使用jwt写过滤器流程

最新推荐文章于 2024-06-16 07:30:00 发布
最新推荐文章于 2024-06-16 07:30:00 发布
阅读量1.2k 收藏 6
点赞数 1
分类专栏: Java 文章标签: jwt filter 过滤器 servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41027942/article/details/115266872
版权

目录

1.pom依赖

2.工具类

3.登录生成jwt返回给前端,以后请求头中放入jwt

4.其余接口使用jwt中的payload信息

5.过滤器校验jwt的安全(有无篡改,是否失效,注意,并不能保证信息不泄露,这点应提前了解)

6.web.xml文件映射

7.测试方法

前言:

做一个老项目改造,将之前的mvc改为前后端分离的版本

想到之前写小程序时用的jwt就顺便也给session干掉换成jwt了

session和jwt的区别大家自己另行百度,我这就是做完整合下步骤,不会的可以参考下

 

1.pom依赖

<!--JSON Web Token Support,JWT工具-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

2.工具类

import com.alibaba.fastjson.JSONObject;
import com.fasterxml.jackson.core.JsonProcessingException;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.MalformedJwtException;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.SignatureException;
import io.jsonwebtoken.impl.DefaultClaims;
import org.apache.commons.lang3.StringUtils;

import java.io.UnsupportedEncodingException;
import java.util.Base64;
import java.util.Date;
import java.util.Random;

public class JwtUtils {
    //默认过期时间,单位秒
    public static final long DEFAULT_EXPIRE_TIME = 2 * 60 * 60;

    private static final String DEFAULT_SECRET="4dc25eeb75ba9ca1e4c504af3cb6259f" ;

    /**
     * 生成jwt字符串
     * @param expiration 有效时长,单位秒
     * @param secret 秘钥(盐)
     * @return
     * @throws UnsupportedEncodingException
     */
    public static String generateJwt(String subjectId, long expiration, String secret) throws Exception {
        if(StringUtils.isBlank(secret)|| secret.length()< 8) {
            secret = DEFAULT_SECRET;
        }
        byte[] secretBytes = secret.getBytes("UTF-8");
        DefaultClaims claims = new DefaultClaims();claims.setSubject(subjectId);
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate(expiration))
                .signWith(SignatureAlgorithm.HS256,secretBytes).compact();
    }

    /**
     * 生成jwt字符串
     * @param claims
     * @param expiration 有效时长,单位秒
     * @param secret 秘钥(盐)
     * @return
     * @throws UnsupportedEncodingException
     */
    public static String generateJwt(Claims claims, long expiration, String secret) throws Exception {
        if(StringUtils.isBlank(secret)|| secret.length()< 8) {
            secret = DEFAULT_SECRET;
        }
        byte[] secretBytes = secret.getBytes("UTF-8");
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate(expiration))
                .signWith(SignatureAlgorithm.HS256,secretBytes).compact();
    }

    public static String getSubject(String jwt,String secret) throws Exception {
        return JwtUtils.getPayload(jwt,secret).getSubject();
    }

    public static Date getExpiration(String jwt,String secret) throws Exception {
        return JwtUtils.getPayload(jwt, secret).getExpiration();
    }

    /**
     * 获取jwt的payload
     * @param jwt
     * @param secret 秘钥(盐)
     * @return
     * @throws UnsupportedEncodingException
     */
    public static Claims getPayload(String jwt,String secret) throws ExpiredJwtException,
            MalformedJwtException, SignatureException, IllegalArgumentException, UnsupportedEncodingException {
        if(StringUtils.isBlank(secret)|| secret.length()< 8) {
            secret = DEFAULT_SECRET;
        }
        byte[] secretBytes = secret.getBytes("UTF-8");
        return (Claims)Jwts.parser().setSigningKey(secretBytes).parse(jwt).getBody();
    }

    public static Claims getPayloadWithoutCheck(String jwt) throws JsonProcessingException, UnsupportedEncodingException {
        String[] split = jwt.split("\\.");
        String body = new String(Base64.getDecoder().decode(split[1]), "UTF-8");
        return JSONObject.parseObject(body,DefaultClaims.class);
    }

    /**
     * 验证jwt 时效
     * @param claims
     * @return
     */
    public static boolean validateJwtExpire(Claims claims){
        Date date = claims.getExpiration();
        return new Date(System.currentTimeMillis()).before(date);
    }

