Token前后端分离验证demo

最新推荐文章于 2024-07-27 17:21:33 发布
最新推荐文章于 2024-07-27 17:21:33 发布
阅读量830 收藏 6
点赞数
分类专栏: jwt 后端 安全 文章标签: 后端 java jwt 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54658577/article/details/120920636
版权
后端 同时被 3 个专栏收录
11 篇文章 1 订阅
订阅专栏
安全
4 篇文章 0 订阅
订阅专栏
jwt
1 篇文章 0 订阅
订阅专栏

1、Token介绍(摘取自官方网站)

       官方网站:JSON Web Token Introduction - jwt.io

        1)token可以做权限的验证和信息的交换

         2)token主要有三部分组成

                分别是Header、Payload、Signature。

                编码之后token呈xxxxx.yyyyy.zzzzz结构分别对应Header、Payload、Signature三部分。

          3)token示例

JWT.io Debugger

   2、开始准备demo

          目标:

                1、使用postman工具模拟发送请求登录

                2、登录验证成功后返回token

                3、postman模拟前端工程师将token写入请求的header中 

                4、访问测试方法进行验签

        1)准备一个JWTUtil用来封装JWT常用的方法

package com.example.jwtdemo.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Map;

public class JWTUtils {

    private static final String SIGNATURE = "!pcfhaHJI#$%";

    /**
     * 生成 token header.payload.signature
     */
    public static String getToken(Map<String, String> map, Integer expireTime) {

        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.MINUTE, expireTime);

        JWTCreator.Builder builder = JWT.create();

        // payload
        map.forEach((k, v)->{
            builder.withClaim(k, v);
        });

        String token = builder.withExpiresAt(instance.getTime()) // 指定令牌过期的时间.
                .sign(Algorithm.HMAC256(SIGNATURE));// 签名

        return token;
    }

    /**
     *  验证token合法性
     * @param token 传入token
     */
    public static DecodedJWT verify(String token){

        // 验签对象
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(SIGNATURE)).build();

        // 验证token
        DecodedJWT verify = jwtVerifier.verify(token);

        return verify;
    }


}

         2)创建一个测试数据库 

        用来存放我们的数据,模拟真实的登录验证。

         SQL语句

SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for t_user
-- ----------------------------
DROP TABLE IF EXISTS `t_user`;
CREATE TABLE `t_user`  (
  `id` bigint NOT NULL AUTO_INCREMENT COMMENT '唯一主键',
  `user_name` varchar(100) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL COMMENT '用户昵称',
  `login_account` varchar(100) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL COMMENT '登录账号',
  `password` varchar(100) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL COMMENT '登录密码',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8mb4 COLLATE = utf8mb4_0900_ai_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of t_user
-- ----------------------------
INSERT INTO `t_user` VALUES (1, '杰克', 'jack', '123123');

SET FOREIGN_KEY_CHECKS = 1;

        3)创建mapper和映射文件.xml

        由于测试较为简单,所以不进行mybatis的逆向工程

              a、首先在yaml文件中进行数据库链接等配置

server:
  port: 8888

spring:
  datasource:
    type: com.alibaba.druid.pool.DruidDataSource
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/jwt_test?characterEncoding=utf-8
    username: root
    password: 123456

mybatis:
  type-aliases-package: com.example.jwtdemo.entities
  mapper-locations: classpath:/mybatis/mapper/*.xml

                b、在entities中创建PO对象和VO对象

package com.example.jwtdemo.entities.po;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import lombok.ToString;

@Data
@AllArgsConstructor
@NoArgsConstructor
@ToString
public class UserPO {

    // 用户id
    private long id;

    // 用户姓名
    private String userName;

    // 用户登录账号
    private String loginAccount;

    // 用户密码
    private String password;

}

package com.example.jwtdemo.entities.vo;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import lombok.ToString;

@Data
@AllArgsConstructor
@NoArgsConstructor
@ToString
public class LoginUserVO {

    // 用户登录的账号
    private String loginAccount;

    // 用户登录的密码
    private String password;

}

                c、创建mapper接口

                注意一定要有注解@Mapper 

package com.example.jwtdemo.mapper;

import com.example.jwtdemo.entities.po.UserPO;
import com.example.jwtdemo.entities.vo.LoginUserVO;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Param;

@Mapper
public interface UserPOMapper {

    UserPO login(@Param("loginUserVO") LoginUserVO loginUserVO);

}

                d、创建xml映射文件

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.jwtdemo.mapper.UserPOMapper">

