SpringBoot+JWT实现用户接口访问权限验证

最新推荐文章于 2024-06-20 09:50:11 发布
最新推荐文章于 2024-06-20 09:50:11 发布
阅读量1.9k 收藏 4
点赞数 1
分类专栏: java技术 linux常用操作 文章标签: JWT token springboot java 权限验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24138151/article/details/119415336
版权

流程:

1.用户访问login接口,验证用户身份信息,并生成token绑定用户信息,token返回前端

2.前端把token存入request header中访问后端接口即可成功,否则提示无权访问

代码部分:

1.JwtUtil类 (生成token,校验token等)

/* *
 * @Author qy
 * <p> JWT工具类 </p>
 * @Param
 * @Return
 */
public class JwtUtil {

    // Token过期时间30分钟
    public static final long EXPIRE_TIME = 30 * 60 * 1000;

    /* *
     * @Author qy
     * <p> 校验token是否正确 </p>
     * @Param token
     * @Param username
     * @Param secret
     * @Return boolean
     */
    public static boolean verify(String token, String username, String secret) {
        try {
            // 设置加密算法
            Algorithm algorithm = Algorithm.HMAC256(secret);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withClaim("username", username)
                    .build();
            // 效验TOKEN
            DecodedJWT jwt = verifier.verify(token);
            return true;
        } catch (Exception exception) {
            return false;
        }
    }

    /* *
     * @Author qy
     * <p>生成签名,30min后过期 </p>
     * @Param [username, secret]
     * @Return java.lang.String
     */
    public static String sign(String username, String secret) {
        Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
        Algorithm algorithm = Algorithm.HMAC256(secret);
        // 附带username信息
        return JWT.create()
                .withClaim("username", username)
                .withExpiresAt(date)
                .sign(algorithm);

    }

    /* *
     * @Author qy
     * <p> 获得用户名 </p>
     * @Param [request]
     * @Return java.lang.String
     */
    public static String getUserNameByToken(HttpServletRequest request) {
        String token = request.getHeader("token");
        DecodedJWT jwt = JWT.decode(token);
        return jwt.getClaim("username")
                .asString();
    }
}

2.JwtInterceptor (拦截请求类,校验错误返回错误信息)

/**
 * @Author qinyi
 * <p>token验证拦截器 </p>
 */
@Component
public class JwtInterceptor implements HandlerInterceptor {
    @Autowired
    SysUserService sysUserService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 从 http 请求头中取出 token
        String token = request.getHeader("token");
        // 如果不是映射到方法直接通过
        if(!(handler instanceof HandlerMethod)){
            return true;
        }
        if (token != null){
            String username = JwtUtil.getUserNameByToken(request);
            // 这边拿到的 用户名 应该去数据库查询获得密码,简略,步骤在service直接获取密码
            boolean result = JwtUtil.verify(token,username,sysUserService.getPassword(username));
            if(result){
                System.out.println("通过拦截器");
                return true;
            }
        }
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        PrintWriter out = null ;
        try {
            JSONObject res = new JSONObject();
            res.put("success", "false");
            res.put("msg", "您无权访问");
            out = response.getWriter();
            out.append(res.toString());
        }catch (Exception e){
            e.printStackTrace();
            response.sendError(500);
        }
        return false;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

3. InterceptorConfig (拦截器配置类注入spring管理,配置只放通login,拦截其他所有请求,并支持跨域)

/* *
 * @Author qy
 * <p>拦截器配置 </p>
 * @Param
 * @Return
 */
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    /* *
     * @Author qy
     * <p> 设置拦截路径 </p>
     * @Param [registry]
     * @Return void
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**")
                .excludePathPatterns("/sysuser/login");
    }
    /* *
     * @Author qy
     * <p> 将拦截器注入context </p>
     * @Param []
     * @Return com.zszxz.jwt.interceptor.JwtInterceptor
     */
    @Bean
    public JwtInterceptor authenticationInterceptor() {
        return new JwtInterceptor();
    }

    /* *
     * @Author qy
     * <p>跨域支持 </p>
     * @Param [registry]
     * @Return void
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("GET", "POST", "DELETE", "PUT", "PATCH", "OPTIONS", "HEAD")
                .maxAge(3600 * 24);
    }
}

