每天一小步-JWT授权

已于 2024-07-22 09:38:59 修改
阅读量1.1k 收藏 8
点赞数 37
分类专栏: 每天进步一点 文章标签: java spring boot
于 2024-07-22 00:32:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53924122/article/details/136310693
版权

这篇主要介绍Springboot集成JWT生成Token,前端调用后端接口时加层验证的介绍。

大致流程是,后端引入JWT,根据用户登录时传给后端的用户信息生成Token,然后再返回给前端,前端在拿到这个Token后,可以存到浏览器缓存(localstorage)或者cookie中,在后续前端调用后端接口时,把token放在请求头里传给后端,后端会在调用接口前,在JWT拦截器拦截请求,拦截器主要验证Token是否过期,以及是否合法,校验通过后再去调用接口,做其他业务请求。

后端要做的事情:

1.pom.xml引入JWT依赖。

<!-- 引入JWT -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.6.0</version>
</dependency>

2.写JWT实体类,主要有生成token,解析token,获取用户信息

package com.example.bootdemo.helper;

import cn.hutool.core.util.StrUtil;
import com.example.bootdemo.vo.UserInfo;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.Map;

public class JwtUtils {
    //签名私钥
    private static final String key = "admin";
    //签名失效时间 一分钟
    private static final long failureTime = 60000;

    /**
     * 设置认证token
     *
     * @param id      用户登录ID
     * @param subject 用户登录名
     * @param map     其他私有数据
     * @return
     */
    public static String createJwt(String id, String subject, Map<String, Object> map) {

        //1、设置失效时间啊
        long now = System.currentTimeMillis();  //毫秒
        long exp = now + failureTime;

        //2、创建JwtBuilder
        JwtBuilder jwtBuilder = Jwts.builder().setId(id).setSubject(subject)
                .setIssuedAt(new Date())
                //设置签名防止篡改
                .signWith(SignatureAlgorithm.HS256, key);

        //3、根据map设置claims
        for (Map.Entry<String, Object> entry : map.entrySet()) {
            jwtBuilder.claim(entry.getKey(), entry.getValue());
        }
        jwtBuilder.setExpiration(new Date(exp));

        //4、创建token
        String token = jwtBuilder.compact();
        return token;
    }


    /**
     * 获取用户登录信息
     *
     * @return User
     */
    public static UserInfo getCurrentUser(String token) {
        if (StrUtil.isBlank(token)) {
            return null;
        }
        //验证token
        Claims map = parseJwt(token);
        System.out.println("map:" + map);

        if (map == null) {
            return null;
        }
        UserInfo user = new UserInfo();

        user.setUserID(Integer.parseInt((map.getId())));
        user.setPhoneNumber((String) map.get("phoneNumber"));
        user.setUsername((String) map.get("sub"));
        System.out.println("user:" + user);
        return user;
    }

    /**
     * 解析token
     *
     * @param token
     * @return
     */
    public static Claims parseJwt(String token) {
        try {
            //截取token头
            String nowToken = token.substring(7);
            System.out.println("token:" + token);
            System.out.println("nowToken:" + nowToken);
            return Jwts.parser().setSigningKey(key).parseClaimsJws(nowToken).getBody();
        } catch (Exception e) {
            // 在这里记录错误或执行其他错误处理逻辑
            System.out.println("error:" + e.getMessage());
            return null;
        }
    }

}

3.编写拦截器,主要逻辑是,拦截前端请求,从请求头中获取token,然后对token进行验证,验证通过则进行下一步。

package com.example.bootdemo.helper;

import cn.hutool.core.util.StrUtil;
import com.example.bootdemo.vo.UserInfo;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

@Component
@Slf4j
public class JwtInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        log.info("路径 '{}' 已被拦截",request.getRequestURI());
        //1.拦截controller方法,handler还可能是RequestResourceHandler类型,放行
        if(!(handler instanceof HandlerMethod))
            return true;

        //获取token
        String token = request.getHeader("Authorization");  //请求头中获取token
        System.out.println("前端token传:"+ token);

        String requestURI = request.getRequestURI();    //请求URI
        log.info("================request start ===============");
        log.info("request uri:{}",requestURI);
        log.info("request method:{}",request.getMethod());
        log.info("request token:{}",token);
        log.info("================request  end ================");
        if (StrUtil.isBlank(token))
            token = request.getParameter("token");  //请求头中没有,从请求参数中获取
        System.out.println("拦截器:"+ token);
        //判断token是否为空
        if (StrUtil.isBlank(token)) {
            log.error("获取当前登录的token失败,token:{}", token);
            return false;
        }

