记一次实战项目所学(JWT篇)

最新推荐文章于 2024-09-15 16:54:15 发布
最新推荐文章于 2024-09-15 16:54:15 发布
阅读量361 收藏 7
点赞数 10
文章标签: 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43660290/article/details/136677347
版权

记一次实战项目所学(JWT篇)

5. 登录验证功能

先获取公钥准备将前端输入的进行加密

    //获得公钥
    @GetMapping("/rsa-pks")
    public JsonResponse<String> getRsaPublicKey(){
        String publicKeyStr = RSAUtil.getPublicKeyStr();
        return  new JsonResponse<>(publicKeyStr);
    }
新建(注册)一个user

(controller层)

      //新建一个用户
    @PostMapping("/users")          //@RequestBody 把User 封装成json数据返回
    public JsonResponse<String>addUser(@RequestBody User user){
        userService.addUser(user);
        return  JsonResponse.success();
    }

​ (Service层)

@Service
public class UserService {
    @Autowired
    private UserDao userDao;

    public void addUser(User user) {
        String phone = user.getPhone();
        if (StringUtils.isNullOrEmpty(phone)) {
            throw new ConditionException("手机号不能为空!");
        }
        User dbUser = this.getUserByPhone(phone);
        if (dbUser != null) {
            throw new ConditionException("该手机号已经被注册");

        }
        //加密需要
        Date now = new Date();
        //md5需要加密
        String salt = String.valueOf(now.getTime());
        String password = user.getPassword();
        String rawPassword;

        try {
            rawPassword = RSAUtil.decrypt(password);//该密码已经通过前端获取的公钥加密
        } catch (Exception e) {
            throw new ConditionException("解密失败");

        }
        String md5Password = MD5Util.sign(rawPassword, salt, "UTF-8");
        user.setSalt(salt);
        user.setPassword(md5Password);
        user.setCreateTime(now);
        userDao.addUser(user);

        //添加用户信息(这里有两张表user和userinfo )
        UserInfo userInfo = new UserInfo();
        userInfo.setUserId(user.getId());
        userInfo.setNick(UserConstant.DEFAULT_NICK);
        userInfo.setBirth(UserConstant.DEFAULT_BIRTH);
        userInfo.setGender(UserConstant.GENDER_FEMALE);
        userInfo.setCreateTime(now);
        userDao.addUserInfo(userInfo);


    }

    public User getUserByPhone(String phone) {
        return userDao.getUserByPhone(phone);
    }

dao层为数据操作不再贴代码啦

用户登录

controller

  //用户登录
    @PostMapping("/user-tokens")
    public  JsonResponse<String> login(@RequestBody User user) throws Exception{
        String token=userService.login(user);
        return new JsonResponse<>(token);
    }

service

public String login(User user) throws Exception {
        String phone = user.getPhone();
        if (StringUtils.isNullOrEmpty(phone)) {
            throw new ConditionException("手机号不能为空!");}
            User dbUser = this.getUserByPhone(phone);
            if (dbUser == null) {
                throw new ConditionException("当前用户不存在");

            }
            String password = user.getPassword();
            String rowpassword;
            try {
                rowpassword = RSAUtil.decrypt(password);

            } catch (Exception e) {
                throw new ConditionException("密码解密失败");

            }
            String salt = dbUser.getSalt();
            String md5Password = MD5Util.sign(rowpassword, salt, "UTF-8");
            if (!md5Password.equals(dbUser.getPassword())) {
                throw new ConditionException("密码错误!");

            }

        return TokenUtil.generateToken(dbUser.getId());
    }
前端加密不安全,数据库存入的密码应该是不可逆的,每次认证时候前端传入密码加密后跟后端数据库里密码比对,如果一样密码正确,如果不一样密码不正确,前端加密后传输是怕传输过程被拦截获取到明文密码

因为id是唯一的所以id可以作为token

5.5 基于JWT的用户的token验证

在这里插入图片描述
1710307369465)

