JWT实现登录权限验证逻辑

最新推荐文章于 2024-07-13 16:51:47 发布
最新推荐文章于 2024-07-13 16:51:47 发布
阅读量197 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61124236/article/details/132701583
版权

JWT实现登录权限验证逻辑

1.登录验证流程(时序图)

在这里插入图片描述

2.JWT认证操作

(1)首先是创建JWT:

数字签名(Digital Signature): 数字签名的主要用途也是用于身份认证,在服务器你需要指定一个签名算法。(HS256,RS256等)

创建 JWT(在这里使用HS256算法, 私匙使用固定秘钥),其中的secretKey此秘钥一定要保留好在服务端, 不能暴露出去, 否则sign就可以被伪造, 如果对接多个客户端建议改造成多个,HS256算法使用同一个secret_key进行签名与验证(对称加密)。一旦 secret_key 泄漏,就毫无安全性可言了。因此HS256算法更适合在单体架构上使用,尽量不用在分布式架构使用该加密算法

下面给一段创建JWT的java代码示例

/**
 * 生成jwt
 *
 * @param secretKey jwt秘钥
 * @param ttlMillis jwt过期时间(毫秒)
 * @param claims    设置的信息
 * @return
 */
public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {
    // 指定签名的时候使用的签名算法
    SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

    // 于计算 JWT 的过期时间
    long expMillis = System.currentTimeMillis() + ttlMillis;
    Date exp = new Date(expMillis);

    // 设置jwt的body
    JwtBuilder builder = Jwts.builder()
            // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,			就是覆盖了那些标准的声明的
            .setClaims(claims)
            // 设置签名使用的签名算法和签名使用的秘钥
            .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
            // 设置过期时间
            .setExpiration(exp);

    return builder.compact();
}

这段代码的返回值就是认证信息token,需要提交给前端服务器(浏览器,或者小程序),小程序储存起来每次发送请求时候携带认证信息

(2)解密token:

后端服务器在拦截器里获取请求的认证信息进行解密,进行令牌校验,校验完成才能执行请求逻辑

/**
 * Token解密
 *
 * @param secretKey jwt秘钥
 * @param token     加密后的token
 * @return
 */
public static Claims parseJWT(String secretKey, String token) {
    // 得到DefaultJwtParser
    Claims claims = Jwts.parser()
            // 设置签名的秘钥
            .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
            // 设置需要解析的jwt
            .parseClaimsJws(token).getBody();
    return claims;
}

拦截器部分代码:

try {
    log.info("jwt校验:{}", token);
    Claims claims = JwtUtil.parseJWT(jwtProperties.getUserSecretKey(), token);
    
   // 1、 认证信息存储
    。。。
    //2、通过,放行
    。。。
    return true;
} catch (Exception ex) {
    //3、不通过,响应401状态码
    response.setStatus(401);
    return false;
}

