springboot集成jwt的登陆验证(token令牌)

最新推荐文章于 2023-11-29 12:15:34 发布
置顶 最新推荐文章于 2023-11-29 12:15:34 发布
阅读量1.1k 收藏 4
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40224631/article/details/107106318
版权

目录

前言

该脚手架基于人人开源项目renren-security改造,包含相关框架的集成过程以及配置的相关解读。

JWT的配置与使用

JWT(Json Web Token):基于token的认证方式。

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。
流程上是这样的: 用户使用用户名密码来请求服务器 服务器进行验证用户的信息 服务器通过验证发送给用户一个token
客户端存储token,并在每次请求时附送上这个token值 服务端验证token值,并返回数据
这个token必须要在每次请求时传递给服务端,它应该保存在请求头里,
另外,服务端要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了Access-Control-Allow-Origin:*

JWT所需要的pom引入

        <dependency>
		    <groupId>com.auth0</groupId>
		    <artifactId>java-jwt</artifactId>
		    <version>3.4.0</version>
		</dependency>

JWT配置

JWT配置文件由3个文件组成,分别是:AuthenticationInterceptor.java,InterceptorConfig.java,TokenUtils.java。
文件目录在/commont/config/jwt下
  1. AuthenticationInterceptor.java

JWT的验证过程

package io.renren.common.config.jwt;

import java.io.OutputStreamWriter;
import java.util.Date;
import javax.servlet.ServletOutputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import com.alibaba.fastjson.JSONObject;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.Clock;
import com.baomidou.mybatisplus.extension.api.R;

import io.renren.common.utils.Constant;
import io.renren.modules.test.dao.UserDao;
import io.renren.modules.test.entity.UserEntity;

public class AuthenticationInterceptor implements HandlerInterceptor {
	
	@Autowired
    private UserDao userDao;
    
    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
    	//踩坑1
    	//浏览器在发送正式的请求时会先发送options类型的请求试探
    	//放行该请求
    	if(httpServletRequest.getMethod().equalsIgnoreCase("OPTIONS")) {
    		return true;
    	}   
    	//踩坑2	
    	//设置允许跨域访问
    	//jwt要设置跨域,不然拿不到请求头里的token
    	httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
    	httpServletResponse.setHeader("Access-Control-Allow-Methods", "*");
    	httpServletResponse.setHeader("Access-Control-Max-Age", "3600");  
    	httpServletResponse.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Authorization,"
                + " Content-Type, Accept, Connection, User-Agent, Cookie,token");
    	
    	ServletOutputStream out=httpServletResponse.getOutputStream();
    	OutputStreamWriter ow=new OutputStreamWriter(out,"UTF-8");
    	String token = httpServletRequest.getHeader("token");// 从 http 请求头中取出 token
                // 执行认证   这里的认证改成自己本地的
                if (token == null) {
                	R<Object> r=new R<Object>();
                	r.setCode(401);
                	r.setMsg("请登录后访问");
                	ow.write(JSONObject.toJSONString(r));
                	ow.flush();
                	ow.close();
                	System.out.println("请登录后访问!");              	
                	return false;
                }
                // 获取 token 中的 username
                String username = "";
                try {
                    username = JWT.decode(token).getAudience().get(0);
                } catch (JWTDecodeException j) {//抛异常,因为jwt找不到这个令牌,token失效了,需要重新签发token
                	R<Object> r=new R<Object>();
                	r.setCode(401);
                	r.setMsg("401,请重新登陆!");
                	ow.write(JSONObject.toJSONString(r));
                	ow.flush();
                	ow.close();
                	System.out.println("401");
                	return false;
                }
                UserEntity user=userDao.selectByUsername(username);
                if (user == null) {
                	R<Object> r=new R<Object>();
                	r.setCode(401);
                	r.setMsg("用户不存在,请重新登录");
                	ow.write(JSONObject.toJSONString(r));
                	ow.flush();
                	ow.close();
                	System.out.println("用户不存在,请重新登录");
                	return false;
                }
                // 验证 token
                Clock clock = new Clock() {
                    @Override
                    public Date getToday() {
                        return new Date();
                    }
                };//Must implement Clock interface
//                JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(Salt.salt+user.getPassword())).build();//不带超时的token验证方式
                JWTVerifier.BaseVerification verification = (JWTVerifier.BaseVerification) JWT.require(Algorithm.HMAC256(Constant.JWT_SALT+user.getPassword()));
                JWTVerifier jwtVerifier = verification.build(clock);
                try {
                    jwtVerifier.verify(token);	
                } catch (JWTVerificationException e) {
                	R<Object> r=new R<Object>();
                	r.setCode(401);
                	r.setMsg("登陆超时,请重新登陆!");
                	ow.write(JSONObject.toJSONString(r));
                    //throw new RuntimeException("401");
                	ow.flush();
                	ow.close();
                	System.out.println("token过期,请重新登陆!");
                    return false;
                }
                return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, 
                                  HttpServletResponse httpServletResponse, 
                            Object o, ModelAndView modelAndView) throws Exception {