在这里插入图片描述

依赖

 		<dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.18.2</version>
        </dependency>

util.token

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.imooc.bilibili.domain.except.ConditionException;

import java.util.Calendar;
import java.util.Date;

public class TokenUtil {
    private  static  final  String ISSUER="签发者"; //签发者是谁,随意填
    public static String generateToken(Long userId) throws Exception{
        Algorithm algorithm = Algorithm.RSA256(RSAUtil.getPublicKey(),RSAUtil.getPrivateKey());
        Calendar calendar =Calendar.getInstance(); //用于实现过期时间
        calendar.setTime(new Date());
        calendar.add(Calendar.SECOND,30); //30s过期
        return JWT.create().withKeyId(String.valueOf(userId))
                .withIssuer(ISSUER)
                .withExpiresAt(calendar.getTime())
                .sign(algorithm);
    }
			//解密
    public  static  Long verifyToken(String token) {
        try{
            Algorithm algorithm =Algorithm.RSA256(RSAUtil.getPublicKey(),RSAUtil.getPrivateKey());
            JWTVerifier verifier =JWT.require(algorithm).build();
            DecodedJWT jwt= verifier.verify(token);
            String keyId = jwt.getKeyId();
            return  Long.valueOf(keyId);
        }catch (TokenExpiredException e){
            throw  new ConditionException("555","token过期!");

        }catch (Exception e){
            throw  new ConditionException("非法用户token");
        }



    }
}

需要一个通用方法,获取token里的userid(一般放在请求头里)

import com.imooc.bilibili.domain.except.ConditionException;
import com.imooc.bilibili.service.Util.TokenUtil;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.ServletRequest;

@Component
public class UserSupport {
    public  Long getCurrentUserId(){
        //抓取请求上下文,获取token(在请求头中)+
        ServletRequestAttributes requestAttributes =(ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        String token =requestAttributes.getRequest().getHeader("token");
        Long userId= TokenUtil.verifyToken(token);
        if(userId<0){
            throw  new ConditionException("非法用户!");

        }
        return  userId;

