":null}");
    }
}

4. 注册拦截器


//注册拦截器配置
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    /**
     * 重写addInterceptors()实现拦截器
     * 配置:要拦截的路径以及不拦截的路径
     *
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {

        System.out.println("InterceptorConfig addInterceptors");

        registry.addInterceptor(jwtInterceptor())  //配置拦截规则
                .addPathPatterns("/api/**")  // 拦截所有请求,通过判断token是否合法来决定是否需要登录
                .excludePathPatterns(
                        "/api/user/register"  //注册
                );//允许匿名访问放行的请求
    }

    @Bean
    public JwtInterceptor jwtInterceptor() {
        return new JwtInterceptor();
    }
}

5. 控制器

@RestController
@RequestMapping("/api/user")
public class UserController {

    /**
     * 注册(无需jwt验证,InterceptorConfig定义排除JwtInterceptor验证路由)
     *
     * @return
     */
    @PostMapping("register")
    public String register() {
        return "注册成功";
    }

    /**
     * 登录(无需jwt验证,添加AllowAnon允许匿名访问注解)
     *
     * @return
     */
    @AllowAnon
    @PostMapping("login")
    public String login() {
        Map<String, Object> claims = new HashMap<>();
        claims.put("userId", "9");
        claims.put("userName", "usernine");

        //生成token
        var token = JwtUtil.generateToken(claims);

