token令牌,过滤器,JWT,拦截器

已于 2024-08-23 16:16:27 修改
阅读量417 收藏 7
点赞数 3
文章标签: 服务器 运维
于 2024-08-22 20:38:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65095414/article/details/141428116
版权

令牌(token)技术

不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了

1.基本流程

用户使用用户名密码来请求服务器

服务器进行验证用户的信息

服务器通过验证发送给用户一个token

客户端存储token,并在每次请求时附送上这个token值

服务端验证token值,并返回数据

JWT (全称JSON WEB TOKEN)

1.导入jar包

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.12.6</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.12.6</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred -->
    <version>0.12.6</version>
    <scope>runtime</scope>
</dependency>

 这个jar包包含了上面三个

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.12.6</version>
</dependency>

2.官网(https://jwt.io/) 

 3.格式

  • 以json格式传输共享数据(分为三部分,最后三个部分组成的完整json会使用Base64进行编码且以.分割

    • Header(头)

      • 用于记录令牌类型以及签名算法等信息

    • PayLoad(载荷)

      • 存储Http共享数据

    • Signature(签名)

      • 使用加密算法保证Header与PayLoad的安全性

 4.如何使用jwt(生成,校验)

package com.lu.tlias84;


import io.jsonwebtoken.*;
import io.jsonwebtoken.security.Keys;
import org.junit.jupiter.api.Test;

import javax.xml.crypto.Data;
import java.util.Date;


public class TestJwt {
    @Test
    public void testGenerateJwtToken(){

        //1. 构建jwt对象
        JwtBuilder builder = Jwts.builder();
        //2. 指定header(一般不指定)
        //省略使用默认的jwt头
        //3. 往payload放置http需要共享的信息,并且指定过期时间
        builder.claim("username","count-l");
        builder.claim("password","count-l");
        Date date = new Date();
        builder.issuedAt(date);//token生效时间
        builder.expiration(new Date(date.getTime()+60*1000));//指定过期时间
        //4. 进行数字签名
        String key = "febaa5b6-b818-440a-ad8a-9606ffaafd0c";
        //第一个参数是数字签名(需要自己生成)
        //第二个参数 加密的签名算法,新版需要保证一定强度(HS256至少要32字节,HS384至少需要84字节,HS512至少要64字节)
        builder.signWith(Keys.hmacShaKeyFor(key.getBytes()), Jwts.SIG.HS256);
        //生成token
        String compact = builder.compact();
        System.out.println(compact);
    }
    @Test
    public void testVerifyJwtToken(){
        String key = "febaa5b6-b818-440a-ad8a-9606ffaafd0c";
        String token = "eyJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImNvdW50LWwiLCJwYXNzd29yZCI6ImNvdW50LWwiLCJpYXQiOjE3MjQzMTUyODUsImV4cCI6MTcyNDMxNTM0NX0.olJzzamV5Pi5qdKCU3p0F19SX_vaD2rSkiLXfrxenVo";
        //1.构建jwt解析对象
        JwtParserBuilder parser = Jwts.parser();
        //2.指定数字签名
        JwtParser build = parser.verifyWith(Keys.hmacShaKeyFor(key.getBytes())).build();
        //3.指定token
        Claims payload = build.parseSignedClaims(token).getPayload();
        System.out.println(payload.get("username"));
        System.out.println(payload.get("password"));
    }
}

 解析

public void testVerifyJwtToken(){
    String key = "febaa5b6-b818-440a-ad8a-9606ffaafd0c";
    String token = "eyJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImNvdW50LWwiLCJwYXNzd29yZCI6ImNvdW50LWwifQ.0HgzrDeIXEOixSV9-08lCLx0sX6m--3ShxYYUpJKhz4";
    //1.构建jwt解析对象
    JwtParserBuilder parser = Jwts.parser();
    //2.指定数字签名
    JwtParser build = parser.verifyWith(Keys.hmacShaKeyFor(key.getBytes())).build();
    //3.指定token
    Claims payload = build.parseSignedClaims(token).getPayload();
    System.out.println(payload.get("username"));
    System.out.println(payload.get("password"));
}

JWT工具类

package com.lu.tlias84.utils;

import com.alibaba.fastjson.JSONObject;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtParser;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.security.Keys;

import java.util.Date;

/**
 * jwt token 生成与验证(解析)
 */
public class JwtUtil {
    private JwtUtil(){}
    private static final String SIG = "febaa5b6-b818-440a-ad8a-9606ffaafd0c";

    /**
     * 生成token
     * @param username payload-用户名
     * @param password payload-密码
     * @param minutes token过期时间,以分钟为单位
     * @return token
     */
    public static String generateToken(String username,String password,long minutes){
        //1.构建jwt对象
        //2.指定header(一般省略)
        //3.放置payload,以及过期时间和生效时间
        //4.进行数字签名
        //第一个参数是数字签名(需要自己生成)
        //第二个参数 加密的签名算法,新版需要保证一定强度(HS256至少要32字节,HS384至少需要84字节,HS512至少要64字节)
        //5.生成token
        Date now = new Date();
        String token = Jwts.builder()
                .claim("username", username)
                .claim("password", password)
                .issuedAt(now)
                .expiration(new Date(now.getTime() + 60 * 1000 * minutes))
                .signWith(Keys.hmacShaKeyFor(SIG.getBytes()), Jwts.SIG.HS256)
                .compact();
        return token;
    }

