spring boot 使用jwt做登陆验证

最新推荐文章于 2024-06-04 09:37:47 发布
最新推荐文章于 2024-06-04 09:37:47 发布
阅读量884 收藏 1
点赞数 1
文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37608229/article/details/121484187
版权

1.jwt是什么为啥要使用jwt

        什么是 JWT

2.融入spring boot 项目,编写认证思路

        2.1 用户登陆成功

        2.2 根据成功用户信息生成对应的jwt认证信息

        2.3 将认证信息返回给页面

        2.4 页面存认证信息

        2.5 其他请求在头部信息带上认证信息(这里可以约定放哪里,不一定在头部)

        2.6 后端统一在过滤器认证登陆信息

        2.7 认证信息解密后再次存起来好在后面具体业务使用

3.先引入jwt和fastjson的maven地址,fastjson在序列号的时候使用其他比较方便。

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.9</version>
</dependency>

4.编写jwt的工具类JwtUtil和用于存中间转化的类UserRole,其中setExpiration 可以设置过期时间,到时候认证过的信息自动失效。

import com.alibaba.fastjson.JSON;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.crypto.spec.SecretKeySpec;
import javax.servlet.http.HttpServletRequest;
import java.security.Key;
import java.util.ArrayList;
import java.util.Date;

/**
 * jwt 工具类 用户生成token 解密token
 */
public class JwtUtil {
    // step.1 获取密钥 可以配置
    private static final Key KEY = new SecretKeySpec("dkdi38393kd".getBytes(),
            SignatureAlgorithm.HS512.getJcaName());

    public static String getToken(UserRole userRole){

        // step 3 主体存储信息
        if(userRole.getRoles() == null){
            userRole.setRoles(new ArrayList<>());
        }
        // 为什么要转成拼接字符串 会比直接json 体积小一点点 。。。。。
        String payload  = userRole.getUserId() + ":" + userRole.getRoles();
        // step 4. 生成taken         setExpiration设置过期时候 到时间自动过期
        return "Bearer " + Jwts.builder().setExpiration(new Date(System.currentTimeMillis() + 1*24*60*60*100)).setPayload(payload).signWith(SignatureAlgorithm.HS512, KEY).compact();
    }

    public static String decryptTokenStr(String compactJws){
        compactJws = compactJws.replaceFirst("Bearer ","");
        String payload = Jwts.parser().setSigningKey(KEY).parse(compactJws).getBody().toString();
        System.out.println();
        return payload;
    }


    public static UserRole decryptToken(String payload){
        String[] split = payload.split(":");
        UserRole userRole = new UserRole();
        userRole.setUserId(Long.parseLong(split[0]));
        userRole.setRoles(JSON.parseArray(split[1], Long.class));
        return userRole;
    }

    // 通过 servlet 参数 获取登陆用户信息 不用总是解密
    public static UserRole decryptTokenByServlet(){
        HttpServletRequest request =((ServletRequestAttributes)
                RequestContextHolder.getRequestAttributes()).getRequest();
        String userName = request.getHeader("userName");
        return decryptToken(userName);
    }
}

import java.util.List;

/**
 * 用户信息类,使用的时候比较方便
 */
public class UserRole {
    /**
     * 用户id
     */
    private Long userId;
    /**
     * 角色id
     */
    private List<Long> roles;

    public Long getUserId() {
        return userId;
    }

    public void setUserId(Long userId) {
        this.userId = userId;
    }

    public List<Long> getRoles() {
        return roles;
    }

    public void setRoles(List<Long> roles) {
        this.roles = roles;
    }

    @Override
    public String toString() {
        return "UserRole{" +
                "userId=" + userId +
                ", roles=" + roles +
                '}';
    }
}

5.编写登陆方法并且放回认证后的token。

import org.springframework.context.ApplicationContext;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;

@RestController
public class UserController {

    @RequestMapping("user.login")
    public String login(@RequestBody UserLoginVo loginVo) {
        // 后期改为走数据库 校验 为了测试可以写死
        if("admin".equals(loginVo.getUserName()) && "admin".equals(loginVo.getPassWord())){
            UserRole userRole = new UserRole();
            userRole.setUserId(0L);
            userRole.setRoles(Arrays.asList(1L,2L));
            return JwtUtil.getToken(userRole);
        }
        return "";
    }

}

6.编写过滤器认证信息,这里的思路是先解密就解密后用户信息字符串存到servlet的head里面key值叫userName里面(可以自己取名字,获取的时候保持统一就行),在后续的业务代码不用再次解密,通过userName就可以直接转成用户信息类。

        使用过滤器记得在启动类加上该注解,basePackages的值为过滤器所在包

@ServletComponentScan(basePackages = "com.dh.test")
import org.apache.commons.lang3.StringUtils;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

