最新SpringBoot实现JWT+延续token过期时间+修改密码失效token -超简单

已于 2022-07-03 12:35:03 修改
阅读量1.1w 收藏 48
点赞数 10
分类专栏: 学习 文章标签: java jwt spring boot
于 2020-09-09 17:23:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39909614/article/details/108493516
版权

废话不多说直接上代码,五步完成

第一步

引入依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>

第二步

JWT工具类,分别实现了【创建token】【获取用户信息】【验证用户是否修改过密码】【是否需要生成新token】

public class JwtUtil {

    //加密secret
    private static final String SECRET = "密钥,一定不要报漏 例如:ASD@Dik 越复杂越好";
    //过期时间
    private static final Integer TIME_OUT_DAY = 30;
    //需要重新生成的天数 如果token的时间超过这个 则重新生成token
    private static final Integer NEED_CREATE_DAY = 7;

    /**
     * 生成token
     * @param user
     * @return
     */
    public static String createToken(Users user){
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.DATE,TIME_OUT_DAY);
        String token = JWT.create()
                .withClaim("userId", user.getId())
                .withClaim("key", DigestUtils.md5DigestAsHex(user.getPassword().getBytes()))
                .withExpiresAt(calendar.getTime())
                .sign(Algorithm.HMAC256(SECRET));
        return token;
    }


    /**
     * 获取token信息 如果token有误则返回null
     * @param token
     * @return
     */
    public static DecodedJWT getTokenInfo(String token){
        try {
            return JWT.require(Algorithm.HMAC256(SECRET)).build().verify(token);
        }catch (Exception e){
            return null;
        }
    }

    /**
     * 获取用户ID
     * @param decodedJWT
     * @return
     */
    public static Integer getUserId(DecodedJWT decodedJWT){
        return decodedJWT.getClaim("userId").asInt();
    }

    
    /**
     * 验证是否修改过密码
     * @param decodedJWT
     * @param users
     * @return
     */
    public static boolean isUpdatedPassword(DecodedJWT decodedJWT,Users users){
        String oldPwd = decodedJWT.getClaim("key").asString();
        String newPwd = DigestUtils.md5DigestAsHex(users.getPassword().getBytes());
        return oldPwd.equals(newPwd)?false:true;
    }
    
    
    /**
     * 是否需要重新生成token (为了延续token时长)
     * @param decodedJWT
     * @return
     */
    public static boolean needCreate(DecodedJWT decodedJWT){
        Date timeoutDate = decodedJWT.getExpiresAt();
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.DATE,TIME_OUT_DAY - NEED_CREATE_DAY);
        if(timeoutDate.before(calendar.getTime())){
            return true;
        }
        return false;
    }

}

第三步

自定义个注解,用来标注哪些方法是需要验证token的

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface NeedLogin {
}

第四步

创建一个拦截器

@Component
public class UserLoginInterceptor implements HandlerInterceptor {

    @Autowired
    UsersService usersService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        String token = request.getHeader("token");
        // 如果不是映射到方法直接通过
        if(!(handler instanceof HandlerMethod)){
            return true;
        }
        HandlerMethod handlerMethod=(HandlerMethod)handler;
        Method method=handlerMethod.getMethod();
        //检查是否有NeedLogin注释
        if (method.isAnnotationPresent(NeedLogin.class)) {
            DecodedJWT tokenInfo = JwtUtil.getTokenInfo(token);
            if(token!=null && tokenInfo!=null){
                Users user = usersService.getById(JwtUtil.getUserId(tokenInfo));
                //验证是否修改过密码
                if(!JwtUtil.isUpdatedPassword(tokenInfo,user)){
                    //如果需要重新创建一个token 则通知客户端保存新的toekn 并且将新的token返回
                    if(JwtUtil.needCreate(tokenInfo)){
                        JSONObject tokenJson = new JSONObject();
                        tokenJson.put("token",JwtUtil.createToken(user));
                        result(response,Result.success(tokenJson));
                        return false;
                    }else{
                        return true;
                    }
                }
            }
            //验证未通过
            result(response,Result.failure("token_error"));
            return false;
        }
        return true;
    }


    private void result(HttpServletResponse response,Result result){
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        response.setStatus(200);
        PrintWriter out = null;
        try {
            out = response.getWriter();
            out.append(JSON.toJSONString(result));
        } catch (IOException e) {
            e.printStackTrace();
        }finally {
            if(out!=null)
                out.close();
        }
    }
}

