JAVA SSM项目 JWT搭建及服务端鉴权(自定义注解实现)

最新推荐文章于 2024-02-20 01:41:07 发布
最新推荐文章于 2024-02-20 01:41:07 发布
阅读量2k 收藏 12
点赞数 3
分类专栏: java 文章标签: java jwt ssm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28452049/article/details/88915923
版权

JAVA SSM项目 JWT搭建及服务端鉴权(自定义注解实现)


本人菜鸟一枚,不太喜欢写东西,最近搭建了个JWT鉴权的Demo,好东西我就不藏着了,分享给大家。当然注释我会尽量写的详细些。

表数据结构

简单的用户角色表

Maven依赖

		<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.6.0</version>
        </dependency>

自己封装的ReturnResult和ReturnMsg

下面是返回结果,这里比较简单,我就不写注释了

public class ReturnResult {
	private Object data;
	private String code;
	private String msg;

	private ReturnResult( Object data, String code, String msg) {

		this.data = data;
		this.code = code;
		this.msg = msg;
	}

	private ReturnResult(Object data) {
		this.data = data;
		this.code = ReturnMsg.SUCCESS.getCode();
		this.msg = ReturnMsg.SUCCESS.getMsg();
	}

	private ReturnResult(String code, String msg) {
		this.code = code;
		this.msg = msg;
	}

	private ReturnResult() {
		this.code = ReturnMsg.ERROR.getCode();
		this.msg = ReturnMsg.ERROR.getMsg();
	}
	
	public static ReturnResult success( Object data, String code, String msg) {
		return new ReturnResult( data, code, msg);
	}


	public static ReturnResult success(Object data) {
		return new ReturnResult(data);
	}


	public static ReturnResult success() {
		return new ReturnResult("");
	}


	public static ReturnResult error() {
		return new ReturnResult();
	}

	public static ReturnResult error(String code, String msg) {
		return new ReturnResult(code, msg);
	}
	//getter和setter

}

下面是返回信息

public enum ReturnMsg {
	SUCCESS("0", "操作成功"),
	EXCEPTION1("10001", "未知异常"),
	EXCEPTION2("10002", "操作失败"),
	EXCEPTION3("10003", "上传失败"),
	EXCEPTION4("10004", "账号或密码错误"),
	EXCEPTION5("10005", "自定义异常"),
	ERROR("-1", "失败");
	
	private String code;
	private String msg;
	
	private ReturnMsg (String code, String msg) {
		this.code = code;
		this.msg = msg;
	}
	
	public String getCode() {
		return code;
	}
	public void setCode(String code) {
		this.code = code;
	}
	public String getMsg() {
		return msg;
	}
	public void setMsg(String msg) {
		this.msg = msg;
	}
}

首先是登录的Controller

@RestController
@RequestMapping("user")
public class LoginController {
	
	@Autowired
	private JwtLoginService jwtLoginService;

	@Autowired
	//这里是查用户的详细信息,代码我就不贴了
	private UserService userService;

	@RequestMapping("login")
	public ReturnResult login(@RequestBody Usr usr){

		//这里会把生成的jwt返回
		String jwt = jwtLoginService.login(usr);
		//如果jwt为空,说明用户未登录,直接返回个错误
		if (jwt==null||"".equals(jwt)){
			return ReturnResult.error();
		}
		
		Usr usrvo = userService.menuByUserName(usr.getUsername());
		//这里会把用户详情和jwt带给前端
		return ReturnResult.success(usrvo,ReturnMsg.SUCCESS.getCode(),jwt) ;
	}
}

jwt接口及实现类

public interface JwtLoginService {
     String login(Usr userLogin);
}

@Service
public class JwtLoginServiceImpl implements JwtLoginService {

    @Autowired
    private UsrMapper usrMapper;

