springboot项目jwt认证鉴权(企业级实现方案)

于 2024-03-15 11:05:50 发布
阅读量552 收藏 11
点赞数 7
文章标签: spring boot java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45443475/article/details/136733784
版权

说明

背景:项目采用springcloud框架,用户鉴权从网关走的,但是当单独部署springboot服务时,没有鉴权第三方扫描通不过。

方案:在springboot微服务中单独集成jwt鉴权。

一、引入依赖

		<dependency>
			<groupId>com.auth0</groupId>
			<artifactId>java-jwt</artifactId>
			<version>3.4.0</version>
		</dependency>

二、自定义拦截器

package com.gstanzer.supervise.jwt;

import com.alibaba.fastjson.JSONObject;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.gstanzer.supervise.common.CommonData;
import com.gstanzer.supervise.exception.TokenException;
import com.gstanzer.supervise.redis.CtgRedisUtil;
import com.gstanzer.supervise.utills.RedisUtils;
import com.gstanzer.supervise.utils.TokenUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.reflect.Method;
import java.util.Date;
import java.util.Map;
import java.util.concurrent.TimeUnit;

public class AuthenticationInterceptor implements HandlerInterceptor {


    private static Logger logger = LoggerFactory.getLogger(AuthenticationInterceptor.class);


    @Resource
    private CtgRedisUtil redisUtils;

//    @Resource
//    private RedisUtils redisUtils;

    @Value(("${token.expire.time}"))
    private Integer expireTime;


    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
        // 从 http 请求头中取出 token
        String token = httpServletRequest.getHeader("gst-token");

        // 如果不是映射到方法直接通过
        if(!(object instanceof HandlerMethod)){
            return true;
        }
        HandlerMethod handlerMethod=(HandlerMethod)object;
        Method method=handlerMethod.getMethod();
        //检查是否有passtoken注释,有则跳过认证
        if (method.isAnnotationPresent(PassToken.class)) {
            PassToken passToken = method.getAnnotation(PassToken.class);
            if (passToken.required()) {
				logger.info("=====pass token 跳过token 拦截=====");
                return true;
            }
        }

        // 执行认证
        if (token == null) {
			logger.info("token:" + token);
			logger.info("请求路径:" + httpServletRequest.getRequestURI());
			throw new TokenException("无token,请重新登录","tokenError");
        }

        // 解析token信息
        String userId = "";
        Map<String, String> userMap = TokenUtils.getUserInfoByToken(token);
        if (userMap != null) {
            userId = userMap.get("userId");
            logger.info("解析token获得userId为:{}", userId);
        }
        if(redisUtils.exists("token_"+userId)){
            //更新token有效时间
            redisUtils.set("token_"+userId, token, expireTime);
//            redisUtils.set("token_"+userId, token, Long.valueOf(String.valueOf(expireTime)), TimeUnit.SECONDS);
        }else{
            throw new TokenException("token过期或失效,请重新登录","tokenError");
        }

        // 验证 token
        verifyToken(token);
        logger.info("请求的URL==>"+httpServletRequest.getRequestURI());
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }

    public static JSONObject verifyToken(String token) {
        DecodedJWT jwt = null;
        JSONObject resultMap = new JSONObject();
        resultMap.put("tokenExpires", false);
        resultMap.put("illegalToken", false);
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(CommonData.SECRET)).build();
            jwt = verifier.verify(token);
            //失效时间
            Date expiresDate = jwt.getExpiresAt();
            //token生成时间
            Date issuedDate = jwt.getIssuedAt();
            jwt.getIssuer();
            //头信息
            Map<String, Claim> map = jwt.getClaims();
            resultMap.put("head", map);
            resultMap.put("expiresDate", expiresDate);
            resultMap.put("issuedDate", issuedDate);
        } catch(JWTDecodeException e){
            resultMap.put("illegalToken", true);
            logger.error("token校验异常,token非法"+e.getMessage());
            throw new TokenException("token校验异常,token非法","tokenError");
        } catch (TokenExpiredException e) {
            resultMap.put("tokenExpires", true);
            logger.error("token校验异常,'{}'已经失效'{}'",token,e.getMessage());
            throw new TokenException("token过期或失效,请重新登录","tokenError");
        }
        return resultMap;
    }
}

