Spring Boot 使用 Hutool-jwt 实现 token 验证

最新推荐文章于 2024-03-01 09:59:08 发布
最新推荐文章于 2024-03-01 09:59:08 发布
阅读量2.5k 收藏 12
点赞数 1
分类专栏: Java Spring Boot 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29689343/article/details/131522359
版权

Spring Boot 使用 Hutool-jwt 实现 token 验证

文章目录

一、JWT 概述

1、简介

简单地说,JWT 就是一种网络身份认证和信息交换格式

2、结构

  • Header 头部信息,主要声明了 JWT 的签名算法等信息;
  • Payload 载荷信息,主要承载了各种声明并传递明文数据
  • Signature 签名,拥有该部分的 JWT 被称为 JWS,也就是签了名的 JWS ,用于校验数据。
# 整体结构
header.payload.signature

3、使用

JWT模块的核心主要是两个类:

  1. JWT类用于链式生成、解析或验证JWT信息。
  2. JWTUtil类主要是JWT的一些工具封装,提供更加简洁的JWT生成、解析和验证工作。

二、基本使用

逻辑较为简单,下面的代码作为参考。

0、整体思路

  1. 写一个工具类封装生成、校验和解析 token 的方法;
  2. 在注册和登录时生成 token ,生成的 token 存入 redis ,下次登录去 redis 获取,如果存在则直接返回,反之重新生成,并存入 redis;
  3. 在拦截器中校验和解析 token ,拿到 token 中有用的信息存入 private static final ThreadLocal<UserDto> *THREAD_LOCAL* = new ThreadLocal<>(); ,以便后续取用。

1、JWT 工具类

根据需要调整 userDto

package com.zibo.common.util;

import cn.hutool.jwt.JWT;
import com.zibo.modules.user.dto.UserDto;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import org.apache.commons.lang3.StringUtils;

/**
 * JWT 工具类
 *
 * @author zibo
 * @date 2023/7/2 14:36
 * @slogan 慢慢学,不要停。
 */
public class JWTUtility {

    /**
     * 密钥
     */
    private static final byte[] KEY = "zibo".getBytes();

    /**
     * 过期时间(秒):7 天
     */
    public static final long EXPIRE = 7 * 24 * 60 * 60;

    private JWTUtility() {
    }

    /**
     * 根据 userDto 生成 token
     *
     * @param dto    用户信息
     * @return token
     */
    public static String generateTokenForUser(UserDto dto) {
        Map<String, Object> map = new HashMap<>();
        map.put("id", dto.getId());
        map.put("nickname", dto.getNickname());
        return generateToken(map);
    }

    /**
     * 根据 map 生成 token 默认:HS265(HmacSHA256)算法
     *
     * @param map    携带数据
     * @return token
     */
    public static String generateToken(Map<String, Object> map) {
        JWT jwt = JWT.create();
        // 设置携带数据
        map.forEach(jwt::setPayload);
        // 设置密钥
        jwt.setKey(KEY);
        // 设置过期时间
        jwt.setExpiresAt(new Date(System.currentTimeMillis() + EXPIRE * 1000));
        return jwt.sign();
    }

    /**
     * token 校验
     * @param token token
     * @return 是否通过校验
     */
    public static boolean verify (String token) {
        if (StringUtils.isBlank(token)) return false;
        return JWT.of(token).setKey(KEY).verify();
    }

    /**
     * token 校验,并获取 userDto
     * @param token token
     * @return userDto
     */
    public static UserDto verifyAndGetUser(String token) {
        if(!verify(token)) return null;
        // 解析数据
        JWT jwt = JWT.of(token);
        Long id = Long.valueOf(jwt.getPayload("id").toString());
        String nickname = jwt.getPayload("nickname").toString();
        // 返回用户信息
        return new UserDto(id, nickname);
    }

}

2、在拦截器中校验和解析 token

package com.zibo.common.config;

import com.zibo.common.enums.AppCode;
import com.zibo.common.pojo.ApiException;
import com.zibo.common.pojo.UserHolder;
import com.zibo.common.util.JWTUtility;
import com.zibo.modules.user.dto.UserDto;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

