【学习小记】007.JWT相关学习

于 2024-06-13 15:13:08 发布
阅读量415 收藏 6
点赞数 4
分类专栏: Java学习记录 文章标签: 学习 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54239348/article/details/139654594
版权

JWT(JSON Web Token)和Spring Security结合使用可以实现基于Token的登录。这种方式通常用于现代Web应用和微服务架构中,通过使用JWT来传递和验证用户身份信息,确保每个请求的安全性。以下是一个简要的介绍以及一个示例实现,说明如何在Spring Boot中使用JWT和Spring Security来实现基于Token的登录

一、JWT概述

JWT是一种基于JSON的开放标准(RFC 7519),用于在各方之间传输信息。它由三个部分组成:

  • Header(头部):包含签名算法等信息。
  • Payload(负载):包含声明(claims),即实际传输的数据。
  • Signature(签名):用于验证消息是否被篡改。

比较好的解释文章如下:

JWT详解-CSDN博客

二. Spring Security与JWT的整合步骤

2.1 项目配置

首先,需要在Spring Boot项目中添加相关依赖。你需要在pom.xml中添加以下依赖:

<dependencies>
    <!-- Spring Boot Starter Web -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <!-- Spring Boot Starter Security -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <!-- JWT -->
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.9.1</version>
    </dependency>

    <!-- Other dependencies -->
</dependencies>

2.2 创建JWT工具类

创建一个JwtUtil类,用于生成和验证JWT:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Component;

import java.util.Date;

@Component
public class JwtUtil {

    private String secretKey = "your_secret_key";
    private long expiration = 3600; // 一小时

    // 生成token
    public String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + expiration * 1000))
                .signWith(SignatureAlgorithm.HS512, secretKey)
                .compact();
    }

    // 从token中获取用户名
    public String getUsernameFromToken(String token) {
        return getClaimsFromToken(token).getSubject();
    }

    // 验证token是否过期
    public boolean isTokenExpired(String token) {
        return getClaimsFromToken(token).getExpiration().before(new Date());
    }

    // 从token中获取claims
    private Claims getClaimsFromToken(String token) {
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(token)
                .getBody();
    }
}

2.3 配置Spring Security

配置Spring Security,使其使用JWT进行身份验证:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

    @Autowired
    private JwtRequestFilter jwtRequestFilter;

    @Autowired
    private UserDetailsService jwtUserDetailsService;

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity.csrf().disable()
                // 不需要认证的请求
                .authorizeRequests().antMatchers("/authenticate", "/register").permitAll().
                // 其他请求需要认证
                anyRequest().authenticated().and().
                // 使用无状态的会话
                exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and().sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        // 在UsernamePasswordAuthenticationFilter之前添加jwtRequestFilter
        httpSecurity.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 配置自定义的UserDetailsService和密码编码器
        auth.userDetailsService(jwtUserDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

2.4 创建JWT过滤器

创建一个过滤器,在每个请求前对其进行检查:

import io.jsonwebtoken.ExpiredJwtException;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    @Autowired
    private UserDetailsService jwtUserDetailsService;

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {

        final String requestTokenHeader = request.getHeader("Authorization");

        String username = null;
        String jwtToken = null;

        // JWT Token在"Bearer "之后
        if (requestTokenHeader != null && requestTokenHeader.startsWith("Bearer ")) {
            jwtToken = requestTokenHeader.substring(7);
            try {
                username = jwtUtil.getUsernameFromToken(jwtToken);
            } catch (IllegalArgumentException e) {
                System.out.println("Unable to get JWT Token");
            } catch (ExpiredJwtException e) {
                System.out.println("JWT Token has expired");
            }
        } else {
            logger.warn("JWT Token does not begin with Bearer String");
        }

        // 验证token
        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

            UserDetails userDetails = this.jwtUserDetailsService.loadUserByUsername(username);

            // 如果token有效
            if (!jwtUtil.isTokenExpired(jwtToken)) {

                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
                        userDetails, null, userDetails.getAuthorities());
                usernamePasswordAuthenticationToken
                        .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        chain.doFilter(request, response);
    }
}

2.5 创建控制器处理认证请求

创建一个控制器来处理用户登录和生成JWT:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.web.bind.annotation.*;