    }
}
NewbieQiu
关注
3-1. SpringBoot项目集成【用户身份认证】实战 【技术选型】基于Session、Token、JWT怎么选?
天罡gg的专栏
03-29 4891
接下来开始第三章,主要做用户身份认证,主要实现一套统一鉴权的用户身份认证的机制。 我已经提前和狗哥一起讨论确定了认证机制,会采用目前流行的基于JWT的Token用户身份认证机制,主流程如下: 前端请求【用户名+密码登录】接口,后端验证通过后生成Token 返回给前端; 前端保存Token,以后每次请求API都会携带Token,后端校验Token通过就正常返回数据; 直到后端校验Token已失效,这时再从第1步重新开始。
基于SpringBoot+SpringCloud+Vue前后端分离项目实战 --开
热门推荐
天罡gg的专栏
03-07 1万+
如何高效学习Java? 毕业设计项目应该怎么做?入门实战项目应该怎么做? 做Java开发都应该学习哪些框架技术? 我想来跟你聊聊为什么要学习此专栏?我们经常说,看一个事儿千万不要直接陷入细节里,你应该先鸟瞰其全貌,这样能够帮助你从高维度理解问题。同样,当你迷茫想努力没有方向时,最事半功倍的方法是:找人带你! 因为过来人,更懂得如何学、如何做、如何少走弯路! 那今天就给大家带来一门专栏课程,由 天罡gg 和 经海路大白狗 两位实力大牛合力打造的一款专栏,可以让你从0到1快速拥有企业级规范的项目实战经验!
学习录1web渗透项目可能存在的漏洞点
m0_63160363的博客
12-18 362
customErrrorrs mode="On">爆出自定义错误(防护此漏洞)kid: ---包含路径值可进行 任意文件读取||在后面接操作语句可造成输出注入||命令注入。未授权访问:(脆弱验证可绕过)例:cookie带参验证(可写入带参cookie绕过)第三个参数安全没设置为true的话就与(==)判断一样不判断类型。MD5 --> 数组MD5无法加密可用来绕过===的MD5先等于的验证。1.==弱类型对比比对值是否相等/===比较值和数据类型是否相等。
【项目实训】jwt
par_ser的博客
06-06 192
JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.上述是jwt的官网的介绍,简单来说,使用jwt,可以安全地传输信息,jwt可以被验证。在我们的系统里,jwt主要用于授权。JWT由三部分组成,分别是标头、有效负载、签名算法,中间使用点进行分隔。谈起jwt,我们经常会跟传统的session方案做比较,jwt的一个显而易见的优势是无
JWT实战教程
weixin_43802097的博客
11-22 295
JSON Web令牌简介 1.什么是JWT        JSON Web Token(JWT) is an open standard(RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object.This information can be v
Nest.js 实战系列第二-实现注册、扫码登陆、jwt认证等
程序员成长指北
12-11 7992
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号回复1,加入高级Node交流群大家好我是考拉????,这是Nest.js 实战系列第二,我要用最真实的场景让你学会使用...
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
m0_67392182的博客
07-29 1432
token是无状态的,后端不需要录信息,每次请求过来进行解密就能得到对应信息。session是有状态的,需要后端每次去检索id的有效性。不同的session都需要进行保存,但也可以设置单点登录,减少保存的数据。session与token的选择是空间与时间博弈,为什么这么说呢,是因为token不需要保存,不占存储空间,但每次访问都需要进行解密,消耗了一定的时间。在一般的前后端分离项目中,token展现出了它的优势,成为了比session更好的选择userlist')")});}...
基于 abp vNext 和 .NET Core 开发博客项目 - Blazor 实战系列(一)
阿星Plus
06-09 1万+
系列文章 基于 abp vNext 和 .NET Core 开发博客项目 - 使用 abp cli 搭建项目 基于 abp vNext 和 .NET Core 开发博客项目 - 给项目瘦身,让它跑起来 基于 abp vNext 和 .NET Core 开发博客项目 - 完善与美化,Swagger登场 基于 abp vNext 和 .NET Core 开发博客项目 - 数据访问和代码优先 基于 abp vNext 和 .NET Core 开发博客项目 - 自定义仓储之增删改查 基于 abp vNext 和
后续学习规划 ----含我个人的学习路线,经历及感受
最新发布
Yluciud的博客
09-15 1511
规划已经完成了,再接再厉吧。今天主要是规划一下,然后休息了。明天再休息一天。后天开始执行计划。希望再后续可以获得比苍穹外卖时候更好的学习状态。希望可以继续进步,尽快达到可以实习的水平,在今年寒假找到一个后端开发实习。感兴趣的朋友,可以看下我主页置顶的,苍穹外卖学习日志。苍穹外卖学习日志录了我每天学习的进度和状态,希望也可以帮到正在学习的朋友们。
