springboot整合jwt做api接口权限认证的demo

最新推荐文章于 2024-05-31 14:18:15 发布
原创 最新推荐文章于 2024-05-31 14:18:15 发布 · 359 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

该博客介绍了一个使用jwt工具类生成token的Demo。项目通过auth0.jwt的JWT.create方法实现JWT编码,包含头部、载荷和签名。后续接口请求需携带token,拦截器会对其进行合法校验。还展示了token校验、配置拦截器验证及接口测试类,最后呈现了模拟登录获取token等效果。

Demo介绍:

1,使用jwt工具类为使用者生成token

2,后续接口请求需要携带token header信息

3,拦截器进行token合法校验,成功方能获取数据。

 demo git地址:https://github.com/RuofeiSun/springboot-jwt.git 

项目依赖:

<!--Spring框架基本的核心工具-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-slf4j-impl</artifactId>
            <version>2.12.0</version>
        </dependency>
        <!-- lombok -->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <scope>1.8.4</scope>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.47</version>
        </dependency>

 

token生成:

public static String createToken(String userId){
        //获取加上过期时间后的时间
        Date nowDate = new Date();
        System.out.println(nowDate);
        Date expiresDate = new Date(System.currentTimeMillis()+expiresTime);
        Map<String,Object> map = new HashMap<String,Object>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");
        String token = JWT.create().withHeader(map)	//请求头
                .withClaim("iss", "Service")	//签发方
                .withClaim("aud", "Client")		//接收方
                .withClaim("userId", null==userId?null:userId) //存储信息,用户ID
                .withIssuedAt(nowDate)		//当前时间
                .withExpiresAt(expiresDate)		//过期时间
                .sign(Algorithm.HMAC256(SECRET));		//私钥

        return token;
    }

此处可以看到auth0.jwt中的JWT.create方法来实现了JWT编码的三个部分,

Header:JWT的头部承载两部分信息:token类型和采用的加密算法。

Payload:载荷就是存放有效信息的地方

"有效信息包含三个部分
1.标准中注册的声明
2.公共的声明
3.私有的声明

标准中注册的声明 (建议但不强制使用) :

iss: jwt签发者
sub: 面向的用户(jwt所面向的用户)
aud: 接收jwt的一方
exp: 过期时间戳(jwt的过期时间,这个过期时间必须要大于签发时间)
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明 :

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密."

私有的声明 :

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

Sign:签名(根据本地的私钥加盐的组合加密)

jwt的第三部分是一个签证信息
这个部分需要base64加密后的headerbase64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密

 

token校验:

用本地的私钥对token进行验证

    /**
     * 验证token合法性
     * @param token
     * @return
     */
    public static boolean verifyToken(String token){
        try{
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
            verifier.verify(token);
            return true;
        }catch(Exception e){
            log.error(e.getMessage(), e);
            return false;
        }
    }

 

配置拦截器对token进行验证:

public class AuthInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 从 http 请求头中取出 token
        String token = request.getHeader("token");
        if (StringUtils.isEmpty(token)){
            throw new Exception("无token,请重新登录");
        }
        //jwt验证
        if (!TokenManager.verifyToken(token)){
            throw new Exception("token验证失败");
        }

        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

接口测试类:

@RestController
@RequestMapping("/test")
public class TestController {

    /**
     * 登录并获取token
     * @param userName
     * @param passWord
     * @return
     */
    @PostMapping("/login")
    public Object login( String userName, String passWord)throws Exception{

        JSONObject jsonObject=new JSONObject();
        // 检验用户是否存在(为了简单,这里假设用户存在,并制造一个uuid假设为用户id)
        String userId = UUID.randomUUID().toString();
        // 生成签名
        String token= TokenManager.createToken(userId);
        Map<String, String> userInfo = new HashMap<>();
        userInfo.put("userId", userId);
        userInfo.put("userName", userName);
        userInfo.put("passWord", passWord);
        jsonObject.put("token", token);
        jsonObject.put("user", userInfo);
        return jsonObject;
    }

    /**
     * 该接口需要带签名才能访问
     * @return
     */
    @GetMapping("/getMessage")
    public String getMessage(){
        return "你已通过验证";
    }

}

效果:

模拟登录获取token

 