三、实现WebMvcConfigurer将拦截器加入WebMvc配置

package com.gstanzer.supervise.jwt;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import java.util.ArrayList;
import java.util.List;


/**
 * 新建Token拦截器
 */
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {

        List<String> excludeUrl = new ArrayList<String>();
		excludeUrl.add("/swagger-ui/index.html");
        excludeUrl.add("/swagger-resources/**");
        excludeUrl.add("*/csrf");
        excludeUrl.add("/error");
        excludeUrl.add("**/api-docs");
        excludeUrl.add("**/v2/api-docs");
        excludeUrl.add("/v2/api-docs");
        excludeUrl.add("/bw-clnt-supervise-service/v2/api-docs");
        excludeUrl.add("/v2/consumerDevice/**");
        excludeUrl.add("/v2/vatToken/**");
        excludeUrl.add("/api/**");
        excludeUrl.add("/webjars/springfox-swagger-ui/**");


        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**").excludePathPatterns(excludeUrl);    // 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录
    }

    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();// 自己写的拦截器
    }


}

四、新增token放行注解

package com.gstanzer.supervise.jwt;


import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;


@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
    boolean required() default true;
}

五、需要放行的接口上加@PassToken注解即可放行

Mr Tang
关注
  • 7
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
springBoot集成token认证
2401_84048586的博客
04-10 848
我还通过一些渠道整理了一些大厂真实面试主要有:蚂蚁金服、拼多多、阿里云、百度、唯品会、携程、丰巢科技、乐信、软通动力、OPPO、银盛支付、中国平安等初,中级,高级Java面试题集合,附带超详细答案,希望能帮助到大家。还有专门针对JVM、SPringBootSpringCloud、数据库、Linux、缓存、消息中间件、源码等相关面试题。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!,而且极易碰到天花板技术停滞不前!**
基于springboot+jwt实现刷新token过程解析
08-19
基于SpringBoot+JWT实现刷新Token过程解析 标题解析 本文主要介绍了基于SpringBootJWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于...
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码
04-22
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
SpringBoot之接口鉴权
这里没有简介
02-01 2756
HandlerInterceptorAdapter抽象类进行接口鉴权。有的时候,我们要对接口进行管理,避免敏感信息,然后就有了如下案例。鉴权处理类(这里仅仅是判定UA长度进行判定,请自行替换)若接口不满意还可以选择如下接口。
Springboot整合SpringSecurity实现登录认证鉴权
weixin_44068320的博客
08-12 9763
springboot整合springsecurity实现用户登录认证鉴权
鉴权管理系统(JWT技术架构)——SpringBoot2+Vue2(一定惊喜满满,万字长文)
IT小辉同学
05-18 2825
愿梦想不被辜负,终将温柔回报!!!
springboot拦截器鉴权
weixin_38977651的博客
05-29 424