3.前端封装token

浏览器端(使用vue + ts):可以自定义axios对象,在登陆请求是利用浏览器提供的Storage对象存储认证信息

小程序端:自定方法发起请求,利用微信的getStorage&&setStorage方法存储认证信息

kenandoer
关注
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
SpringBoot 整合 JWT 实现 Token 登录验证的简单实现
weixin_46410481的博客
11-19 1556
SpringBoot 整合 JWT 实现 Token 登录验证实现实现案例之前,要先去理解 JWT 的概念 以及 它与传统方式的区别和优点。 1、什么是 JWT? JSON WEB TOKEN (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519),该 TOKEN 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其他
SpringBoot使用JWT实现登录验证的方法示例
08-25
主要介绍了SpringBoot使用JWT实现登录验证的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
登录逻辑验证
weixin_44541136的博客
06-09 5716
开发工具与关键技术:VS + MVC 撰写时间:2019.6.6 在很多软件及其网页都会出现登录账户这种功能,防止其他用户操作,那么我们如何实现账号和密码以及一些相关的正确的信息才能实现登录?这就是用到我们验证登录的功能了。验证登录需要的信息,才能实现登录功能。那么接下来我们来看一下验证登录的操作。 登录验证的判断思路是:1.账号是否存在,密码是否存在 登录身份是否存...
用户登陆实现前后端JWT鉴权
最新发布
Alphamilk的博客
07-13 1112
JWT 提供了一种在分布式环境中安全、高效地传输用户认证信息的方式,尤其适合现代 Web 和移动应用程序的需求。本文通过实战案例实现jwt鉴权
前、后端登录验证逻辑
a2285786446的博客
10-31 4754
登录
网站登录验证下载等逻辑安全总结
weixin_44616206的博客
01-25 1907
Web身份验证中的安全 cookie验证 cookie保存在客户端中可更改、伪造、盗取 session验证(通常更加安全) session相关参数保存在服务器中,每个seesion分配一个sessionid,可劫持 暴破攻击是否可行 验证验证码重用 验证码识别 登录上传安全 上传 JS 如何绕过?浏览器禁用js可绕过 如何判定? 查看页面源代码有无JS(推荐,更准确) 查看响应时间,往往JS响应较快 JS Ajax 请求->返回->读取返回的数据->JS ajax代码进行解析-&g
谈谈对登录逻辑的理解
yycnf的博客
11-01 3049
谈谈对登录逻辑的理解 登录逻辑 1、第一次登录的时候,前端(客户端)调后端(服务器)的登陆接口,并发送用户名和密码 2、后端(服务器)收到(客户端)请求,验证用户名和密码,验证成功,就给前端(客户端)返回一个token 3、前端(客户端)拿到token,将token存储到localStorage或vuex中,并跳转路由页面 4、前端(客户端)每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页面 5、在组件中每次调后端(服务器)接...
springboot + VUE实现后台管理系统(集成JWT接口权限验证) #资源达人分享计划#
08-07
在本项目中,"springboot + VUE实现后台管理系统(集成JWT接口权限验证)"是一个典型的企业级应用开发实例,它结合了Spring Boot后端框架与Vue.js前端框架,旨在为开发者提供一个完整的、具备接口权限验证功能的后台...
IDEA+Springboot+Mybatis+MySql+Swagger3.0+JWT权限验证实现 增、删、改、查
09-03
我们主要利用IntelliJ IDEA作为开发集成环境(IDE),Spring Boot作为核心框架,Mybatis作为持久层框架,MySQL作为数据库存储,Swagger3.0用于API文档的生成与管理,以及JWT(JSON Web Tokens)进行权限验证实现了...
Springboot实现简单JWT登录鉴权
u013343616的博客
08-07 1211
登录需要鉴权是为了保护系统的安全性和用户的隐私。在一个 Web 应用中,用户需要提供一定的身份信息(例如用户名和密码)进行登录登录后系统会为用户生成一个身份令牌(例如 JWT Token)来标识用户的身份。鉴权的主要目的是确保只有经过身份验证的用户才能访问系统的受限资源和功能。未经鉴权的用户不能访问系统的敏感信息和功能,从而保护系统的数据和用户的隐私。
jwt鉴权,token相关
程序媛的梦工厂
02-22 910
JWT是什么 JWT(JSON Web Token):用来在用户和服务器之间传递安全可靠的信息 三部分组成: eader(头部), 声明类型,这里是JWT,声明加密的算法,最后通过Base64编码 Payload(数据), 应用层自己带的数据信息。因为该部分是明文的, 所以不可以带敏感信息。 比如可以带 user_id, 但是不可以带 user 的密码等。 Signature(签名)HMACSHA256(base64Url(header)+.+base64Url(payload),secretKey) 一
理解JWT鉴权的应用场景及使用建议
good7ob的博客
10-05 320
JWT(JSON Web Token)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式来安全地在不同实体之间传输信息。JWT通常用于身份验证鉴权,它由三个部分组成:头部(Header)、负载(Payload)和签名(Signature)。
利用JWT实现认证的整个业务流程时序图
qq_60803513的博客
05-27 1265
我们知道Jwt实现登陆认证的一个标准化的Api,它是基于token实现的,那么让我们先来看看token的原理: 通俗点来讲,token其实就是一个令牌(也可以理解成一个钥匙)那么token的基本工作流程是什么呢 ...
SpringBoot 项目 + JWT 完成用户登录、注册、鉴权
BASK2312的博客
05-11 1895
到此我们已经完成了用户的注册和登录功能。但还有一个问题就是用户鉴权,我们在调用其他接口时如何判断用户是否已登录。完成用户注册与登录有个核心点就是密码的加密与验证,我们目前比较常用的方案是。与数据库查出的用户进行密码比较判断是否验证通过。生成存到数据库里,这里我们采用第二种安全性更高的方式。的逻辑删除及自动填充功能,不太清楚的可以看看我的文章。的所有接口做登录验证,这个大家根据自己项目需求调整。为忽略前端的传值,这里使用我们。,然后入库,用户登录时,根据。查出用户,再把用户传入的。里面,这里需要引入下。
JWT+RSA鉴权
weixin_50195609的博客
03-20 360
目录 1、JWT 1.1 JWT简介 1.2JWT数据格式 2、登录鉴权流程:JWT+HS256算法 3、RSA非对称加密 4、登录鉴权流程:JWT+RSA 4.1RSA工具类 4.2JWT工具类 1、JWT 1.1 JWT简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:JSON Web Tokens - jwt.io (JWT,生成Token加密字符串的一个标准或格式!)...
一张流程图带你学会SpringBoot结合JWT实现登录功能
DaenCode的博客
08-05 726
JWT(JsonWebToken)是一种轻量级的跨域身份验证解决方案。通常被用于无状态身份验证机制,将用户信息签名打包进行传输。
用户登录权限校验 JWT【详解】
朝阳39的博客
10-26 1792
JWT (json web token)是当前最流行的用户登录权限校验(用户认证鉴权)方案。
Java实现Shiro JWT权限控制与登录验证详解
这部分内容体现了将JWT与Shiro集成时的核心逻辑,通过JWT实现无状态的API访问控制,提高了系统的安全性。 本文档详细介绍了如何使用Java和Shiro结合JWT技术实现RESTful API的权限控制,包括数据模型设计、JWT工具...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值