spring boot 使用jwt做登陆验证

最新推荐文章于 2024-07-23 18:51:45 发布
最新推荐文章于 2024-07-23 18:51:45 发布
阅读量885 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37608229/article/details/121484187
版权

JWT SpringBoot 用户认证 过滤器 HttpServletRequestWrapper
关键词由CSDN通过智能技术生成

1.jwt是什么为啥要使用jwt

        什么是 JWT

2.融入spring boot 项目,编写认证思路

        2.1 用户登陆成功

        2.2 根据成功用户信息生成对应的jwt认证信息

        2.3 将认证信息返回给页面

        2.4 页面存认证信息

        2.5 其他请求在头部信息带上认证信息(这里可以约定放哪里,不一定在头部)

        2.6 后端统一在过滤器认证登陆信息

        2.7 认证信息解密后再次存起来好在后面具体业务使用

3.先引入jwt和fastjson的maven地址,fastjson在序列号的时候使用其他比较方便。

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.9</version>
</dependency>

4.编写jwt的工具类JwtUtil和用于存中间转化的类UserRole,其中setExpiration 可以设置过期时间,到时候认证过的信息自动失效。

import com.alibaba.fastjson.JSON;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.crypto.spec.SecretKeySpec;
import javax.servlet.http.HttpServletRequest;
import java.security.Key;
import java.util.ArrayList;
import java.util.Date;

/**
 * jwt 工具类 用户生成token 解密token
 */
public class JwtUtil {
    // step.1 获取密钥 可以配置
    private static final Key KEY = new SecretKeySpec("dkdi38393kd".getBytes(),
            SignatureAlgorithm.HS512.getJcaName());

    public static String getToken(UserRole userRole){

        // step 3 主体存储信息
        if(userRole.getRoles() == null){
            userRole.setRoles(new ArrayList<>());
        }
        // 为什么要转成拼接字符串 会比直接json 体积小一点点 。。。。。
        String payload  = userRole.getUserId() + ":" + userRole.getRoles();
        // step 4. 生成taken         setExpiration设置过期时候 到时间自动过期
        return "Bearer " + Jwts.builder().setExpiration(new Date(System.currentTimeMillis() + 1*24*60*60*100)).setPayload(payload).signWith(SignatureAlgorithm.HS512, KEY).compact();
    }

    public static String decryptTokenStr(String compactJws){
        compactJws = compactJws.replaceFirst("Bearer ","");
        String payload = Jwts.parser().setSigningKey(KEY).parse(compactJws).getBody().toString();
        System.out.println();
        return payload;
    }


    public static UserRole decryptToken(String payload){
        String[] split = payload.split(":");
        UserRole userRole = new UserRole();
        userRole.setUserId(Long.parseLong(split[0]));
        userRole.setRoles(JSON.parseArray(split[1], Long.class));
        return userRole;
    }

    // 通过 servlet 参数 获取登陆用户信息 不用总是解密
    public static UserRole decryptTokenByServlet(){
        HttpServletRequest request =((ServletRequestAttributes)
                RequestContextHolder.getRequestAttributes()).getRequest();
        String userName = request.getHeader("userName");
        return decryptToken(userName);
    }
}

import java.util.List;

/**
 * 用户信息类,使用的时候比较方便
 */
public class UserRole {
    /**
     * 用户id
     */
    private Long userId;
    /**
     * 角色id
     */
    private List<Long> roles;

    public Long getUserId() {
        return userId;
    }

    public void setUserId(Long userId) {
        this.userId = userId;
    }

    public List<Long> getRoles() {
        return roles;
    }

    public void setRoles(List<Long> roles) {
        this.roles = roles;
    }

    @Override
    public String toString() {
        return "UserRole{" +
                "userId=" + userId +
                ", roles=" + roles +
                '}';
    }
}

5.编写登陆方法并且放回认证后的token。

import org.springframework.context.ApplicationContext;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;

@RestController
public class UserController {

    @RequestMapping("user.login")
    public String login(@RequestBody UserLoginVo loginVo) {
        // 后期改为走数据库 校验 为了测试可以写死
        if("admin".equals(loginVo.getUserName()) && "admin".equals(loginVo.getPassWord())){
            UserRole userRole = new UserRole();
            userRole.setUserId(0L);
            userRole.setRoles(Arrays.asList(1L,2L));
            return JwtUtil.getToken(userRole);
        }
        return "";
    }