    public String login(Usr userLogin){
    	//这里很简单的进行校验,如果能在数据库里查到传入的用户名和密码,说明登录成功,这里可以改成MD5加密校验
        Usr usr = usrMapper.LoginByNamePass(userLogin.getUsername(), userLogin.getPassword());
        //没查到说明登录失败
        if(usr == null){
            return null;
        }else {
            //登录成功 设置jwt
            JWTUtils util = new JWTUtils();
            //将查询到的角色ID存在一个数组里面写到jwt中,后面鉴权会用到
            Map<String, Object> payload = new HashMap<String, Object>();
            //这里我在Usr中封装了个List<Role>  可以使用Mybatis封装进去,下面我贴出UsrMapper的部分代码
            List<Role> roleList = usr.getRoleList();
            List<Long> roles = new ArrayList<>();
            if (roleList!=null&&roleList.size()>0){
                for (Role role : roleList) {
                    roles.add(role.getId());
                }
            }
            payload.put("roles", roles);

            try {
            	//86400000是过期时间  24小时
                String jwt =util.createJWT("jwt", usr.getUsername(), 86400000,payload);
                return jwt;
            } catch (Exception e) {
                e.printStackTrace();
            }
            return null;
        }
    }
}

UsrMapper 这里大家自己来实现,也可以用SpringDataJPA

//登录根据用户名密码查找
    @Select("SELECT * FROM usr WHERE username= #{username} AND PASSWORD = #{password} ")
    @Results(value = {
            @Result(id=true,property = "id",column = "id"),
            @Result(property = "roleList",column = "id",many = @Many(select = "com.xxx.mapper.RoleMapper.findByUid"))
    })
    Usr LoginByNamePass(@Param("username") String username,@Param("password") String password);

接下来是工具类

public class JWTUtils {
    public String createJWT(String id, String subject, long ttlMillis,Map<String, Object> claims) throws Exception {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; // 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。
        long nowMillis = System.currentTimeMillis();// 生成JWT的时间
        Date now = new Date(nowMillis);
        SecretKey key = generalKey();
        // 下面就是在为payload添加各种标准声明和私有声明了
        JwtBuilder builder = Jwts.builder() // 这里其实就是new一个JwtBuilder,设置jwt的body
                .setClaims(claims) // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setId(id) // 这里是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。
                .setIssuedAt(now) //  jwt的签发时间
                .setSubject(subject) // 这里代表这个JWT的主体,可以是用户名,id,保证唯一就可以了
                .signWith(signatureAlgorithm, key);// 设置签名使用的签名算法和签名使用的秘钥
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp); // 设置过期时间
        }
        return builder.compact(); // 生成jwt
    }

    /**
     * 解密jwt
     */
    public Claims parseJWT(String jwt) throws Exception {
        SecretKey key = generalKey(); // 签名秘钥,和生成的签名的秘钥一模一样
        Claims claims = Jwts.parser() // 得到DefaultJwtParser
                .setSigningKey(key) // 设置签名的秘钥
                .parseClaimsJws(jwt).getBody();// 设置需要解析的jwt
        return claims;
    }

    /**
     * 由字符串生成加密key
     */
    public SecretKey generalKey() {
        PropertiesUtils propertiesUtils = new PropertiesUtils();
        byte[] encodedKey = Base64.decodeBase64(123);// 本地的密码解码,这里自定义
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");// 根据给定的字节数组使用AES加密算法构造一个密钥,使用
        return key;
    }

}

接下来是关键,拦截器

@Component
public class JWTInterceptor implements HandlerInterceptor {

    public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)
            throws Exception {
    }

    public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, ModelAndView arg3)
            throws Exception {
    }

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        JWTUtils util = new JWTUtils();
        //前端请求必须在请求头中带Authorization
        String jwt = request.getHeader("Authorization");
        //获得realIP,用于白名单或黑名单,这是我配了Nginx,把真实的IP写到请求头里面了,这里可以不管
        String realIP = request.getHeader("X-Real-IP");
        if (realIP != null) {
            if (realIP.equals("xxx.xxx.xxx.xxx"))) {
                return true;
            }
        }
        if (jwt == null) {
            //这里应该用自定义异常
            response.getWriter().write("未登录,请重新登录后操作");
            return false;
        } else {
            Claims c = util.parseJWT(jwt);
            //拿到自定义的角色数组
            List<Integer> list = (List<Integer>) c.get("roles");
            if (list == null || list.size() < 1) {
                throw new InsufficientAuthorityException("非法用户");

