使用JWT完成前后端请求发送的数据校验

最新推荐文章于 2024-05-29 16:13:40 发布
最新推荐文章于 2024-05-29 16:13:40 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: 笔记 文章标签: java postman json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43647376/article/details/126387164
版权

JWT目前网上有两种实现方式,通过不同的两个包:1、com.auth0.jwt.JWT; 2、io.jsonwebtoken.Jwts(jjwt) 笔者个人认为第二种方式较好,仅供参考

1、com.auth0.jwt.JWT

1 后端生成token

引入依赖
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>
配置JWTUtils工具类生成token
/**
 * @author LiZeyuan
 * @date 2022/8/11 9:35
 */
public class JWTUtils {

    private final static String signature = "user";
    private static final long TIME = 1000 * 60 * 60 * 24;

    public static String jwt(User user) {
        //构建JWT对象
        JwtBuilder jwtBuilder = Jwts.builder();
        Map<String, Object> map = new HashMap<String, Object>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");
        return JWT.create()
                .withHeader(map)		//设置header
                .withClaim("username", user.getName())		//设置payload载荷
                .withClaim("id", user.getId())
                .withExpiresAt(new Date(System.currentTimeMillis() + TIME)) //token 过期时间
                .sign(Algorithm.HMAC256(signature));        //token加签 内容不重要
    }
}

有此工具类就可调用接口生成token

此时我们需要一个实体类接收生成的token,由于设置的是user的token,所以接收写一个UserVo:

/**
 * @author LiZeyuan
 * @date 2022/8/11 15:03
 */
@Data
public class UserVo {
    private Integer id;
    private String name;
    private String token;
}

在service层写逻辑:

@Override
    public Map<String, Object> selectOne(String name, String password) {
        UserVo vo = new UserVo();
        LambdaQueryWrapper<User> lambdaQueryWrapper = Wrappers.<User>lambdaQuery()
                .eq(User::getName, name)
                .eq(User::getPassword, password);
        User selectOne = userMapper.selectOne(lambdaQueryWrapper);
        if (selectOne.getName().equals(name) && selectOne.getPassword().equals(password)) {
            vo.setId(selectOne.getId());
            vo.setName(selectOne.getName());
            vo.setToken(JWTUtils.jwt(selectOne));
            Map<String, Object> userMap = new HashMap<String, Object>();
            userMap.put("user", vo);

            return userMap;
        }
        return null;
    }

此时在postman里面就能测试接口(接口省略):

image-20220817140337337

可以看出token已经成功生成,token: "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwiZXhwIjoxNjYwODAyNjA5LCJ1c2VybmFtZSI6ImxpemV5dWFuIn0.Fo1vauQYumKcxm8ujLmVm7HnuGOpjOWLp3Dh6hiP-J0"

2 前端获取,并配置发送请求的token请求头

获取部分略

#### 配置请求头

在VUE+Vite 项目中配置工具类request.js, 获取存入的token,加到request.header,具体代码为:

import axios from 'axios'
request.interceptors.request.use(config => {
    config.headers['Content-Type'] = 'application/json;charset=utf-8';
    let user = localStorage.getItem("user") ? JSON.parse(localStorage.getItem("user"))  : null
    console.log(user);
    if(user) {
        config.headers['token'] = user.token   // 设置请求头
    }
    return config
}, error => {
    return Promise.reject(error)
});
export default request

此时前端请求就会附带有token到后端:

image-20220817141244062

3 配置后端拦截器、验证器 验证请求

设置JwtInterceptor验证类
/**
 * @author LiZeyuan
 * @date 2022/8/16 15:27
 */
public class JwtInterceptor implements HandlerInterceptor {
    @Autowired
    UserService userService;

    private final static String signature = "user";

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        // 验证payload部分
        if (StrUtil.isEmpty(token)) {
            throw new RuntimeException("无token,请重新登录");
        }
        Claim name;
        name = JWT.decode(token).getClaim("username");
        User user = userService.selectName(name.asString());
        if (user == null) {
            throw new RuntimeException("用户不存在,请重新登录");
        }
		//解密signature部分
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(signature)).build();
        try {
            jwtVerifier.verify(token);
        } catch (JWTVerificationException e) {
            e.printStackTrace();
            System.out.println("token错误或已过期,请重新登录");
        }
        return true;
    }
}
设置后端拦截器,拦截除登录、下载以外的请求

新建拦截器类:

/**
 * 拦截器
 * @author LiZeyuan
 * @date 2022/8/16 16:33
 */
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor())
                .addPathPatterns("/**")             // 拦截所有请求
                .excludePathPatterns("/login/**");    //排除登录接口

    }

    @Bean
    public JwtInterceptor jwtInterceptor() {
        return new JwtInterceptor();
    }
}