/**
 * 自定义拦截器
 * @author Administrator
 */
@Component
@Slf4j
public class UserInterceptor implements HandlerInterceptor {

    /**
     * 进入controller方法之前执行。如果返回false,则不会执行 controller 的方法
     *
     * @param request 请求
     * @param response 响应
     * @param handler 处理器
     * @return 是否放行
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        // 获取 header 中的 Authorization 信息
        String token = request.getHeader("token");
        if (StringUtils.isNotBlank(token)) {
            UserDto dto = JWTUtility.verifyAndGetUser(token);
            if (dto != null) {
                UserHolder.setUserInfo(dto);
            } else {
                log.error("token 验证失败!token is {}, uri is {}", token, request.getRequestURI());
                throw new ApiException(AppCode.TOKEN_ERROR, "token 校验不通过!");
            }
        } else {
            log.error("token 验证失败!token is {}, uri is {}", token, request.getRequestURI());
            throw new ApiException(AppCode.TOKEN_ERROR, "token 为空!");
        }
        return true;
    }

    /**
     * 响应结束之前
     * @param request 请求
     * @param response 响应
     * @param handler 处理器
     */
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) {
        // 清理掉当前线程中的数据,防止内存泄漏
        UserHolder.remove();
    }
}

3、在注册和登录时签发 token

@PostMapping("/loginOrRegister")
public UserDto loginOrRegister(@RequestBody @Validated UserDto dto) {
    // 通过手机号查询
    UserDto byPhone = service.findByPhone(dto.getPhone());
    // 如果操作标记为空,则报错
    if (ObjectUtils.isEmpty(dto.getOperation())) {
        throw new ApiException("操作标记不能为空!");
    }
    // 如果是注册
    if (dto.getOperation() == 0) {
        // 如果用户已经存在,则报错
        if (ObjectUtils.isNotEmpty(byPhone)) {
            throw new ApiException("注册失败!账号已存在!");
        }
        // 创建用户
        Long save = service.save(dto);
        // 返回用户信息
        UserDto userDto = service.findById(save);
        // 根据用户生成 token
        String token = JWTUtility.generateTokenForUser(userDto);
        // 保存到 redis
        service.saveToken(userDto.getId(), token);
        // 设置 token
        userDto.setToken(token);
        LogUtility.baseInfoWith("注册成功!" + userDto);
        return userDto;
    }
    // 登录
    if (ObjectUtils.isEmpty(byPhone)) {
        log.error("登录失败!账号不存在!" + dto);
        // 账号不存在
        throw new ApiException("登录失败!账号不存在!com/zibo/controller/user/UserController.java:62");
    } else {
        // 比较密码是否一致
        if (!byPhone.getPassword().equals(dto.getPassword())) {
            throw new ApiException("登录失败!账号或密码错误!");
        }
        // 更新最后登录时间
        byPhone.setLastLoginTime(LocalDateTime.now());
        service.save(byPhone);
        // 从 redis 获取 token
        String token = service.getToken(byPhone.getId());
        if (StringUtils.isBlank(token)) {
            // 根据用户生成 token
            token = JWTUtility.generateTokenForUser(byPhone);
            log.info("用户登录,并生成token,id 为:{}, 昵称为:{},token 为:{}", byPhone.getId(), byPhone.getNickname(), token);
            // 保存到 redis
            service.saveToken(byPhone.getId(), token);
        }
        // 设置 token
        byPhone.setToken(token);
        LogUtility.baseInfoWith("登录成功!" + byPhone);
        return byPhone;
    }
}

4、用户信息 UserHolder

package com.zibo.common.pojo;

import com.zibo.modules.user.dto.UserDto;

/**
 * 存放用户信息的容器
 * @author Administrator
 */
public class UserHolder {

    private static final ThreadLocal<UserDto> THREAD_LOCAL = new ThreadLocal<>();

    private UserHolder() {
    }

    /**
     * 获取线程中的用户
     * @return 用户信息
     */
    public static UserDto getUserInfo() {
        return THREAD_LOCAL.get();
    }