@WebFilter(urlPatterns = "/*")
public class RequestFilter implements Filter {

    // 不校验的接口的集合 后期可以动态修改
    private static final List<String> noVerificationList = new ArrayList<>();
    static {
        noVerificationList.add("/user.login");
    }
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        // 这个变量 请求放到那个参数里面 就去那个参数里面的
        String authorization = request.getHeader("Authorization");

        String requestURI = request.getRequestURI();
        // 判断 接口是否是白名单
        if (noVerificationList.contains(requestURI)) {
            filterChain.doFilter(request, servletResponse);
            return;
        }
        if(StringUtils.isEmpty(authorization)){
            throw new RuntimeException("未登陆或登陆已经过期请重新登陆");
        }
        try{
            // 解密设置到 head里面是为了 防止后面多次解密
            RequestHeadWarp requestHeadWarp = new RequestHeadWarp(request);
            String payload = JwtUtil.decryptTokenStr(authorization);
            requestHeadWarp.addHead("userName",payload);
            // 这里得用 重写后的RequestHeadWarp
            filterChain.doFilter(requestHeadWarp, servletResponse);
        }catch (Exception e){
            throw new RuntimeException("未登陆或登陆已经过期请重新登陆");
        }
    }
}

8.因为servlet没有addHead的方法,所以重写HttpServletRequestWrapper的方法在过滤器doFilter的时候传入重写好后的类。

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;

public class RequestHeadWarp extends HttpServletRequestWrapper {
    /**
     * 自定义的头部信息
     */
    private Map<String, String> customHeaders = new HashMap<>();
    /**
     * 自定义的头部key集合 在getHead 判断的时候可以不用将map转再判断
     */
    private Set<String> customHeaderNames = new HashSet<>();

    public RequestHeadWarp(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getHeader(String name) {
        if (customHeaderNames.contains(name)) {
            return customHeaders.get(name);
        }
        return super.getHeader(name);
    }

    public void addHead(String key,String value){
        customHeaders.put(key,value);
        customHeaderNames.add(key);
    }
}

9.编写测试接口看是否能正常解析token已经获取到用户信息。

import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.Map;

@RestController
public class TestController {

    @RequestMapping("test.get")
    public UserRole getUser(@RequestBody Map<String,String> map) {
        // 这里 只是测试 获取登陆后的用户信息,可以加入自己的业务代码
        return JwtUtil.decryptTokenByServlet();
    }
}

10.postman测试登陆接口。

11.postman测试其他接口,看是否能正常拦截未登陆和登陆

       11.1 先是未登陆,能看到正常抛出错误,提示未登陆。

        