4.controller层示例


/**
 * @author qinyi
 * @since 2021-07-22 10:40:42
 */
@CrossOrigin
@RestController
@RequestMapping("sysuser")
public class LoginController {
    /**
     * 服务对象
     */
    @Resource
    private SysUserService sysUserService;



    @PostMapping("login")
    public ResponseData queryPaper(HttpServletRequest request,@RequestBody SysUser sysUser){
        ResponseData res = ResponseData.ok();
        String username = sysUser.getUserName();
        String password = sysUser.getPassword();
        //账号密码验证
        String token = JwtUtil.sign(username,password);
        if(null != token){
            res.putDataValue("token",token);
        }else {
            res = ResponseData.unauthorized();
        }
        return res;
    }

}

5.pom.xml引入

        <!-- 引入jwt-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.8.2</version>
        </dependency>

6.postman访问成功结果

 token过期或错误-失败结果

 

LonesomeRoad
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Chapter10:接口权限管理-Token认证
天然玩家的博客
07-03 1280
说明: 项目地址在文章最后 本章代码所在分支为chapter10 代码规则:每章一个分支 后一章代码继承前一章代码 1 接口权限 2 配置 2.1 路由拦截 拦截所有接口,授权/**/api/v1/**接口,即保证前面8章所有接口不用token即可测试。 路由拦截使用的实例在注入Bean之前,因此需要先将请求拦截注入Bean,方可在请求拦截中正常注入Bean。 package com.monkey.tutorial.common.config; import org.springframework.
Spring Boot整合JWT进行权限认证
XuDream的博客
07-16 918
介绍一下JWT的组成 第一部分为头部(header),第二部分我们称其为载荷(payload),第三部分是签证(signature)。【中间用 . 分隔】 一个标准的JWT生成的token格式如下:Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1aWQiOjUwMCwicmlkIjowLCJpYXQiOjE2MjYzOTgwNDMsImV4cCI6MTYyNjQ4NDQ0M30.ojaiFvsGQew4SbbTakvwO2qv7TAWNgWk6GyvmIR.
Spring Boot + jwt
最新发布
weixin_63831348的博客
06-20 1819
Spring Boot + jwt
Spring Boot对接口传递的数据进行校验
qq_45525848的博客
03-05 289
Spring Boot对接口传递的数据进行校验
Spring Boot+JWT快速实现简单的接口鉴权
在每次的突破中遇见更好的自己
07-14 2279
一般服务的安全包括认证(Authentication)与授权(Authorization)两部分,认证即证明一个用户是合法的用户,比如通过用户名密码的形式,授权则是控制某个用户可以访问哪些资源。比较成熟的框架有Shiro、Spring Security,如果要实现第三方授权模式,则可采用OAuth2。但如果是一些简单的应用,比如一个只需要鉴别用户是否登录的APP,则可以简单地通过注解+拦截器的方式来实现。本文介绍了具体实现过程,虽基于Spring Boot实现,但稍作修改(主要是拦截器配置)就可以引入其它S
springboot使用JWT,并自动获取用户信息
sunxy0617的博客
05-31 1967
使用JWT生成token,并在controller中通过注解判断登录权限,自动在需要登录的api中获取用户信息,支持分布式登录。 废话不多说,直接上链接sunxy0617/jinwu_admin: JWT使用学习 (github.com)
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
6. **权限验证拦截器**:这个拦截器检查JWT令牌的有效性,并根据令牌中的信息决定用户是否有权访问特定资源。 7. **Spring Security配置**:配置Spring Security以启用JWT认证,设置访问控制规则,例如哪些URL需要...
springboot + jwt + websocket + 拦截
09-02
6. **权限控制**:通过Interceptor,我们可以检查JWT中的权限信息,控制用户对WebSocket端点的访问权限实现细粒度的访问控制。 这样的架构可以提供一个高效、安全的实时交互系统,适用于需要实时数据同步和认证...
springboot+jwt实现token登陆权限认证的实现
08-19
Spring Boot + JWT 实现 Token 登录权限认证 在本文中,我们将介绍如何使用 Spring Boot 和 JWT 实现 ...通过使用 Spring Boot 和 JWT,我们可以实现 Token 登录权限认证,提供一种简洁、安全的方式来验证用户身份。
IDEA+Springboot+Mybatis+MySql+Swagger3.0+JWT权限验证实现 增、删、改、查
09-03
我们主要利用IntelliJ IDEA作为开发集成环境(IDE),Spring Boot作为核心框架,Mybatis作为持久层框架,MySQL作为数据库存储,Swagger3.0用于API文档的生成与管理,以及JWT(JSON Web Tokens)进行权限验证实现了...
基于springboot+springSecurity+jwt实现的基于token权限管理
02-24
在这个项目中,Spring Security将处理用户登录、权限验证以及访问控制。 JWT是一种轻量级的身份验证标准,用于在不同域之间安全地传递信息。它包含了一个签名,可以验证消息的完整性和来源。JWT的使用避免了传统...
SpringBoot使用AOP进行用户权限判断,已处理完成!!!
WEN丶HENG
10-20 1117