        //登陆验证,并获取user登录基本信息
        UserInfo currentUser = JwtUtils.getCurrentUser(token);
        if(currentUser == null){
            log.error("验证失败,token:{}", token);
            return false;
        }
        //将用户信息存入ThreadLocal中
        UserThreadLocal.setThreadLocal(currentUser);
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        //删除用户信息,防止内存泄漏
        UserThreadLocal.removeThreadLocal();
    }
}

4.配置拦截信息

package com.example.bootdemo.helper;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private JwtInterceptor jwtInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 添加拦截器,并指定需要拦截的路径
        registry.addInterceptor(jwtInterceptor)
                .addPathPatterns("/**") // 拦截所有路径
                .excludePathPatterns("/login", "/error", "/swagger**/**", "/v2/api-docs", "/webjars/**"); // 排除不需要拦截的路径
    }

    // 其他配置...
}

ok,后端关于JWT的准备工作做好之后,接下来就是写个login接口,让前端调用,登录接口的逻辑大体是,在判断登陆信息正确后,调用生成token的方法,返回给前端。(当然,我这不全也不太规范,真正的登录的jwt还有很多nb的集成。仅供参考)

//获取token
@PostMapping("/login")
public String login(@RequestBody Map<String, String> loginMap) {
    String username = loginMap.get("username");
    String password = loginMap.get("password");
    //获取用户数据
    UserInfo userInfo = loginService.loginData(username, password);
    if (userInfo == null) {
        return "";
    } else {
        Map<String, Object> map = new HashMap<>();
        map.put("password", userInfo.getPassword());
        map.put("phoneNumber", userInfo.getPhoneNumber());

        return JwtUtils.createJwt(String.valueOf(userInfo.getUserID()), username, map);
    }
}

写一个接口,验证token验证效果。我这个接口地址,会被拦截做验证再调用接口。如果token过期,或者验证不通过,接口不会调用。(单纯为了验证写的接口,忽略接口业务..)

//获取用户信息
@PostMapping("/getUserData")
public UserInfo getUserData(@RequestHeader("Authorization") String token) {
    return JwtUtils.getCurrentUser(token);

}

至此,后端的事情做完了。

前端要做的就是用户登录接口后,拿到token,存起来以备后续接口使用

登录页面:

<template>

  <h1>ZWQ-INT</h1>

  <form @submit.prevent="submitForm">

    <div class="form-group">

      <label class="form-label" for="username">用户名:</label>

      <input

        class="form-input"

        type="text"

        id="username"

        v-model="form.username"

        required

      />

    </div>

    <div class="form-group">

      <label class="form-label" for="password">密码:</label>

      <input

        class="form-input"

        type="password"

        id="password"

        v-model="form.password"

        required

      />

    </div>

    <button class="form-button" type="submit">登录</button>

    <button class="form-button" type="reset" @click="resetForm">重置</button>

  </form>

</template>

<script>

import { reactive } from "vue";

import axios from "axios";

import { useRouter } from "vue-router";

export default {

  setup() {

    const router = useRouter();

    const form = reactive({

      username: "",

      password: "",

      //http://localhost:8082/zwq/getIsLogin

    });

    //后端接口地址

    const backendUrl = "http://localhost:8082/zwq";

    //点击登录

    const submitForm = async () => {

      if (form.username.trim() && form.password.trim()) {

        try {

          // 注意:GET请求通常通过查询参数传递数据,而不是请求体

          // 所以我们将参数附加到URL上

          // const response = await axios.get(

          //   `${backendUrl}/getIsLogin?username=${form.username}&password=${form.password}`

          // );

          // console.log(response);

          //获取token

          const response = await axios.post(`${backendUrl}/login`, {

            username: form.username.trim(),

            password: form.password.trim(),

          });

          console.log(response);

          // 假设后端返回了一个包含登录状态的对象,例如 { isLogin: true }

          //获取token

          if (response.data != null && response.data != "") {

            localStorage.setItem("access-admin", response.data);

            alert("登陆成功");

            await router.push("/index");

          } else {

            alert("登陆失败");

          }

          //获取用户信息

        } catch (error) {

          alert("请求失败");

        }

      }

    };

    //点击重置

    const resetForm = () => {

      debugger;

      form.password = "";

      form.username = "";

    };

    return {

      form,

      submitForm,

      resetForm,

    };

  },

};