    <resultMap id="UserMap" type="com.example.jwtdemo.entities.po.UserPO">
        <id property="id" column="id" jdbcType="BIGINT"/>
        <result property="userName" column="user_name" jdbcType="VARCHAR"/>
        <result property="loginAccount" column="login_account" jdbcType="VARCHAR"/>
        <result property="password" column="password" jdbcType="VARCHAR"/>
    </resultMap>
    
    <select id="login" parameterType="loginUserVO" resultMap="UserMap">
        select * from t_user
            where login_account = #{loginUserVO.loginAccount} and password = #{loginUserVO.password}
    </select>
</mapper>

3、业务层代码

        1)service接口

package com.example.jwtdemo.service;

import com.example.jwtdemo.entities.vo.LoginUserVO;

public interface TestJWTService {


    // 用户登录
    String login(LoginUserVO loginUserVO);

}

        2)实现类

package com.example.jwtdemo.service.impl;

import com.example.jwtdemo.entities.po.UserPO;
import com.example.jwtdemo.entities.vo.LoginUserVO;
import com.example.jwtdemo.mapper.UserPOMapper;
import com.example.jwtdemo.service.TestJWTService;
import com.example.jwtdemo.utils.JWTUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.HashMap;

@Service
public class TestJWTServiceImpl implements TestJWTService {

    @Autowired
    private UserPOMapper userPOMapper;

    /**
     * 用户登录
     * @param loginUserVO 表单传递的用户信息
     * @return 冲数据库中查到的用户信息
     */
    @Override
    public String login(LoginUserVO loginUserVO) {

        // 查询数据库
        UserPO User = userPOMapper.login(loginUserVO);

        // 判断是否为空
        if (User != null){
            // 若返回数据不为空
            // 创建HashMao
            HashMap<String, String> map = new HashMap<>();

            // 放入数据
            map.put("id", User.getId() + "");
            map.put("userName", User.getUserName());
            map.put("loginAcconut", User.getLoginAccount());

            return JWTUtils.getToken(map, 2);
        }

        throw new RuntimeException("数据库中未查到此用户");
    }
}

        3)控制层代码

                方法 testInterceptors 用来测试登录成功之后再次访问后header是否带有token。

 具体测试方法在拦截器中(下方)。

@RestController
public class TestJWTController {

    @Autowired
    private TestJWTService testJWTService;

    // 测试拦截器
    @GetMapping(value = "/test/interceptors")
    public CommonResult<String> testInterceptors(){

        return new CommonResult<>(200, "测试成功");
    }

    // 测试登录
    @PostMapping(value = "/test/user/login")
    public CommonResult<String> login(LoginUserVO loginUserVO){

        try {
            // 成功则直接返回
            String token = testJWTService.login(loginUserVO);
            return new CommonResult<>(200, "登录成功", token);

        } catch (Exception exception) {
            // 不成功则返回异常
            exception.printStackTrace();
            return new CommonResult<>(444, exception.getMessage());
        }
    }
}

4、WebMvcConfig

        1)创建拦截器

           前后端分离项目一般将token放在header中,后端通过拦截器在请求达到之前拿到header中的token并进行验签,验签成功则放行,失败则拦截。

package com.example.jwtdemo.interceptors;

import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.example.jwtdemo.controller.TestJWTController;
import com.example.jwtdemo.entities.CommonResult;
import com.example.jwtdemo.utils.JWTUtils;
import com.fasterxml.jackson.databind.ObjectMapper;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @author : pcf
 * @date : 12:15 2021/10/23
 */
@Slf4j
public class TestTokenInterceptor implements HandlerInterceptor {

    // 请求之前
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        // 拿到header中的token
        String token = request.getHeader("token");

        // 创建返回消息体
        CommonResult<String> result = null;

        // 对token进行验签
        try {
            // 验签成功则放行
            JWTUtils.verify(token);
            return true;
        } catch (TokenExpiredException exception) {
            // token过期
            exception.printStackTrace();
            result = new CommonResult<>(400, "token过期");
        } catch (SignatureVerificationException exception) {
            // 签名错误
            exception.printStackTrace();
            result = new CommonResult<>(400, "签名错误");
        } catch (AlgorithmMismatchException exception) {
            // 加密算法不匹配
            exception.printStackTrace();
            result = new CommonResult<>(400, "加密算法不匹配");
        } catch (Exception exception) {
            // 无效token
            exception.printStackTrace();
            result = new CommonResult<>(400, "无效token");
        }

        // 将返回消息体转化为json
        String json = new ObjectMapper().writeValueAsString(result);

        // 设置编码类型
        response.setContentType("application/json;charset=UTF-8");

