使用jwt在后端进行鉴权

最新推荐文章于 2024-06-24 15:20:08 发布
最新推荐文章于 2024-06-24 15:20:08 发布
阅读量453 收藏 12
点赞数 7
文章标签: java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53483403/article/details/135367384
版权

在用户登录后,后台给前台发送一个凭证(token),前台请求的时候需要带上这个凭证(token),才可以访问接口,如果没有凭证或者凭证跟后台创建的不一致,则说明该用户不合法。

1.pom.xml

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>
<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>5.3.7</version>
</dependency>

2.给后台接口加上统一的前缀/api,然后我们统一拦截该前缀开头的接口,所以配置一个拦截器

import org.springframework.context.annotation.Configuration;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.servlet.config.annotation.PathMatchConfigurer;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements  WebMvcConfigurer {
    @Override
    public void configurePathMatch(PathMatchConfigurer configurer) {
        // 指定controller统一的接口前缀
        configurer.addPathPrefix("/api", clazz -> clazz.isAnnotationPresent(RestController.class));
    }
}

request封装里面,baseUrl也需要加个 /api 前缀

3.Jwt的配置

JwtTokenUtils.java

import cn.hutool.core.date.DateUtil;
import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.example.entity.Admin;
import com.example.service.AdminService;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.annotation.PostConstruct;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.util.Date;

@Component
public class JwtTokenUtils {

    private static AdminService staticAdminService;
    private static final Logger log = LoggerFactory.getLogger(JwtTokenUtils.class);

    @Resource
    private AdminService adminService;

    @PostConstruct
    public void setUserService() {
        staticAdminService = adminService;
    }

    /**
     * 生成token
     */
    public static String genToken(String adminId, String sign) {
        return JWT.create().withAudience(adminId) // 将 user id 保存到 token 里面,作为载荷
                .withExpiresAt(DateUtil.offsetHour(new Date(), 2)) // 2小时后token过期
                .sign(Algorithm.HMAC256(sign)); // 以 password 作为 token 的密钥
    }

    /**
     * 获取当前登录的用户信息
     */
    public static Admin getCurrentUser() {
        String token = null;
        try {
            HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
            token = request.getHeader("token");
            if (StrUtil.isBlank(token)) {
                token = request.getParameter("token");
            }
            if (StrUtil.isBlank(token)) {
                log.error("获取当前登录的token失败, token: {}", token);
                return null;
            }
            // 解析token,获取用户的id
            String adminId = JWT.decode(token).getAudience().get(0);
            return staticAdminService.findByById(Integer.valueOf(adminId));
        } catch (Exception e) {
            log.error("获取当前登录的管理员信息失败, token={}", token,  e);
            return null;
        }
    }
}

用户在登录成功后,需要返回一个token给前台

// 生成jwt token给前端
String token = JwtTokenUtils.genToken(user.getId().toString(), user.getPassword());
user.setToken(token);

前台把token获取到,下次请求的时候,带到header里

const user = localStorage.getItem("user");
if (user) {
    config.headers['token'] = JSON.parse(user).token;
}

4.拦截器:JwtInterceptor.java

import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.example.entity.Admin;
import com.example.exception.CustomException;
import com.example.service.AdminService;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * jwt拦截器
 */
@Component
public class JwtInterceptor implements HandlerInterceptor {

    private static final Logger log = LoggerFactory.getLogger(JwtInterceptor.class);

    @Resource
    private AdminService adminService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        // 1. 从http请求的header中获取token
        String token = request.getHeader("token");
        if (StrUtil.isBlank(token)) {
            // 如果没拿到,我再去参数里面拿一波试试  /api/admin?token=xxxxx
            token = request.getParameter("token");
        }
        // 2. 开始执行认证
        if (StrUtil.isBlank(token)) {
            throw new CustomException("无token,请重新登录");
        }
        // 获取 token 中的userId
        String userId;
        Admin admin;
        try {
            userId = JWT.decode(token).getAudience().get(0);
            // 根据token中的userid查询数据库
            admin = adminService.findById(Integer.parseInt(userId));
        } catch (Exception e) {
            String errMsg = "token验证失败,请重新登录";
            log.error(errMsg + ", token=" + token, e);
            throw new CustomException(errMsg);
        }
        if (admin == null) {
            throw new CustomException("用户不存在,请重新登录");
        }
        try {
            // 用户密码加签验证 token
            JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(admin.getPassword())).build();
            jwtVerifier.verify(token); // 验证token
        } catch (JWTVerificationException e) {
            throw new CustomException("token验证失败,请重新登录");
        }
        return true;
    }
}