    /**
     * 设置当前线程中的用户
     * @param info 用户信息
     */
    public static void setUserInfo(UserDto info) {
        THREAD_LOCAL.set(info);
    }

    public static Long getUserId() {
        UserDto dto = THREAD_LOCAL.get();
        if (dto != null) {
            return dto.getId();
        } else {
            // 注册或登录时没有,返回 0
            return 0L;
        }
    }

    public static void remove() {
        THREAD_LOCAL.remove();
    }

}
訾博ZiBo
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
hutool官方文档
09-21
hutool工具类官方文档,集成该工具类的项目可以参考该文档,进行使用
利用hutool生成和验证JWT的示例
热门推荐
蓝色忧郁
10-25 1万+
文章目录利用hutool生成和验证JWT的示例简介示例CodeJwtTest.javaJwtVerify.java 利用hutool生成和验证JWT的示例 简介 利用hutool工具类生成json-web-token hutool-all在5.7以上的版本才支持jwt <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId>
Java系列】Hutool-JWT
最新发布
Hyatt的博客
03-01 1203
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该 token 也可直接被用于认证,也可被加密。
hutool工具中jwt运用代码demo
qq_44871403的博客
06-07 312
【代码】hutool工具中jwt运用代码demo。
JAVA面试题分享五百二十四:使用 Spring Boot + Hutool 实现 JWT Token 生成及拦截功能
之乎者也·的博客
02-17 499
这一系列课程将包含Spring Boot 许多关键的技术和工具,包括 Mybatis-Plus、Redis、Mongodb、MinIO、Kafka、MySQL、消息队列(MQ)、OAuth2 等相关内容。使用 Spring Boot + Hutool 实现 JWT Token 生成及拦截功能在使用 Spring BootHutool 实现 JWT Token 生成及拦截功能时,首先需要在项目中配置相关的依赖和属性。
07-根据Hutool工具的JWT实现单点登录功能
NikoChina的博客
06-10 1102
*** 盐值很重要,不能泄漏,且每个项目都应该不一样,可以放到配置文件中*//**** 使用JWT生成Token* @param id 需要再token中保存的用户主键id* @param mobile 需要再token中保存的用户手机号* @return 生成token*/// 当前时间// 设置有效期// 设置token中的Payload 载荷信息// 签发时间// 过期时间// 生效时间// 保存的内容// 生成token 使用key作为salt。
使用 hutool包的jwt
laohu4521的博客
12-09 3208
jwt
利用hutool生成和验证JWT
KobeSacre的博客
06-13 2474
【代码】利用hutool生成和验证JWT
使用hutool工具类jwt生成token
weixin_45724648的博客
08-08 2951
使用hutool工具类jwt生成token
hutool jwt token 工具类
qq_26408545的博客
12-25 2696
自定义基于 jwt token的二次摘要签名认证。
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
SpringBoot-JWT-Token:JWT令牌,Spring-Security
spring-boot-security-jwt使用Spring Boot + Security + JWT用于REST端点的项目
01-30
Spring启动安全性 使用Spring Boot + Security + JWT进行REST端点身份验证/授权的项目。 关于例子 Spring Boot 1.5.4。发布 Sprign Framework 4.3.9。发布 Spring Security 4.2.3。发布 Tomcat嵌入8.5.15 乔达日期时间2.9.9 登录 您可以使用两种方式登录: 1-在LoginController中调用端点/ login 格式:JSON { "username" : "user" "password" : "test123" } 2-调用SpringSecurity提供的端点/ loginForm并在WebSecurityConfig类中进行配置。 格式:x-www-form-urlencoded(例如,表单提交) 成功响应如下: eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJiaHIiLCJyb2xlIjoiQURNSU4iLCJleHAiOjE1MDcxMDg3MjJ9.-fkoAQ-u8zHQBE4OgayRtJOpSTaEEyaL1bbPR
spring boot+jwt实现api的token认证详解
08-26
主要给大家介绍了关于spring boot+jwt实现api的token认证的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一学习学习吧
spring-boot-jwt-sample:spring-boot-jwt-sample
05-16
