Java Springboot3 Jwt接口token验证

已于 2024-07-30 18:41:01 修改
阅读量303 收藏 2
点赞数 1
分类专栏: # springboot 文章标签: java spring spring boot
于 2024-07-30 18:39:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36729594/article/details/140803697
版权

环境:JDK17、Springboot3.0.5、jjwt0.12.3、Manve3.8.1

一、jwt 的pom.xml引入

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.12.3</version>
        </dependency>

二、jwt操作类

package com.lingyang.system.util.jwt;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.security.Keys;
import io.jsonwebtoken.security.SecureDigestAlgorithm;
import org.springframework.beans.factory.annotation.Value;

import javax.crypto.SecretKey;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

import static com.fasterxml.jackson.databind.jsonFormatVisitors.JsonValueFormat.UUID;

/**
 * @author **文
 * @Description:
 * @createDate 2024/7/18 17:17
 **/
public class JwtUtil {

//    //过期时间
//    @Value("${jwt.expiration}")
//    private Long expiration;
//
//    @Value("${jwt.salt}")
//    private static String salt;
//

    //过期时间
    final static Integer expiration = 72000;
    final static String tokenKey = "ysyysyysyysyysyysyysyysyysyysyys";
    final static String tokenname = "sys-token";
    /**
     * 1.从本地文件读取秘钥
     * 2.工程.yml中配置salt
     * 3.最终生成jwt秘钥,秘钥组成:MD5(1+2)
     */
    private static SecretKey secret = Keys.hmacShaKeyFor(tokenKey.getBytes());



    /**
     * 初始化负载内数据
     * @param username 用户名
     * @return 负载集合
     */
    private Map<String,Object> initClaims(String username){
        Map<String, Object> claims = new HashMap<>();
        //"iss" (Issuer): 代表 JWT 的签发者。在这个字段中填入一个字符串,表示该 JWT 是由谁签发的。例如,可以填入你的应用程序的名称或标识符。
        claims.put("iss","jx");
        //"sub" (Subject): 代表 JWT 的主题,即该 JWT 所面向的用户。可以是用户的唯一标识符或者其他相关信息。
        claims.put("sub",username);
        //"exp" (Expiration Time): 代表 JWT 的过期时间。通常以 UNIX 时间戳表示,表示在这个时间之后该 JWT 将会过期。建议设定一个未来的时间点以保证 JWT 的有效性,比如一个小时、一天、一个月后的时间。
        claims.put("exp",generatorExpirationDate());
        //"aud" (Audience): 代表 JWT 的接收者。这个字段可以填入该 JWT 预期的接收者,可以是单个用户、一组用户、或者某个服务。
        claims.put("aud","internal use");
        //"iat" (Issued At): 代表 JWT 的签发时间。同样使用 UNIX 时间戳表示。
        claims.put("iat",new Date());
        //"jti" (JWT ID): JWT 的唯一标识符。这个字段可以用来标识 JWT 的唯一性,避免重放攻击等问题。
        claims.put("jti",UUID.toString()); //.randomUUID().toString()
        //"nbf" (Not Before): 代表 JWT 的生效时间。在这个时间之前 JWT 不会生效,通常也是一个 UNIX 时间戳。我这里不填,没这个需求
        return claims;
    }

//    /**
//     * 根据用户信息生成token
//     *
//     * @param userDetails 用户信息
//     * @return token
//     */
//    public String generatorToken(UserDetails userDetails)
//    {
//        Map<String, Object> claims = initClaims(userDetails.getUsername());
//        return generatorToken(claims);
//    }

    /**
     * 根据负载生成JWT token
     * @param claims 负载
     * @return token
     */
    public String generatorToken(Map<String, Object> claims){
        return Jwts.builder()
                .claims(claims)
                .signWith(secret,Jwts.SIG.HS256)
                .compact();
    }

    /**
     * 生成失效时间,以秒为单位
     *
     * @return 预计失效时间
     */
    private Date generatorExpirationDate()
    {
        //预计失效时间为:token生成时间+预设期间
        return new Date(System.currentTimeMillis() + expiration * 1000);
    }

