基于JWT的Springboot项目api接口安全服务

最新推荐文章于 2024-05-17 07:15:04 发布
最新推荐文章于 2024-05-17 07:15:04 发布
阅读量316 收藏
点赞数
分类专栏: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39539238/article/details/103022365
版权

JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。

 

JWT请求流程

1. 用户使用账号和面发出post请求;
2. 服务器使用私钥创建一个jwt;
3. 服务器返回这个jwt给浏览器;
4. 浏览器将该jwt串在请求头中像服务器发送请求;
5. 服务器验证该jwt;
6. 返回响应的资源给浏览器。

 

JWT组成

JWT格式的输出是以.分隔的三段Base64编码,与SAML等基于XML的标准相比,JWT在HTTP和HTML环境中更容易传递。(形式:xxxxx.yyy.zzz):

1、Header:头部
2、Payload:负载
3、Signature:签名

Header

在header中通常包含了两部分,Token类型以及采用加密的算法

Payload

Token的第二部分是负载,它包含了Claim,Claim是一些实体(一般都是用户)的状态和额外的数据组成。

Signature

创建签名需要使用编码后的header和payload以及一个秘钥,使用header中指定签名算法进行签名。

 

引入JWT

 <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.7.0</version>
</dependency>

导入依赖Web、JPA、MySQL等配置好application.yml。

 

数据库配置

1.用户基本信息表

2.Token基本信息表

实体类

1.用户实体

import lombok.Data;
import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.Id;
import javax.persistence.Table;
import java.io.Serializable;

/**
 * @Author:hk
 * @Date: 2019/11/11 16:32
 * @Description:
 */
@Entity
@Data
@Table(name = "user_info",schema = "jwt")
public class UserEntity implements Serializable {
    @Id
    @Column(name = "user_id")
    private String userId;

    @Column(name = "secret")
    private String secret;

2.Token实体

/**
 * @Author:hk
 * @Date: 2019/11/11 16:31
 * @Description:
 */
@Entity
@Data
@Table(name="token_info",schema = "jwt")
public class TokenInfoEntity implements Serializable {
    @Id
    @GeneratedValue
    @Column(name = "token_id")
    private Long id;
    @Column(name = "user_id")
    private String userId;
    @Column(name = "token")
    private String token;
    @Column(name = "build_time")
    private String buildTime;
}

3.创建用户JPA与TokenJPA

 

生成Token

创建TokenController

import com.example.jwtdemo.entity.TokenInfoEntity;
import com.example.jwtdemo.entity.UserEntity;
import com.example.jwtdemo.repository.TokenRepository;
import com.example.jwtdemo.repository.UserRepository;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
import java.util.Date;
import java.util.concurrent.TimeUnit;

/**
 * @Author:hk
 * @Date: 2019/11/11 16:31
 * @Description:
 */
@RestController
@RequestMapping(value = "/jwt")
public class TokenController {
    @Autowired
    private TokenRepository tokenRepository;
    @Autowired
    private UserRepository userRepository;

    /**
     * 获取或更新token
     */
    @RequestMapping(value = "/token")
    public String token(@RequestParam String userId,@RequestParam String secret){
        String token=null;
        if(userId==null || userId.trim().equals("")){
            return "缺少userId";
        }else if(secret==null || secret.trim().equals("")){
            return "缺少secret";
        }else{
            UserEntity userEntity=userRepository.findById(userId).get();
            if(userEntity.getSecret()==null || secret.trim().equals("")){
                return "secret 不存在";
            }else{
                TokenInfoEntity tokenInfoEntity=tokenRepository.findByUserId(userId);
                if(tokenInfoEntity==null){
                    token=createToken(userId);//获取新的token
                    TokenInfoEntity tokenInfo=new TokenInfoEntity();
                    tokenInfo.setUserId(userId);
                    tokenInfo.setToken(token);
                    tokenInfo.setBuildTime(String.valueOf(System.currentTimeMillis()));
                    tokenRepository.save(tokenInfo);
                }else{
                    //判断数据库中token是否过期
                    long buildTime=Long.valueOf(tokenInfoEntity.getBuildTime());
                    long currentTime = System.currentTimeMillis();
                    long second = TimeUnit.MILLISECONDS.toSeconds(currentTime - buildTime);
                    if (second > 0 && second < 7200) {
                        token = new String(tokenInfoEntity.getToken());
                    }else{
                        token=createToken(userId);//获取新的token
                        tokenInfoEntity.setToken(token);
                        tokenInfoEntity.setBuildTime(String.valueOf(System.currentTimeMillis()));
                        tokenRepository.save(tokenInfoEntity);
                    }
                }
            }
        }
        return token;
    }