24下半年学习计划
2301_80336512的博客
09-08 2073
上课的时候认真听,不要以为提前了解一些知识就认为不重要,不听也要坚持看书,不要被外界吸引。我以后大概率走后端方向,对于后端的一些技术栈目前只是跟着网上的教程学,网上的教程大部分。只适合入门,对其原理背后的实行的机制还是需要看一些经典书籍,因此在这一学期除了完成实验。《设计模式之美》,提高自己编写代码的规范性,了解设计原理,养成良好的写代码习惯。,数据库对于后端开发者来说十分重要,这一部分知识要熟悉掌握。早睡早起,少熬夜,最好是每天早晨10个单词,晚上睡前复习。
解决ruoyi-vue-pro-master框架引入报错,启动报错问题
xnian_的博客
09-13 343
以yudao-ui-admin-vue3-master为例,第一次先安装node_modules执行npm -i,然后npm run dev启动项目。如:后端接口:localhost:48080/admin-api/product/brand/page。3.后台启动后,模块启用yudao-server下的pom.xml文件将需要的模块注释去掉。1.以yudao-module-mall模块为例,maven报错情况。2.yudao下面的pom.xml 下引入的modules放开。
零基础5分钟上手亚马逊云科技-利用API网关管理API
m0_66628975的博客
09-12 1450
亚马逊云科技API网关(Amazon API Gateway)是一种完全托管的云原生服务,允许开发者轻松创建、发布、维护、监控和保护API。它可以帮助开发者将后端服务(如AWS Lambda、Amazon EC2等)与客户端(如网页、移动应用)进行安全、可靠的连接。
轮询解决方案
小秀的博客
09-12 1010
股票 K 线图聊天重要通知,实时预警这些场景都是都要实时性的。http 是请求响应模式,一定需要先请求,后响应。短轮询:interval 定时发送请求。问题:大量无意义的请求(老舔狗了😭),频繁打开关闭连接,而且定时很难确定固定的时间。长轮询:发送请求,直接有响应后,才发送下一次请求。问题:客户端长时间没有响应,导致超时,断开 TCP 连接(解决方法是当超时了立即再发送一次请求 - 抛出异常再发请求);而且服务器没有响应的时候挂起请求也需要占用服务器资源。
tomcat服务器
qq_35720068的博客
09-13 283
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器。Tomcat 虽然和或者这些服务器一样,具有处理 HTML 页面的功能,然而由于其处理静态 HTML 的能力远不及 Apache 或者 Nginx,所以 Tomcat 通常是作为一个 Servlet 和 JSP 容器,单独运行在后端。Servlet 和 JSP 后面会说。
后端分离项目--下载功能
2302_80244686的博客
09-15 494
后端分离项目中下载与其他接口的使用不同,一般下载不走node,不通过代理服务器,而是直接在前台发送请求,又因为前端使用的是代理服务器,会出现跨域问题,需要后端协助,允许下载文件接口跨域。如果用node,浏览器端还需要判断下载文件类型,从而添加对应的content-type和拓展名,如果后端返的全是200,还可能出现没有文件,下载下来是下图这样的。blob表示二进制的大对象。在数据库管理系统中,将二进制数据存储为一个单一个体的集合。属性用于表示数据的大小(以字节为单位),
Gateway Timeout504: 网关超时的完美解决方法
心猿意码
09-11 856
在Web开发中,遇到HTTP状态码504(Gateway Timeout)是相当常见的。这个状态码表示前端服务器(如负载均衡器或代理服务器)作为网关工作时,在尝试访问后端服务器处理请求时未能及时得到响应。本文将探讨导致504错误的原因以及如何有效地诊断和解决这类问题。
MySQL索引优化与B+树【后端 14】
delepaste的博客
09-11 1273
在MySQL数据库中,索引是优化查询性能的关键技术之一。B+树作为一种广泛使用的索引结构,在MySQL的InnoDB存储引擎中扮演着核心角色。本文将详细介绍B+树的结构特点及其在MySQL索引优化中的应用。
模拟面试后端开发复盘
Java小白的博客 致力分享每一天学到的知识
09-11 1176
一般来说系统的开发和设计思路的话,就是一般现在的项目基本上都是前后端分离架构来实现的,所以在项目的设计时,要分层次结构来划定。前后端分离架构中,前端一般是有专业的前端工程师来写的,因此我们步需要过分的关注前端,可以在github上找到相关的前端项目即可。
SpringBoot整合JWT实战指南
JSON Web Token(JWT)作为一种轻量级的身份验证机制,被广泛应用于SpringBoot项目中。JWT允许在不存储会话信息的情况下验证用户身份,从而提高系统的可扩展性和安全性。本文将详细介绍如何在SpringBoot中实现JWT的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值