基于JWT的用户token验证

最新推荐文章于 2024-04-29 16:32:49 发布
最新推荐文章于 2024-04-29 16:32:49 发布
阅读量415 收藏 9
点赞数 9
分类专栏: springboot基础知识 文章标签: java 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30092289/article/details/135305564
版权
文章介绍了基于session和token的用户验证方法,重点讲解了使用JWT进行身份验证的详细步骤,包括代码实现,如使用`java-jwt`库生成和验证token,以及如何在前后端交互中利用token获取用户信息。
摘要由CSDN通过智能技术生成

1. 基于session的用户验证

2. 基于token的用户身份验证

3. jwt

jwt代码实现方式

1. 导包

<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.18.2</version>
</dependency>

2. 在登录用户接口返回token(当用户登录时返回token)

登录接口

@PostMapping("/user-tokens")
public JsonResponse<String> login(@RequestBody User user) throws Exception {
    String token = userService.login(user);
    return new JsonResponse<>(token);
}
public String login(User user) throws Exception {
        // 判断用户登录逻辑
        ...
        //如果用户登录成功,返回token,token基于用户id
        String token = TokenUtil.generateToken(user.getId());
        return token;
    }
public class TokenUtil {

    private static final String ISSUER = "签发者";

    // 创建token
    public static String generateToken(Long userId) throws Exception {
        Algorithm algorithm = Algorithm.RSA256(RSAUtil.getPublicKey(),RSAUtil.getPrivateKey());
        Calendar calendar = Calendar.getInstance();
        calendar.setTime(new Date());
        calendar.add(Calendar.SECOND,30);
        return JWT.create().withKeyId(String.valueOf(userId))
                .withIssuer(ISSUER)
                .withExpiresAt(calendar.getTime())
                .sign(algorithm);
    }
  
}

上面的代码会通过用户id生成一个token,前端可以得到token,然后将token报错在浏览器内存里

然后前端只要发送请求,都会带着token

服务端通过token获取用户信息

@GetMapping()
public User getUserInfo(){
    Long userId = userSupport.getCurrentUserId();
    User user = userService.getUserInfo(userId);
    return user;
}

先通过传过来的heander,得到token

public Long getCurrentUserId(){
    ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
    String token = requestAttributes.getRequest().getHeader("token");
    Long userId = TokenUtil.verifyToken(token);
    if(userId < 0){
        throw new ConditionException("非法用户");
    }
    return userId;
}

然后验证token,获得用户id

public class TokenUtil {

    private static final String ISSUER = "签发者";

   
    // 验证token
    public static Long verifyToken(String token){
        try {
            Algorithm algorithm = Algorithm.RSA256(RSAUtil.getPublicKey(), RSAUtil.getPrivateKey());
            JWTVerifier verifier = JWT.require(algorithm).build();
            DecodedJWT jwt = verifier.verify(token);
            String userId = jwt.getKeyId();
            return Long.valueOf(userId);
        }catch (TokenExpiredException e){
            throw new ConditionException("555","token过期!");
        }catch (Exception e){
            throw new ConditionException("非法token");
        }
    }
}