        // 放入响应中
        response.getWriter().println(json);
        return false;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        HandlerInterceptor.super.postHandle(request, response, handler, modelAndView);
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        HandlerInterceptor.super.afterCompletion(request, response, handler, ex);
    }
}

        2)在WebConfig中注册拦截器

            为了测试简单,我们仅仅测试   http://localhost:8888/test/interceptors 这一个请求来达到我们测试token的目的。

package com.example.jwtdemo.config;

import com.example.jwtdemo.interceptors.TestTokenInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @author : pcf
 * @date : 11:04 2021/10/23
 */
@Configuration
public class WebConfig implements WebMvcConfigurer {

    // 添加拦截器
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new TestTokenInterceptor()).addPathPatterns("/test/interceptors");
    }
}

至此我们的demo搭建完毕下面进行测试。

5、测试

        我们使用postman作为测试工具进行测试

        1)测试登录

         发送post请求,模拟表单登录!

        登录成功后后端返回token

        2)测试登录之后请求的header中是否带有token

        将token写入header 

                验签成功!

         

        idea后台打印

        3)修改token

        随便修改token中的字母或数字。 (模拟解码后修改数据并再次编码)

  

                控制台报错,token验签失败!

qq_54658577
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
前后端分离项目token怎么验证_Session与Token认证机制 前后端分离下如何登录
weixin_39919089的博客
12-19 441
1 Web登录涉及到知识点1.1 HTTP无状态性HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是哪个用户发起的,从而判断该用户是否有权限继续这个请求。这个过程就是常...
java前后端分离登录认证_SpringBoot Security前后端分离登录验证的实现
weixin_33761747的博客
02-27 932
最近一段时间在研究OAuth2的使用,想整个单点登录,从网上找了很多demo都没有实施成功,也许是因为压根就不懂OAuth2的原理导致。有那么几天,越来越没有头绪,又不能放弃,转过头来一想,OAuth2是在Security的基础上扩展的,对于Security自己都是一无所知,干脆就先研究一下Security吧,先把Security搭建起来,找找感觉。说干就干,在现成的SpringBoot 2.1....
后端怎么认证鉴权(jwt认证token),加油
m0_50808883的博客
06-14 28
这篇文章抄的https://www.cnblogs.com/yuanchangliang/p/16373162.html,但是主要是给自己看的,嘻嘻,侵权删,好好学校天天向上
token身份验证 前后端分离(PHP全栈)
Daisy_Journal的博客
12-19 918
项目场景 在这个前后端分离的时代,前后端身份验证经常会成为自学者不可绕开的问题之一。这个问题也一直困扰了我很久,网上查阅到的资料都点到为止十分的尴尬,可能大佬们都一点及通,本人想了很久才结合到了demo中。 demo思路: token使用的是JWT,相关说明百度很多我就不复制过来了 环境: 前端: html5, js,jq 后端: php 数据库: Mysql 表结构: 最后丢上代码 前端: login.html <!DOCTYPE html> <html lang="en"&g
从MVC到前后端分离(附完整Demo)
a1405的专栏
08-01 807
一. MVC 概述 1. 理解 MVC MVC是一种经典的设计模式,全名为Model-View-Controller,即模型-视图-控制器。 其中,模型是用于封装数据的载体,例如,在Java中一般通过一个简单的POJO(Plain Ordinary Java Object)来表示,其本质是一个普通的java Bean,包含一系列的成员变量及其getter/setter方法。 对于视图而言,...
php前后端分离登录,前后端分离下如何登录
weixin_39669769的博客
03-12 1020
1 Web登录涉及到知识点1.1 HTTP无状态性HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是哪个用户发起的,从而判断该用户是否有权限继续这个请求。这个过程就是常...
SSM+JWT实现前后端分离token验证
weixin_44215175的博客
12-20 2733
SSM+JWT实现前后端分离token验证前言什么是JWT基于Token验证流程JWTToken实现后端部分前端部分测试项目完整地址 前言 以前写的web项目都是没有前后端分离的,都是写的jsp,或者说前后端分离也没有使用token,都是使用session,后来发现这种使用session的方式非常不好,而且在前后端分离的情况下也不太适用,所以学习一下基于JWTtoken验证。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准