    }
    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, 
                                          HttpServletResponse httpServletResponse, 
                                          Object o, Exception e) throws Exception {
    }
}

这里有两个坑要注意(解决办法在上面的代码中):

 - 放行所有的"OPTIONS"类型的请求(浏览器发起请求时会先发送一个options的试探请求)
 - jwt要设置跨域(不然取不到请求头中的token,不要以为拦截器配置了全局跨域或者加上了@CrossOrgin就ok了)
  1. InterceptorConfig.java

jwt的拦截配置

package io.renren.common.config.jwt;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
	@Bean
	public AuthenticationInterceptor authenticationInterceptor() {
		return new AuthenticationInterceptor();
	}
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
//                .addPathPatterns("/**").excludePathPatterns("/login/**","/v2/**","/swagger-ui.html","/api/**","/login.html","favicon.ico"); 
        .addPathPatterns("/**")//拦截所有路径下的请求(任何请求都需要进行token令牌验证)
        .excludePathPatterns("/login/**");//放行的请求(可以多个逗号隔开,表示这里的请求可以跳过jwt的token令牌验证)  
//        .addPathPatterns("/**").excludePathPatterns("/**");  
    }
    
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowCredentials(true)
                .allowedMethods("GET", "POST", "DELETE", "PUT", "PATCH", "OPTIONS", "HEAD")
                .maxAge(3600 * 24);
    }

}

这里有一个值得注意的地方,.addPathPatterns()方法表示拦截的请求范围,而.excludePathPatterns()表示放行的请求,一般情况下只会对登陆接口或者注册接口放行。这样也导致了静态资源如果不登陆就访问不了,比较明显的例子就是swagger接口文档的相关静态资源如:js,css访问不了,因为这个页面在开发过程中是不需要登陆的,目前还没去研究这一方面,我现在的解决方式就是在开发联调需要使用swagger时,将拦截设置为全部开放:.addPathPatterns("/**").excludePathPatterns("/**")
4. TokenUtils.java

JWT token的生成

package io.renren.common.config.jwt;

import java.util.Calendar;
import java.util.Date;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;

import io.renren.common.utils.Constant;
import io.renren.modules.test.entity.UserEntity;
/**未使用,具体实现在userservice中*/
public class TokenUtils {
	
	public static String getToken(UserEntity user) {
		 String token="";
	     Calendar calendar = Calendar.getInstance();
//	     calendar.add(Calendar.HOUR,2); //特定时间过期,这里设置为2小时之后过期
	     calendar.add(Calendar.HOUR,Constant.JWT_TIMEOUT);
	     Date date = calendar.getTime();
	     token= JWT.create().withAudience(user.getUsername())
	    		 .withExpiresAt(date)//如果不想设置过期时间,把这段注释掉就好,然后修改AuthenticationInterceptor.java中的jwtVerifier 不带超时的token验证方式
	             .sign(Algorithm.HMAC256(Constant.JWT_SALT+user.getPassword()));
	     return token;
    }
}

Constant就是一些常量参数的配置
Constant.JWT_TIMEOUT=数字,
Constant.JWT_SALT=“自定义字符串”,生成token令牌时的加密盐

    /**
     * JWT token加密盐
     * */
    public static final String JWT_SALT = "asd_(8sadm|;.'";
    /**
     * JWT token过期时间(小时)
     * */
    public static final int JWT_TIMEOUT = 4;

JWT的使用

流程:
登陆接口:用户登陆–>账号密码无误–>生成并返回jwt token给前端
其他接口:前端在请求头中携带token,key-value的方式–>后端进行jwt拦截器验证–>token是否存在/用户 信息是否正确/是否超时–>登陆验证通过,可以请求接口数据
使用示例:

