springboot整合jwt做api接口权限认证的demo

最新推荐文章于 2024-04-15 06:24:47 发布
最新推荐文章于 2024-04-15 06:24:47 发布
阅读量285 收藏 2
点赞数
分类专栏: JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33129875/article/details/110440086
版权

Demo介绍:

1,使用jwt工具类为使用者生成token

2,后续接口请求需要携带token header信息

3,拦截器进行token合法校验,成功方能获取数据。

 demo git地址:https://github.com/RuofeiSun/springboot-jwt.git 

项目依赖:

<!--Spring框架基本的核心工具-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-slf4j-impl</artifactId>
            <version>2.12.0</version>
        </dependency>
        <!-- lombok -->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <scope>1.8.4</scope>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.47</version>
        </dependency>

 

token生成:

public static String createToken(String userId){
        //获取加上过期时间后的时间
        Date nowDate = new Date();
        System.out.println(nowDate);
        Date expiresDate = new Date(System.currentTimeMillis()+expiresTime);
        Map<String,Object> map = new HashMap<String,Object>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");
        String token = JWT.create().withHeader(map)	//请求头
                .withClaim("iss", "Service")	//签发方
                .withClaim("aud", "Client")		//接收方
                .withClaim("userId", null==userId?null:userId) //存储信息,用户ID
                .withIssuedAt(nowDate)		//当前时间
                .withExpiresAt(expiresDate)		//过期时间
                .sign(Algorithm.HMAC256(SECRET));		//私钥

        return token;
    }

此处可以看到auth0.jwt中的JWT.create方法来实现了JWT编码的三个部分,

Header:JWT的头部承载两部分信息:token类型和采用的加密算法。

Payload:载荷就是存放有效信息的地方

"有效信息包含三个部分
1.标准中注册的声明
2.公共的声明
3.私有的声明

标准中注册的声明 (建议但不强制使用) :

iss: jwt签发者
sub: 面向的用户(jwt所面向的用户)
aud: 接收jwt的一方
exp: 过期时间戳(jwt的过期时间,这个过期时间必须要大于签发时间)
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明 :

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密."

私有的声明 :

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

Sign:签名(根据本地的私钥加盐的组合加密)

jwt的第三部分是一个签证信息
这个部分需要base64加密后的headerbase64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密

 

token校验:

用本地的私钥对token进行验证

    /**
     * 验证token合法性
     * @param token
     * @return
     */
    public static boolean verifyToken(String token){
        try{
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
            verifier.verify(token);
            return true;
        }catch(Exception e){
            log.error(e.getMessage(), e);
            return false;
        }
    }

 

配置拦截器对token进行验证:

public class AuthInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 从 http 请求头中取出 token
        String token = request.getHeader("token");
        if (StringUtils.isEmpty(token)){
            throw new Exception("无token,请重新登录");
        }
        //jwt验证
        if (!TokenManager.verifyToken(token)){
            throw new Exception("token验证失败");
        }

        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

接口测试类:

@RestController
@RequestMapping("/test")
public class TestController {

    /**
     * 登录并获取token
     * @param userName
     * @param passWord
     * @return
     */
    @PostMapping("/login")
    public Object login( String userName, String passWord)throws Exception{

        JSONObject jsonObject=new JSONObject();
        // 检验用户是否存在(为了简单,这里假设用户存在,并制造一个uuid假设为用户id)
        String userId = UUID.randomUUID().toString();
        // 生成签名
        String token= TokenManager.createToken(userId);
        Map<String, String> userInfo = new HashMap<>();
        userInfo.put("userId", userId);
        userInfo.put("userName", userName);
        userInfo.put("passWord", passWord);
        jsonObject.put("token", token);
        jsonObject.put("user", userInfo);
        return jsonObject;
    }

    /**
     * 该接口需要带签名才能访问
     * @return
     */
    @GetMapping("/getMessage")
    public String getMessage(){
        return "你已通过验证";
    }

}

效果:

模拟登录获取token

 

