SpringBoot集成JWT实现token接口调用验证

最新推荐文章于 2024-09-05 17:59:05 发布
最新推荐文章于 2024-09-05 17:59:05 发布
阅读量810 收藏 4
点赞数
分类专栏: java开发 文章标签: java jwt spring boot
原文链接:https://www.jianshu.com/p/e88d3f8151db
版权

1.先介绍一下JWT,什么是JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。

2.JWT的请求流程

  1. 用户使用账号和面发出post请求;
  2. 服务器使用私钥创建一个jwt;
  3. 服务器返回这个jwt给浏览器;
  4. 浏览器将该jwt串在请求头中像服务器发送请求;
  5. 服务器验证该jwt;
  6. 返回响应的资源给浏览器。

3.JWT的主要应用场景

身份认证在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术。 信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的。

4.JWT的结构

JWT是由三段信息构成的,将这三段信息文本用.连接一起就构成了JWT字符串。

JWT包含了三部分:

Header 头部(标题包含了令牌的元数据,并且包含签名和/或加密算法的类型)

Payload 负载 (类似于飞机上承载的物品)

Signature 签名/签证

不在多说,进入正题。

引入JWT依赖,由于是基于Java,所以需要的是java-jwt

<dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>3.4.0</version>
</dependency>

需要自定义两个注解

用来跳过验证的PassToken

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
    boolean required() default true;
}

需要登录才能进行操作的注解UserLoginToken

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserLoginToken {
    boolean required() default true;
}

@Target:注解的作用目标
@Target(ElementType.TYPE)——接口、类、枚举、注解
@Target(ElementType.FIELD)——字段、枚举的常量
@Target(ElementType.METHOD)——方法
@Target(ElementType.PARAMETER)——方法参数
@Target(ElementType.CONSTRUCTOR) ——构造函数
@Target(ElementType.LOCAL_VARIABLE)——局部变量
@Target(ElementType.ANNOTATION_TYPE)——注解
@Target(ElementType.PACKAGE)——包

定义一个实体类

public class UserInfo {
    private Long id;
    private String phone;
    private String password;
    private String photo;
    private String name;
    private Byte status;
    private String email;
    private String pwdKey;
    @DateTimeFormat(pattern = "yyyy-MM-dd HH:mm:ss")
    @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss",timezone = "GMT+8")
    private Date createTime;

    //假code 用来存储从注册页面获取的code
    private String code;


    public String getCode() {
        return code;
    }

    public void setCode(String code) {
        this.code = code;
    }

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public String getPhone() {
        return phone;
    }

    public void setPhone(String phone) {
        this.phone = phone;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getPhoto() {
        return photo;
    }

    public void setPhoto(String photo) {
        this.photo = photo;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public Byte getStatus() {
        return status;
    }

    public void setStatus(Byte status) {
        this.status = status;
    }

    public String getEmail() {
        return email;
    }

    public void setEmail(String email) {
        this.email = email;
    }

    public String getPwdKey() {
        return pwdKey;
    }

    public void setPwdKey(String pwdKey) {
        this.pwdKey = pwdKey;
    }

    public Date getCreateTime() {
        return createTime;
    }

    public void setCreateTime(Date createTime) {
        this.createTime = createTime;
    }
}

写一个token的生成方法

public class Token {
    public String getToken(UserInfo userInfo) {
        String token="";
        token= JWT.create().withAudience(String.valueOf(userInfo.getId()))
                .sign(Algorithm.HMAC256("abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"));
        return token;
    }
}

Algorithm.HMAC256():使用HS256生成token,密钥则是自己定义的字符串(可以使用用户的密码),唯一密钥的话可以保存在服务端。
withAudience()存入需要保存在token的信息,这里我把用户ID存入token中

接下来需要写一个拦截器去获取token并验证token

public class AuthenticationInterceptor implements HandlerInterceptor {
    @Resource
    UserInfoService userInfoService;
    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
        // 从 http 请求头中取出 token
        String token = httpServletRequest.getHeader("token");
        // 如果不是映射到方法直接通过
        if(!(object instanceof HandlerMethod)){
            return true;
        }
        HandlerMethod handlerMethod=(HandlerMethod)object;
        Method method=handlerMethod.getMethod();

