利用JWT Token配合Redis实现单点登录并进行Token的缓存验证唯一性

已于 2023-06-19 09:10:06 修改
阅读量2.4k 收藏 11
点赞数 1
分类专栏: JWT Token+Redis+SpringSecurity 文章标签: 缓存 spring boot redis mybatis java
于 2023-06-10 14:45:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51891433/article/details/131141720
版权

实现单点登录(Single Sign-On, SSO)需要以下步骤:

  1. 用户登录后,生成JWT Token并将其存储到Redis中。
  2. 将JWT Token返回给客户端,并在响应头中设置Authorization字段,值为Bearer加上JWT Token。
  3. 客户端在每次请求时,在请求头中带上Authorization字段,值为Bearer加上JWT Token。
  4. 服务端在接收到请求时,先从请求头中获取JWT Token,并解析出其中的用户信息。然后再到Redis中验证Token的唯一性和有效期。
  5. 如果验证通过,则允许用户访问资源;否则拒绝访问。
  • 首先,pom.xml文件中引入以下依赖
  • <dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

    然后,在application.yml文件中配置JWT Token的相关属性(secret为加密密钥,expiration为有效期):

    jwt:
  secret: mysecretkey
  expiration: 600

  • 然后,创建一个JwtUtil类,用于生成和解析JWT Token:

  • import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import javax.crypto.SecretKey;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

@Component
public class JwtUtil {
    @Value("${jwt.secret}")
    private String secret;

    @Value("${jwt.expiration}")
    private Long expiration;

    private SecretKey key = Keys.hmacShaKeyFor(secret.getBytes());

    public String generateToken(String username) {
        Date now = new Date();
        Date expiryDate = new Date(now.getTime() + expiration * 1000);

        Map<String, Object> claims = new HashMap<>();
        claims.put("sub", username);
        claims.put("iat", now);
        claims.put("exp", expiryDate);

        return Jwts.builder()
                .setClaims(claims)
                .signWith(key, SignatureAlgorithm.HS512)
                .compact();
    }

    public String getUsernameFromToken(String token) {
        Claims claims = Jwts.parserBuilder()
                .setSigningKey(key)
                .build()
                .parseClaimsJws(token)
                .getBody();

        return claims.getSubject();
    }
    
    public Long getExpiration() {
        return expiration;
    }
}

    创建一个JwtFilter类,用于验证JWT Token的唯一性和有效性:

    import com.alibaba.fastjson.JSONObject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.http.HttpStatus;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.concurrent.TimeUnit;

@Component
public class JwtFilter extends OncePerRequestFilter {
    @Autowired
    private JwtUtil jwtUtil;

    @Autowired
    private RedisTemplate<String, Object> redisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
        String authToken = httpServletRequest.getHeader("Authorization");
        if (StringUtils.hasText(authToken) && authToken.startsWith("Bearer ")) {
            authToken = authToken.substring(7);

            String username = jwtUtil.getUsernameFromToken(authToken);
            Object tokenInRedis = redisTemplate.opsForValue().get(username);
            if (tokenInRedis == null || !tokenInRedis.equals(authToken)) {
                httpServletResponse.setContentType("application/json;charset=UTF-8");
                httpServletResponse.setStatus(HttpStatus.UNAUTHORIZED.value());
                JSONObject result = new JSONObject();
                result.put("status", HttpStatus.UNAUTHORIZED.value());
                result.put("message", "Token验证失败或已过期,请重新登录!");
                httpServletResponse.getWriter().write(result.toString());

                return;
            }

if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username, null, null);
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);

            redisTemplate.opsForValue().set(username, authToken, jwtUtil.getExpiration(), TimeUnit.SECONDS);
        }
    }


        filterChain.doFilter(httpServletRequest, httpServletResponse);
    }
}

    在登录控制器中生成JWT Token并保存到Redis中:

    @RestController
public class LoginController {
    @Autowired
    private JwtUtil jwtUtil;

    @Autowired
    private RedisTemplate<String, Object> redisTemplate;

    @PostMapping("/login")
    public String login(@RequestParam String username, @RequestParam String password) {
        // TODO: 用户名和密码验证
        String token = jwtUtil.generateToken(username);
        redisTemplate.opsForValue().set(username, token, jwtUtil.getExpiration(), TimeUnit.SECONDS);

        return token;
    }
}

    最后,在Spring Security的配置类中添加JWT Token的过滤器:

    @Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private JwtFilter jwtFilter;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .anyRequest()
                .authenticated()
                .and()
                .addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