        return token;
    }

    /**
     * 详情(需要验证)
     *
     * @return
     */
    @GetMapping("detail")
    public void getUserDetail(@RequestHeader("Authorization") String token) {
        //获取当前用户名
        var username = JwtUtil.getUsername(token);
    }
}
让梦想疯狂
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实战指南:Spring Boot 3.x 与JJWT 0.9.x到0.12.5版本升级,使用HS256算法生成JWT
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
07-01 459
本实战指南旨在帮助开发者在Spring Boot 3.x应用中,从JJWT 0.9.x升级至0.12.5版本,有效地实现JWT生成并使用HS256算法进行加密。通过详细的示例和指导,您将了解如何应对升级带来的变化,并优化JWT在安全认证中的应用。
用户登录入门:基于springboot拦截器过滤器+jwt
weixin_43243652的博客
06-17 237
用户登录入门
第二十七天 SpringBootWeb(三)登录认证JWT令牌,过滤器拦截器
HuanLe.的博客
04-02 1322
完善前一天 登录校验(过滤器Filter 拦截器Interceptor) 全局异常处理
SpringbootJWT
最新发布
游王子的博客
07-14 1100
JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。
基于springboot实现JWT登录拦截验证(超详细版)
Java程序员十六的博客
06-26 669
基于Springboot通过Jwt实现登录拦截验证
springboot3整合最新版jjwt(0.12.3)
m0_73376570的博客
01-31 3521
基于黑马的苍穹外卖,使用springboot3整合jjwt(0.12.3)
Springboot+JWT
while(life)++;
10-21 426
JWT(JSON WEB TOKEN)是一种标准,用来在前后端或者系统间以JSON对象安全的传输信息,该信息是可以被验证和信任的,因为它是数字签名的。可以使用HMAC或RSA或ECDSA的公钥/私钥进行签名。
SpringBoot之整合JWT
热门推荐
百锦再的博客
12-02 1万+
令牌组成。
SpringBoot 3.x 整合 JWT 、Swagger(使用springdoc)
qq_58159506的博客
04-17 682
SpringBoot 3.x 整合 JWT 、Swagger(使用springdoc)
springboot+springSecurity+jwt实现登录认证令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring Security和JWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
6. **权限验证拦截器**:这个拦截器检查JWT令牌的有效性,并根据令牌中的信息决定用户是否有权访问特定资源。 7. **Spring Security配置**:配置Spring Security以启用JWT认证,设置访问控制规则,例如哪些URL需要...
SpringBoot使用JWT实现登录验证的方法示例
08-25
SpringBoot应用中,我们可以利用JWT实现登录验证,为用户提供安全的身份验证体验。 在SpringBoot中使用JWT的基本步骤如下: 1. **添加JWT依赖**: 首先,我们需要在项目的pom.xml文件中添加JWT库的依赖,例如...
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权 [ 附源码 ]
"✧treasure mountain✧"
05-16 6724
最近在做项目的过程中 需要用JWT登录和鉴权 查了很多资料 都不甚详细 在踩过很多坑之后整理了一下 做个笔记 一、概念 什么是JWT Json Web Token (JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519) 该token被设计为紧凑且安全的 特别适用于分布式站点的单点登录(SSO)场景 随着JWT的出现 使得校验方式更加简单便捷化 JWT实际上就是一个字符串 它由三部分组成:头部 载荷和签名 用[.]分隔 类似于:xxxx.xxxx.xxxx 直接根据t
spring boot3.x结合spring security最新版实现jwt登录验证
qq_45635939的博客
09-02 2395
快速构建
session与token
Uzizi的博客
07-30 459
基于session认证所显露的问题 Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。 扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的...
SpringBoot集成JWT(极简版)
程序员青戈
09-30 1万+
话不多说,直接上代码。
springboot3+jwt+security的整合使用搭建简易Demo
三两肉的博客
09-11 8631
springboot3+jwt+security的整合使用搭建简易Demo
Springboot】Vue3-Springboot引入JWT实现登录校验以及常见的错误解决方案
SKMIT的博客
11-08 1139
项目版本:后端: Springboot 2.7、 Mybatis-plus、Maven 3.8.1数据库:MySQL 8.0前端:Vue3、Axois 1.6.0 、Vite 4.5.0、Element-Plus、Router-v4JWT 全称 JSON Web Token,是一种基于 JSON 的数据对象,通过技术手段将数据对象签名为一个可以被验证和信任的令牌(Token)在客户端和服务端之间进行安全的传输。
基于Spring Boot 3与JWT构建现代化登录认证机制
Yaml4的博客
03-26 958
Spring Boot 3 整合 JWT(JSON Web Tokens)用于登录开发涉及多个步骤。JWT 是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。这些信息可以被验证和信任,因为它们是数字签名的。
我使用 localStorage.setItem('token', jwt);,来存放jwt令牌,怎么在springboot项目中的static资源中编写js代码实现每次访问某一个页面时都带有jwt令牌,这样可以被springboot后端的拦截器拦截,获取每次请求头中的jwt令牌,,整体的代码和请求要怎么写,分别放在那些文件里
05-31
要在Spring Boot项目中的static资源中编写JS代码实现每次访问某一个页面时都携带JWT令牌,可以在JavaScript代码中设置请求头。具体代码实现如下: 1. 在JavaScript代码中获取JWT令牌: ```javascript const token = localStorage.getItem('token'); ``` 2. 在发送请求时设置请求头: ```javascript const xhr = new XMLHttpRequest(); xhr.open('GET', '/api/profile'); xhr.setRequestHeader('Authorization', `Bearer ${token}`); xhr.send(); ``` 3. 在后端拦截器中获取请求头中的JWT令牌: ```java public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String token = request.getHeader("Authorization").replace("Bearer ", ""); // 进行JWT令牌验证和解析 // ... } ``` 4. 完整的代码实现如下: 在static/js/main.js中: ```javascript const token = localStorage.getItem('token'); const xhr = new XMLHttpRequest(); xhr.open('GET', '/api/profile'); xhr.setRequestHeader('Authorization', `Bearer ${token}`); xhr.onreadystatechange = function() { if (xhr.readyState === XMLHttpRequest.DONE) { if (xhr.status === 200) { console.log(xhr.responseText); } else { console.error(xhr.statusText); } } }; xhr.send(); ``` 在后端的拦截器中: ```java public class JwtInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String token = request.getHeader("Authorization").replace("Bearer ", ""); // 进行JWT令牌验证和解析 // ... return true; } } ``` 在Spring Boot的配置类中添加拦截器: ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new JwtInterceptor()) .addPathPatterns("/api/**") // 拦截/api开头的请求 .excludePathPatterns("/api/login"); // 排除/api/login请求 } } ``` 这样,在访问/static/js/main.js时,会自动携带JWT令牌。在后端可以通过拦截器获取请求头中的JWT令牌,并进行验证和解析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值