        //检查是否有passtoken注释,有则跳过认证
        if (method.isAnnotationPresent(PassToken.class)) {
         PassToken passToken = method.getAnnotation(PassToken.class);
            if (passToken.required()) {
                return true;
            }
        }
        //检查有没有需要用户权限的注解
        if (method.isAnnotationPresent(UserLoginToken.class)) {
          UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class);
            if (userLoginToken.required()) {
                // 执行认证
                if (token == null) {
                    throw new RuntimeException("无token,请重新登录");
                }
                // 获取 token 中的 user id
                String userId;
                try {
                    userId = JWT.decode(token).getAudience().get(0);
                } catch (JWTDecodeException j) {
                    throw new RuntimeException("401");
                }
                UserInfo userInfo = new UserInfo();
                if (userId == null) {
                    throw new RuntimeException("用户不存在,请重新登录");
                }
                // 验证 token
                JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789")).build();
                try {
                    jwtVerifier.verify(token);
                } catch (JWTVerificationException e) {
                    throw new RuntimeException("401");
                }
                return true;
            }
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest,
                           HttpServletResponse httpServletResponse,
                           Object o, ModelAndView modelAndView) throws Exception {

    }
    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest,
                                HttpServletResponse httpServletResponse,
                                Object o, Exception e) throws Exception {
    }
}

这里的字符串与生成token方法里的相对应

JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789")).build();

配置拦截器
在配置类上添加了注解@Configuration,标明了该类是一个配置类并且会将该类作为一个SpringBean添加到IOC容器内

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                //addPathPatterns方法用于设置拦截器的过滤路径规则。
                //拦截所有请求,通过判断是否有@LoginRequired注解 决定是否需要登录
                .addPathPatterns("/**");
    }
    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }
}

InterceptorRegistry内的addInterceptor需要一个实现HandlerInterceptor接口的拦截器实例,addPathPatterns方法用于设置拦截器的过滤路径规则。

这里拦截所有请求,通过判断是否有@LoginRequired注解 决定是否需要登录

不加注解的话默认不验证,登录接口一般是不验证的。在getMessage()中我加上了登录注解,说明该接口必须登录获取token后,在请求头中加上token并通过验证才可以访问

在登陆接口中调用生成token的方法,获取id

 public Map<String, Object> UserLogin(UserInfo userInfo) {
        userInfo.getPhone();
        String pwd = userInfo.getPassword();
        UserInfo userInfo1 = userLoginMapper.UserLogin(userInfo);
        userInfo1.getPassword();
        String salt = userInfo1.getPwdKey();
        String saltPwd = salt + pwd;
        String password = DigestUtils.md5DigestAsHex(saltPwd.getBytes());
        String pad = userInfo1.getPassword();
        if (pad.equals(password)) {
            Map<String, Object> map = new HashMap<>(16);
            Token token = new Token();
          String token1 = token.getToken(userInfo1);
            map.put("code", "200");
            map.put("message", "登录验证成功");
            map.put("token",token1);
            return map;
        } else {
            System.out.println("密码错误,请核对");
        }
        return null;
    }