    登录控制层

    
UserController类:

```java
import cn.chatmind.demo.mapper.UserMapper;
import cn.chatmind.demo.model.User;
import com.alibaba.fastjson.JSONObject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;

@RestController
@RequestMapping("/api")
public class UserController {
    @Autowired
    private UserMapper userMapper;

    @Autowired
    private JwtUtil jwtUtil;

    @PostMapping("/login")
    public JSONObject login(@RequestBody User user) {
        JSONObject responseJson = new JSONObject();

        User existUser = userMapper.findByUsernameAndPassword(user);

        if (existUser != null) {
            String token = jwtUtil.generateToken(existUser.getUsername());
            responseJson.put("token", token);

            return responseJson;
        } else {
            responseJson.put("error", "Bad Request");
            responseJson.put("message", "Invalid username or password.");
            return responseJson;
        }
    }

    @GetMapping("/users/{id}")
    public User getUserById(@PathVariable("id") Integer id) {
        return userMapper.findUserById(id);
    }
}

    以上为一个基础的使用Spring Boot、MyBatis、Redis和JWT实现用户登录认证的完整示例。具体实现中可以根据需求进行更改和优化。

@宫崎骏
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
实例详解:Java使用JWTRedis实现高效单点登录(SSO)
Da_zhenzai的博客
10-25 2720
单点登录(Single Sign-On,简称SSO)是一种身份验证和访问控制机制,允许用户使用一组凭证(如登录名和密码)登录到多个应用程序中,而无需为每个应用程序单独进行身份验证。用户只需要登录一次就可以访问所有系统的应用和资源。相对于传统的每个系统都需要登录一次的方式,单点登录可以提高用户体验,降低用户的登录成本。在本文中,我们将通过使用JWT(JSON Web Token)和Redis实现SSO功能,并提供详细的Java代码实例。通过结合JWTRedis,我们可以轻松实现单点登录(SSO)的功能
单点登录原理、解决方案、基于satoken实现
love_eat_peach的博客
06-20 3985
当前会话是否登录:" + StpUtil.isLogin() + "
通过OncePerRequestFilter实现JWT登录认证功能
最新发布
weixin_67727883的博客
05-29 841
通过OncePerRequestFilter实现JWT登录认证功能
RedisJWT 实现session分布式 区别】
weixin_59565183的博客
06-07 685
Redis中,Session的数据是以Key-Value的形式进行存储,其中Key是一个唯一的Session ID,Value则是Session中包含的所有信息,如Session的创建时间、最后访问时间、Session属性等。比如,用户注册后发一封邮件让其激活账户,通常邮件中需要有一个链接,这个链接需要具备以下的特性:能够标识用户,该链接具有时效性(通常只允许几小时之内激活),不能被篡改以激活其他可能的账户,一次性的。根据实际的应用场景,我们可以选择不同的Session管理解决方案。
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
redis+token实现登录校验,前后端分离,及解跨域问题的4种方法
qi341500的博客
02-15 2927
一、使用自定义filter实现跨域 1、客户端向服务端发送请求 2、服务端做登录验证了,并生成登路用户对应的token,保存到redis 3、响应(报错)-----跨域问题 4、解决跨域问题--------服务器端添加过滤器,设置请求头 5、重新登录正确响应 6、客户端登redis录后访问页面,需要经过拦截器验证登录状态 7、编写拦截器 二、在任意配置类,返回一个 新的 CorsFIlter Bean 三、使用注解 (局部跨域) 四、手动设置响应头(局部跨域)
使用token单点登录 - 整合JWT工具
weixin_44610169的博客
10-27 2534
注册接口和登录差不多,我们同样写一个提交的注册信息vo,在实现类拿到vo提交上来的各注册信息,然后进行判断是否为空,验证码是否正确,手机号是否已经注册(baseMapper.selectCount)得到的数据>0则代表已经被注册,通过校验后提交信息到数据库就可以了
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
SpringBoot+Vue+Redis实现单点登录(一处登录另一处退出登录)
08-25
在本文中,我们将探讨如何使用SpringBoot、Vue.js和Redis实现单点登录(Single Sign-On,SSO)系统。单点登录允许用户在一个应用程序中登录后,可以在多个相互关联的应用程序中自动登录,而无需再次输入凭证。当...
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定.zip
03-10