    /**
     * 创建新的token
     */
    private String createToken(String userId){
        //获取当前时间
        Date now = new Date(System.currentTimeMillis());
        //过期时间
        Date expiration = new Date(now.getTime() + 7200000);
        return Jwts
                .builder()
                .setSubject(userId)
                .setIssuedAt(now)
                .setIssuer("Online YAuth Builder")
                .setExpiration(expiration)
                .signWith(SignatureAlgorithm.HS256, "Token1.0.0")
                .compact();
    }
}

生成Token方法的内容大致是,检查userId以及secret-->检查是否存在该userId的对应Token-->根据存在与否、过期与否执行更新或者写入操作-->返回用户请求。

在createNewToken方法中是JWT生成Token的方法,我们默认了过期时间为7200秒,上面是毫秒单位,我们生成token需要指定subject也就是我们的用户对象,设置过期时间、生成时间、还有签名生成规则等。token生成方法已经编写完成,下面我们需要在除了获取token的路径排除在外拦截所有的路径,验证路径是否存在header包含token,并且验证token是否正确,jwt会自动给我们验证过期,如果过期会抛出对应的异常。

 

Token验证拦截器

我们在拦截器中需要验证头信息,Token的值是否存在,Subject用户是否存在等。

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * @Author:hk
 * @Date: 2019/11/11 16:35
 * @Description:
 */
public class JwtInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws IOException {
        //排除token路径
        if(request.getRequestURI().equals("/token"))
        {
            return true;
        }
        String header=request.getHeader("Token");
        try {
            //如果没有header信息
            if (header == null || header.trim().equals("")) {
                throw new SignatureException("not found Token");
            }
            //获取jwt实体对象接口实例
            final Claims claims = Jwts.parser().setSigningKey("Token1.0.0")
                    .parseClaimsJws(header).getBody();
            //从数据库中获取token
            TokenInfoEntity tokenInfoEntity = getDAO(TokenRepository.class,request).findByUserId(claims.getSubject());
            //数据库中的token值
            String token = new String(tokenInfoEntity.getToken());
            //不存在,提示获取token
            if(token == null || token.trim().equals("")) {
                throw new SignatureException("not found token info, please get token agin.");
            }
            //判断内存中的token是否与客户端传来的一致
            if(!token.equals(header))
            {
                throw new SignatureException("not found token info, please get token agin");
            }
        }catch (SignatureException | ExpiredJwtException e){
            PrintWriter writer = response.getWriter();
            writer.write("need refresh token");
            writer.close();
            return false;
        } catch (final Exception e){
            PrintWriter writer = response.getWriter();
            writer.write(e.getMessage());
            writer.close();
            return false;
        }

        return true;
    }
    /**
     * 根据传入的类型获取spring管理的对应dao
     * @param clazz 类型
     * @param request 请求对象
     * @param <T>
     * @return
     */
    private <T> T getDAO(Class<T> clazz,HttpServletRequest request)
    {
        BeanFactory factory = WebApplicationContextUtils.getRequiredWebApplicationContext(request.getServletContext());
        return factory.getBean(clazz);
    }
}