	@ResponseBody
	@RequestMapping(value = "/login", method = RequestMethod.POST)
	public R login(@RequestBody UserEntity user) {
		String username=user.getUsername();
		String password=user.getPassword();
		//在这写自己的登陆验证直接数据库核对账号密码,我用的是shiro
		//System.out.println("login:"+username);
		//try{
			//Subject subject = ShiroUtils.getSubject();
		//	UsernamePasswordToken token = new UsernamePasswordToken(username, password);
			//subject.login(token);
		//}catch (UnknownAccountException e) {
		//	return R.error(e.getMessage());
		//}catch (IncorrectCredentialsException e) {
			//return R.error("账号或密码不正确");
		//}catch (LockedAccountException e) {
			//return R.error("账号已被锁定,请联系管理员");
		//}catch (AuthenticationException e) {
		//	return R.error("账户验证失败");
		//}   
		//返回jwt生成的token
		String token = TokenUtils.getToken(user);
        return R.ok().put("token", token);
	}

请求接口数据时需要在请求头带上token,如下所示:
请求接口数据时需要在请求头带上token

JWT最后要说的话

jwt是无状态的,也就是说使用jwt进行登陆验证并不能实现单点登陆,同一用户允许同一时间在不同地点登陆。
具体的springboot+jwt集成请参考:SpringBoot集成JWT实现token验证