        11.2 head 加入登陆认证的token后再次请求,能正常获取到登陆的用户信息。

       什么是token引入地址:什么是 JWT -- JSON WEB TOKEN - 简书

阡陌、小白
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot整合jwt实现单点登录
qq_35872777的博客
07-06 7825
jwt的结构:
springboot实现jwt登录验证
qq_46440190的博客
12-30 1267
1、导入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.18.2</version> </dependency> <dependency>
Springboot +JWT实现登录认证,密码加密及Token校验全过程(附源码)
dingdingdandan
05-09 7475
JWT实现登录认证简介环境1. 依赖2. token生成及校验3. 登录4. 编写拦截器进行token校验5. 源码下载 简介 通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。JWT的认证流程如下: 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口,这个过程一般是一个POST请求。建议的方式是通
spring boot jwt 实现用户登录完整java
最新发布
qq_62383709的博客
06-04 635
保护所有受保护的接口增加jwt合法性逻辑 custom.interceptor.AuthenticationInterceptor。我们约定,前端登录后,后续请求都将JWT,放置于HTTP请求的Header中,其Header的key为。登录接口需要为登录成功的用户创建并返回JWT,本项目使用开源的JWT工具。创建JWT和工具类 common.utils.JwtUtil。用户登录的校验逻辑分为三个主要步骤,分别是。,配置如下,具体内容可参考。controller逻辑。编写mapper逻辑。
SpringBootSpringBoot+JWT实现登录权限控制(代码)
sfh2018的博客
07-02 4182
项目使用springboot+jwt实现权限控制,在此记录一下防止以后忘记。 一、准备LoginUser 和JwtUser LoginUser.java public class LoginUser { private Integer userId; private String username; private String password; private ...
springboot整合jwt认证
多肉是金毛的博客
06-22 691
jwt含有三个部分头部(header)头部一般有两部分信息:载荷(payload)该部分一般存放一些有效的信息。jwt的标准定义包含五个字段:签证(signature)jwt最后一个部分。该部分是使用了HS256加密后的数据;包含了三个部分:在身份鉴定的实现中,传统的方法是在服务端存储一个 ,给客户端返回一个 ,而使用JWT之后,当用户使用它的认证信息登录系统之后,会返回给用户一个, 用户只需要本地保存该 即可。...
spring boot + jwt登录
08-02
Spring Boot结合JWT(JSON Web Tokens)的登录验证是现代Web应用程序中常见的安全实践。JWT是一种轻量级的身份验证机制,允许服务器向客户端签发一个令牌,客户端在后续的请求中携带此令牌,以证明其身份,而无需在...
Spring Boot整合JWT
10-16
**Spring Boot整合JWT详解** Spring Boot作为Java领域中流行的微服务框架,因其便捷的配置和快速的开发...通过这个项目,你不仅可以掌握Spring BootSpring Security的使用,还能深入了解JWT在实际应用中的实现方式。
spring boot+jwt实现api的token认证详解
08-26
主要给大家介绍了关于spring boot+jwt实现api的token认证的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一学习学习吧
Spring Boot 整合 JWT的方法
08-18
Spring Boot 整合 JWT 的方法主要介绍了如何在 Spring Boot 项目中整合 JWT(JSON Web Token),从而实现 Token 验证和身份验证JWT 是一个开放标准,定义了一种用于简洁、自包含的用于通信双方之间以 JSON 对象的...
12 spring boot Security Jwt 前后端分离跨域登录
06-02
标题 "12 spring boot Security Jwt 前后端分离跨域登录" 提示我们这个项目是关于使用Spring Boot Security和JWT(JSON Web Tokens)技术来实现一个前后端分离的跨域登录系统。在这个系统中,Spring Boot作为后端...
SpringBoot 项目中简单实现 JWT 验证
ma_nong33的博客
02-09 347
使用 SpringBoot 提供 api 的时候,我更喜欢使用 jwt 的方式来验证。网上有会多 Spring Security 整合 jwt 的,也有 Shiro 整合 jwt 的,感觉有点复杂。除了 SpringBoot 基本的依赖,需要一个生成 jwt 和序列化的包。生成 jwt 的包依赖很多,因为我项目里使用了 hutool 这个包,就只用用它了。定义jwt验证拦截器,从请求头获取 token 解析并验证。在 WebMvc 配置中注册拦截器,并支持跨域请求。定义一个用于请求类和方法的注解。
JWT简单介绍与使用
weixin_51980047的博客
07-27 2186
JWT简单介绍与使用
Springboot整合JWT实现用户token登录验证
skyxya的博客
02-10 1721
使用token验证比传统session更加安全、快捷,也能够很好的处理后端服务器集群带来的用户登录session传递难题,token主要存放于用户端浏览器,在每次请求时携带在请求头中,后端可以通过唯一的签名密钥来检测token是否合法,从而实现登录验证的功能
SpringBoot 集成jwt 实现token验证
qq_41670021的博客
03-27 4001
来点直接的: github上已经发布了相关的源码:https://github.com/78654Majesty/user谢谢你的关注和点赞 谢谢! 什么是jwtJWT官网:https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt Json web token (JWT), 是为了在网络应用环...
Spring Boot+Spring Security+JWT 实现 RESTful Api 认证 (一)
热门推荐
https://gitee.com/micai-code
09-13 9万+
摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的。现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能够访问API。 一:开发一个简单的API 在IDEA开发工具中新建一个maven工程,添加对应的依赖如下: <dependency> <gro...
springboot+jwt 登录认证+权限校验
leledodo的博客
05-08 1332
1.httpsecurity.formLogin().loginProcessingUrl("/security/login") 设置springsecurity登录地址,该地址并不是Controller里的,而是springsecurity自带的。 登录请求为POST请求类型。 2.AuthEntryPointHandler.java AccessDeniedHandler.java ...
springboot实现Jwt登录认证
weixin_49071539的博客
04-29 486
JwtUtils工具类: public class JwtUtils { /* 过期时间为24小时,毫秒计时的---毫秒--》秒--》分--》小时--》天 */ private static final long EXPIRE_TIME= 60 * 24 * 60 * 1000; /** * 密钥,注意这里如果真实用到,应当设置到复杂点,相当于私钥的存在。如果被人拿到,相当于它可以自己制造token了。 */ private static
springboot项目使用jwt+token实现登录
qq_36090537的博客
11-23 2136
从登录接口获取的token,存储在客户端, 客户端下次发起请求时放在header中Authorization中,AuthenticationInterceptor拦截器直接解析,解析通过后放行,否则抛出异常。
如何使用Spring Boot + Jwt
05-12
使用Spring BootJwt进行身份验证可以保护您的应用程序免受未经授权的访问。下面是使用Spring BootJwt进行身份验证的步骤: 1. 添加相关依赖 在 `pom.xml` 文件中添加以下依赖: ```xml <groupId>org.spring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值