    /**
     * 从Token中获取用户名
     * @param token token
     * @return 用户名
     */
    public String getUserNameFromToken(String token){
        String username;
        try
        {
            username = getPayloadFromToken(token).getSubject();
        }catch (Exception e){
            username = null;
        }
        return username;
    }

    /**
     * 从Token中获取负载中的Claims
     * @param token token
     * @return 负载
     */
    public static Claims getPayloadFromToken(String token)
    {
        return Jwts.parser()
                .verifyWith(secret)
                .build()
                .parseSignedClaims(token)
                .getPayload();
    }

//    /**
//     * 验证token是否有效
//     * @param token 需要被验证的token
//     * @param userDetails true/false
//     * @return
//     */
//    public boolean validateToken(String token,UserDetails userDetails){
//        return getUserNameFromToken(token).equals(userDetails.getUsername()) && !isTokenExpired(token);
//    }

    /**
     * 判断token是否有过期
     * @param token 需要被验证的token
     * @return true/false
     */
    private boolean isTokenExpired(String token)
    {
        //判断预设时间是否在当前时间之前,如果在当前时间之前,就表示过期了,会返回true
        return getExpiredDateFromToken(token).before(new Date());
    }

    /**
     * 从token中获取预设的过期时间
     * @param token token
     * @return 预设的过期时间
     */
    private Date getExpiredDateFromToken(String token)
    {
        return getPayloadFromToken(token).getExpiration();
    }

    /**
     * 判断token是否可以被刷新
     * @param token 需要被验证的token
     * @return true/false
     */
    public boolean canRefresh(String token){
        return !isTokenExpired(token);
    }

    /**
     * 刷新token
     * @param token 需要被刷新的token
     * @return 刷新后的token
     */
    public String refreshToken(String token){
        Claims claims = getPayloadFromToken(token);
        Map<String, Object> initClaims = initClaims(claims.getSubject());
        initClaims.put("iat",new Date());
        return generatorToken(initClaims);
    }

}

三、创建interceptor拦截器

package com.lingyang.system.util.interceptor;

import com.lingyang.system.util.jwt.JwtUtil;
import com.lingyang.system.util.redis.until.RedisUtil;
import io.jsonwebtoken.Claims;
import jakarta.annotation.Resource;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import java.util.Objects;

/**
 * @author **文
 * @Description:
 * @createDate 2024/7/18 17:33
 **/
@Component
public class JwtAdminTokenInterceptor implements HandlerInterceptor {


    //过期时间
    final static String expiration = "72000";
    final static String tokenKey = "ysyysyysyysyysyysyysyysyysyysyys";
    final static String tokenname = "sys-token";
    
    /**
     * 拦截器  校验jwt
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception{
        //判断当前拦截到的是Controller的方法还是其他资源
        if(!(handler instanceof HandlerMethod)){
            //当前拦截到的不是动态方法,直接放行
            return true;
        }

        //从请求头中获取令牌
        String token = request.getHeader(tokenname);

        if( Objects.isNull(token) ){
            throw new RuntimeException("令牌不能为空");
        }

        //校验令牌
        try{
            Claims payloadFromToken = JwtUtil.getPayloadFromToken(token);

            RedisUtil redisUtil = new RedisUtil();
            String phone = redisUtil.hGet(tokenname,"admin-" + payloadFromToken.get("id"));

            if(Objects.isNull(phone)){
                throw new RuntimeException("验证错误");
            }

            if( !phone.equals( payloadFromToken.get("phone").toString() ) ){
                throw new RuntimeException("token错误");
            }

            //放行
            return true;
        }catch (Exception e){
            //不通过,响应401状态码
            throw new RuntimeException(e.getMessage());

        }
    }


}

四、拦截器注册到项目中

package com.lingyang.system.util.config;

import com.lingyang.system.util.interceptor.JwtAdminTokenInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @author **文
 * @Description:
 * @createDate 2024/7/18 18:22
 **/
@Configuration
public class SystemApiConfig implements WebMvcConfigurer {