下一个shiro,未完待续…

to样
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解Spring Boot中的JWT令牌管理策略
Trouvailless的博客
05-25 318
为了安全起见,使用无状态JWT令牌时可以使用短时限TTL(1分钟)策略,然后这些令牌会在其生存时间内及时刷新。如果服务器不知道用户何时注销,那么可以继续刷新已注销用户的令牌。本文将提供针对这个问题的一种解决方案,使之在保持水平扩展性的同时确保安全性能不受影响。 架构设计 从图中展示的体系架构可见,每个微服务都有自己的数据库。被撤销的令牌和用户都需要单一(身份)信息源(Single Source of Truth,简称“SSOT”)。数据库需要具有高可用性,包括多主机、热备份及数据库的其他功能。其
Spring Boot + Spring Security + JWT 从零开始
最新发布
喵喵分享师
05-29 1237
这个LDAP服务器将在内存中保存所有信息,这对于开发目的来说就够了,当我们构建一个连接到这个本地LDAP服务器的应用程序时,我们所构建的东西可以轻松地指向一个真实的LDAP服务,然后仍然可以工作相同的方式。所以我要做的是去我的POM文件,添加一些依赖项。这篇笔记中,我们将学习如何从头开始设置一个带有Spring Security的Spring Boot应用程序,它连接到一个LDAP身份验证的Spring Security身份验证提供程序,这将是即将出现的,这个连接和工作都是开箱即用的。
SpringBootJWT令牌
qq_62254095的博客
04-19 1525
定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。简洁:是指jwt就是一个简单的字符串。可以在请求参数或者是请求头当中直接传递。自包含:指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。如:可以直接在jwt令牌中存储用户的相关信息。简单来讲,jwt就是将原始的json数据格式进行了安全的封装,这样就可以直接基于jwt在通信双方安全的进行信息传输了。
JWT令牌在Spring Boot中的使用
爱码士的博客
07-28 160
什么是JWT 网站:https://jwt.io/introduction JWT对象为一个很长的字符串,字符之间通过"."分隔符分为三个子串。每一个子串表示了一个功能块,总共有以下三个部分:JWT头、有效载荷和签名。 JWT加密后数据通常由三部分构成,分别为Header(头部),Payload(负载),Signature(签名),对应其格式如下: JWT的组成 JWT头部分是一个描述JWT元数据的JSON对象。 { "alg": "HS256", "typ": "JWT" } alg属性表示
springboot实现Jwt登录认证
weixin_49071539的博客
04-29 519
JwtUtils工具类: public class JwtUtils { /* 过期时间为24小时,毫秒计时的---毫秒--》秒--》分--》小时--》天 */ private static final long EXPIRE_TIME= 60 * 24 * 60 * 1000; /** * 密钥,注意这里如果真实用到,应当设置到复杂点,相当于私钥的存在。如果被人拿到,相当于它可以自己制造token了。 */ private static
手把手教你,使用JWT实现单点登录,一起来揭开它神秘的面纱
weixin_47083537的博客
05-15 765
JSON Web TokenJWT)是目前最流行的跨域身份验证解决方案之一,今天我们一起来揭开它神秘的面纱! 一、故事起源 说起 JWT,我们先来谈一谈基于传统session认证的方案以及瓶颈。 传统session交互流程,如下图: 当浏览器向服务器发送登录请求时,验证通过之后,会将用户信息存入seesion中,然后服务器会生成一个sessionId放入cookie中,随后返回给浏览器。 当浏览器再次发送请求时,会在请求头部的cookie中放入sessionId,将请求数据一并发送给服务器。 服务器就
SpringBoot集成JWT实现token验证的流程
10-15
标题中的“SpringBoot集成JWT实现token验证的流程”是指在SpringBoot应用中使用JWT(Json Web Token)技术来实现用户身份验证的过程。JWT是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式来安全地在各...
SpringBoot集成JWT实现token验证-源码
10-02
总结来说,Spring Boot集成JWT实现token验证的过程包括引入依赖、配置Spring Security、创建自定义过滤器以及编写Token生成和验证逻辑。这种方式不仅提高了安全性,还减少了服务器的负担,因为不再需要管理用户的...
springboot集成jwt
01-25
**SpringBoot集成JWT详解** SpringBoot是一个轻量级的Java框架,它简化了Spring应用程序的创建和部署。JWT(Json Web Token)则是一种用于在各方之间安全地传输信息的开放标准,广泛应用于身份验证和授权场景。在...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
集成JWT,我们首先需要添加相关依赖,如jjwt库,这可以通过在`pom.xml`文件中添加依赖项来实现: ```xml <groupId>io.jsonwebtoken <artifactId>jjwt <version>0.9.1 ``` 接下来,我们需要配置Spring ...
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
08-19
在本文中,我们将深入探讨如何在SpringBoot应用中集成Spring Security并使用JWT(Json Web Token)来实现用户登录和鉴权。首先,我们先理解JWT的基本概念。 **1. JWT概念** JWT是一种开放标准(RFC 7519),用于在...
jwt-servlet:一个简单的servlet应用程序,用于演示JSON Web令牌与Servlet的结合使用
02-16
JWT Servlet 一个简单的Servlet应用程序,用于演示JSON Web令牌与Servlet的结合使用。 这主要集中在身份验证上。 但是相同的想法也可以用于实现授权。 依赖 Java JWT:适用于Java和Android的JSON Web令牌 执照 该项目是许可下的许可。
Spring Boot 优雅集成 Spring Security 5.7(安全框架)与 JWT(双令牌机制)
欲变世界,先变其身
06-15 4540
Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IOC(控制反转),DI(依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringBoot篇】登录校验 — JWT令牌
小吉妙妙屋
11-29 9297
头部包含了令牌使用的加密算法信息,载荷包含了所需传输的用户信息,签名用于保证令牌的完整性和真实性,防止令牌被篡改。每次向服务器发送请求时,在请求的头部中携带该令牌,以便服务器对请求进行身份验证。服务器收到请求后,从请求头中提取JWT令牌,并进行解析和验证。用户向服务器发送登录请求,服务器进行身份验证,如果验证成功则返回一个JWT令牌给客户端。(相当于校验令牌,只要解析令牌不报错,就相当于校验jwt令牌正确)运行后发现,出现了jwt令牌
SpringBoot项目整合token令牌代码,生成令牌及解析令牌
yufei1094819765的博客
03-17 580
springboot项目整合token令牌全代码
权限管理后端篇(七)之整合JWT实现token认证
qq_57919779的博客
12-17 535
整合JWT实现token认证
Java中如何快速构建项目脚手架
smilehappiness的博客
05-29 4863
文章目录1 前言2 微服务项目准备3 脚手架构建3.1 项目正常启动 && 测试用例正常3.2 在pom中加入以下maven插件配置3.3 执行archetype插件3.4 执行安装命令4 基于脚手架生成新的项目4.1 添加脚手架4.2 创建新项目 1 前言 项目中,目前主流的当然是微服务项目。为了应对高并发,以及保证自己的服务比较稳定,通常会把服务按照模块,或者具体的业务划分为多个独立的微服务,那么如果一个一个去创建每一个微服务项目,感觉在做重复的事情,而且容易出错,所以笔者就自己搞了一个
Springboot整合JWT实现用户token登录验证
skyxya的博客
02-10 1751
使用token验证比传统session更加安全、快捷,也能够很好的处理后端服务器集群带来的用户登录session传递难题,token主要存放于用户端浏览器,在每次请求时携带在请求头中,后端可以通过唯一的签名密钥来检测token是否合法,从而实现登录验证的功能
springboot整合JWT实现token登录验证的简单实现
ljlj8888的博客
02-04 5890
JWT官网: https://jwt.io/ 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).**定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。**因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 JWT请求流程 ...
SpringBoot集成jwt实现token认证
05-28
在Spring Boot中,可以使用以下步骤将JWT集成到应用程序中以实现token认证: 1. 添加依赖项 在pom.xml文件中添加以下依赖项: ``` <groupId>io.jsonwebtoken <artifactId>jjwt <version>0.9.1 ``` 2. 创建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值