AOP为Aspect Oriented Programming的缩写,意为:面向切面编程,通过预编译方式和运行期间动态代理实现程序功能的统一维护的一种技术。 本次完成了使用IDE进行SpringBoot进行AOP的用户全向判断。 本次项目整体结构: 引入依赖: <dependencies> <dependency> <groupId>org.springframework.boot</groupId&gt
如何在SpringBoot项目中使用JWT实现接口鉴权功能
francis的博客
03-18 3232
一、简介JWTJWT由Header(请求头)、Payload(携带的用户信息)、Signature(加密后生成的签名)三部分组成,也就是我们用过JWT所眼熟的header.payload.signature。JWT可以自定义Signing Key,能够有效的防止伪造或篡改token签名。 二、思考: 为什么要接口鉴权?怎样的业务场景下需要使用鉴权功能? ...
c#生成token访问的接口_前后端分离之接口登陆权限token
weixin_36440941的博客
12-24 2379
随着业务的需求普通的springmvc+jsp已经不能满足我们的系统了,会逐渐把后台和前端展示分离开来,下面我们就来把普通的springmvc+jsp分为 springmvc只提供rest接口,前端用ajax请求接口渲染到html中。后台提供接口是一个tomcat服务器前台访问数据是nginx访问rest接口但是有一个问题 ,发现没有。就是两个是不同的域名,所以存在跨域,下面我会把一些关键的代码贴...
SpringBoot整合Druid数据源页面访问报该页面无法正常运作
weixin_44543307的博客
11-10 2539
SpringBoot整合Druid数据源页面访问报该页面无法正常运作 我是输入 http://localhost:8080/druid/ 回车进入 http://localhost:8080/druid/login.html 的时候 请求访问页面成功但是该网页无法正常运行。 异常页面: 正常的页面: 输入:账号admin 密码:123456 进入 我的代码 pom.xml引入第三方Druid依赖 <dependency> <groupId>com.alibaba</
Spring Security的权限配置不生效问题
扣脚老骚
02-21 1272
Spring Security的权限配置不生效问题 Spring Security的权限配置不生效问题
springboot2.0 访问druid监控页面404
HelloJavaE2的博客
06-23 3647
看了下网上资料,引入依赖 部分 pom.xml <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.1.5.RELEASE</version> </parent> <dep
JWT、自定义注解实现接口访问权限控制及SpringCloud Feign分布式服务调用信息传递
weixin_41037842的博客
04-14 1483
待补充
java SpringBoot登录验证token拦截器
前方的路在刚开始
07-05 7356
springBoot拦截器定义,以及token获取,单点登录设定,全局异常定义。
springboot+springsecurity+jwt+vue
11-23
Spring Boot是一个基于Spring框架的快速开发Web应用程序的框架,Spring Security是Spring框架的安全模块,JWT是一种用于身份验证的开放标准。Vue是一种流行的JavaScript框架,用于构建用户界面。 结合这些技术,可以实现前后端分离的登录、权限管理和Token管理。具体步骤如下: 1. 在Spring Boot项目中导入Spring Security和JWT的Maven依赖。 2. 配置Spring Security,包括创建用户、角色和权限等。 3. 创建一个JWT工具类,用于生成和解析Token。 4. 创建一个登录接口,接收用户名和密码,验证用户信息,生成Token并返回给前端。 5. 创建一个Token验证过滤器,用于验证请求中的Token是否有效。 6. 在Vue项目中使用Axios发送登录请求,获取Token并保存到本地存储中。 7. 在Vue项目中使用Vue Router和VueX进行路由和状态管理。 8. 创建一个路由守卫,用于验证用户是否登录和是否有权限访问某些页面。 9. 在需要进行身份验证的请求中添加Token。 下面是一个简单的示例代码,仅供参考: 后端代码: ```java // 配置Spring Security @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated() .and() .exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint) .and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } } // 创建一个JWT工具类 public class JwtUtils { private static final String SECRET_KEY = "mySecretKey"; private static final long EXPIRATION_TIME = 86400000; // 24 hours public static String generateToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); return Jwts.builder() .setClaims(claims) .setSubject(userDetails.getUsername()) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public static String getUsernameFromToken(String token) { return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getSubject(); } public static boolean validateToken(String token, UserDetails userDetails) { String username = getUsernameFromToken(token); return username.equals(userDetails.getUsername()) && !isTokenExpired(token); } private static boolean isTokenExpired(String token) { Date expiration = Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getExpiration(); return expiration.before(new Date()); } } // 创建一个登录接口 @RestController @RequestMapping("/api/auth") public class AuthController { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserDetailsService userDetailsService; @PostMapping("/login") public ResponseEntity<?