            }
            
            if (handler instanceof HandlerMethod) {
                HandlerMethod handlerMethod = (HandlerMethod) handler;
                //拿到方法上的注解,方法上的注解优先
                XXSecurity eMethod = handlerMethod.getMethodAnnotation(XXSecurity .class);
                //拿不到,也能写在了类上,下面做判断
                if (eMethod != null) {
                    int[] value = eMethod.value();
                    //注解内容为空,说明这个方法不需要做权限控制
                    if (value.length == 0) {
                        return true;
                    }
                    //注解中的权限包含该用户的权限就直接放心
                    for (int i : value) {
                        if (list.contains(i)) {
                            return true;
                        }
                    }
                    //走完上面的循环,说明用户没有权限,我这里使用的自定义异常,当然return false也可以
                    throw new InsufficientAuthorityException("权限不足");

                } else {
                //拿到类上的注解,和上面同理
                    XXSecurity eType = handlerMethod.getMethod().getDeclaringClass().getAnnotation(XXSecurity .class);
                    if (eType != null) {
                        int[] value = eType.value();
                        if (value.length == 0) {
                            return true;
                        }
                        for (int i : value) {
                            if (list.contains(i)) {
                                return true;
                            }
                        }
                        //直接return false也行
                        throw new InsufficientAuthorityException("权限不足");
                    } else {
                        return true;
                    }
                }
            }
            //走到这里说明在方法和类上都没有权限注解,直接放行
            return true;
        }
    }
}

记得在springmvc.xml中配置

  <mvc:interceptors>
        <!-- 使用bean定义一个Interceptor,直接定义在mvc:interceptors根下面的Interceptor将拦截所有的请求 -->
        <mvc:interceptor>
            <!-- 进行拦截:/**表示拦截所有controller -->
            <mvc:mapping path="/**" />
            <!-- 不进行拦截 -->
            <mvc:exclude-mapping path="/user/login.do" />
            <!--根据自己的-->
            <bean class="com.xxx.jwt.interceptor.JWTInterceptor" />
        </mvc:interceptor>
    </mvc:interceptors>

权限注解,直接拿去用

/**
 * 权限验证注解,可以加在类或方法上
 * 方法上的优先
 * 默认值是该方法所有人都可以访问
 */
 //类和方法上生效
@Target({ElementType.METHOD,ElementType.TYPE})
//运行时有效
@Retention(RetentionPolicy.RUNTIME)
//在javadoc文档中使用(这个不重要)
@Documented
public @interface XXSecurity {
    int [] value() default {};
}

定义个常量类

public class RoleConstant {
    public static final int STU=1;
    public static final int TEA=2;
    public static final int EDU=3;
    public static final int TEA_M=4;
}

我把表也贴上来
在这里插入图片描述

最后,用起来就相当简单了

类上方法上任意加,方法上优先

@RestController
@RequestMapping("user")
@XXSecurity(RoleConstant.STU)
public class UserController {

    @Reference
    private UserService userService;

    @RequestMapping("menu")
    @XXSecurity({RoleConstant.TEA,RoleConstant.STU})
    public ReturnResult menu(String username) {
        Usr usr = userService.menuByUserName(username);
        return ReturnResult.success(usr);
    }
 }