</script>

<style scoped>

.form-group {

  display: flex;

  align-items: center; /* 垂直居中 */

  margin-bottom: 10px; /* 每个表单项之间的间距 */

}

.form-label {

  flex: 1; /* 占据剩余空间 */

  text-align: right; /* 文字右对齐 */

  padding-right: 10px; /* 与输入框之间的间距 */

}

.form-input {

  flex: content; /* 占据更多空间 */

  max-width: 10%;

  margin-right: 45%;

}

.form-button {

  margin-right: 1%;

  margin-top: 10px; /* 与上面表单项的间距 */

}

</style>

**登陆成功后,跳转主页面(为了测试token效果,和验证token的有效期,代码也是及其不规范的,大佬勿喷。┗( T﹏T )┛)

<template>

  <div v-if="userData">

    欢迎回来:{{ userData.username }}

    <h1>这是首页</h1>

  </div>

  <div v-else>加载中...</div>

</template>

<script>

import axios from "axios";

import { ref, onMounted } from "vue";

import { useRouter } from "vue-router";

export default {

  setup() {

    const router = useRouter();

    //后端接口地址

    const backendUrl = "http://localhost:8082/zwq";

    const userData = ref(null);

    //钩子

    onMounted(async () => {

      try {

        const token = localStorage.getItem("access-admin");

        if (!token) {

          // 处理没有 token 的情况

          return;

        }

        const response = await axios({

          method: "post",

          url: `${backendUrl}/getUserData`,

          headers: {

            Authorization: `Bearer ${token}`,

          },

        });

        userData.value = response.data; // 更新响应式引用的值

        if (response.data === "") {

          alert("token验证失败,请重新登录!");

          await router.push("/");

        }

      } catch (error) {

        console.error("Error fetching user data:", error);

        // 处理错误,比如显示错误消息或重定向到登录页面

      }

    });

    return {

      userData,

    };

  },

};

</script>

Demo 效果截图:

登录成功:

登陆成功,跳转主页面,可以看到, 请求头传了token

token过期,返回登陆页面,重新登录获取token,达到token验证的效果。

大体的流程就这样啦,JWT的token自动续期不如session那样方便,session有参数配置,JWT的token的自动续期,要通过双令牌,验证令牌,刷新令牌实现自动续期,具体下期再聊啦!