自2017年正式上线以来,小程序凭借其便捷性、易获取性和出色的用户体验迅速获得市场认可,并成为连接线上线下服务的重要桥梁。 小程序的核心特点包括: 零安装:用户只需通过微信扫一扫或搜索功能,即可打开和...
springboot整和jwt、shiro、redis实现token自动刷新
08-19
接着,我们需要创建一个JWTToken Realm,实现Shiro的AuthenticationInfo接口,处理JWT验证。在Realm中,我们可以解析JWT,获取用户信息,并与数据库进行比对,完成身份验证。 对于Redis使用,我们需要配置一个...
Laravel的Auth验证Token验证使用自定义Redis的例子
10-16
今天小编就为大家分享一篇Laravel的Auth验证Token验证使用自定义Redis的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
【实习日志】JWT + Redis 实现单点登录
放开这颗白菜让我来
06-16 2958
文章目录JWT + Redis 实现单点登录1、以前如何登录?2、JWT是什么?3、认证流程4、Token + Redis JWT + Redis 实现单点登录 模拟场景:实习好长时间,代码还没敲上,那得有所收获啊,虽然啥也没干,那我就胡诌一个吧,项目中要实现一个单点登录功能,虽然不是我敲的,那我说明白了,那这是不是就是我做的呢? 1、以前如何登录? 我们知道http协议是无状态的,有这样一个场景,我们购物的时候需要访问多个页面,加入购物车一个页面,那么在不同页面进行切换时,因为是无状态,那么就需要登录
JWTRedis的讨论
想到哪记到哪
11-23 4330
先说jwt JWT全称(Json web token),也就是说 本质上它就是个Token,我觉得这一点很重要。采用json的实现,能有效的避开各种浏览器、运行环境的限制,而达到为用户创建身份认证的凭证,并且是跨语言的。 所以jwt本质是提供一个token实现方式,一个基本的规范;而不是token之外的其他思路。密钥掌握在后台,所以jwt可以在后台运算,后台验证;又因为后台可以运算验证,所以可以不需要存储轻量的完成整个验证的逻辑。有得就有失,运算只能知道这个token是不是符合密钥和规范的约束,可以得出一
快速入门JWT+Redis实现Token验证
Trouvailless的博客
09-17 2249
导言:该文最终本人实现目的为通过JWT来生成token作为用户登录或调用api等身份验证凭证,同时简单的引入了Redis作为缓存来存放Token。用最简洁的方法给第一次接触Token的朋友们快速入门并且实际运用到项目中。不纠结于理论,只聚焦于实战,如果有希望了解更多理论的朋友,可以在看本文的过程中查询其他理论性文章。
jwtredis,把生成的token放入redis进行临时存储
jakelihua
08-28 1111
简介:本文讲解,如何结合jwtredis,我们把jwt生成的token存放在redis中。
jwt+redis实现登录认证
每天学习一点点
02-17 1297
上面代码是自定义的登录拦截器,在请求到来后,控制器方法执行前,会进入到拦截器的preHandle方法中,在这个方法里面,或获取到请求头中的Authorization属性值,也就是jwt的值,然后再获取到redis中的值,redis中key和values是相同的,都是jwt字符串的内容,所以这里是用jwt的值作为key去获取value,如果value有值则说明该请求是可以放行的(已经登录过),否则拦截请求,返回响应码401。这样原来的jwt就失效了,无法使用原来的jwt进行登录认证。JwtUtil工具类。
Springboot之OncePerRequestFilter
weixin_44636027的博客
11-14 4601
类说明 OncePerRequestFilter能够确保在一次请求只通过一次filter,而不需要重复执行。 记录到问题 在使用springSecurity的过程中遇到已经放权校验的url,在请求头依然携带有效的token信息,依然被拦截。 解决方案 使用JwtAuthenticationTokenFilter继承OncePerRequestFilter,重写doFilterInternal()方法,将请求头中的token信息去掉。 实现代码如下。 @Component @Slf4j public clas
JWT Token整合Redis实现登录和权限访问控制的流程梳理
qq_51891433的博客
06-24 850
通过整合JWT TokenRedis实现登录和用户会话权限访问控制时,JWT Token负责身份验证和授权信息传递,而Redis存储用户会话信息,包括用户权限等。后端验证用户名和密码,生成JWT Token,并将用户信息存储在Redis中,以用户ID为键。在JWT Token有效期内,可以通过JWT TokenRedis获取相关的用户会话信息。后端使用用户信息生成JWT Token,并将Token返回给客户端。验证通过后,从Redis中获取与JWT Token相应的用户信息。
jwt redis实现单点登录
04-04
JWT (JSON Web Token)和Redis都是常用于实现单点登录的技术。JWT是一种在网络应用间传递信息的标准,使用JWT可以实现无状态的分布式Web应用,而Redis是一种内存数据库,可以快速地存储和检索数据。 下面是一个基于JWTRedis实现单点登录的步骤: 1. 用户登录时,验证用户名和密码,如果验证通过,在Redis中生成一个随机的token,并将该token与用户信息关联起来,然后将token返回给客户端。 2. 客户端在每次请求时都需要在HTTP头中带上该token,服务器在接收到请求后,从Redis中查询该token是否存在,如果存在,就可以根据该token获取用户信息,进行相应的处理。如果不存在,则说明该用户没有登录或者登录已过期,需要重新登录。 3. 用户退出登录时,服务器从Redis中删除该用户的token,从而实现单点注销。 4. 如果需要实现跨域访问,可以使用CORS(跨域资源共享)技术。在服务器端设置响应头Access-Control-Allow-Origin,允许指定的域名或所有域名进行跨域访问。 总之,使用JWTRedis可以实现简单、高效、安全的单点登录方案。但是需要注意的是,使用Redis存储用户信息会带来一定的安全风险,因此需要采取相应的安全措施,例如加密、防止SQL注入等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值