第一次写博客,写的可能不太具体,有什么疑问可以加我qq 540814390,欢迎来撩,我也会不定期的更新,大家关注一下。

Vergil_540814390
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Java ssm 完整项目(包括数据库)
03-27
Java ssm 完整项目(包括数据库)。 ssm完整项目,包括mysql数据库,可以直接用的。 ssm
java jwt token 使用_Java中使用JWT生成Token进行接口鉴权实现方法
weixin_33327330的博客
02-16 640
先介绍下利用JWT进行鉴权的思路:1、用户发起登录请求。2、服务端创建一个加密后的JWT信息,作为Token返回。3、在后续请求中JWT信息作为请求头,发给服务端。4、服务端拿到JWT之后进行解密,正确解密表示此次请求合法,验证通过;解密失败说明Token无效或者已过期。流程图如下:一、用户发起登录请求二、服务端创建一个加密后的JWT信息,作为Token返回1、用户登录之后把生成的Token返回给...
十分钟,带你看懂JWT(Json Web Token)
cul1n的博客
02-20 1109
在挖掘 SRC 的时候,面对一些 SSO 的场景,经常会看到一些奇奇怪怪的数据,这些数据多以三段式加密方式呈现,在后续的学习过程中,明白了此类令牌名为Token,在之前的学习过程中简单了解了下 JWT 的呈现方式,但是对其更深入的内容浅尝辄止,本篇文章从一个全面的方向了解,什么是 JWTJWT 如何利用和攻击,旨在帮助安全从业人员更好的了解网络安全的令牌工作机制。本文配套靶场地址为WebGoat靶场身份验证及失败部分。
Spring使用自定义注解和拦截器实现鉴权
跟心爱的人一起浪迹天涯
11-16 952
自定义注解类 Target 注解可使用位置 类和方法 Retention 生命周期 在运行过程中仍然使用 import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Target({ElementType.TYPE, ElementType.ME
JAVA——通过自定义注解实现每次程序启动时,自动扫描被注解的方法,获取其路径及访问该路径所需的权限并写入数据库
weixin_56039103的博客
09-20 2605
在需要扫描的微服务项目中新建一个自定义注解,因为这里定义的注解用于鉴权,因此给该注解取名叫做MyAccessControlAnnotation//@Retention--用于指定注解保留范围:SOURCE源码 --> CLASS字节码 --> RUNTIME运行 @Retention(RetentionPolicy . RUNTIME) //@Target--用于标记这个注解应该是哪种 Java 成员,METHOD用于放方法头上 @Target({
java 注解 权限_基于SpringBoot的自定义注解 实现权限控制
weixin_30151653的博客
02-16 600
应一位朋友邀请写下此篇文章,不足之处请多多指教首先我们定义一个注解 传入一个参数(传递权限的编码)import java.lang.annotation.ElementType;import java.lang.annotation.Retention;import java.lang.annotation.RetentionPolicy;import java.lang.annotation.T...
自定义注解结合AOP实现接口权限校验
Tyler.shi的博客
09-07 1321
在编写接口api时,基于数据安全的考虑,我们通常会在接口进行权限校验,有权限的才可以查询数据,没有权限我们可以抛出异常“没有权限,禁止访问“。通常,我们实现是这样的: @ApiOperation("根据id查询用户信息") @GetMapping("/data/{id}") public BaseResponse<String> getData(@PathVa...
基于SpringAOP实现自定义接口权限控制
秃了也弱了
11-06 276
使用枚举进行权限的定义,通过四级权限树,将权限分为模块、单元、功能级、接口。/*** 接口权限枚举定义类*//*** 四级权限树* 1 模块* - 2 功能* - - 3 接口集(一般是Controller)* - - - 4 具体接口(@RequestMapping)*/// 用户管理User("user", "用户", Type.Module),SysUser(User, "系统用户", Type.Unit),
Sa-Token之注解鉴权:优雅的将鉴权与业务代码分离!
shengzhang_的博客
09-13 2088
Sa-Token之注解鉴权:优雅的将鉴权与业务代码分离! Sa-Token 介绍: Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题。 今天,我们主要介绍一下 Sa-Token 中的注解鉴权,它可以让我们:优雅的将鉴权与业务代码分离! GitHub 开源地址:https://github.com/dromara/sa-token 前置工作: 1、首先我们在 pom.xml 引入依赖: &