    /**
     * 生成token的过期时间
     */
    private static Date generateExpirationDate(long expiration) {
        if(expiration<=0){
            expiration = DEFAULT_EXPIRE_TIME;
        }
        return new Date(System.currentTimeMillis() + expiration * 1000);
    }

}

3.登录生成jwt返回给前端,以后请求头中放入jwt

@POST
@Path("/login")
public ComResult login(@ModelAttribute User user) {
    try {
        //调用的是中台提供的登录判断接口,登录成功返回token,失败返回code不同
        RestResponse<LoginRespDto> login = memberCenterApi.login(user.getUsername(), user.getPassword());
        if (RestResponse.SUCC_CODE.equals(login.getResultCode())) {
            //加入jwt携带信息
            Claims claimsMap = new DefaultClaims();
            claimsMap.setSubject(login.getData().getToken());
            claimsMap.put("userId", user.getUsername());
            String jwt = "";
            try {
                jwt = JwtUtils.generateJwt(claimsMap, 1200, null);
            } catch (Exception e) {
                log.error(e.getMessage());
            }
            Map<String, Object> responseMap = new HashMap<>();
            responseMap.put("userId", user.getUsername());
            responseMap.put("auth", jwt);
            return ComResult.success("登录成功", responseMap);
        } else {
            return ComResult.failed(login.getResultMsg());
        }
    } catch (Exception e) {
        log.error("调用会员中台登录接口失败:{}", e.getMessage());
        log.error("调用会员中台登录接口失败param:{}", JSON.toJSONString(user));
        return ComResult.failed("调用会员中台登录接口失败");
    }
}

4.其余接口使用jwt中的payload信息

@GET
@Path("/logout")
public ComResult logout(@HeaderParam("auth") String auth) {
    String token = null;
    try {
        token = JwtUtils.getPayloadWithoutCheck(auth).getSubject();
    } catch (Exception e) {
        log.error("jwt解析异常:{}", e.getMessage());
        return ComResult.failed("jwt解析异常");
    }
    try {
        RestResponse<Void> logout = memberCenterApi.logout(token);
        if (RestResponse.SUCC_CODE.equals(logout.getResultCode())) {
            return ComResult.success(logout);
        } else {
            return ComResult.failed(logout.getResultMsg());
        }
    } catch (Exception e) {
        log.error("调用会员中台注销接口失败:{}", e.getMessage());
        log.error("调用会员中台注销接口失败param:{}", JSON.toJSONString(token));
        return ComResult.failed("调用会员中台注销接口失败");
    }
}

5.过滤器校验jwt的安全(有无篡改,是否失效,注意,并不能保证信息不泄露,这点应提前了解)

普通springMVC过滤器创建步骤:

继承Filter类,实现doFilter方法-->在web.xml文件中配置mapping

import com.alibaba.fastjson.JSON;
import com.lppz.product.web.common.ComResult;
import com.lppz.product.web.utils.JwtUtils;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Slf4j
public class AuthFilter implements Filter {

    /**
     * 授权不通过
     */
    public static final String UNAUTHORIZED = "999";
    /**
     * 调用会员中台接口重试次数
     */
    public static final int RETRYTIME = 3;

    private String jwtSecret;
    /**
     * 过滤器开关
     */
    private final boolean enabled = false;

