如何在SpringBoot项目中使用JWT实现接口鉴权功能

最新推荐文章于 2024-09-05 17:59:05 发布
最新推荐文章于 2024-09-05 17:59:05 发布
阅读量3.2k 收藏 18
点赞数 4
文章标签: JWT springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38306688/article/details/88643545
版权

一、简介JWT:

     JWT由Header(请求头)、Payload(携带的用户信息)、Signature(加密后生成的签名)三部分组成,也就是我们用过JWT所眼熟的header.payload.signature。JWT可以自定义Signing Key,能够有效的防止伪造或篡改token签名。

 

二、思考:

    为什么要接口鉴权?怎样的业务场景下需要使用鉴权功能?

    1:客户端登录后可操作内容鉴权:打个比方,评论是很常见的业务功能,那么在评论之前客户端需校验用户是否登录,这个时候我们就可以通过使用jwt产生的token来判断用户的登录状态,登录后才会返回token,客户端请求,服务端校验。

    2:登录状态过期校验:当然有了登录过后也得有登录过期,JWT可以很简便的设置token expire时间,服务端配置每次都自动校验token是否过期,如果过期就直接抛出异常,客户端需要重新登录申请token。

    3:Restful Api 的身份认证:业务接口必须要使用身份验证才允许访问。

三、实践

1. 导入jwt的maven依赖

<dependency>
	<groupId>io.jsonwebtoken</groupId>
	<artifactId>jjwt</artifactId>
	<version>0.7.0</version>
</dependency>

  2. 新建JwtHelper类

  生定义生成sign key:

public static SecretKey generalKey(){
        byte[] encodedKey = Base64.decodeBase64("francis1q2we3");//自定义
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

创建jwt  ,claim为自定义加密参数(可以吧用户id 或者用户昵称加入里面)。

/**
 * 创建JWT
 */
public static String createJWT(String name, String userId,
			long TTLMillis) {
	SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

	long nowMillis = System.currentTimeMillis();
	Date now = new Date(nowMillis);
	// 添加构成JWT的参数
	JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")
			.claim("nickName", name)
			.claim("memId", userId)
			.setIssuer("francis")//发行者,自定义
                        .setAudience("client")
			.signWith(signatureAlgorithm, generalKey());
	// 添加Token过期时间
	if (TTLMillis >= 0) {
		long expMillis = nowMillis + TTLMillis;
		Date exp = new Date(expMillis);
		builder.setExpiration(exp).setNotBefore(now);
	}
	// 生成JWT
	return builder.compact();
}

  解析token:

public static Claims parseJWT(String jsonWebToken) {
	try {
		Claims claims = Jwts.parser().setSigningKey(generalKey())
				.parseClaimsJws(jsonWebToken).getBody();
		return claims;
	} catch (Exception ex) {
		System.out.println(ex);
		return null;
	}
}

 从解析的JWT中获取参与加密的claims

public static Integer getUserId(String jsonWebToken){
	jsonWebToken = jsonWebToken.substring(7, jsonWebToken.length());
	Claims claims = parseJWT(jsonWebToken);
	return Integer.parseInt(claims.get("memId").toString());
}

public static String getNickName(String jsonWebToken){
	jsonWebToken = jsonWebToken.substring(7, jsonWebToken.length());
	Claims claims = parseJWT(jsonWebToken);
	return Integer.parseInt(claims.get("nickName").toString());
}

3. 添加JwtFilter过滤器检验token

package com.francis.api.config.jwt;

import java.io.IOException;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.web.filter.GenericFilterBean;

import com.feilong.core.Validator;
import com.xj.api.util.JsonUtil;
import com.xj.api.util.JwtHelper;
import com.xj.common.base.common.bean.Result;
import com.xj.common.base.common.exception.EnumSvrResult;
import com.xj.common.bussiness.member.entity.QMember;

public class JwtFilter extends GenericFilterBean {
	
	@Override
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		if("OPTIONS".equals(request.getMethod())){//预请求直接通行
			chain.doFilter(request, response);
			return;
		}
		String auth = request.getHeader("token");
		if ((auth != null) && (auth.length() > 7)) {
			String headStr = auth.substring(0, 6).toLowerCase();
			if (headStr.compareTo("bearer") == 0) { //按照国际惯例,客户端在发送token的时候需要告知来人,所以在token前面加上的“bearer;”,这里下步进行token校验时需要分离出来。
				auth = auth.substring(7, auth.length());
				System.out.println(auth);
				if (JwtHelper.parseJWT(auth) != null) {
					chain.doFilter(request, response);
					return;
				}
			}
		}
		response.setCharacterEncoding("UTF-8");    
		response.setContentType("application/json; charset=utf-8");   
		response.setStatus(HttpServletResponse.SC_OK);  
		response.getWriter().write(JsonUtil.getJsonFromObject(new Result(EnumSvrResult.ERROR_TOKEN)));  //自定义的token无效或不存在的返回异常
        return;  
	}
	