自定义注解实现权限验证
欢迎一起学习交流
03-02 3064
一、前言 在我们写项目时,一个项目通常会有拥有不同角色的用户,在进入某个方法前,会判断该用户是否具有此权限,今天我们来用自定义注解实现一下这个功能。 二、业务场景 1.场景介绍 假如有一个学生管理系统,我们来对一个用户是否具有对学生管理这个模块操作的权限进行验证 2.数据库 存储用户基本信息的用户表 角色表 用户角色关联表 3.前情提示 在写权限验证之前要把登录功能并传入token,在token里保存登录用户的角色id(后面会用到) //登录 @Reque..
Java注解
qq_46940224的博客
08-12 80
Java注解
java初学者——IDEA——SSM项目环境搭建
04-12
java初学者——IDEA——SSM项目环境搭建
源码 java SSM 快速开发框架项目源码
01-20
【源码】 java SSM 快速开发框架项目源码【源码】 java SSM 快速开发框架项目源码【源码】 java SSM 快速开发框架项目源码【源码】 java SSM 快速开发框架项目源码【源码】 java SSM 快速开发框架项目源码【源码】 ...
ssm+自定义标签+自定义注解 实现权限细粒度控制
04-13
模仿shiro 框架,自己实现的权限管理系统 采用 ssm+自定义标签+自定义注解 来达到细粒度控制权限
java SSM 校园新闻系统 参赛项目.zip
最新发布
03-06
资源简介:SSM Java 项目集合 一、概述 在这个平台上,我们为大家带来了一系列的 JavaSSM(Spring + SpringMVC + MyBatis)项目。这些项目旨在展示SSM框架在实际应用中的魅力,同时也为开发者提供了一个快速学习和...
Excel导入导出工具类,使用注解实现,基于若依框架工具类修改
热门推荐
qq_28452049的博客
06-04 1万+
Excel导入导出工具类,使用注解实现,基于若依框架工具类修改Maven依赖Java 代码使用案例 第六更,一个超级好用的工具类,只需要在实体类上加注解,就可以实现将 List 集合导出Excel,Excel数据导入生成 List ,支持日期转换,内容转换(如 0 -> 女,1 -> 男),默认值设置。用法也可参考:http://doc.ruoyi.vip/#/standard/hts...
基于EasyExcel多线程分页导出excel
qq_28452049的博客
05-31 8132
基于EasyExcel多线程分页导出excelMaven依赖线程池配置导出代码 第七更,基于EasyExcel 多线程分页导出excel 在项目中,BA要求全量导出表中数据,估计有十几万条,同事使用的是EasyPoi导致内存泄漏,我帮他优化,使用阿里的EasyExcel,解决了内存泄漏问题,但是导出17万数据仍需要84秒(本地测试),于是想到了多线程优化,最终测试时间为40秒,服务器上速度会更快,代码如下 Maven依赖 <dependencies> <dependen
阿里EasyExcel国际化解决方案,基于原本框架扩展
qq_28452049的博客
06-07 5098
阿里EasyExcel国际化解决方案,基于原本框架扩展Maven依赖占位符解析器导出扩展导入扩展封装工厂类实体类i18n文件打开方式 第八更,阿里 EasyExcel 国际化解决方案,基于原本框架扩展 项目中原本使用的是 EasyPoi,发现了性能问题,要切换到 EasyExcel,之前 EasyPoi 的国际化也是我扩展的,最近看了一两天 EasyExcel 源码,终于有思路来扩展下国际化。 使用方式,在实体类上面打上 EasyExcel 提供的注解 @ExcelProperty ,只不过 value 值
spring cache设置指定key缓存过期时间
qq_28452049的博客
11-15 2707
spring cache设置指定key缓存过期时间Maven依赖Cache配置类 第九更,spring cache设置指定key缓存过期时间,基于spring的生命周期,在创建CacheManager之前获取所有的cacheName,并根据分割符“#”切分cacheName,得到过期时间,并设置,不包含分割符的cacheName,使用默认过期时间(2天)。 Maven依赖 <dependencies> <!--使用的是2.2.11.RELEASE版本--> <depen
依据ssm框架搭建java服务端
10-28
下面我将用300字回答关于基于SSM框架搭建Java服务端的问题。 首先,我们需要搭建开发环境。首先,确保已经安装好Java、Tomcat、MySQL等软件。然后,在IDE中创建一个新的Web项目,导入SSM框架的相关依赖,如Spring、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值