    @Override
    public void init(FilterConfig filterConfig) {
        jwtSecret = filterConfig.getInitParameter("jwt_secret");
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        //未开启,不需过滤,直接放行
        if (!enabled) {
            filterChain.doFilter(servletRequest, servletResponse);
            return;
        }
        HttpServletRequest req = (HttpServletRequest) servletRequest;
        HttpServletResponse resp = (HttpServletResponse) servletResponse;
        //排除的链接
        String excludeStr = "/webresources/ui/member/login";
        String[] excludes = excludeStr.split(",");
        //排除的链接,不需过滤 直接放行
        if (handleExcludeUrl(req, excludes)) {
            filterChain.doFilter(servletRequest, servletResponse);
            return;
        }
        resp.setCharacterEncoding("UTF-8");
        resp.setContentType("application/json");
        //获取jwt token 命名为auth,为了跟中台的token做区分
        String auth = req.getHeader("auth");
        log.info("获取到客户端携带的auth:{}", auth);
        if (StringUtils.isBlank(auth)) {
            log.info("获取到客户端携带的auth为空");
            resp.getWriter().println(JSON.toJSONString(ComResult.failed(UNAUTHORIZED,"获取到客户端携带的token为空",null)));
            return;
        }
        //校验jwt token 是否真实,是否超时
        Claims payload = null;
        try {
            payload = JwtUtils.getPayload(auth,jwtSecret);
        } catch (ExpiredJwtException e) {
            log.warn("jwt auth已过期:[{}]", auth);
            resp.getWriter().println(JSON.toJSONString(ComResult.failed(UNAUTHORIZED,"token已过期",null)));
            return;
        } catch (Exception e) {
            log.warn("jwt auth校验不通过:[{}]", auth);
            resp.getWriter().println(JSON.toJSONString(ComResult.failed(UNAUTHORIZED,"token校验不通过",null)));
            return;
        }
        //获取token信息
        Object userId = payload.get("userId");
        //校验通过,则解析jwt token 获取信息 设置到request中,放行
        servletRequest.setAttribute("userId", userId);
        log.debug("当前登录人是{}", userId);
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {

    }

    private boolean handleExcludeUrl(HttpServletRequest req, String[] excludes) {
        if (excludes == null || excludes.length < 1) {
            return false;
        }
        String url = req.getRequestURI();
        for (String pattern : excludes) {
            if (pattern.equals(url)) {
                return true;
            }
        }
        return false;
    }
}

6.web.xml文件映射

<filter>
   <filter-name>AuthFilter</filter-name>
   <filter-class>***.***.***.web.filter.AuthFilter</filter-class>
   <init-param>
      <param-name>jwt_secret</param-name>
      <param-value>acc3.0jwt_secret</param-value>
   </init-param>
</filter>

<filter-mapping>
   <filter-name>AuthFilter</filter-name>
   <url-pattern>/*</url-pattern>
</filter-mapping>

7.测试方法

@GET
@Path("/test")
public ComResult test(@Context HttpServletRequest request) {
    String userId = (String)request.getAttribute("userId");
    return ComResult.success(userId);
}

 

 

 