}

4. JwtConfig 用来定义需过滤那些接口。本文定义过滤后缀为“.auth”的接口。

package com.francis.api.config.jwt;

import java.util.ArrayList;
import java.util.List;

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration  
public class JwtConfig {
	
 	@Bean  
    public FilterRegistrationBean basicFilterRegistrationBean(){  
        FilterRegistrationBean registrationBean = new FilterRegistrationBean();  
        registrationBean.setFilter(new JwtFilter);  
          
        List<String> urlPatterns = new ArrayList<>();  
        urlPatterns.add("*.auth");  
        registrationBean.setUrlPatterns(urlPatterns);  
        return registrationBean;  
    } 
 	
}

5. 获取token,登录成功后调用createJWT方法传入对应参数及失效时间(毫秒),即可生成token返回给客户端。

6. 接口路由定义事例:@GetMapping("/getUserInfo/{id}.auth");所有后缀是.auth的接口都会走filter校验流程。

7. 前端如何传递token? 前端获取到token 后只需要在接口请求header中加入token属性,值为' bearer;+ token '

四、尾声

JWT的使用在此告一段落,总体来说操作并不复杂,生成、解析token的方法也很简单。

友情提示: JWT虽好,可不要太放心哦,相对可能存在token 被盗用的风险,所以尽量减少使用 HTTP 协议明码传输,要使用 HTTPS 协议传输。

 

 

正常业务逻辑中,我们需要一个用户只能在一个地方登录,也就是说在登录状态未失效的情况下,下一次登录必须踢掉上一次登录。然而JWT并没有实现手动token 过期功能,那么我们在项目中要如何实现这一功能呢?

请听下回分解!>>>紧戳这里,直接下回分解!!!

 

 