}

6.编写过滤器认证信息,这里的思路是先解密就解密后用户信息字符串存到servlet的head里面key值叫userName里面(可以自己取名字,获取的时候保持统一就行),在后续的业务代码不用再次解密,通过userName就可以直接转成用户信息类。

        使用过滤器记得在启动类加上该注解,basePackages的值为过滤器所在包

@ServletComponentScan(basePackages = "com.dh.test")
import org.apache.commons.lang3.StringUtils;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

@WebFilter(urlPatterns = "/*")
public class RequestFilter implements Filter {

    // 不校验的接口的集合 后期可以动态修改
    private static final List<String> noVerificationList = new ArrayList<>();
    static {
        noVerificationList.add("/user.login");
    }
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        // 这个变量 请求放到那个参数里面 就去那个参数里面的
        String authorization = request.getHeader("Authorization");

        String requestURI = request.getRequestURI();
        // 判断 接口是否是白名单
        if (noVerificationList.contains(requestURI)) {
            filterChain.doFilter(request, servletResponse);
            return;
        }
        if(StringUtils.isEmpty(authorization)){
            throw new RuntimeException("未登陆或登陆已经过期请重新登陆");
        }
        try{
            // 解密设置到 head里面是为了 防止后面多次解密
            RequestHeadWarp requestHeadWarp = new RequestHeadWarp(request);
            String payload = JwtUtil.decryptTokenStr(authorization);
            requestHeadWarp.addHead("userName",payload);
            // 这里得用 重写后的RequestHeadWarp
            filterChain.doFilter(requestHeadWarp, servletResponse);
        }catch (Exception e){
            throw new RuntimeException("未登陆或登陆已经过期请重新登陆");
        }
    }
}

8.因为servlet没有addHead的方法,所以重写HttpServletRequestWrapper的方法在过滤器doFilter的时候传入重写好后的类。

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;

public class RequestHeadWarp extends HttpServletRequestWrapper {
    /**
     * 自定义的头部信息
     */
    private Map<String, String> customHeaders = new HashMap<>();
    /**
     * 自定义的头部key集合 在getHead 判断的时候可以不用将map转再判断
     */
    private Set<String> customHeaderNames = new HashSet<>();

    public RequestHeadWarp(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getHeader(String name) {
        if (customHeaderNames.contains(name)) {
            return customHeaders.get(name);
        }
        return super.getHeader(name);
    }

    public void addHead(String key,String value){
        customHeaders.put(key,value);
        customHeaderNames.add(key);
    }
}

9.编写测试接口看是否能正常解析token已经获取到用户信息。

import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.Map;

@RestController
public class TestController {

    @RequestMapping("test.get")
    public UserRole getUser(@RequestBody Map<String,String> map) {
        // 这里 只是测试 获取登陆后的用户信息,可以加入自己的业务代码
        return JwtUtil.decryptTokenByServlet();
    }
}

10.postman测试登陆接口。

11.postman测试其他接口,看是否能正常拦截未登陆和登陆

       11.1 先是未登陆,能看到正常抛出错误,提示未登陆。

        