    @Autowired
    private JwtAdminTokenInterceptor jwtAdminTokenInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry){

        registry.addInterceptor(jwtAdminTokenInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/")
                .excludePathPatterns("/admin/login")
                .excludePathPatterns("/v3/api-docs");
    }

}

addPathPatterns 拦截的路径  "/**" 所有路径

excludePathPatterns 豁免的路径

幸运黒锦鲤
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jjwt-0.9.1.jar
12-22
jjwt的jar包
最新版 JJWT:0.12.3 版本使用案例
bigqiangwu的博客
11-29 2293
最新版 JJWT:0.12.3 版本使用案例
SpringBoot3.0集成Jwt实现token验证
LLiu001的博客
06-07 454
springboot+jwt进行登录的前后端分离,使用token验证机制
JJWT最新版本0.12.x使用指南,实现登陆功能,JwtUtils
最新发布
shenyunmomie的博客
06-19 1239
JWT(JSON Web Token)令牌登录,是一种用于身份验证的开放标准。它是一个基于JSON格式的安全令牌,主要用于在网络上传输声明或者用户身份信息。JWT通常被用作API的认证方式,以及跨域身份验证JWT令牌由三部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature)。Header:记录令牌类型,加密算法Payload:包含声明,声明是有关实体(通常是用户)和其他数据的语句。
JWT签名 0.12.3版本
weixin_45500120的博客
11-23 1225
JWT签名 , 在不需要头信息的情况下, 使用parseSignedClaims方法更加方便使用。
springboot3整合最新版jjwt(0.12.3)
m0_73376570的博客
01-31 3129
基于黑马的苍穹外卖,使用springboot3整合jjwt(0.12.3)
SpringBoot集成JWT实现token验证源码.zip
12-20
SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip 【备注】 主要针对计算机相关专业的正在做毕设的学生和需要项目实战的Java学习者。 也可...
SpringBoot集成JWT生成token校验方法过程解析
08-19
SpringBoot中,我们可以使用Java JSON Web Tokens(JWT)库来生成JWT token。在上面的示例代码中,我们定义了一个JwtTokenUtil类,其中包含了生成token校验token的方法。 生成token的过程主要包括以下步骤: 1...
SpringBoot集成JWT实现token验证-源码
10-02
总结来说,Spring Boot集成JWT实现token验证的过程包括引入依赖、配置Spring Security、创建自定义过滤器以及编写Token生成和验证逻辑。这种方式不仅提高了安全性,还减少了服务器的负担,因为不再需要管理用户的...
springboot+jwt实现token登陆权限认证的实现
08-19
3. 浏览器需要将带有 tokenJWT 放入请求头每次发送到客户端请求。 4. 服务器验证JWTtoken 验证成功返回响应的资源给浏览器。 通过使用 Spring BootJWT,我们可以实现 Token 登录权限认证,提供一种...
SpringBoot使用JWT实现登录验证的方法示例
08-25
JSON Web TokenJWT)是一种广泛使用的身份验证机制,它允许客户端和服务器之间安全地传递信息。JWT通过在令牌中携带用户认证数据,并使用签名确保数据的完整性和不可篡改性。在SpringBoot应用中,我们可以利用JWT...
jjwt-0.11.5 jackson-2.13.3
06-24
最新版本 jjwt-0.11.5 jackson-2.13.3
jjwt的0.7.0版本的配套jar包
06-21
jjwt的0.7.0版本的配套jar包
JJWT(jjwt-0.11.5.tar.gz、jjwt-0.11.5.zip)
07-23
JJWT(jjwt-0.11.5.tar.gz、jjwt-0.11.5.zip) aims to be the easiest to use and understand library for creating and verifying JSON Web Tokens (JWTs) on the JVM and Android. JJWT is a pure Java implementation based exclusively on the JWT, JWS, JWE, JWA, JWK, Octet JWK, JWK Thumbprint, and JWK Thumbprint URI RFC specifications and open source under the terms of the Apache 2.0 License.
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-security-jwt-1.0.10.RELEASE.pom; 包含翻译后的API文档:spring-security-jwt-1.0.10.RELEASE-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-jwt:1.0.10.RELEASE; 标签:spring、security、jwtspringframework、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
JWT生成以及校验(2017-12-26修改版)
LemonCake的博客
12-26 1148
JWT生成以及校验(2017-12-26修改版)
新版本jjwt快速使用工具类
weixin_58403235的博客
12-23 808
【代码】新版本jjwt快速使用工具类。