前后端分离使用sa-token作为安全框架快速搭建一个微服务项目
2301_78646673的博客
04-29 1109
之前的项目是一个基于B2C的单体商城项目。使用到的技术栈有spring boot3.1.5、MySQL8.0.30、redis7.0.10,使用minio作为项目的文件上传,使用spring security作为项目的安全框架;使用vue3+element-plus开发前端,并最终将整个项目部署到nginx上。本次重新拆分这个单体项目,使之成为一个微服务项目。
SpringSecurity前后端分离(包含token验证码登录)
qq_57907966的博客
02-10 5321
实现从数据库中获取用户的信息,自定义登录逻辑@Service@Autowired@Autowired@Autowired@Autowired@Override//需要构造出 org.springframework.security.core.userdetails.User 对象并返回/*** String username:用户名* String password: 密码* boolean enabled: 账号是否可用。
前后端分离下载文件
热门推荐
ycd500756的博客
02-24 1万+
背景 基于SpringBoot+Vue前后端的文件下载 后台 1.后台下载文件的工具类 package com.mark.common.utils; import com.mark.common.exception.Campuso2oException; import org.apache.commons.lang3.StringUtils; import sun.misc.BASE64Enco...
springboot集成jwt和shiro实现前后端分离权限demo2
04-10
这个"springboot集成jwt和shiro实现前后端分离权限demo2"项目,旨在提供一个实际的案例,帮助开发者理解如何在Spring Boot应用中实现前后端分离的权限管理。通过学习和实践这个示例,你可以掌握JWT和Shiro的使用技巧...
springboot集成jwt和shiro实现前后端分离权限demo
04-04
本示例项目“springboot集成jwt和shiro实现前后端分离权限demo”旨在帮助初学者理解如何在Spring Boot环境下结合JWT(JSON Web Token)和Shiro进行权限管理,以实现安全的Web应用。下面将详细介绍相关的知识点。 **...
.net Core,Vue前后端分离Demo,新增跨域访问,vuex管理token,.net core 新增JWT
11-25
在现代Web开发中,前后端分离的架构设计已经成为主流,其中`.NET Core`和`Vue.js`是两个非常重要的技术栈。本项目演示了一个使用`.NET Core`作为后端服务,`Vue.js`作为前端应用的示例,同时涵盖了跨域访问、`Vuex`...
.net core 3.1 WepApi 前后分离身份验证及webapi调试demo ,jwt+swagger
04-14
适用于多客户端(特别是移动端)的前后端解决方案 移动端使用的往往不是网页技术,使用Cookie验证并不是一个好主意,因为你得和Cookie容器打交道,而使用Bearer验证则简单的多。 无状态化 JWT 是无状态化的,更...
react+fastapi前后端分离OAuth2权限验证的用户登陆案例
10-30
User-OAuth2-Login是react+fastapi前后端分离OAuth2权限验证的用户登陆案例.后端采用fastapi创建的OpenAPI接口,后端通过OAuth2的token验证前端的登陆请求.前端采用React+Material UI布局,通过Axios访问接口获得...
SpringCloud+Vue3多对多,多表联查
最新发布
小宋和大家一起在学习和前进的道路上分享、努力
07-27 1106
♥️作者:小宋1021🤵‍♂️:小宋1021主页♥️坚持分析平时学习到的项目以及学习到的知识,和大家一起努力呀!!!🎈🎈加油!加油!加油!加油目的:多表联查数据库:学员表(study_student) 字段:学生姓名(sts_student_name)、手机号(sts_phone)班级管理(teach_class_manage)字段:班级名称(teach_class_manage)、id(id)教师管理(hr_teacher_manage)字段:教师姓名(teacher_name)
SpringBoot 后端接收参数优化(统一处理前端参数)
qyhua的专栏
07-23 332
使用 SpringBoot+ MyBatisPlus 框架的项目,写了个后端统一处理前端post提交的json格式的查询参数类,赖得手工一个一个参数处理(把要查询的参数交给前端)。注意,springboot要配置可以接收任意参数。
后端采用SpringBoot框架开发的:ADR药物不良反应智能监测系统源码,用于监测和收集药品在使用过程中发生的不良反应的系统
baina666的博客
07-26 431
ADR药物不良反应智能监测系统的优势在于其能够快速、准确地识别潜在的不良反应事件,并及时采取相应的措施,从而减少药害事故的发生,保障公众用药安全。该系统基于医院临床数据中心,运用信息技术实现药品不良反应的智能监测、报告管理、知识库查询、统计分析等功能,旨在提高药品使用安全性和患者的用药安全。:系统能够自动从各个数据源(如电子病历、实验室信息系统、药房管理系统等)收集相关的患者数据、药品使用信息和不良反应报告,并进行整合和清洗,以确保数据的准确性和一致性。
springboot jwt token前后端分离_前后端分离JWT用户认证
06-09
好的,关于 Spring Boot JWT Token前后端分离问题,我可以为您提供一些帮助。 JWT(JSON Web Token)是一种基于 JSON 的开放标准(RFC 7519),用于在网络上安全传输声明。在前后端分离的应用中,通常会使用 JWT...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值