Claims就是我们生成Token是的对象,我们把传递的头信息token通过JWT可以逆转成Claims对象,并且通过getSubject可以获取到我们用户的userId。

 

配置拦截器

我们创建一个JWTConfiguration配置类,将我们创建的拦截器添加到SpringBoot项目中

/**
 * @Author:hk
 * @Date: 2019/11/11 16:34
 * @Description:
 */
@Configuration
public class JwtConfiguraiton extends WebMvcConfigurationSupport {
    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JwtInterceptor()).addPathPatterns("/api/**");
    }
}

我们配置JWT拦截器只拦截/api/下的所有路径。

运行测试

在启动项目之前我们先来配置一个TestController,并且提供一个访问内容的API接口.

/**
 * @Author:hk
 * @Date: 2019/11/11 16:28
 * @Description:
 */
@RestController
@RequestMapping(value = "/api")
public class TestController {
    @RequestMapping(value = "/test")
    public String Test(){
        return "Test Success!";
    }
}

访问地址:127.0.0.1:8080/api/test,界面输出内容如下图

我们在拦截器中配置的无论是不存在token还是token需要刷新都是返回"need refresh token"错误信息

下面我们通过/token地址获取jwt生成的token值

使用获取到的Token通过Postman工具来访问我们的/api/test方法

参考文章 https://www.jianshu.com/p/2503cde90c55

NullPointerK
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
SpringBoot-Shiro前后端分离框架,通过shiro控制权限,实现前后端全分离接口安全
springboot使用jwt保护RestApi接口.docx
07-14
总的来说,通过以上步骤,我们可以为Spring Boot应用构建一个基于JWT的认证和授权系统,确保API安全性。这个过程涵盖了用户注册、登录、JWT的生成和验证,以及Spring Security的配置,确保只有持有有效JWT的用户...
Spring Boot使用过滤器和拦截器分别实现REST接口简易安全认证
weixin_34304013的博客
06-06 593
本文通过一个简易安全认证示例的开发实践,理解过滤器和拦截器的工作原理。 很多文章都将过滤器(Filter)、拦截器(Interceptor)和监听器(Listener)这三者和Spring关联起来讲解,并认为过滤器(Filter)、拦截器(Interceptor)和监听器(Listener)是Spring提供的应用广泛的组件功能。 但是严格来说,过滤器和监听器属于Servlet范畴的API,和...
SpringBoot 如何保证接口安全?老鸟们都是这么玩的_springboot保证接口权限安全
最新发布
2301_79985178的博客
05-17 731
通过对请求参数和输入数据的验证,防止非法或恶意数据的注入。例如,在一个电子商务应用程序中,应该验证收到的订单数据是否包含有效的产品 ID,数量和价格。
SpringBoot接口 - API接口有哪些不安全的因素?如何对接口进行签名?
pdai的博客
07-18 1018
**}
springboot接口安全性_Spring Boot 入门指南
weixin_39981400的博客
11-26 486
Spring Boot简介Spring Boot帮助您创建可以独立运行的、生产级的基于Spring的应用程序。Spring官方高度整合了Spring和第三方库,这样您就可以从零开始。大多数Spring Boot应用程序只需要很少的Spring配置。Spring Boot创建Java应用程序可以通过使用Java -jar或更传统的war部署启动。同时还提供了一个运行“spring脚本”的命令行工具。...
Spring Boot实现分布式微服务开发实战系列 -- api接口安全
u011134780的博客
07-02 2037
上一篇主要讲了整个项目的子模块及第三方依赖的版本号统一管理维护,数据库对接及缓存(Redis)接入,今天我来说说过滤器配置及拦截设置、接口安全处理、AOP切面实现等。作为电商项目,不仅要求考虑高并发带来的压力,更要考虑项目安全稳固及可扩展。首先我们说说接口安全。 一,接口安全 说起安全,这似乎是IT行业一直以来的重点话题。实际真正的项目安全,更多的是运维工程师(安全专家)从网络和服...