        11.2 head 加入登陆认证的token后再次请求,能正常获取到登陆的用户信息。

       什么是token引入地址:什么是 JWT -- JSON WEB TOKEN - 简书

阡陌、小白
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于springboot实现JWT登录拦截及验证(超详细版)
Java程序员十六的博客
06-26 631
基于Springboot通过Jwt实现登录拦截及验证
使用Spring-boot集成JWT生成token验证
weixin_64632563的博客
06-24 1731
使用是springboot框架集成JWT实现登录token验证
spring boot使用JWT登录验证
learnC_的博客
03-03 769
所有的接口请求均需要通过拦截器的拦截,除了配置拦截路径中excludePathPatterns("/api/user/login");在application.yml中添加参数,设置加密方式、年轻token时间和老年token时间。加密:使用Jwt工具类将用户的账号、角色、时间封装起来,根据某种加密算法进行加密。解密:对加密过后的信息使用DecodedJWT中的getClaim方法进行解密。login模块查询数据库中的用户信息,进行加密,发放token。下面的代码是我暂未使用过的token过期,没用上。
Spring Boot整合JWT
陈宝子的博客
04-01 4123
文章目录1、概述2、优势所在3、结构组成3.1、标头(Header)3.2、有效负载(Payload)3.3、签名(Signature)4、Spring boot整合JWT 1、概述 JWT 简称 JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于各方之间安全地将信息作为JSON对象传输,在数据传输的过程中还可以完成数据加密、签名等相关处理。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qCis1aXN-1648743017357)(C:/Us
spring boot 使用 JWT 权限验证
tengyuxin的博客
07-21 716
jwt的权限验证 ,后端springboot 前端 vue
Spring Boot | Spring Boot使用JWT实现单点登录
jonssonyan
09-15 4518
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 传统的session认证 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们.
spring boot集成JWT实现token验证
weixin_45084986的博客
03-25 1375
JWT的主要应用场景 身份认证在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术。 信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的。 优点 1.简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数
spring boot3登录开发-整合jwt
热门推荐
蒾酒的博客
02-04 1万+
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用间传输和存储信息的一种安全方式。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT可以被用作身份验证和授权,通过在服务器和客户端之间传递令牌来验证用户的身份并允许访问受保护的资源。由于JWT是基于数字签名的,所以可以确保数据的完整性和安全性。它的设计简单、易于实现,并且可以跨不同的平台和语言使用
Spring Boot + jwt
weixin_63831348的博客
06-20 1819
Spring Boot + jwt
Spring boot Security Jwt
何xiao树
05-31 1513
Spring Security 整合开发 引入 security 启动器,默认拦截所有资源,启动项目会生成一个默认密码,账号 user <!-- 引入Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-.
spring boot + jwt登录
08-02
Spring Boot结合JWT(JSON Web Tokens)的登录验证是现代Web应用程序中常见的安全实践。JWT是一种轻量级的身份验证机制,允许服务器向客户端签发一个令牌,客户端在后续的请求中携带此令牌,以证明其身份,而无需在...
spring boot+jwt实现api的token认证详解
08-26
在本文中,我们将深入探讨如何使用Spring BootJWT(JSON Web Token)来实现API的Token认证。JWT是一种轻量级的身份验证和授权机制,它允许应用程序在客户端和服务器之间安全地传输信息,而无需在每次请求时进行...
Spring Boot 整合 JWT的方法
08-18
Spring Boot 整合 JWT 的方法主要介绍了如何在 Spring Boot 项目中整合 JWT(JSON Web Token),从而实现 Token 验证和身份验证JWT 是一个开放标准,定义了一种用于简洁、自包含的用于通信双方之间以 JSON 对象的...
12 spring boot Security Jwt 前后端分离跨域登录
06-02
标题 "12 spring boot Security Jwt 前后端分离跨域登录" 提示我们这个项目是关于使用Spring Boot Security和JWT(JSON Web Tokens)技术来实现一个前后端分离的跨域登录系统。在这个系统中,Spring Boot作为后端...
Java面试八股之Spring boot的自动配置原理
u012151345的博客
07-23 556
AutoConfigurationImportSelector 类的 selectImports() 方法会读取 spring.factories 文件,这个文件位于 META-INF 目录下,列出了所有可用的自动配置类的全限定名称。这些注解允许自动配置类仅在满足特定条件时才会被激活。如果启用了调试模式(通过 spring-boot:run 或设置 spring-boot-devtools),Spring Boot 会生成一个自动配置报告,显示哪些自动配置类被应用,哪些被忽略,以及原因。
Spring Boot 日志
最新发布
m0_60963435的博客
07-23 1111
T04BF👋专栏:🫵 今天你敲代码了吗。
Java面试八股之后Spring、spring mvc和spring boot的区别
u012151345的博客
07-23 624
Spring Boot 是建立在Spring框架之上的一个微服务框架,它的目标是简化新Spring应用的初始设置和配置。Spring MVC 是Spring框架的一部分,专注于Web应用程序的开发,它实现了MVC设计模式,将业务逻辑、数据和展示层分开,使得Web应用的开发更加清晰和结构化。Spring MVC 是一个专注于Web应用的框架,是Spring框架的一部分,用于构建MVC架构的Web应用。Spring 是一个核心的、基础的框架,提供了广泛的开发支持。
如何使用Spring Boot + Jwt
05-12
使用Spring BootJwt进行身份验证可以保护您的应用程序免受未经授权的访问。下面是使用Spring BootJwt进行身份验证的步骤: 1. 添加相关依赖 在 `pom.xml` 文件中添加以下依赖: ```xml <groupId>org.spring...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值