别叫我杰少
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT
P_YUX的博客
09-08 556
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “20...
JWT过滤器
samgreat911的博客
12-05 450
security 的认证实现 * </ul&g
JWT令牌、过滤器Filter、拦截器Interceptor
最新发布
m0_46702681的博客
06-16 1189
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}
SpringSecurity定义、配置JWT过滤器(重要)
weixin_52861960的博客
06-07 484
SpringSecurity定义、配置JWT过滤器(重要)
JWT的简单使用例子
weixin_43973161的博客
09-05 879
1.在用户登录成功后将签发的token返回,将验证信息存储在客户端2.用户发起请求时携带token后端对token进行验证并执行对应的方法3用户退出登录或者修改重要信息后在客户端销毁token
解析SpringSecurity+JWT认证流程实现
08-18
我们首先需要配置SpringSecurity的过滤器链,然后在认证流程中,我们使用JWT token来验证用户的身份。如果用户的身份验证成功,我们将生成一个JWT token,并将其传递给客户端。 六、结论 SpringSecurity+JWT认证...
JWT认证原理、流程整合springboot实战应用
01-18
4. 创建过滤器,注入JWTUtil,解析请求中的Token并验证。 5. 在受保护的控制器方法上添加`@Secured`或`@PreAuthorize`注解。 6. 测试登录、获取受保护资源、Token过期重试登录等场景。 通过以上步骤,你可以将JWT...
spring security 4 小例子带自定义过滤器
03-20
这意味着在Spring Security的默认认证流程开始前,我们的自定义过滤器将先执行。 3. **集成Spring Security**:为了让自定义过滤器能与Spring Security的其他组件协同工作,我们可能需要设置一些属性,如`...
JWT 实战教程_jwt_
10-01
在认证和授权方面,你可以创建一个自定义的AuthenticationFilter,该过滤器拦截请求,检查Authorization头中的JWT。如果JWT有效,过滤器将创建一个Authentication对象并将其放入SecurityContextHolder中,从而完成...
SpringBoot整合Shiro+JWT
05-15
3. **创建过滤器链**:定义Shiro过滤器链,例如`authc`(认证过滤器)和`perms`(权限过滤器)。过滤器链将决定哪些请求需要用户认证,哪些需要特定的权限。 4. **JWT生成与验证**:在用户成功登录后,使用JWT库...
Yii 使用JWT
huaweichenai的博客
06-24 2931
了解JWT可以参考:了解JWT 一:下载JWT拓展 在JWT官网中我们可以看到很多php版本的JWT,选择一个JWT进行下载 这里我选择的是lcobucci/jwt使用composer进行下载 lcobucci/jwt的composer地址:https://packagist.org/packages/lcobucci/jwt composer require lcobucci/...
jwt
断雨的博客
08-17 636
jwtjwt的简介JWT组成JWT实现登录验证 jwt的简介 JSON Web Token (JWT),它是目前最流行的 跨域身份验证 解决方案 JWT的 精髓 在于:“去中心化”,数据是保存在客户端的。 JWT的 工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Ex...
spring boot整合jwt:filter实现jwt进行接口认证
qq_41644069的博客
11-28 4467
本文为代码实现,关于jwt的原理请看这篇文章。 jwt使用流程: ①用户使用账号和面发出post请求;②服务器使用私钥创建一个jwt;③服务器返回这个jwt给浏览器;④浏览器将该jwt串在请求头中像服务器发送请求;⑤服务器验证该jwt;⑥返回响应的资源给浏览器。 1.pom.xml <dependency> <groupId>org.springframework.boot</groupId> .
JwtAuthorizationFilter config
GGHuWei的博客
07-17 535
package github.javaguide.springsecurityjwtguide.security.filter; import github.javaguide.springsecurityjwtguide.security.common.constants.SecurityConstants; import github.javaguide.springsecurityjwtguide.security.common.utils.JwtTokenUtils; import io.jsonw
SpringSecurity 自定义JwtAuthorFilter基于JWT的Token验证
qq_31142237的博客
09-15 5242
根据上篇的实现思想,现在我们正式实现下内容。 需要实现的内容(基于之前的实现SpringSecurity 架子): 1. 修改 JwtAuthenticationSuccessHandler ,需要将上下文信息存入redis: 因为验证环节需要实现从redis获取上下文,设置为SecurityContextHolder。 2. 自定义实现JwtAuthorFilter,拦截所有请求,对token进行验证,验证内容:是否携带token,是 否有效等(根据需求实现):进行toke...
自定义JWT认证过滤器
Leon_Jinhai_Sun的博客
01-23 2032
身份认证 - 1 登录成功之后前端就可以获取到了jwt的信息,前端中我们是保存在了store中,同时也保存在了localStorage中,然后每次axios请求之前,我们都会添加上我们的请求头信息,可以回顾一下: 前端项目的axios.js 所以后端进行用户身份识别的时候,我们需要通过请求头中获取jwt,然后解析出我们的用户名,这样我们就可以知道是谁在访问我们的接口啦,然后判断用户是否有权限等操作。 那么我们自定义一个过滤器用来进行识别jwtJWTAuthenticationFilter
如何简单创建JWT令牌和过滤器和拦截器
Yosoo_的博客
05-07 636
在实际项目中,可以根据需要选择使用过滤器或拦截器来实现JWT认证。过滤器适用于全局性的请求和响应处理,而拦截器则更适用于框架内部的请求处理。两者各有优缺点,具体选择取决于项目的需求和架构。
使用jwt过滤器流程
04-18
很抱歉,因为我是一个语言模型,我无法提供图片或图表,但是我可以提供一些文字描述来解释JWT过滤器流程。 一般来说,JWT(JSON Web Token)用于认证和授权用户,而过滤器则用于检查、验证和拦截请求。接下来,我会简要介绍使用JWT过滤器流程。 1. 客户端发送登录请求,并提交用户名和密码。 2. 服务器验证用户信息,如果验证通过,就生成一个JWT并将其发送给客户端。 3. 客户端收到JWT,并在每个请求中将其作为请求头添加到请求中。 4. 服务器的过滤器接收到请求,检查JWT是否有效。如果是有效的,请求将继续传递到下一个步骤。如果无效,请求将被拒绝。 5. 服务器的业务逻辑接收到请求,从JWT中读取用户信息,并验证用户是否有足够的权限执行该请求。 6. 如果用户有足够的权限,服务器会处理请求并返回响应给客户端。 这是简化的步骤,实际上使用JWT过滤器流程可能更加复杂,需要根据业务需求和安全性考虑做出相应的调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值