结果

一切配置好后,使用postman发送请求http://localhost:9090/test(无token请求头) 控制台报错:

image-20220817142450614

若传入过期token,则:The Token has expired on Wed Aug 17 14:32:07 CST 2022.

image-20220817143231035

image-20220817143351796

在浏览器修改错误token同理

2、io.jsonwebtoken.Jwts(jjwt方式,推荐使用)

生成token

/**
 * @author LiZeyuan
 * @date 2022/8/11 9:35
 */
public class JWTUtils {

    private final static String signature = "user";
    private static final long TIME = 1000 * 5;

    public static String jwt(User user) {
        Date now = new Date(System.currentTimeMillis());
        Map<String, Object> header = new HashMap<String, Object>();
        header.put("alg", "HS256");
        header.put("typ", "JWT");
        Map<String, Object> claims = new HashMap<>();
        claims.put("username", user.getName());
        claims.put("id", user.getId());

        JwtBuilder jwtBuilder = Jwts.builder();
        return jwtBuilder
                //header
                .setHeader(header)
                //payload 载荷
                .setClaims(claims)
                .setSubject("user_token")
                .setIssuedAt(now)                   // iat: jwt的签发时间
                .setExpiration(new Date(System.currentTimeMillis() + TIME))  //有效期
                //signature 签名信息
                .signWith(SignatureAlgorithm.HS256, signature)
                //拼接三部分字符串
                .compact();
    }
}

配置验证器

/**
 * @author LiZeyuan
 * @date 2022/8/16 15:27
 */
public class JwtInterceptor implements HandlerInterceptor {
    @Autowired
    UserService userService;

    private final static String signature = "user";

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        // 执行认证
        if (StrUtil.isEmpty(token)) {
            throw new RuntimeException("无token,请重新登录");
        }


        try {
            Claims claims = Jwts.parser()               //得到DefaultJwtParser
                    .setSigningKey(signature)           // 设置签名
                    .parseClaimsJws(token).getBody();   //设置需要解析的token
        } catch (Exception e) {
            e.printStackTrace();
            System.out.println("token错误或过期 请重新登录");
        }

        return true;
    }
}

接口测试

浏览器发送错误token后执行效果:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-T9wvkcpQ-1660721274377)(D:\markdown\JWT\rq8XYU1unAaf7QM.png)]

image-20220817150040868

token超时后效果:

image-20220817150242878

     System.out.println("token错误或过期 请重新登录");
    }

    return true;
}

}


### 接口测试

浏览器发送错误token后执行效果:

[外链图片转存中...(img-T9wvkcpQ-1660721274377)]



[外链图片转存中...(img-0Mo2ZQFL-1660721274378)]

token超时后效果:

[外链图片转存中...(img-sQsenTqJ-1660721274378)]
Zeyuan_Li
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JWT---Json Web Token
龙梓琦的博客
04-22 1549
一. 了解Auth0 一.简介 Auth0是一个身份管理平台 Auth0主要提供身份认证(即登录账号)与授权服务(不同级别的用户被允许访问的应用资源不同,即权限不同) 你的应用可以连接Auth0并定义你想使用哪些身份提供者(IdP),这决定了你的用户可以通过哪些身份提供者(比如:微软AD、谷歌账号、Facebook账号、GitHub账号等)登录你的应用。 基于你的应用里所用的编程语言和技术,你可以选择Auth0提供的相关SDK(或者直接嗲用Auth0的API)。这样每次用户尝试身份认证(登录)时
SpringBoot集成JWT实现权限认证
Java碎碎念
11-04 801
点击上方“Java碎碎念”,关注公众号优质文章,第一时间送达本文目录 一、JWT认证流程二、SpringBoot整合JWT三、测试一、JWT认证流程 JWT认证流程认证流程如下:用户使用账号和密码发出post请求;服务器使用私钥创建一个jwt;服务器返回这个jwt给浏览器;浏览器将该jwt串在请求头中像服务器发送请求;服务器验证该jwt;返回响应的资源给浏览器。二、SpringBoot整合JWT ...
SpringBoot - 集成Auth0 JWT
Maggieq8324的博客
08-19 4094
目录前言 说说JWT,先说下互联网服务常见的两种用户认证方式:session认证与Token认证 session认证 传统的Session认证的大体流程可以表示为用户提供用户名和密码登录后由服务器存储一份用户登录信息并传递给浏览器保存为Cookie,并在下次请求中根据Cookie来识别用户,但这种方式缺陷明显: - Session都是保存在内存中,随着认证用户的增多,服务端的开销明显增大 - 保存在内存中的Session限制了分布式的应用 - Cookie容易被截获伪造
Springboot整合jwt,实现登录验证
coolxiaoqi的博客
02-23 2455
JWT & SpringBoot 集成
后端代码解析工具类(until)JwtUtils
最新发布
2201_75464794的博客
05-29 733
个人理解这个JwtUtils类实现了一系列与JWTJSON Web Token)相关的功能,主要包括:生成JWT:类提供了几种方法来生成JWT,可以基于用户的主体信息(如用户名),也可以包括用户的角色权限,以及可以设置自定义的过期时间。解析JWT:类提供了一个方法来解析传入的JWT,并返回一个Claims对象,这个对象包含了JWT中的所有声明(如主体、过期时间、自定义声明等)。校验JWT:在解析JWT的过程中,类会自动校验JWT的有效性,包括签名是否正确,以及JWT是否过期。
JWT 登录认证 Springboot
热门推荐
徐本锡的专栏
07-04 134万+
SystemPara.SECRET 是自己定义的常量 依赖 <!-- token --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> ...
jwt工具类
qq_45774645的博客
07-30 562
package com.csiic.springboot.utils; import com.auth0.jwt.JWT; import com.auth0.jwt.JWTCreator; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.DecodedJWT; import java.util.Calendar; import java.util.Map; public class JwtUtils
JWT——token单点登录认证逻辑实现
qq_35071164的博客
01-28 1984
一、什么是单点登录 JSON WebToken JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 1.1 什么时候你应该用JSON Web Token 下列场景中使用JSON Web Token是很有用的: Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、.
JWT : JSON Web Token & Python与Auth0与Tokens
yq&qy的博客
11-25 771
JWTJSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 Token。JWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。。
SpringBoot整合JWT(一)
smiling
01-18 750
一、添加依赖 <!--JWT--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 二、自定义俩个注解,一个用于跳过JWT验证,一个用于JWT验证 1、用来跳过验证的自定义注解PassTok
SpringCloud中JWT组件实现token认证
qq_38098801的博客
02-06 758
上上周六抽了个空去海康面试了一把,跟人经理聊了近一个小时,聊的过程是很美好的,但还是没有通过,可能是因为我是一个并不怎么好看的妹子吧? 哈哈。面试过程其中问了我一个关于SpringCloud权限问题,跨域问题,我觉得回答这个问题,我的逻辑没有什么毛病,但那个经理说,他想问的不是具体的业务逻辑,问的是技术。我只能说这种东西,在我具体写代码的时候,我能找出来怎么写,但具体到用什么方法,什么底层包,引入什么jar包,我还真是大脑一空,回答不上。说到底还是咱技术不行,啥也不是 Json Web Token是目前比
Spring boot + JWT 实现安全验证 ---auth0.jwt
dream_heheda的博客
06-29 8200
使用auth0jwt 实现安全验证: 使用自定义参数 和时间戳生成token。验证token时验证自定义参数。auth0.jwt 验证token时会自动验证时间戳是否过期,如果过期,会抛出异常TokenExpiredException 1.引入依赖 <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt --> <dependency> <groupId>com.auth0</groupId&g
JWT鉴权实战
前者已逝,后者未至。
11-04 1231
目标 熟悉JWT鉴权流程,能通过代码实现项目上的鉴权。 JWTJson Web Token)鉴权
SpringBoot整合JWT实现登录认证
qq_45528306的博客
01-26 516
SpringBoot整合JWT实现前后端分离的身份认证
JWT使用详解
qq_45737165的博客
08-18 397
JWT使用
Jwt选型和实现
qq_45317823的博客
02-19 494
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
Session、Token、Jwt、Oauth2 区别
天涯芳草
08-16 317
在我们的 java 业务系统中,或多或少的会涉及到权限、认证等类似的概念。但是很多小伙伴还是傻傻的分不清这些的概念和区别,今天我们就来好好的捋一捋,将其区别的概念深深的刻在脑海中。 认证 Authentication 百度百科中对于认证的解释是:身份验证(Authentication),在 .NET Framework 安全中,通过对照某些机构检查用户的凭据,发现和验证主体标识的过程。 当然,今天我们来讨论肯定不会用这么生硬的词来解...
Token插件:Auth0和jjwt对比
进击的小白
03-03 8384
Auto0工具类 import com.auth0.jwt.JWT; import com.auth0.jwt.JWTCreator; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.exceptions.JWTVerificationException; import com.auth0.jwt.interfac...
JWT 实战教程
weixin_43145539的博客
03-30 364
JWT 实战教程 注:资料整理自b站up主,编程不良人 1.什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted bec
前端和后端如何使用jwt进行token校验前后端代码实现
06-07
好的,下面我将为您提供前端和后端使用JWT进行token校验的代码实现。 前端代码实现: 1. 安装jsonwebtoken库 ``` npm install jsonwebtoken ``` 2. 在登录成功后,生成token并存储在本地: ``` import jwt from...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值