直接访问getMessage不带token

带token访问getMessage

java路飞
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合jwtDemo
蔡定努
05-11 723
Demo地址:https://download.csdn.net/download/caidingnu/11171930
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
1.用.Net6平台WebApi项目开发 2.使用jwt给用户颁发密钥 3.swagger验证配置 4.接口jwt验证密钥方法 5.运行就能使用
Spring Boot 实现 JWT
云胡
06-21 7686
Web 网站离不开用户认证,这边我们不用 ,而直接使用 。JWT 的背景知识可以看阮一峰老师的这篇文章: JSON Web Token 入门教程JWT 由三个部分组成:在 中添加 配置信息。 2.2 新建 JwtUtil 工具类 新建 目录,在 目录下新建 。将当前 注入到 容器中。,匹配 配置文件的前缀,然后将配置文件里面的数据加载到当前类。 2.3 用户登录创建 token 2.3 拦截器验证 token 如何自定义拦截器可以看我的这篇: Spring Boot 2 配置登录拦截。 三、参考资料
springboot JWT项目实战demo
世幻水的博客
08-07 868
本文是一篇实战demo,使用框架为io.jsonwebtoken的jjwt。你会了解到token的生成,解析过程,最后将在项目中体验jwt的使用过程。如果不是很了解jwt,可以参考以下文章补充一下。 什么是 JWT – JSON WEB TOKEN 一篇文章带你分清楚JWT,JWS与JWE 目录 1、引入所用到的库 2、生成一个token 3、解析Token 4、自定义加密数据 5、实际运用 6、注意事项 7、其他可选项 1、引入所用到的库 <!-- jwt相关 --> <depen
使用SpringSecurity为API接口添加鉴权token
WiLL_XS的博客
03-16 5257
当我们使用SpringBoot实现了一个简单的API接口之后,我们如何去保证我们的API接口只让我们运行的人调用呢。这时候就需要对我们的API接口进行保护。在别人访问这些接口的时候,我们对访问者进行身份的验证,从而对接口的保护。 基本流程如下图: 当然我们需要一个接口给用户请求Token,要不然用户拿不到token怎么去请求其他资源呢。流程图如下: 接下来我们按照流程一步一步实现。 ...
SpringBoot集成JWT案例demo
qq_41128049的博客
04-04 523
快速用jwt写个demo登录案例
SpringBoot + JWT 定制 API权限
LiuZihao97的博客
04-21 249
总体思路 一、设置token: 1、前端向后端传入账号和密码,后端验证成功后制作一个token返回给前端 2、前端存储这个token 二、使用token: 1、访问后端的特定API时,在request头部加入token 2、后端对访问特定API的请求进行拦截,验证request头部的token,验证通过则允许使用这个特定的API,否则返回一个提示信息提醒用户需要登录 SpringBootJWT的...
SpringBoot集成JWT实现权限认证
Java碎碎念
11-04 811
点击上方“Java碎碎念”,关注公众号优质文章,第一时间送达本文目录 一、JWT认证流程二、SpringBoot整合JWT三、测试一、JWT认证流程 JWT认证流程认证流程如下:用户使用账号和密码发出post请求;服务器使用私钥创建一个jwt;服务器返回这个jwt给浏览器;浏览器将该jwt串在请求头中像服务器发送请求;服务器验证该jwt;返回响应的资源给浏览器。二、SpringBoot整合JWT ...
spring boot+jwt实现api的token认证详解
08-26
在本文中,我们将深入探讨如何使用Spring Boot和JWT(JSON Web Token)来实现API的Token认证JWT是一种轻量级的身份验证和授权机制,它允许应用程序在客户端和服务器之间安全地传输信息,而无需在每次请求时进行...
springboot+jwt实现token登陆权限认证的实现
08-19
Spring Boot + JWT 实现 Token 登录权限认证 在本文中,我们将介绍如何使用 Spring Boot 和 JWT 实现 Token 登录权限认证JWT(JSON Web Token)是一种基于 token 的身份验证机制,能够提供一种简洁、安全的方式来...
Springboot整合JWT,Swagger.zip
07-12
总的来说,SpringBoot结合JWT提供了安全的认证机制,而Swagger则增强了API的可读性和测试性,两者结合可以构建出高效、安全且易维护的RESTful服务。在开发过程中,务必注意JWT的密钥管理、安全性设置以及Swagger的...
基于SpringBoot+JWT+Vue的权限管理系统.zip
06-22
基于SpringBoot+JWT+Vue的权限管理系统源码,基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot+JWT+Vue的权限管理系统基于SpringBoot...
xmljava系统源码-JWT-DEMO:SpringBoot整合JWT完成权限验证功能示例
06-06
SpringBoot整合JWT完成权限验证功能示例 JWT官网:  JWT(Java版)的github地址: 什么是JWT Json Web Token(JWT):JSON网络令牌,是为了在网络应用环境间传递声明而制定的一种基于JSON的开放标准((RFC 7519)。JWT...
springboot shiro jwt demo实战项目
01-20 713
简介 shiro 是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 jwt JSON Web Token 是目前最流行的跨域认证解决方案,无状态会话。 项目乔迁 shiro处理无状态校验上存在session保留问题,已改为用java脑洞 springboot 轻量级JWT安全框架 Git地址 https://gitee.com/wqrzsy/lp-demo/tree/m...
这是一个使用了springboot+springSecurity+jwt实现的基于token的权限管理的一个demo
javaee_kekai的专栏
05-19 379
https://github.com/echisan/springboot-jwt-demo/blob/master/blog_content.md
spring boot 开发—第七篇使用JWT保证api接口安全
liuweilong07的专栏
05-22 8515
1、jwt简介 JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 简洁(Compact): 可以通过URL,POST参数或者在HTTP he...
SpringBoot集成JWT快速入门Demo
mickey2007的博客
04-15 782
近年来,随着前后端分离、微服务等架构的兴起,传统的cookie+session身份验证模式已经逐渐被基于Token的身份验证模式取代。备注:将token或者一个唯一标识UUID=UUID.randomUUID().toString()存进Cookie中(别存在Http的header中了),设置路径为整个项目根路径/*;往往以这个唯一标识为key,用户信息为value缓存在服务器中,实现单点登录。
SpringBoot系列】最详细demo--集成JWT实现接口权限认证
wufaqidong1的博客
07-15 3356
为了实现我自己能够手动抛出异常,我自己写了一个123456789}}}
Object-C编程能力扩展
最新发布
08-24
随着嵌入式硬件和软件系统的发展,过程式编程语言难以满足需求,而现有面向对象语言在嵌入式系统下使用存在障碍。本文提出利用 C 的宏扩展其面向对象编程能力,使其成为支持面向对象编程风格的 Object-C 宏语言。通过实例验证,Object-C 宏语言能够有效支持面向对象编程,为嵌入式开发者提供一种经济、有效的解决方案。
"使用SpringBootJWT保护RESTful API接口
4. 在API接口的方法上添加@JwtAuth注解,表示该接口需要进行JWT鉴权。 5. 在SpringBoot的配置类中配置JwtInterceptor拦截器。 通过以上步骤,就可以实现对API的授权保护,只有携带有效的JWT的请求才能够访问API。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值