如何生效?在webConfig里添加拦截器规则:

@Resource
private JwtInterceptor jwtInterceptor;

// 加自定义拦截器JwtInterceptor,设置拦截规则
@Override
public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(jwtInterceptor).addPathPatterns("/api/**")
            .excludePathPatterns("/api/admin/login")
            .excludePathPatterns("/api/admin/register");
}

5.CorsConfig.java

设置自定义头

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class CorsConfig {

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*"); // 1 设置访问源地址
        corsConfiguration.addAllowedHeader("*"); // 2 设置访问源请求头
        corsConfiguration.addAllowedMethod("*"); // 3 设置访问源请求方法
        source.registerCorsConfiguration("/**", corsConfiguration); // 4 对接口配置跨域设置
        return new CorsFilter(source);
    }
}

花开哈哈
关注
  • 7
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
spring-boot系列,使用JWT实现登录认证、完整的前后台交互的系统设计案例
03-09
spring-boo框架,基于JWT、redis鉴权设计,使用restful风格设计开发,前台使用layui、bootstrap等
koa2服务端使用jwt进行鉴权及路由权限分发的流程分析
12-09
本篇文章将详细分析Koa2服务端如何使用JWT进行鉴权及路由权限分发。 1. **鉴权流程** - 用户通过前端发送登录请求,提供用户名和密码。 - 服务端接收到登录请求,验证用户名和密码的正确性。 - 验证成功后,...
后台接口token校验库JWT
qq_33820379的博客
06-11 539
1:jwt官网:https://jwt.io/2:轻量级很好用    
基于JWT的API鉴权如何实现?
NSX-Truth
10-04 518
前言 如果我们每个方法都去写一段代码,冗余度太高,不利于维护,那如何使我们的代码看起来更清爽呢?我们可以将这段代码放入拦截器去实现 1. Spring中的拦截器 Spring为我们提供了org.springframework.web.servlet.handler.HandlerInterceptorAdapter这个适配器,继承此 类,可以非常方便的实现自己的拦截器。他有三个方法:分别实现预处理、后处理(调用了Service并返回 ModelAndView,但未进行页面渲染)、返回处理(已经渲染了页面)
如何实现jwt鉴权机制?
zz130428的博客
12-10 1221
JWT(JSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息。在分布式系统中,每个子系统都要获取到秘钥,那么这个子系统根据该秘钥可以发布和验证令牌,但有些服务器只需要验证令牌。,分成了三部分,头部(Header)、载荷(Payload)、签名(Signature),并以。一旦前面两部分数据被篡改,只要服务器加密用的密钥没有泄露,得到的签名肯定和之前的签名不一致。这时候可以采用非对称加密,利用私钥发布令牌,公钥验证令牌,加密算法可以选择。
JWT鉴权的实现
YelloJesse的博客
12-28 395
1 2 3 4
SpringBoot集成SpringSecurity和JWT登陆鉴权的实现
08-19
在本文中,我们将深入探讨如何使用SpringBoot与SpringSecurity及JWT(JSON Web Token)结合,以实现登录鉴权功能。SpringBoot因其简化配置和与其他框架的无缝集成,成为了开发小型应用的理想选择。前后端分离的架构...
基于最新前后端技术栈 Vue3、TS、Unocs 、Redis 等。后端包含 JWT 鉴权、RBAC 权限控制等.zip
06-15
后端包含 JWT 鉴权、RBAC 权限控制等 【项目资源】:包含前端、后端、移动开发、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源,毕业设计等各种技术项目的源码。包括C++、Java、python、web、...
JWT登录鉴权—通用登录模块后端开发.zip