实现处理器预处理,请求会先到这里,当这个方法返回值是true的时候表示处理器可以正常往下执行,返回false,则不会继续执行处理器的代码,一般用来身份验证和鉴权。在springboot中可以通过实现HandlerInterceptor接口实现拦截器,这里主要介绍通过预处理做身份鉴权的方法。拦截器:作用类似于Servlet中的Filter,用于对处理器进行预处理和后处理。在视图渲染完毕时候调用,一般用来进行统一的异常处理,日志处理。是后处理回调方法,也就是控制器完成后执行。
SpringBoot工具篇--使用拦截器鉴权
拽着尾巴的鱼儿的博客
12-14 1144
使用拦截器鉴权
SpringBoot认证鉴权
05-18
JWT提供了轻量级、安全的认证解决方案,我们可以使用JWT来生成认证token,并将其存储在Redis中,以提高认证鉴权的效率和安全性。 本文讲解了Spring Boot认证鉴权相关知识点,包括MyBatis-Plus、Druid数据库连接池、...
springboot+security+mybatis+redis+jwt鉴权框架搭建
06-22
项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
SpringBoot搭建的shiro鉴权的最简单的登录demo(绝对可用)
09-04
直接把项目导入idea就能打开使用,该项目在简单实现shiro登录鉴权的基础上,还实现了接收数据的统一加工处理模块,在接收post或者get请求后,能返回固定模板格式的json数据给前端,对于初期的学习与应用很有帮助。对了数据库需要自己布置一下,有问题的话可以给我留言
详解用JWTSpringCloud进行认证鉴权
08-26
"详解用JWTSpringCloud进行认证鉴权" 本文主要介绍了使用JSON WEB TOKEN(JWT)对SpringCloud进行认证鉴权的详细过程。JWT是一种基于RFC 7519标准定义的可以安全传输的小巧和自包含的JSON对象。由于数据是...
springboot-shiro用户登录鉴权
weixin_47681367的博客
12-11 635
springboot-shiro用户登录鉴权;重定向login.jsp
Springboot整合JWT实现鉴权
weixin_45325332的博客
01-08 362
前言 在实现Springboot集成JWT之前,我们需要先明确JWT是如何实现身份鉴别的: JWT鉴别身份的流程大概为:用户登录成功后Api服务器将会生成一串包含用户信息的token,将token发送至客户端机器,由客户端进行保存,当客户端机器每次访问JWT所保护的API时都需要进行验证,服务器端便会获取JWT信息,在通过服务器对JWT中Payload部分的信息进行加密,对比实际加密出来...
Spring Boot整合Spring Security实现认证鉴权
最新发布
weixin_57392053的博客
06-24 2229
Spring Security是一个基于Spring框架的安全性框架,可以为Web应用程序提供身份验证(Authentication)、授权(Authorization)、攻击防御等安全功能。Spring Security框架提供了一整套的身份验证、授权、ACL(访问控制列表)等模块和类库,还提供了一系列的安全过滤器、安全标签等,可以方便地实现常见的安全性控制。
SpringBoot项目的 4 种鉴权方案
程序员闪充宝
10-22 3048
大家好,我是宝哥!‍最近在重构公司以前产品的前端代码,摈弃了以前的session-cookie鉴权方式,采用token鉴权,忙里偷闲觉得有必要对几种常见的鉴权方式整理一下。目前我们常用的鉴权有四种:HTTP Basic Authenticationsession-cookieToken 验证OAuth(开放授权)一.HTTP Basic Authentication这种授权方式是浏览器遵守http...
4 种 SpringBoot 项目鉴权方式
java_atguigu的博客
04-07 3692
传统 AOP 对于这种需求,首先想到的当然是 Spring-boot 提供的 AOP 接口,只需要在 Controller 方法前添加切点,然后再对切点进行处理即可。 实现 其使用步骤如下: 使用 @Aspect 声明一下切面类 WhitelistAspect; 在切面类内添加一个切点 whitelistPointcut(),为了实现此切点灵活可装配的能力,这里不使用 execution 全部拦截,而是添加一个注解 @Whitelist,被注解的方法才会校验白名单。 在切面类中使用 spring
SpringBoot注解实现认证鉴权
骑个小蜗牛的博客
09-01 3387
自定义拦截器 HandlerInterceptorAdapter、HandlerInterceptor HandlerInterceptorAdapter需要继承,HandlerInterceptor需要实现 可以作为日志记录和登录校验来使用 建议使用HandlerInterceptorAdapter,因为可以按需进行方法的覆盖。 主要为3种方法: preHandle:拦截于请求刚进入时,进行判断,需要boolean返回值,如果返回true将继续执行,如果返回false,将不进行执行。一般用于登录校

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mr Tang

你的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值