}

下面进行测试,启动项目,使用RunApi测试接口

在这里插入图片描述
拿到token后访问加了注解的接口
在这里插入图片描述
在这里插入图片描述
可以使用功能
但不加token就会报错,不能正常使用。

转自简书大牛子
简书牛子

睡觉觉啦
关注
专栏目录
SpringBoot 集成JWT实现token登录(生成token和解token
xq610928的博客
07-18 2657
前言: 各位同学大家好,有段时间没有给大家更新文章了,具体多久我也不记得,最近有在用 springboot 写了一个本地的服务。因为客户端需要做到自动登录 需要生成token 所以需要学习了springboot中如何实现 那么废话不多说,我们正式开始 准备工作 1安装好idea 或者eclispe +sts开发环境 2安装maven 并配置环境 怎么使用idea 这个工具一键创建springboot工程 这些在我之前的教程都讲的很清楚 这里我就不展开细说 有兴趣的同学可以去看我以前的文章】 Spring
接口自动化--获取token用于接口请求
weixin_42719923的博客
07-07 2655
一、准备 工具:python+requests+unittest 二、接口文档 查询用户信息 三、编写脚本 从接口文档可知,想要查询用户信息,需要获取用户token (1)编写一个登录接口,获取token,考虑token是后续接口中公有部分,将其独立封装存放在get_token.py模块中 通常登录接口的中body参数有username和passport即可,但我们项目还需要获取一个clien token作为登录接口的请求头参数,所以这里我们先获取clien token,再将clien to
第一章,搭建系统环境和配置Token
qq_28979869的博客
02-29 854
1.搭建SpringBoot开发环境 提醒:关于如何配置JAVA以及下载IDEA,配置MAVEN等,本系统就不再阐述了,下面进入功能模块,下面配上POM.xml文件的依赖 <dependency> <groupId>org.apache.httpcomponents</groupId> <...
Springboot整合JWT实现权限校验
最新发布
qq_40694396的博客
09-05 1029
springboot整合jwt实现权限验证
SpringBoot调用微信公众平台接口发送Get请求获取Token
ccfine999的博客
05-10 1012
废话少说,直接上代码!!!! 首先封装一个方法用于接收请求微信的参数。 使用到HttpURLConnection 用于发送远程接口请求。(HttpClient也可以) /** * <pre> * 向远程接口发起请求,返回字节流类型结果 * @param url 接口地址 * @return InputStream 返回结果 * </pre> */ public static InputStream httpR
利用jwt实现token生成
weixin_43728298的博客
09-05 186
jwt相关依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> 工具类 package com.heima.utils.common; import io.jsonwebtoken.*; import javax.crypto.SecretKey; import javax.cry
接口调用token设计与实现方案
春风化雨
03-06 661
调用方,从服务方获取token,作为调用API接口的第一步,相当于创建一个登录凭证,其它的业务API接口,都需依赖于token来鉴权调用者身份,即实现接口调用的认证和鉴权。
springboot通过jwt实现token验证
m0_50207524的博客
08-25 722
throw new ServiceException("请登录", "401");import com/*** @date 2024年07月28日 22:13} }/*** @date 2024年07月28日 22:13} }/*** @date 2024年07月28日 22:13} }R;import org/*** @date 2024年07月28日 22:13} }/**
jwt如何加盐_SpringBoot集成JWT实现token验证的流程
weixin_31598511的博客
01-17 755
什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。JWT请求流程1. 用户使用账号和面发出post请求; 2. 服务器使用私钥...
实战SpringBoot集成JWT实现token验证(附项目地址)
十指波课堂的博客
08-11 368
JWT官网:https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的...
springBoot集成jwt实现用户登录验证,请求接口验证
Legend_Young的博客
04-11 221
2.配置类InterceptorConfig 类继承 WebMvcConfigurationSupport 3.创建JwtInterceptor 继承 HandlerInterceptor 前端存登录生成token,访问接口时获取前端请求头携带的token
springboot集成jwt
01-25
springboot集成jwt的小栗子
使用jwt方式的接口访问
menxinziwen的博客
04-05 2659
要使用jwt必须有相应jar包 maven项目加入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4....
spring boot java jwt,springboot集成jwt
weixin_39528994的博客
03-11 81
# springboot集成jwt# jwt简介Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519),jwt里面包含了一些用户信息,服务器不用再存储或者查询用户信息,减轻服务器压力。# 传统Cookie+Session与jwt对比 传统Cookie+Session:用户登录成功,服务器会给客户端一个sessionId,客户...
接口访问token获取和使用
crmebyyy的博客
08-29 401
xxxxx是登录接口获取的token,切记与前面的。, xxxxx是登录接口获取的token,切记与前面的。请求移动端的数据接口,在headers里面增加参数。请求后台的数据接口,在headers里面增加参数。总结,程序的接口请求,基本上都需要在。,请求之后会获取到登录生成的。
SpringBoot 前后端Token方式调用接口+ Redis+Vue
刘贤松的博客
07-01 722
前后端分离,不用session方式,采用token方式,前后端相关代码调整。 vue+vue-resource设置请求头(带上token)
Java - SpringBoot整合JWT
Zong_0915的博客
11-10 1226
Java - JWT的简单介绍和使用。
spring boot java jwt,在SpringBoot中使用JWT
weixin_35235724的博客
03-11 282
JWT概述JWT简介JSON Web Token(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑的和自包含的方式,用于在JSON对象之间安全传输信息。该信息可以被验证和信任,因为它是数字签名的。JWT可以使用密钥HMAC算法或RSA或ECDSA来签名。JWT应用场景授权:这是使用JWT最常见的方案。当用户登录后,每个后续请求将会在header带上JWT,允许用户访问允许使用该令牌的...
springboot项目用httpclient方式调用第三方接口
weixin_42656705的博客
06-24 1301
1. 导入依赖 <dependency> <groupId>org.apache.httpcomponents</groupId> <artifactId>httpclient</artifactId> <version>4.5.2</version> </dependency> 2.编写一个HttpClientUtil类 public class HttpClientUtil{ .
springboot2.7.12集成jwt
05-29
好的,我来为你简单介绍一下Spring Boot 2.7.12集成JWT的方式。 JWT(JSON Web Token)是一种基于 JSON 的开放标准(RFC 7519),用于在网络上安全地传输声明(Claims)。Spring Security 5.x 中内置了对 JWT 的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值