SpringBoot Security整合JWT授权RestAPI的实现
08-25
通过这种方式,我们可以实现基于JWT的授权,为SpringBoot Security集成RESTful API提供安全保护。用户每次发起请求时,只需附带有效的JWT服务器就会自动处理认证和授权,从而简化了身份验证流程,同时也提高了系统...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
基于springboot+springSecurity+jwt实现的基于token的权限管理
02-24
在现代Web应用开发中,安全性...理解并掌握这个示例项目,可以为开发者提供实现基于JWT的权限管理的实践经验,有助于构建更安全、高效的Web应用。同时,这也是一种现代化的权限控制方案,适用于前后端分离的开发模式。
springboot集成jwt
01-25
SpringBoot项目中集成JWT,可以实现无状态的API访问控制,提高系统的安全性和可扩展性。 ### JWT基础 JWT由三部分组成:Header(头部)、Payload(负载)和Signature(签名)。头部通常包含令牌类型(JWT)和...
Spring Boot 实例代码之通过接口安全退出
08-29
主要介绍了Spring Boot 实例代码之通过接口安全退出的相关资料,需要的朋友可以参考下
[后端开发] Springboot Security开发安全的REST服务 视频教程 Chap6
01-19
[后端开发] Spring boot Security开发安全的REST服务 视频教程 系统学习完该视频教程后,你将成为J2EE 微服务框架Springboot的最佳实践者 我的CSDN博客地址: http://blog.csdn.net/mimica247706624/article/details/78617419
API Key保护Spring Boot 接口安全
王不困的博客
06-26 1400
安全性在REST API开发中扮演着重要的角色。一个不安全的REST API可以直接访问到后台系统中的敏感数据。因此,企业组织需要关注API安全性。
Spring boot 集成 Spring Security (接口安全)
qq_38795959的博客
04-23 1053
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 依赖: <!-- 接口安全 Spring security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId&...
提供一套基于SpringBoot-shiro-vue的权限管理思路.
小飞侠的博客
02-09 2万+
前后端都加以控制,做到按钮/接口级别的权限DEMO测试地址admin/123456 管理员身份登录,可以新增用户,角色.角色可以分配权限控制菜单是否显示,新增/删除按钮是否显示设计思路核心每个登录用户拥有各自的N条权限,比如 文章:查看/编辑/发布/删除 后端基于 RBAC新解 .通常我们的权限设计都是 用户--角色--权限 ,其中角色是我们写代码的人没法控制的,它可以有多条权限,每个用户又可以设...
使用JWT设计springBoot项目api接口安全服务
huyunqiang111的博客
04-11 714
springboot,springmvc 中通过 熟悉Swagger测试api接口 Swagger是当前最好用的Restful API文档生成的开源项目 https://blog.csdn.net/fansunion/article/details/51923720 //里面有中文文档和英文文档 调用和可视化 RESTful 风格的 Web 服务 A: 加載...
spring boot整合OAuth2保证api接口安全
热门推荐
游历三界外,不再五行中的博客
05-28 2万+
1、 OAuth 概念 OAuth 是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而不需要将用户名和密码提供给第三方应用。OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站在特定的时段内访问...
你的Springboot项目API接口安全吗?
u013554427的博客
10-13 1460
你的Springboot项目API接口安全吗?一招签名校验让你睡的安心一击必中关注12019.10.11 12:56:58字数 1,264阅读 3,610前言 现在的项目都采用前后端分类的方式开发了,前后端的通讯方式都通过API进行传输。我们知道,如果是管理后台的开发,可以通过shiro或springSecurity进行权限控制,进而保证API接口安全性,但是,当我们在进行APP或小程序开发的时候,因为需要用户长期登录等问题,再采用shiro等方式进行安全控制就显得不是那么合理的。 可是,如何让我们的AP
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值