2023-10 最新jsonwebtoken-jjwt 0.12.3 基本使用
热门推荐
随便写写
10-29 1万+
之前很多方法都弃用了, 好多博文也还是用的废弃的方法。包括了下面三个依赖, 所以导入上面一个就OK了。
JAVAJWT令牌生成和解析(库:jjwt 版本:0.12.3)
qq_45137726的博客
01-27 1943
JWT令牌的jjwt-root库,生成和解析jwt令牌的方法。下面的代码介绍了两种密钥设置的方法。方法一自定义密钥(需满足长度>=256 bits);方法二:使用HMAC-SHA 算法生成密钥。PS:不理解的,可以看一看它的源码中相关方法的注释,再结合官方文档,就很容易理解了。
springbootjwt实现token登录验证的代码
08-23
### 回答1: 可以参考下面的代码实现 Springboot 使用 JWT 实现 Token 登录验证:@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { // ... @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/**").authenticated() .and() .addFilter(new JWTAuthenticationFilter(authenticationManager())) .addFilter(new JWTAuthorizationFilter(authenticationManager())); } } ### 回答2: Spring Boot是一个开发框架,可用于构建独立的、基于Spring的应用程序。JWT(Json Web Token)是一种用于认证和授权的开放标准,它将用户信息加密在令牌中。 下面是使用Spring BootJWT实现Token登录验证的代码示例: 1. 首先,需要导入所需的依赖项。在pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 2. 创建一个JWT工具类,用于生成和解析JWT的方法: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public class JwtUtil { private static final String SECRET_KEY = "your_secret_key"; private static final long EXPIRATION_TIME = 86400000; // 24小时 public static String generateToken(String username) { Date now = new Date(); Date expirationTime = new Date(now.getTime() + EXPIRATION_TIME); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expirationTime) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public static String getUsernameFromToken(String token) { Claims claims = Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody(); return claims.getSubject(); } public static boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (Exception e) { return false; } } } ``` 3. 创建一个控制器,包含登录和验证方法: ```java import org.springframework.web.bind.annotation.*; @RestController @RequestMapping("/api") public class AuthController { @PostMapping("/login") public ResponseEntity<?> login(@RequestBody UserCredentials credentials) { // 检查用户凭据并生成令牌 if (credentials.getUsername().equals("admin") && credentials.getPassword().equals("admin123")) { String token = JwtUtil.generateToken(credentials.getUsername()); return ResponseEntity.ok(new AuthResponse(token)); } else { return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build(); } } @GetMapping("/protected") public ResponseEntity<?> protectedResource(@RequestHeader("Authorization") String token) { // 验证令牌并提供受保护的资源 if (JwtUtil.validateToken(token)) { return ResponseEntity.ok("Protected resource accessed successfully"); } else { return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build(); } } } ``` 4. 定义用户凭据模型类: ```java public class UserCredentials { private String username; private String password; // getter和setter方法 } ``` 5. 定义认证响应模型类: ```java public class AuthResponse { private String token; // 构造函数和getter方法 } ``` 上述代码示例实现了使用JWT进行Token登录验证的功能。用户通过登录接口提供正确的凭据后,将获得一个JWT令牌。然后,可以使用此令牌访问受保护的资源,该资源通过令牌进行验证。如果验证成功,则允许访问,否则返回未授权的HTTP状态码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值