Spring Boot认证:整合Jwt

最新推荐文章于 2023-10-11 09:00:05 发布
最新推荐文章于 2023-10-11 09:00:05 发布
阅读量138 收藏
点赞数
分类专栏: java maven springboot 文章标签: java jwt spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33454058/article/details/107199082
版权
java 同时被 3 个专栏收录
25 篇文章 3 订阅
订阅专栏
springboot
8 篇文章 0 订阅
订阅专栏
maven
4 篇文章 0 订阅
订阅专栏
背景

Jwt全称是:json web token。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。

优点
  1. 简洁: 可以通过URL、POST参数或者在HTTP header发送,因为数据量小,传输速度也很快;
  2. 自包含:负载中可以包含用户所需要的信息,避免了多次查询数据库;
  3. 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持;
  4. 不需要在服务端保存会话信息,特别适用于分布式微服务。
缺点

无法作废已颁布的令牌;
不易应对数据过期。

一、Jwt消息构成
1.1 组成

一个token分3部分,按顺序为

  1. 头部(header)
  2. 载荷(payload)
  3. 签证(signature)
    三部分之间用.号做分隔。例如:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIxYzdiY2IzMS02ODFlLTRlZGYtYmU3Yy0wOTlkODAzM2VkY2UiLCJleHAiOjE1Njk3Mjc4OTF9.wweMzyB3tSQK34Jmez36MmC5xpUh15Ni3vOV_SGCzJ8

1.2 header

Jwt的头部承载两部分信息:

  1. 声明类型,这里是Jwt
  2. 声明加密的算法 通常直接使用 HMAC SHA256
    Jwt里验证和签名使用的算法列表如下:

JWS算法名称HS256HMAC256HS384HMAC384HS512HMAC512RS256RSA256RS384RSA384RS512RSA512ES256ECDSA256ES384ECDSA384ES512ECDSA512

1.3 playload

载荷就是存放有效信息的地方。基本上填2种类型数据

  1. 标准中注册的声明的数据;
  2. 自定义数据。
    由这2部分内部做base64加密。

  • 标准中注册的声明 (建议但不强制使用)

    jwt的过期时间,这个过期时间必须要大于签发时间 nbf: 定义在什么时间之前,该jwt都是不可用的. iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。 ```

  • 自定义数据:存放我们想放在token中存放的key-value值

1.4 signature

Jwt的第三部分是一个签证信息,这个签证信息由三部分组成

base64加密后的header和base64加密后的payload连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了Jwt的第三部分。

二、Spring Boot和Jwt集成示例

示例代码采用:

<dependency>
 <groupId>com.auth0</groupId>
 <artifactId>java-jwt</artifactId>
 <version>3.8.1</version>
</dependency>
2.1 项目依赖
<dependencies>
	 <dependency>
		 <groupId>org.springframework.boot</groupId>
		 <artifactId>spring-boot-starter-web</artifactId>
	 </dependency>
	 <dependency>
		 <groupId>io.jsonwebtoken</groupId>
		 <artifactId>jjwt</artifactId>
		 <version>0.9.1</version>
	 </dependency>
	 <dependency>
		 <groupId>com.auth0</groupId>
		 <artifactId>java-jwt</artifactId>
		 <version>3.8.1</version>
	 </dependency>
	 <!-- redis -->
	 <dependency>
		 <groupId>org.springframework.boot</groupId>
		 <artifactId>spring-boot-starter-data-redis</artifactId>
	 </dependency>
	 <!-- lombok -->
	 <dependency>
		 <groupId>org.projectlombok</groupId>
		 <artifactId>lombok</artifactId>
		 <scope>1.8.4</scope>
	 </dependency>
	 <dependency>
		 <groupId>com.alibaba</groupId>
		 <artifactId>fastjson</artifactId>
		 <version>1.2.47</version>
	 </dependency>
</dependencies>
2.2 自定义注解@JwtToken

加上该注解的接口需要登录才能访问

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface JwtToken {
 boolean required() default true;
}
2.3 Jwt 认证工具类JwtUtil.java