最后通过用户id获得用户信息

基本逻辑梳理

1. 用户先登录,登录是会判断是否为合法用户,如果是就返回一个token

2. 前端得到token,然后发送请求时会在header携带token

3. 后端从Header的到token,然后通过jwt解析token,成用户id

4. 通过用户Id可以查询时哪个用户

雪谷垂钓
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
JWT--Token(令牌)验证
jiangsheer的博客
03-13 1万+
什么是Token? 在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般我们所说的的token大多是指用于身份验证token 为什么使用token? 我们需要每次都知道当前请求的人是谁,但是又不想每次都让他提交用户名和密码,这时就需要有一个等同于用户名密码也能够标识用户身份的东西,即—token. 基于Token的身份验证方法 客户端使用用户名和密码请求登录 服务端收到请求,...
3.Spring Security实现JWT token验证
相互学习 共同进步
04-24 3432
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
Token验证--JWT
qingxiao1999的博客
09-06 3355
Token的本质是将有意义的数据进行加密处理后的结果,各服务器都只需要具有解析这个加密数据的功能即可获取到其中的信息含义,理论上**不占用内存资源,更适合用于集群和分布式系统,但是,存在一定的被解密的风险(概率极低)。
基于jwttoken验证、原理及流程
z_ssyy的博客
05-31 6805
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JWT Token生成及验证
07-16
JWT即将过期时,用户可以使用刷新Token获取新的JWT,而旧的JWT则失效。 8. **JWT在API安全中的应用**:JWT常用于API的身份验证,客户端在请求时附带JWT服务器验证通过后才允许执行相应操作。这种方式减少了...
基于jwt token验证
m0_71472890的博客
11-30 1192
JWT全称是JSON WEB TOKEN,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在多方之间安全地传输JSON格式的信息。JWT主要由三部分组成:头部(Header)、负载(Payload)、签名(Signature),每部分之间以点(.)分隔。头部(Header):这部分包含令牌类型和所使用的算法。载荷(Payload):这部分包含用户信息和其他元数据。签名(Signature):这部分是对头部和载荷进行加密签名以验证其完整性和真实性的部分。
JWT产生和验证Token
热门推荐
yjclsx的博客
07-31 44万+
Token验证   最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 传统的Token验证 ...
基于Java验证jwt token代码实例
08-25
基于Java验证jwt token代码实例 基于Java验证jwt token代码实例是指使用Java语言来验证JSON Web TokenJWT)的代码实现。JWT是一种常用的身份验证机制,通过使用密钥对和加密算法来生成和验证token。 在这个代码...
基于Token的身份验证JWT基础教程
10-18
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。下面这篇文章主要给大家介绍了关于基于Token的身份验证JWT的基础相关资料,文中通过示例代码的非常详细,需要的朋友可以参考下
05-基于JWT实现用户登录、根据token获取userId
NikoChina的博客
05-15 2206
验证过程:服务端验证 浏览器携带的用户名和密码,验证通过后生成用户凭证保存在服务端(session),浏览器再次访问时,服务端查询session,实现登录状态保持。缺点:随着用户的增多,服务端压力增大;若浏览器cookie被攻击者拦截,容易受到跨站请求伪造攻击;分布式系统下扩展性不强。
基于jwttoken验证
weixin_34266504的博客
06-06 1041
一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该t...
Springboot集成JWT用户名,密码生成token
administratop的博客
11-11 2070
基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby,更适用于移动应用: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的。更适用CDN: 可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服。支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通。务端只要提供API即可.
JWT Token、ID Token、Access Token、Refresh Token
乌龟的专栏
02-22 7414
JWT Token、ID Token、Access Token、Refresh Token
【springboot】jwt实现token验证
lorogy的博客
01-08 1108
什么是jwt Json web token (JWT),用于进行身份验证,开销小,适用于单点登录。优点是token是以json加密的形式保存在客户端的,跨语言;能将用户需要的所有信息都加密到token里,不用多次查询数据库;不用在服务端保存会话信息,适用于分布式微服务。 用户使用账密发送post请求 服务器使用私钥创建jwt(生成签名) 服务器返回这个jwt给浏览器 浏览器将该jwt加在之后所有请求的请求头中 服务器拦截请求验证jwt(校验token验证通过则返回响应信息给浏览器 jwt构成: 头
基于JWTToken认证
互联网叫兽
03-02 2158
1、什么是JWT JSON Web Tokens,是一种开发的行业标准规范RFC 7519。广泛的用在系统的用户认证方面。 2、JWT结构 JWT 由三个部分依次组成 Header(头部) Payload(载荷) Signature(签名) 2.1、Header Header 部分是一个 JSON 对象,描述 JWT 的元数据,包含算法和token类型。 需要对json进行base64url加密 { "alg": "HS256", "typ": "JWT" } 2.2、Payload 用来存
JWT 实现 token 认证
javaTalk
06-15 6472
目录 一 什么是 JWTJWT 适用场景 2.1 认证 2.2 信息交换 三 几种认证方式 3.1 session 认证 3.2 token 认证 四 JWT 的数据结构 4.1 header 4.2 playload 4.3 signature 4.4 总结 五 JWT 的使用方式 六 JWT的优点 七 JWT的使用注意 八 JWT 等待解决的问题 九 参...
基于JWT实现的Token认证方案
最新发布
zzy7075的专栏
04-29 1010
服务器的受保护路由将检查授权头中是否存在有效的JWT,如果存在,则允许用户访问受保护的资源。4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。签名用于验证消息在整个过程中没有更改,并且对于使用私钥进行签名的令牌,它还可以验证JWT的发送者是它所说的真实身份。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。请注意:使用签名的TokenToken中包含的所有信息都将向用户或其他方公开,即使他们无法更改它。
JWT Token实现与用户登录验证详解
总结,后台用户登录-Token模块是基于JWT的身份验证核心,它确保了用户身份的合法性并限制了会话的生命周期。理解并正确配置这一模块对于构建安全的Web应用至关重要。通过集成JWT技术,开发者能够简化用户认证过程,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值