> authenticateUser(@RequestBody LoginRequest loginRequest) { Authentication authentication = authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())); SecurityContextHolder.getContext().setAuthentication(authentication); UserDetails userDetails = userDetailsService.loadUserByUsername(loginRequest.getUsername()); String token = JwtUtils.generateToken(userDetails); return ResponseEntity.ok(new JwtAuthenticationResponse(token)); } } // 创建一个Token验证过滤器 public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtUtils jwtUtils; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String header = request.getHeader("Authorization"); if (header != null && header.startsWith("Bearer ")) { String token = header.substring(7); String username = jwtUtils.getUsernameFromToken(token); UserDetails userDetails = userDetailsService.loadUserByUsername(username); if (jwtUtils.validateToken(token, userDetails)) { UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } filterChain.doFilter(request, response); } } // 创建一个自定义的AuthenticationEntryPoint @Component public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint { @Override public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException { response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized"); } } // 创建一个自定义的UserDetailsService @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found with username: " + username); } return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), new ArrayList<>()); } } // 创建一个实体类User和一个接口UserRepository @Entity @Table(name = "users") public class User { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; @Column(name = "username") private String username; @Column(name = "password") private String password; // getters and setters } @Repository public interface UserRepository extends JpaRepository<User, Long> { User findByUsername(String username); } ``` 前端代码: ```javascript // 在Vue项目中使用Axios发送登录请求 axios.post('/api/auth/login', { username: 'admin', password: 'password' }).then(response => { localStorage.setItem('token', response.data.token); }); // 在需要进行身份验证的请求中添加Token axios.get('/api/users', { headers: { Authorization: 'Bearer ' + localStorage.getItem('token') } }); // 创建一个路由守卫 router.beforeEach((to, from, next) => { const publicPages = ['/login', '/register']; const authRequired = !publicPages.includes(to.path); const loggedIn = localStorage.getItem('token'); if (authRequired && !loggedIn) { return next('/login'); } next(); }); // 使用VueX进行状态管理 const store = new Vuex.Store({ state: { isLoggedIn: !!localStorage.getItem('token') }, mutations: { login(state) { state.isLoggedIn = true; }, logout(state) { state.isLoggedIn = false; } }, actions: { login({ commit }) { return new Promise(resolve => { axios.post('/api/auth/login', { username: 'admin', password: 'password' }).then(response => { localStorage.setItem('token', response.data.token); commit('login'); resolve(); }); }); }, logout({ commit }) { return new Promise(resolve => { localStorage.removeItem('token'); commit('logout'); resolve(); }); } } }); ```
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值