小白自学上路,有不对的地方欢迎指正,也在学习,只要每天学一点,我们就在进步喔,不做摆烂人✊。

进击的编程阿伟
关注
  • 37
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JWT认证授权
*** 喵桑_Rachel ***
08-17 1195
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 web项目使用jwt的优点 1.token 是分布式的由 用户保存,后端只做校验 2.jwt可以保存 用户id 等有效信息。减少查询数据库操作。 3.有过期时间,安全、可靠。 实现方法 这里我们通过spring 的拦截器 + jwt 完成对token的校验 通过注册的jwt拦截器,拦截web请求,验证
JWT
qq_26282869的博客
08-04 377
jwt 1、下载jwt包 composer require tymon/jwt-auth:”1.0.0-rc.1” 2、注册jwt服务到app项目中: 打开app/Providers/AppServiceProvider.php服务文件,在register()方法中,注册需要的jwt服务: $this-&gt;app-&gt;register(\Tymon\JWTAuth\Provide...
每天小步-JWT Token自动续期
qq_53924122的博客
07-24 609
实现JWT(JSONWeb Tokens)生成Token的自动续期
springboot2.3.x整合JWT
胖虎儿的博客
11-28 6388
springboot整合JWT,让我们的校验不再困难
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 956
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3456
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
微信小程序登录 + redis + 基于token的身份验证
qq_39474604的博客
08-22 6457
官方时序图如下: https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html 图里其实说的很清楚了,清理下流程: 1.前端调用wx.login()获取code值 2.前端通过调用wx.getUserInfo获取iv、rawData、signature、encryptedData等加...
商城-文档
weixin_46925850的博客
07-28 7785
谷粒商城学习笔记
从零开始:如何设计一个现代化聊天系统
mainjay的博客
07-02 958
该博客介绍了一个支持一对一聊天和小群聊的聊天系统架构。WebSocket 用于客户端和服务器之间的实时通信。用于实时消息传递的聊天服务器用于管理在线状态的 Presence 服务器用于发送推送通知的推送通知服务器用于保存聊天历史记录的键值存储用于提供其他功能的 API 服务器支持媒体文件扩展聊天应用程序以支持照片和视频等媒体文件。媒体文件的大小远大于文本,我们可以讨论压缩、云存储和缩略图等相关技术。端到端加密Whatsapp 支持消息的端到端加密,只有发送者和接收者可以阅读消息。
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 3628
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
[C++规范] 访问类成员变量的方式:直接访问还是通过成员函数访问?
Loewen丶的小窝
08-26 3660
在面向对象编程(OOP)中,通过成员函数(如`ME_HardwareTypeEnum Type() const;` 和 `int Id() const;`)来访问类的私有或受保护成员(如`m_hardwareType` 和 `m_id`),而不是直接通过公共成员访问,是一种更好的做法。
linux上datax 安装以及使用
寂夜了无痕的博客
08-24 3975
linux上datax 安装以及使用
《深入理解 Java 中的适配器模式》
最新发布
面团到油条的成长日记
08-29 2091
在软件开发的广阔领域中,不同接口之间不匹配的问题时常像个棘手的难题困扰着开发者。而适配器模式就像是一位得力的助手,专门用来解决这类问题。它的关键作用在于把一个类的接口有效地转化为客户端所期望的另一种接口,让原本因接口不相符而不能一起工作的两个类可以共同协作,学习本文希望你能有所收获
操作系统原子操作
zzt_is_me的博客
08-28 2193
所谓的原子操作就是不可被拆分的操作,对于多线程对全局变量进行操作时,就再也不用再线程锁了,和pthread_mutex_t保护作用是一样的,也是线程安全的,有些编译器在使用时需要加-march=i686编译参数。2、type只能是整数相关的类型,浮点型和自定义类型无法使用。功能:把value赋值给*ptr,并返回*ptr的旧值。功能:以上操作返回的是*ptr与value计算后的值。使用原子操作实现一个线程安全的无锁队列。1、该功能并不通用,有些编译器不支持。功能:以上操作返回的是*ptr的旧值。
Java设计模式之建造者模式详细讲解和案例示范
weixin_39996520的博客
08-28 1796
建造者模式是一种创建型设计模式,允许用户通过一步步地构造复杂对象的方式来避免直接使用大量的构造函数或复杂的初始化过程。它通过将对象的创建过程分解为多个步骤,并允许这些步骤以链式调用的方式来执行,最终生成一个完全构建的对象。首先,我们定义一个Order类,该类包括了多个字段,如订单ID、客户信息、商品列表、配送地址等。// Getter方法省略...在这个例子中,类提供了构建Order对象所需的各个方法,每个方法返回实例,以便进行链式调用。
Spring WebFlux – CVE-2023-34034 – 撰写和概念验证
技术超强的网络安全平台
08-28 1296
Spring框架是一个广泛使用的基于Java的应用程序框架,为企业级Java应用的开发提供基础设施支持。是一个功能强大的身份验证和访问控制框架,也是保护基于 Spring 的应用程序的行业标准。它提供身份验证和授权,并且可以轻松扩展以满足自定义要求。Spring WebFlux是在 Spring 5 中引入的,作为传统框架的响应式编程替代方案。Spring WebFlux 的核心设计旨在处理异步、非阻塞和反应式编程范例。它提供了一种反应式编程模型,允许开发人员构建可扩展、响应迅速且具有弹性的应用程序。
基于jenkins部署maven项目
静水深流
08-26 2045
如上所示,构建后,我们处于项目的根目录之下,可以进行后续的操作,如启动target目录下的jar包、将jar包传输到需要部署的服务器上、打docker镜像bing上传等等,需要根据实际情况进行选择,而这些都可以在“Add post-build step”选项中进行选择。我们主要关注上述几个部分,在General部分,可以对项目进行一个简单的描述,源码管理部分,需要配置对应的源码url,如下图所示。如上所示,选择“构建一个maven项目”,如果没有改选项,则需要安装maven构建的插件,请参考之前的文章。
死锁及其产生条件
秋夫人
08-26 902
死锁是指两个或多个线程(或进程)互相等待对方释放资源,导致所有相关线程都无法继续执行的情况。这是并发编程中的一个常见问题,可能会导致系统部分或完全停止响应。
golang-jwt
09-16
golang-jwt是一个在Go中实现JWT的流行包。它提供了生成和验证JWT的功能,并且因其特性和易用性而受到欢迎。要使用golang-jwt包,您需要在安装后创建一个Go文件并导入所需的包和模块。您可以使用`import`语句导入以下包: ``` import ( "log" "encoding/json" "github.com/golang-jwt/jwt" "net/http" "time" ) ``` 安装golang-jwt包的先决条件是设置好Go工作区并初始化Go模块文件。在终端上的工作区目录中运行以下命令以安装包: ``` go get github.com/golang-jwt/jwt ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值