  第五步

  配置拦截器

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Resource
    private UserLoginInterceptor userLoginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(userLoginInterceptor)
                .addPathPatterns("/user/**");//这是你的拦截地址

    }

}

大功告成 用就可以了

SadPony
关注
  • 10
    点赞
  • 48
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
springboot+jwt+spring-security.rar
05-20
同时,我们需要设置Token的有效期,过期Token失效,无法用于身份验证。 Spring SecurityJava企业级应用的安全框架,它提供了强大的安全控制,包括认证、授权等。在本项目中,我们将Spring Security用于API的...
关于 SpringCloud oauth2 JWT 认证与授权解决用户信息变更token失效问题的解决(伪)
Tkzc_Yuan的博客
12-24 4575
解决jwt密码发生改变后使原token失效的问题(伪)
SpringBoot+JWT+redis实现拦截器(每次请求更新token过期时间)
努力努力再努力
10-28 2092
【代码】SpringBoot+JWT+redis实现拦截器(每次请求更新token过期时间) SpringBoot+JWT+redis实现拦截器(每次请求更新token过期时间) 1. redis(用来存储token以及登录有效期,如果没有不用redis,token可以存在session或者cookie里) 2. 每次请求延长过期时间.生成的token有效期设置长一些,存到redis里面,每次请求查看redis是否有token,如果有请求成功redis延长,如果没有就代表在规定时间内没有请求过则登录失效,重
SpringBootJWT+TokenToken自动续期
最新发布
低调做人,低调编码,神码都是浮云
05-31 543
Springboot+jwt+token实现token认证
SpringBoot 实现 JWT token 自动续期
良月柒
01-17 1853
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 4 分钟。来自:blog.csdn.net/dreaming9420/article/details/1217507321.为什么要 token自动续期token中一般会包含用户的基本信息,为了保证token的安全性,一般会将token过期时间设置的比较短,但是这样会导致用户因为token过期需要频繁登录,因此需要token自...
SpringBoot使用redis实现token自动存储和设定过期时间
weixin_44727617的博客
08-12 4460
SpringBoot使用redis实现token自动存储和设定过期时间
SpringSecurity Oauth2 - 11 只要请求访问后台接口就延长访问令牌过期时间
你今天真好看呀
12-16 2287
系统使用的是SpringSecurity Oauth2框架做认证授权中心,当请求访问系统受限资源时都会判断请求携带的token是否正确,所以可以自定义CustomTokenExtractor继承BearerTokenExtractor,在提取到token后,通过token获取redis中存储的控制页面退出登录时长的key和用于延长token过期时长的key,将控制页面过期时长的key的过期时间重新设置为延长token过期时长的key的value值。这个续期时长要和页面自动退出登录的时长一致。
Spring Security Oauth2 token 续期
FunnyWhiteCat的博客
06-21 2251
Spring Security Oauth2 token 续期
springboot 集成jwt设置过期时间_spring boot 2 集成JWT实现api接口认证
weixin_39677106的博客
11-26 618
一、JWT的数据结构JWT由header(头信息)、payload(有效载荷)和signature(签名)三部分组成的,用“.”连接起来的字符串。JWT的计算逻辑如下:(1)signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)其中私钥secret保存于服务器端,不能...
基于springboot+security+jwt+redis实现微信小程序登录及token权限鉴定-源码
10-02
同时,Redis也可以设置过期时间实现JWT的自动失效。 5. **微信小程序登录**: 微信小程序是腾讯推出的一种可以在微信内运行的应用。用户可以通过微信账号登录小程序,开发者需要与微信服务器进行交互获取用户的...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
03-02
本篇文章将深入探讨如何使用SpringBootSpringSecurity以及JSON Web TokenJWT)技术来构建一个简单的权限管理Demo,非常适合初学者学习。 **1. SpringBoot简介** SpringBootSpring框架的一种简化版本,它旨在...