主要用来生成签名、校验签名和通过签名获取信息

public class JwtUtil {
 /**
 * 过期时间5分钟
 */
 private static final long EXPIRE_TIME = 5 * 60 * 1000;
 /**
 * jwt 密钥
 */
 private static final String SECRET = "jwt_secret";
 /**
 * 生成签名,五分钟后过期
 * @param userId
 * @return
 */
 public static String sign(String userId) {
 try {
 Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
 Algorithm algorithm = Algorithm.HMAC256(SECRET);
 return JWT.create()
 // 将 user id 保存到 token 里面
 .withAudience(userId)
 // 五分钟后token过期
 .withExpiresAt(date)
 // token 的密钥
 .sign(algorithm);
 } catch (Exception e) {
 return null;
 }
 }
 /**
 * 根据token获取userId
 * @param token
 * @return
 */
 public static String getUserId(String token) {
 try {
 String userId = JWT.decode(token).getAudience().get(0);
 return userId;
 } catch (JWTDecodeException e) {
 return null;
 }
 }
 /**
 * 校验token
 * @param token
 * @return
 */
 public static boolean checkSign(String token) {
 try {
 Algorithm algorithm = Algorithm.HMAC256(SECRET);
 JWTVerifier verifier = JWT.require(algorithm)
 // .withClaim("username", username)
 .build();
 DecodedJWT jwt = verifier.verify(token);
 return true;
 } catch (JWTVerificationException exception) {
 throw new RuntimeException("token 无效,请重新获取");
 }
 }
}
2.4 拦截器拦截带有注解的接口
  • JwtInterceptor.java

public class JwtInterceptor implements HandlerInterceptor {
 @Override
 public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) {
 // 从 http 请求头中取出 token
 String token = httpServletRequest.getHeader("token");
 // 如果不是映射到方法直接通过
 if(!(object instanceof HandlerMethod)){
 return true;
 }
 HandlerMethod handlerMethod=(HandlerMethod)object;
 Method method=handlerMethod.getMethod();
 //检查有没有需要用户权限的注解
 if (method.isAnnotationPresent(JwtToken.class)) {
 JwtToken jwtToken = method.getAnnotation(JwtToken.class);
 if (jwtToken.required()) {
 // 执行认证
 if (token == null) {
 throw new RuntimeException("无token,请重新登录");
 }
 // 获取 token 中的 userId
 String userId = JwtUtil.getUserId(token);
 System.out.println("用户id:" + userId);
 // 验证 token
 JwtUtil.checkSign(token);
 }
 }
 return true;
 }
 @Override
 public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
 }
 @Override
 public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
 }
}
  • 注册拦截器:WebConfig.java
@Configuration
public class WebConfig implements WebMvcConfigurer {
 /**
 * 添加jwt拦截器
 * @param registry
 */
 @Override
 public void addInterceptors(InterceptorRegistry registry) {
 registry.addInterceptor(jwtInterceptor())
 // 拦截所有请求,通过判断是否有 @JwtToken 注解 决定是否需要登录
 .addPathPatterns("/**");
 }
 /**
 * jwt拦截器
 * @return
 */
 @Bean
 public JwtInterceptor jwtInterceptor() {
 return new JwtInterceptor();
 }
}
2.5 全局异常捕获
@RestControllerAdvice
public class GlobalExceptionHandler {
 @ResponseBody
 @ExceptionHandler(Exception.class)
 public Object handleException(Exception e) {
 String msg = e.getMessage();
 if (msg == null || msg.equals("")) {
 msg = "服务器出错";
 }
 JSONObject jsonObject = new JSONObject();
 jsonObject.put("message", msg);
 return jsonObject;
 }
}
2.6 接口
  • JwtController.java
@RestController
@RequestMapping("/jwt")
public class JwtController {
 /**
 * 登录并获取token
 * @param userName
 * @param passWord
 * @return
 */
 @PostMapping("/login")
 public Object login( String userName, String passWord){
 JSONObject jsonObject=new JSONObject();
 // 检验用户是否存在(为了简单,这里假设用户存在,并制造一个uuid假设为用户id)
 String userId = UUID.randomUUID().toString();
 // 生成签名
 String token= JwtUtil.sign(userId);
 Map<String, String> userInfo = new HashMap<>();
 userInfo.put("userId", userId);
 userInfo.put("userName", userName);
 userInfo.put("passWord", passWord);
 jsonObject.put("token", token);
 jsonObject.put("user", userInfo);
 return jsonObject;
 }
 /**
 * 该接口需要带签名才能访问
 * @return
 */
 @JwtToken
 @GetMapping("/getMessage")
 public String getMessage(){
 return "你已通过验证";
 }
}
2.7 Postman测试接口
2.7.1 在没token的情况下访问jwt/getMessage接口
  • 请求方式:GET
  • 请求参数:无
  • 请求地址:http://localhost:8080/jwt/getMessage
  • 返回结果:
{
 "message": "无token,请重新登录"
}
2.7.2 先登录,在访问jwt/getMessage接口

  • 登录请求及结果,详见下图:
    在这里插入图片描述
    登录后得到签名如箭头处

  • 在请求头加上签名,然后再请求jwt/getMessage接口
    在这里插入图片描述
    请求通过,测试成功!