@RestController
public class JwtAuthenticationController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private JwtUtil jwtUtil;

    @Autowired
    private UserDetailsService jwtUserDetailsService;

    @RequestMapping(value = "/authenticate", method = RequestMethod.POST)
    public String createAuthenticationToken(@RequestBody JwtRequest authenticationRequest) throws Exception {

        authenticate(authenticationRequest.getUsername(), authenticationRequest.getPassword());

        final UserDetails userDetails = jwtUserDetailsService.loadUserByUsername(authenticationRequest.getUsername());

        final String token = jwtUtil.generateToken(userDetails.getUsername());

        return token;
    }

    private void authenticate(String username, String password) throws Exception {
        try {
            authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password));
        } catch (Exception e) {
            throw new Exception("INVALID_CREDENTIALS", e);
        }
    }
}

2.6 UserDetailsService实现

你还需要一个自定义的UserDetailsService来加载用户:

import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;

@Service
public class JwtUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 这里可以从数据库加载用户信息,这里仅作示例
        if ("user".equals(username)) {
            return new User("user", "$2a$10$Dow1H5yt5Nivdy9mFT4P0u8lFdOQkQFYIYFBo/fmnpMzrJwvXqlvO",
                    new ArrayList<>());
        } else {
            throw new UsernameNotFound