直接访问getMessage不带token

带token访问getMessage

spring boot jwt demo
07-09
spring boot jwt 的一个小例子,可以直接运行的demo
SpringBootDEMO:集成JWT实现token验证
weixin_44100826的博客
03-29 843
SpringBootDEMO:集成JWT实现token验证一、了解一下 Token 身份验证二、项目实现1. 目录结构介绍2. 关键maven依赖3. 配置数据库、Model:模型层4. 创建两个自定义注解5. 使用 JWT 生成 token6. 编写配置类7. 编写拦截器8. 编写控制器9. Mapper映射层三、接口测试1. 当 user 没有 token 的时候,无法对 getMessa...
springboot-jwt-demo.zip
08-18
Springboot+SpringSecurity+JWT实现登录认证及鉴权,项目中集成使用,为了方便码友,后期避免自己遗忘,记录下来。
springboot-jwt-demo:测试JWT转载
03-05
springboot-jwt-demo 简介 这是一个使用了springboot + springSecurity + jwt实现的基于令牌的权限管理的一个演示 具体说明可以看 使用 更改一下application.properites的数据库的一些配置信息,然后就可以运行了 首先注册的url是/auth/register参数很简单就好, username , password 然后登陆是/auth/login 参数名称 类型 说明 用户名 细绳 用户名 密码 细绳 密码 记住账号 交际 记住我,只有两个值可以选,0:不记住,1:记住 推荐使用postman去测试,登陆成功后在响应头里可以找到token 之后就可以访问/tasks了 鸣谢 IntelliJ IDEA是一个在各个方面都最大程度地提高开发人员的集成的IDE,适用于JVM平台语言。 特别感谢为开源项目提供免费的等IDE的授权
springboot JWT项目实战demo
世幻水的博客
08-07 1082
本文是一篇实战demo,使用框架为io.jsonwebtoken的jjwt。你会了解到token的生成,解析过程,最后将在项目中体验jwt的使用过程。如果不是很了解jwt,可以参考以下文章补充一下。 什么是 JWT – JSON WEB TOKEN 一篇文章带你分清楚JWT,JWS与JWE 目录 1、引入所用到的库 2、生成一个token 3、解析Token 4、自定义加密数据 5、实际运用 6、注意事项 7、其他可选项 1、引入所用到的库 <!-- jwt相关 --> <depen
SpringBoot整合JWT实现Token权限管理Demo
该技术方案通过整合Spring Boot的快速开发能力、Spring Security的安全控制机制以及JWT(JSON Web Token)的无状态认证方式,实现了高效、安全、可扩展的身份验证与权限管理系统。以下将从多个维度详细阐述这一知识...
SpringBootSpringBoot整合JWT
最新发布
低调做人,低调编码,神码都是浮云
05-31 1034
javaweb中的认证、鉴权:jwt+token
SpringBoot整合JWT+Spring Security+Redis实现登录拦截(二)权限认证
郝南过的博客
12-25 1885
可直接使用已有的权限检测@PreAuthorize(“hasAuthority('自定义字符串')”),hasAuthority是系统提供的,可直接使用,也可以自定义。以下为自定义,为方便直接判断admin用户,并给admin用户授予所有权限。/*** 自定义权限检测*/// 获取当前用户的所有权限// 判断当前用户的所有权限是否包含接口上定义的权限
Springboot 整合 JWT + Redis 实现双Token 校验Demo
11-23
Spring Boot整合JWT时,通常需要以下步骤: 1. **依赖配置**:在项目中添加`spring-boot-starter-security`和JWT相关的库(如`jjwt`)到`pom.xml`或`build.gradle`文件中。 2. **配置JWT**:创建一个`...
springboot集成jwt和shiro实现前后端分离权限demo
04-04
本示例项目“springboot集成jwt和shiro实现前后端分离权限demo”旨在帮助初学者理解如何在Spring Boot环境下结合JWT(JSON Web Token)和Shiro进行权限管理,以实现安全的Web应用。下面将详细介绍相关的知识点。 **...
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32) DEFAULT '', PRIMARY KEY (`user_id`) )ENGINE=InnoDB DEFAULT CHARSET=utf8 ; CREATE TABLE `auth_user` ( `userId` int(11) unsigned NOT NULL AUTO_INCREMENT COMMENT '管理员id', `username` varchar(64) NOT NULL DEFAULT '' COMMENT '用户名', `password` varchar(64) NOT NULL DEFAULT '' COMMENT '密码', `salt` varchar(16) DEFAULT NULL COMMENT '扰码', PRIMARY KEY (`userId`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COMMENT='管理员表'; -- ---------------------------- -- Records of auth_user -- ---------------------------- INSERT INTO `auth_user` VALUES ('1', 'admin', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456'); INSERT INTO `auth_user` VALUES ('2', 'test', '958d51602bbfbd18b2a084ba848a827c29952bfef170c936419b0922994c0589', '123456');
MVC WebApi 用户权限验证及授权DEMO
04-26
MVC WebApi 用户权限验证及授权DEMO
springboot实现接口签名
06-06
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行加密,接口签名,这样双方调用接口时,验证接口签名一致时就表明数据传输过程中没有被修改。
Spring Boot 实例代码之通过接口安全退出
08-29
主要介绍了Spring Boot 实例代码之通过接口安全退出的相关资料,需要的朋友可以参考下
SpringBoot集成JWT快速入门Demo
mickey2007的博客
04-15 1213
近年来,随着前后端分离、微服务等架构的兴起,传统的cookie+session身份验证模式已经逐渐被基于Token的身份验证模式取代。备注:将token或者一个唯一标识UUID=UUID.randomUUID().toString()存进Cookie中(别存在Http的header中了),设置路径为整个项目根路径/*;往往以这个唯一标识为key,用户信息为value缓存在服务器中,实现单点登录。
springboot整合jwtDemo
蔡定努
05-11 811
Demo地址:https://download.csdn.net/download/caidingnu/11171930
SpringBoot集成JWT案例demo
qq_41128049的博客
04-04 669
快速用jwt写个demo登录案例
推荐项目:SpringBoot-JWT-Demo - 基于Token的高效权限管理系统
gitblog_00079的博客
05-18 507
推荐项目:SpringBoot-JWT-Demo - 基于Token的高效权限管理系统 项目介绍 在现代Web应用中,安全和权限管理是不可或缺的一部分。SpringBoot-JWT-Demo是一个精心构建的开源项目,它利用了Spring Boot和Spring Security的强大功能,结合JSON Web Token (JWT),实现了轻量级且易于扩展的身份验证和授权系统。这个项目旨在为你提供...
springboot+jwt 实战小demo
qq_45562888的博客
12-31 187
springboot+jwt实战
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值