11-22
执行上下文是一个抽象的概念,可以理解为是代码执行的一个环境。JS 的执行上下文分为三种,全局执 行上下文、函数(局部)执行上下文、Eval 执行上下文。 全局执行上下文:全局执行上下文指的是全局 this 指向的 ...
JWT登录鉴权—通用登录模块后端开发1.zip
11-22
执行栈,就是我们数据结构中的“栈”,它具有“先进后出”的特点,正是因为这种特点,在我们代码进行 执行的时候,遇到一个执行上下文就将其依次压入执行栈中。 当代码执行的时候,先执行位于栈顶的执行上下文中的...
如何实现jwt鉴权机制之详解
hyqhyqhyqq的博客
03-07 417
声明算法的字段名为alg,同时还有一个typ的字段,默认JWT即可。JWT(JSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息。在分布式系统中,每个子系统都要获取到秘钥,那么这个子系统根据该秘钥可以发布和验证令牌,但有些服务器只需要。一旦前面两部分数据被篡改,只要服务器加密用的密钥没有泄露,得到的签名肯定和之前的签名不一致。签名是对头部和载荷内容进行签名,一般情况,设置一个。载荷即消息体,这里会存放实际的内容,也就是。的数据声明,例如用户的。
Jwt使用
苍穹尘的博客
05-24 1680
Jwt在springboot项目中的使用示例代码: 1、引入pom依赖 <!--引入JWT依赖,由于是基于Java,所以需要的是java-jwt--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> ...
JWT(下):使用 JWT 鉴权整体逻辑实例
A minor
02-16 831
在前两篇我们介绍了 JWT 是什么,以及项目中使用 JWT 时需要用到的工具类,本篇我们就来看看在项目中如何使用 JWT 进行鉴权。 依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> 1.yml 配置
SpringBoot 项目 + JWT 完成用户登录、注册、鉴权
BASK2312的博客
05-11 1837
到此我们已经完成了用户的注册和登录功能。但还有一个问题就是用户鉴权,我们在调用其他接口时如何判断用户是否已登录。完成用户注册与登录有个核心点就是密码的加密与验证,我们目前比较常用的方案是。与数据库查出的用户进行密码比较判断是否验证通过。生成存到数据库里,这里我们采用第二种安全性更高的方式。的逻辑删除及自动填充功能,不太清楚的可以看看我的文章。的所有接口登录验证,这个大家根据自己项目需求调整。为忽略前端的传值,这里使用我们。,然后入库,用户登录时,根据。查出用户,再把用户传入的。里面,这里需要引入下。
Jwt 如何在 springboot 项目中进行接口访问鉴权
云在青天水在瓶
12-20 286
Jwt 如何在 springboot 项目中进行接口进行访问鉴权
详说JWT鉴权机制
努力的鋜
03-28 265
JWT(JSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息
JWT+RSA鉴权
weixin_50195609的博客
03-20 220
目录 1、JWT 1.1 JWT简介 1.2JWT数据格式 2、登录和鉴权流程:JWT+HS256算法 3、RSA非对称加密 4、登录和鉴权流程:JWT+RSA 4.1RSA工具类 4.2JWT工具类 1、JWT 1.1 JWT简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:JSON Web Tokens - jwt.io (JWT,生成Token加密字符串的一个标准或格式!)...
用户登录权限校验 JWT【详解】
朝阳39的博客
10-26 1694
JWT (json web token)是当前最流行的用户登录权限校验(用户认证鉴权)方案。
接口鉴权方案 jwt
最新发布
qq_36428598的博客
06-24 687
setExpiration(new Date(currentTimeMillis + TOKEN_EXPIRE_MILLIS)) // 设置过期时间。.setIssuedAt(new Date(currentTimeMillis)) // 设置签发时间。.setSigningKey(generateKey()) // 设置签名密钥。@return 0 验证成功,1、2、3、4、5 验证失败。key(按照签名算法的字节长度设置key)5.使用注解在接口上。
springboot vue登录界面使用jwt鉴权
11-24
为了实现SpringBoot+Vue前后端分离的登录界面使用JWT鉴权,需要进行以下步骤: 1.在SpringBoot中配置SpringSecurity,包括用户认证和授权,可以参考引用中的实现方式。 2.在SpringBoot中配置JWT,包括生成Token和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值