----我是francis, 谨以此记录自己精彩的程序人生。

francis_zl
关注
Spring Boot 整合 JWT token 实现登录鉴权
include_hcj的博客
08-11 1243
JWT token 是一种经过加密的字符串,其包含了加密的载体信息(例如登录用户的信息),经过解密后可以得到加密的载体信息。我们可以使用 JWT token 实现用户登录鉴权,例如:前后端分离并且不使用 session 保存用户登录状态的项目,前端登录后,服务器将 token 字符串返回给浏览器保存,此后浏览器的请求都携带 token 字符串发送。服务端解密请求的 token 字符串,确定是有效 token 后,再进行后续业务处理。...
springboot+jwt做登录鉴权(附完整代码)
qq_45821255的博客
09-06 2663
jwt做登录鉴权
使用SpringSecurity为API接口添加鉴权token
WiLL_XS的博客
03-16 5381
当我们使用SpringBoot实现了一个简单的API接口之后,我们如何去保证我们的API接口只让我们运行的人调用呢。这时候就需要对我们的API接口进行保护。在别人访问这些接口的时候,我们对访问者进行身份的验证,从而对接口的保护。 基本流程如下图: 当然我们需要一个接口给用户请求Token,要不然用户拿不到token怎么去请求其他资源呢。流程图如下: 接下来我们按照流程一步一步实现。 ...
Springboot整合JWT实现权限校验
最新发布
qq_40694396的博客
09-05 1073
springboot整合jwt实现权限验证
Spring Boot+JWT快速实现简单的接口鉴权
在每次的突破中遇见更好的自己
07-14 2386
一般服务的安全包括认证(Authentication)与授权(Authorization)两部分,认证即证明一个用户是合法的用户,比如通过用户名密码的形式,授权则是控制某个用户可以访问哪些资源。比较成熟的框架有Shiro、Spring Security,如果要实现第三方授权模式,则可采用OAuth2。但如果是一些简单的应用,比如一个只需要鉴别用户是否登录的APP,则可以简单地通过注解+拦截器的方式来实现。本文介绍了具体实现过程,虽基于Spring Boot实现,但稍作修改(主要是拦截器配置)就可以引入其它S
SpringBoot学习:接口鉴权JWT
大小鱼鱼鱼鱼鱼
06-13 5599
import static org.apache.commons.lang3.StringUtils.defaultIfBlank; import static org.apache.commons.lang3.math.NumberUtils.toInt; import static org.apache.commons.lang3.math.NumberUtils.toLong; /** ...
springBootjwt实现权限认证
qq_45515347的博客
08-27 3273
jwt原理以及使用springboot实现一个简单实例
Spring-boot 使用自定义注解实现接口鉴权
qq_27661035的博客
12-12 3388
Springboot 自定义注解权限实现简单的权限管理首先定义注解和类型枚举定义注解定义类型使用拦截器配合注解使用定义拦截器配置拦截器拦截的路径和资源文件路径测试创建测试Controller调用接口登录获取token 首先定义注解和类型枚举 定义注解 import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; impor
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
SpringBoot集成SpringSecurity和JWT做登陆鉴权实现
08-19
在本文,我们将深入探讨如何使用SpringBootSpringSecurity及JWT(JSON Web Token)结合,以实现登录鉴权功能SpringBoot因其简化配置和与其他框架的无缝集成,成为了开发小型应用的理想选择。前后端分离的架构...
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码
04-22
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
SpringBoot使用token简单鉴权的具体实现方法
08-25
主要介绍了SpringBoot使用token简单鉴权的具体实现方法,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Springboot实现简单JWT登录鉴权
u013343616的博客
08-07 1249
登录需要鉴权是为了保护系统的安全性和用户的隐私。在一个 Web 应用,用户需要提供一定的身份信息(例如用户名和密码)进行登录,登录后系统会为用户生成一个身份令牌(例如 JWT Token)来标识用户的身份。鉴权的主要目的是确保只有经过身份验证的用户才能访问系统的受限资源和功能。未经鉴权的用户不能访问系统的敏感信息和功能,从而保护系统的数据和用户的隐私。
springboot 配置jwt实现登录鉴权
qq_34197740的博客
03-11 5650
Springboot token令牌验证解决方案 在SpringBoot实现基于Token的用户身份验证
adu521525的博客
05-27 5435
1.首先了解一下Token 1、token也称作令牌,由uid+time+sign[+固定参数]组成: uid: 用户唯一身份标识 time: 当前时间的时间戳 sign: 签名, 使用 hash/encrypt 压缩成定长的十六进制字符串,以防止第三方恶意拼接 固定参数(可选): 将一些常用的固定参数加入到 token 是为了避免重复查数据库 2.tok...
SpringBoot接口鉴权
这里没有简介
02-01 3007
HandlerInterceptorAdapter抽象类进行接口鉴权。有的时候,我们要对接口进行管理,避免敏感信息,然后就有了如下案例。鉴权处理类(这里仅仅是判定UA长度进行判定,请自行替换)若接口不满意还可以选择如下接口
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
bobozai86的博客
05-23 2201
一、概念 1、什么是JWT Json Web Token (JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519) 该token被设计为紧凑且安全的 特别适用于分布式站点的单点登录(SSO)场景 随着JWT的出现 使得校验方式更加简单便捷化 JWT实际上就是一个字符串 它由三部分组成:头部 载荷和签名 用[.]分隔这三个部分 最终的格式类似于:xxxx.xxxx.xxxx 在服务器直接根据token取出保存的用户信息 即可对token的可用性进行校验 使得单点登
Spring Boot 项目鉴权的 4 种方式
终码一生
01-14 389
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! 文章介绍spring-boot实现通用auth的四种方式 包括传统AOP、拦截器、参数解析器和过滤器,并提供了对应的实例代码,最后简单总结他们的执行顺序。 1、传统AOP 对于这种需求,首先想到的当然是 Spring-boot 提供的 AOP 接口,只需要在 Controller 方法前添加切点,然后再对切点进行处理即可。 实现使用步骤如下: 使用 @Aspect 声明一下切面类.
实现一个springboot项目的登录接口接口鉴权功能,其登录包括PC端登录和微信小程序的登录,请用java注解实现
06-07
在上面的代码,我们使用了 `HandlerInterceptor` 接口实现接口鉴权功能。在处理请求之前,我们从请求头获取访问令牌,并根据令牌获取用户信息。如果令牌无效或用户不存在,我们返回 401 Unauthorized 状态码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值