2.7.3 过期后再次访问

我们设置的签名过期时间是五分钟,五分钟后再次访问jwt/getMessage接口,结果如下:
在这里插入图片描述
通过结果,我们发现时间到了,签名失效,说明该方案通过。

源码地址:https://github.com/vanDusty/SpringBoot-Home/tree/master/springboot-demo-certification/jwt-demo

原文:https://www.cnblogs.com/vandusty/p/11623753.html

暴力小熊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot整合JWT
10-16
一个学习Spring Boot整合JWT的demo,使用的IDE是idea。
springboot 整合jwt
04-09 408
关于jwt的实现原理,可以自行查找资料。我们只关注如何实现。 一:首先引入依赖。目前有两个库实现了jwt的功能。 两个库都实现了jwt功能,只不过使用的api不太相同。使用其中任何一个都可以。通过查看maven官网,jjwt好久没有更新了。而java-jwt一直有更新。为了以后少点麻烦还是使用java-jwt. 二:创建jwt帮助类,实现三个功能, 1.创建token 最关键需要两个变量,一个是到期时间,一个是秘钥 private static final long EXPIRE_T.
SpringBoot整合JWT
奋斗不息,编码不止
04-05 2362
SON Web Token(JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。 这些信息可以通过数字签名进行验证和信任。 可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,该token也可直接被用于认证,也可被加密。是目前最流行的跨域认证解决方案。
JWT
m0_46487331的博客
12-14 773
Author:Allen_Huang Version:1.0.0 一. JWT简介 什么是JWTJWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 为什么使用JWT? 随着技术的发展,分布式web应用的普.
Spring Boot 整合 JWT的方法
08-18
主要介绍了Spring Boot 整合 JWT的方法,文中实例代码非常详细,帮助大家更好的理解和学习,感兴趣的朋友可以了解下
spring-token:整合JWTspringspringMVC,实现基于token验证
05-11
因为这篇博客讲的是基于JWTspringspringMVC的整合,所以如果有小伙伴想整合JWTspring-boot,只需要将spring基于xml文件的拦截器配置方式转换成 spring-boot的配置方式就ok了。 欢迎大家讨论,分享!
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
spring boot整合JWT 2
10-17
一个学习Spring Boot整合JWT的demo,使用的IDE是idea。
springboot整合jwt
盖丽男
01-15 371
这里写目录标题目的优缺点优点缺点代码pom引入生成jwt校验jwt刷新jwt其他用法总结 目的 一般系统都有登陆和验证用户是否登陆的需求,现在的项目好多都是前后端分离的,一般的session也不适合于多台机器同时提供服务的场景,所以可以使用jwt生成token,然后使用token来鉴定该用户是否登陆/登陆是否过期等。 优缺点 优点 生成token简单,可以携带简单信息 验证方便,不需要数据库等二次验证 缺点 一旦签发就不受服务端控制 想要更新必须生成一个新的token 代码 pom引入 有两种用的比
jwtspringboot整合
06-03
jwtspringboot整合jwtspringboot整合jwtspringboot整合jwtspringboot整合
springboot整合security与jwt
08-05
springboot2.0整合security与jwt, 还整合了redis,与swagger-ui
cas jwt shiro pac4j springboot认证中心sso完整项目
05-05
前后端分离模式下的cas + shiro + pac4j,cas作为认证中心,子应用采用shiro鉴权,通过pac4j与cas交互,返回jwt token,完整项目,基于springboot框架
springboot shiro pac4j cas jwt认证中心sso完整项目
09-11
基于springboot框架,前后端分离模式下的shiro + pac4j +cas实现统一登录功能,子应用采用shiro鉴权,通过pac4j与cas交互,最终向前端返回jwt token
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
spring boot整合jwt
最新发布
wgq2020的博客
10-11 100
JWT(JSON Web Token)是一种轻量级的身份验证和授权规范,它可以在客户端和服务器之间传递信息。在Spring Boot中,可以使用第三方库如。注解在方法上进行权限控制。具体的实现可以参考Spring Security的官方文档。现在可以在Controller层使用。
Springboot集成jwt
chen的博客
03-16 854
导入依赖 <!--jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.10.3</version> </dependency> 编写jwt工具类 TokenUt
Spring Boot 整合JWT
骑大马挎大刀
03-01 246
登录和验证token逻辑。
Springboot整合JWT
bit_dilidili131的博客
04-25 951
源代码仓库地址 https://github.com/dilidili131/jwt.git 一、导入jwt依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.18.2</version> </dependency> 二、新建工具类 public class JWT
spring boot Security jwt aouth2整合代码
05-26
以下是Spring Boot集成Spring Security、JWT和OAuth2的示例代码: 1. 添加依赖 在pom.xml文件中添加以下依赖: ```xml <!-- Spring Security --> <groupId>org.springframework.boot <artifactId>spring-boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值