spring-boot-jwt-sample spring boot整合jwt完成接口授权认证 1、注册用户(POST) { "id": 1, "userName": "admin", "loginName": "admin", "password": "admin", "roles": "admin", "email": "[email protected]", "location": "xi'an", "signature": "admin", "createAt": "2018/5/30 10:06", "updateAt": "2018/5/30 10:06" } 2、获取token(POST) { "userName": "admin", "loginName": "admin", "password": "admin" } 3、
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
Apache Shiro 功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,Shiro 的设计理念因为追求灵活性,一些概念如 Realm,Subject 的抽象级别都比较高,显得比较复杂。如果没有对框架细节进行...
springboot-graphql-sqqr-jwt-demo:GraphQL Java后端代表使用Spring Boot,graphql-spqr和jsonwebtoken进行身份验证的正确方法
05-16
GraphQL Java后端代表了使用Spring Boot, 和jsonwebtoken进行身份验证/授权的正确方法令牌 java qraphql实现的强大之处令人赞叹,它使使用常规jsonwebtoken和简单过滤器的实现Spring Security一样容易实现 ...
spring-boot-jwt
12-04
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 入门demo
SpringBoot集成JWT实现token验证的流程
10-15
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).这篇文章主要介绍了SpringBoot集成JWT实现token验证,需要的朋友可以参考下
spring boot集成sa-token
05-25
集成 sa-token 可以让 Spring Boot 应用快速实现权限认证、RBAC、SSO、踢人下线等功能。下面是集成的步骤: 1. 引入 sa-token 的依赖 在 pom.xml 文件中添加以下依赖: ```xml <dependency> <groupId>cn.dev33.satoken</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.22.1-RELEASE</version> </dependency> ``` 2. 配置 sa-token 在 application.properties 或 application.yml 文件中添加以下配置: ```yaml # sa-token 配置 sa-token: # token 持久化类型:0-内存版、1-redis版、2-mongodb版、3-jwt版 store-type: 1 # redis 配置 redis: mode: standalone host: 127.0.0.1 port: 6379 database: 0 timeout: 0 # 其他配置... ``` 其中,store-type 表示 sa-token 的持久化类型,可以选择内存版、redis版、mongodb版或 jwt 版。此处选择了 redis 版。 3. 开启 sa-tokenSpring Boot 应用启动类上加上 @SaTokenApplication 注解即可开启 sa-token 的功能: ```java @SpringBootApplication @SaTokenApplication public class MyApplication { public static void main(String[] args) { SpringApplication.run(MyApplication.class, args); } } ``` 4. 使用 sa-token 现在,我们可以在代码中使用 sa-token 提供的 API 来实现权限认证、RBAC、SSO、踢人下线等功能了。比如: ```java @RestController public class MyController { // 登录接口 @PostMapping("/login") public String login(String account, String password) { // 模拟登录 if ("admin".equals(account) && "123456".equals(password)) { // 登录成功,生成token String token = SaTokenManager.createToken(account); // 返回token return token; } else { // 登录失败 return "账号或密码错误"; } } // 需要登录才能访问的接口 @GetMapping("/user") public String user() { // 获取当前登录账号 String account = SaTokenManager.getAccount(); // 返回当前登录账号 return "当前登录账号:" + account; } // 需要权限才能访问的接口 @GetMapping("/admin") public String admin() { // 检查是否具有admin角色 boolean isAdmin = SaTokenManager.hasRole("admin"); if (isAdmin) { return "欢迎管理员访问"; } else { return "没有访问权限"; } } // 注销登录接口 @PostMapping("/logout") public String logout() { // 注销登录 SaTokenManager.logout(); return "注销成功"; } } ``` 以上是使用 sa-token 的基本示例,你可以根据自己的需求,使用 sa-token 提供的更多 API 实现更复杂的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值