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现 SpringSecurity Jwt Token 自动刷新的实现是指在用户...SpringSecurity Jwt Token 自动刷新的实现可以满足用户登录系统后的安全需求,并且可以自动延长Token过期时间
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
在前后端分离的架构中,Vue.js作为前端框架与Spring Boot作为后端服务进行交互时,常常会遇到跨域和Session、Cookie失效的问题。...同时,考虑采用Token认证机制,如JWT,以实现更灵活的认证和授权管理。
SpringBoot 配置文件敏感信息加密
jeikerxiao
07-19 5586
说明 使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性就比较低一些。 打开application.properties或application.yml,比如 MySql登陆密码,Redis登陆密码以及第三方的密钥等等一览无余,这里介绍一个加解密组件,提高一些属性配置的安全性。 jasypt由一个国外大神写了一个springboot下的工具包,用来加密配置...
JWT token过期自动续期解决方案
Follow me !
12-15 4941
JWT JWT全称JSON Web Token,由三部分组成header(头部,用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等)、payload(载荷,就是存放有效信息的地方,在这一部分中存放过期时间)和signature(签证,签证信息)。 token token就是后端生成的JWT字符串值,在前后端分离中,token是前端访问后端接口的合法身份、权限的凭证。 token过期刷新方案 1、单点登录 用户登录,后端验证用户成功之后生成两个token,这两个token分别是access_t
SpringBoot3+Jwt+Redis的Token有效性检查以及自动续期的实现
fatfish517的博客
12-17 1353
1. 续期在后端完成,只给前端传递一个token,不采用两个token的方式,从而不增加前端工作量 2. 默认情况下解析Jwt token过期token将抛出过期错误,因为需要自动续期,因此应忽略该错误。 3. token等信息保存在Redis中,并设置过期时间token过期时间过期后保存信息自动删除 。修改此处过期时间实现延期 4. 记录每次前端请求的时间至Redis中。 5. 验证token有效性时,若距离最近一次请求的时差未过定义的过期时间增量,则尝试进行续期操作
springboot JWT Token 自动续期的解决方案
weixin_39255905的博客
03-25 5030
关于JWT Token 自动续期的解决方案 前言 在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。 后续每次请求都会将此token放在请求头中传递到后端服务,后端服务会有一个过滤器对token进行拦截校验,校验token是否过期,如果token过期则会让前端跳转到登录页面重新登录。 因为jwt token中一般会包含用户的基本信息,为了保证token的安全性,一般.
基于springboot+oauth2.0+jwttoken鉴权认证开发的后台接口
08-17
基于Spring Boot、OAuth2.0和JWT Token鉴权认证开发的后台接口是一种使用现代化技术实现的身份验证和授权机制。下面是关于这种后台接口的一些说明: 首先,Spring Boot是一个基于Spring框架的快速开发框架,提供了简化的配置和自动化的特性,使开发者能够更快速高效地开发后台接口。 OAuth2.0是一种开放标准的授权协议,它允许用户授权第三方应用访问他们在资源拥有者上存储的信息,而不需要将用户名和密码提供给第三方。 JWT Token(JSON Web Token)是一种用于在网络应用间安全传递声明的一种方式。它被用作身份验证和授权的令牌,通过加密并以JSON格式存储信息,确保信息的完整性和安全性。 基于以上技术,我们可以开发出具有强大安全认证能力的后台接口。首先,用户在访问接口时,需要提供他们的身份证明,这可以是用户名和密码。接口服务器会使用OAuth2.0协议进行身份验证,并颁发JWT Token给用户。用户在未来的请求中,可以使用该Token进行身份验证,而无需每次都提供用户名和密码。 接口服务器会对JWT Token进行验证,以确保Token的完整性和有效性。如果Token失效或被伪造,访问将被拒绝。如果验证通过,接口服务器会正常处理用户的请求。 使用Spring Boot和OAuth2.0进行开发,可以方便地设置权限和角色。可以根据用户的角色和权限,限制他们对某些资源的访问。 总之,基于Spring Boot、OAuth2.0和JWT Token鉴权认证开发的后台接口提供了一种安全可靠的身份验证和授权机制,能够有效保护后台接口的安全性,防止非法访问和数据泄露。这种技术组合在开发现代化的网络应用时非常有用。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值