柒柒子耶
关注
专栏目录
com.auth0.jwt.exceptions.SignatureVerificationException
123
02-02 2291
com.auth0.jwt.exceptions.SignatureVerificationException: The Token's Signature resulted invalid when verified using the Algorithm: HmacSHA512**异常信息****异常原因** 异常信息 com.auth0.jwt.exceptions.SignatureVerificationException: The Token's Signature resulted inval
jwt token为什么要在返回前面添加Bearer这个单词?
weixin_48563863的博客
07-24 1715
首先,我们知道,jwt生成的token形如的字符串,但是为什么我们通常传输的是呢,还要多次一举地添加上一个Bearer呢?其实,这是一种规范。
JWT 中头信息中的 Authorization 为啥要加 Bearer 开头,为什么要加 Bearer
menghuannvxia的专栏
10-25 9302
JWT 中头信息中的 Authorization 为啥要加 Bearer 开头,为什么要加 Bearer
java+scxml+onentry_轻松上手SpringBoot Security + JWT Hello World示例
weixin_33816734的博客
02-27 326
前言在本教程中,我们将开发一个Spring Boot应用程序,该应用程序使用JWT身份验证来保护公开的REST API。在此示例中,我们将使用硬编码的用户和密码进行用户身份验证。在下一个教程中,我们将实现Spring Boot + JWT + MySQL JPA,用于存储和获取用户凭证。任何用户只有拥有有效的JSON Web Token(JWT)才能使用此API。在之前的教程中,我们学习了《什么是...
使用Spring Boot使用JWT授权创建API
专业的开发者“讨论”
04-23 242
亲爱的人们, 今天,我将介绍如何使用Spring Boot通过JWT授权创...
SpringBoot2+SpringSecurity整合JWT,前后端分离的API权限认证框架搭建手册
★【World Of Moshow 郑锴】★
07-19 2万+
前言 之前又用到JWT,但是基本都是别人搭建,直接使用,有什么可以优化的,也不知道,所以还是要自己实践一遍,实践才能出真理。也看到很多整合的文章,有些说的细致但是版本太旧了,有些说的不够详细,而且细节也挺多的,纸上得来终觉浅,绝知此事要躬行,所以自己动手实践了一下。 本文应该有很多中叫法的,可以叫: springboot + spring security + jwt 实现api权限控制 基于S...
JWT学习笔记
大葱Blog
02-24 3617
为一个自娱自乐的项目开发WebAPI的时候,我尝试使用了Token验证机制。 对于我这样一个菜鸟来说,Token的验证机制在我理解中十分简单: 先使用用户名和密码登录系统,服务器会返回一个字符串,约定好这个字符串就是系统出入的通行令牌 客户端之后除了登录操作的所有请求只要带上这个字符串,系统就会放行。 好,到现在就明白了,“Token”在当时的我看来只是一个字符串,我...
JWT学习
kedadiannao220的专栏
04-14 771
什么是JWT?jwt的全称是JSON Web Token;JSON Web Token是一个开源标准(rfc7519) ,是一个轻量,携带着用户信息的json Object对象,安全的进行服务器端与客户端交互;这个对象可以校验、信任,因为它由数字组成; 轻量:因为轻量,所以可以更好地放在http header里面,在服务器与客户端之间快速交互 携带用户信息:将用户的重要信息:userId
WebAPI.Jwt.Swagger.Final.zipWebAPI.Jwt.Swagger.Final.zipWebAPI.J
最新发布
04-19
WebAPI.Jwt.Swagger.Final.zipWebAPI.Jwt.Swagger.Final.zipWebAPI.Jwt.Swagger.Final.zipWebAPI.Jwt.Swagger.Final.zip
Demo.Jwt-master20200728.rar
07-28
JWT是由三段信息构成的。分别是header、playload、signature。 在网上搜索了很多JWT的例子,每个人的例子思路差不多,代码的表现形式不一样。本人在学习asp.net core的JWT的过程中,把研究的例子上传记录下。
Spring boot + JWT 实现安全验证 ---auth0.jwt
dream_heheda的博客
06-29 8252
使用auth0的jwt 实现安全验证: 使用自定义参数 和时间戳生成token。验证token时验证自定义参数。auth0.jwt 验证token时会自动验证时间戳是否过期,如果过期,会抛出异常TokenExpiredException 1.引入依赖 <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt --> <dependency> <groupId>com.auth0</groupId&g
asp.net中用到的JWT身份验证 JWT.dll 下载
08-07
ASP.NET中的JWT(JSON Web Tokens)身份验证是一种广泛采用的安全机制,用于在Web应用程序中实现无状态的身份验证。JWT是一个开放标准(RFC 7519),定义了一种紧凑、自包含的方式来安全地在各方之间传输信息作为...
bearer token头_JWTBearer Token有什么区别?
weixin_34938347的博客
12-23 874
I'm learning something about Authorization like Basic, Digest, OAuth2.0, JWTs, and Bearer Token.Now I have a question.You know the JWTs is being used as an Access_Token in the OAuth2.0 standard. JWTs ...
初步理解JWT并实践使用
weixin_39816740的博客
05-26 930
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小...
JWT实现Token认证(token续命)
男人要霸气的博客
12-13 3112
1.什么是jwt 双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免...
Bearer Token 一种安全的接口认证方式
专注基础架构领域
05-25 7271
因为HTTP协议是开放的,可以任人调用。所以,如果接口不希望被随意调用,就需要做访问权限的控制,认证是好的用户,才允许调用API。 目前主流的访问权限控制/认证模式有以下几种: 1、Bearer TokenToken 令牌) 定义:为了验证使用者的身份,需要客户端向服务器端提供一个可靠的验证信息,称为Token,这个token通常由Json数据格式组成,通过hash散列算法生成一个字符串,所以称为Json Web Token(Json表示令牌的原始值是一个Json格式的数据,web表示是在互联网传播
微服务架构中的身份验证问题 :JSON Web Tokens( JWT)
热门推荐
灯塔的CSDN博客
12-07 6万+
本文翻译自:http://www.svlada.com/jwt-token-authentication-with-spring-boot/ 场景介绍软件安全是一件很负责的问题,由于微服务系统中每个服务都要处理安全问题,所以在微服务场景下会更加复杂,一般我们会四种面向微服务系统的身份验证方案。 在传统的单体架构中,单个服务保存所有的用户数据,可以校验用户,并在认证成功后创建HTTP会话。在微服务架
调用JWT token设置的接口错误
秦秋雨的专栏
07-03 6222
环境win7+vs2017错误如下原因是没有在 Headers中 添加 Authorization解决办法:加上以下代码string auth = "Bearer eyJhbGciOiJIUzI1NiIs="; client.DefaultRequestHeaders.Add("Authorization", auth); 变量 auth=”Bearer token的值”设置 JWT token
com.auth0.jwt.JWT;在pom.xml中如何导入
04-16
您可以在pom.xml文件中添加以下依赖关系来导入com.auth0.jwt.JWT: ```xml <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.18.1</version> </dependency> ``` 请注意,您需要确保已在您的项目中包含Maven依赖项。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值