    /**
     * 验证token
     * @param token 生成的令牌
     * @return payload中的用户信息
     */
    public static JSONObject verifyToken(String token){
        //1.构建解析对象
        //2.指定数字签名
        //3.指定被签名后的token
        JwtParser parser = Jwts.parser()
                .verifyWith(Keys.hmacShaKeyFor(SIG.getBytes())).build();
        Claims payload = parser.parseSignedClaims(token).getPayload();
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("username", payload.get("username"));
        jsonObject.put("password", payload.get("password"));
        //TODO: 还没有完成token失效的处理以及 token字符串不和法的处理
        return jsonObject;
    }
}

使用

package com.lu.tlias84.service.impl;

import com.alibaba.fastjson.JSONObject;
import com.lu.tlias84.entity.Emp;
import com.lu.tlias84.mapper.EmpMapper;
import com.lu.tlias84.po.LoginParam;
import com.lu.tlias84.service.LoginService;
import com.lu.tlias84.utils.JwtUtil;
import com.lu.tlias84.utils.ResultUtil;
import jakarta.annotation.Resource;
import org.springframework.stereotype.Service;

import java.util.Objects;

@Service
public class LoginServiceImpl implements LoginService {
    @Resource
    private EmpMapper empMapper;

    @Override
    public ResultUtil login(LoginParam loginParam) {
        Emp emp = empMapper.selectEmpByUsername(loginParam.getUsername());
        if (Objects.isNull(emp) || !emp.getPassword().equals(loginParam.getPassword())) {
            return ResultUtil.fail("用户名或者密码不正确");
        }
        String token = JwtUtil.generateToken(loginParam.getUsername(), loginParam.getPassword(), 30);
        JSONObject json = new JSONObject();
        json.put("id", emp.getId());
        json.put("username", emp.getUsername());
        json.put("password", emp.getPassword());
        json.put("token", token);
        return ResultUtil.success(json);
    }
}

过滤器 

1.filter

package com.lu.tlias84.filter;

import com.alibaba.fastjson.JSONObject;
import com.lu.tlias84.entity.Emp;
import com.lu.tlias84.mapper.EmpMapper;
import com.lu.tlias84.utils.JwtUtil;
import com.lu.tlias84.utils.ResultUtil;
import jakarta.annotation.Resource;
import jakarta.servlet.*;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.apache.http.HttpStatus;
import org.springframework.stereotype.Component;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.Objects;

/**
 * 登录过滤器,进行登录token拦截
 */
@Slf4j
//@Component
public class LoginFilter implements Filter {
    @Resource
    private EmpMapper empMapper;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Filter.super.init(filterConfig);
        log.info("初始化过滤器");
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        log.info("开始执行http请求过滤");
        //参数向下转型成HttpServletRequest以及HttpServletResponse
        HttpServletRequest sRequest = (HttpServletRequest) request;
        HttpServletResponse sResponse = (HttpServletResponse) response;
        //放行登录接口
        String uri = sRequest.getRequestURI();
        if (uri.contains("login")) {
            chain.doFilter(request, response);
            return;
        }
        //获取请求头中的token
        String token = sRequest.getHeader("token");
        //判断是否有token->是否绕过登录
        if (Objects.isNull(token)) {
            writeErrorResponse(sResponse,"请先登录");
            return;
        }
        //校验token是否过期或者错误
        JSONObject jsonObject =null;
        try {
            jsonObject = JwtUtil.verifyToken(token);
        } catch (Exception e) {
            writeErrorResponse(sResponse,"token不合法");
            return;
        }
        //TODO: 使用jwt工具类验证token中的数据是否正确
        Emp emp = empMapper.selectEmpByUsername(jsonObject.getString("username"));
        if (Objects.isNull(emp) || !emp.getPassword().equals(jsonObject.getString("password"))) {
            writeErrorResponse(sResponse,"校验不正确");
            return;
        }

        //过滤链对象执行完过滤逻辑之后放行http请求,把request,response重新交给controller(servlet)
        chain.doFilter(request, response);
        log.info("过滤完成");
    }

    private static void writeErrorResponse(HttpServletResponse sResponse,String msg) throws IOException {
        //设置UTF-8编码
        sResponse.setContentType("application/json;charset=utf-8");
        sResponse.setCharacterEncoding("UTF-8");
        //设置响应状态码
        sResponse.setStatus(HttpStatus.SC_UNAUTHORIZED);
        PrintWriter writer = sResponse.getWriter();
        ResultUtil fail = ResultUtil.fail(msg);
        //使用fastjson把对象转成json字符串
        writer.write(JSONObject.toJSONString(fail));
    }

    @Override
    public void destroy() {
        Filter.super.destroy();
    }
}

2.流程图 

拦截器 

1.SpringBoot2.x

编写拦截器

实现HandlerInterceptorAdapter接口

配置拦截器

继承WebMvcConfigurer类器

2.SpringBoot3.x

编写拦截器

实现Handlerlnterceptor接口

package com.lu.tlias84.Interceptor;

import com.alibaba.fastjson.JSONObject;
import com.lu.tlias84.entity.Emp;
import com.lu.tlias84.mapper.EmpMapper;
import com.lu.tlias84.utils.JwtUtil;
import com.lu.tlias84.utils.ResultUtil;
import jakarta.annotation.Resource;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.apache.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.Objects;

/**
 * springboot提供的登录拦截器
 */
@Component
public class LoginInterceptor implements HandlerInterceptor {
    @Resource
    private EmpMapper empMapper;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");
        if (Objects.isNull(token)) {
            writeErrorResponse(response,"请先登录");
            return false;
        }
        JSONObject jsonObject =null;
        try {
            jsonObject = JwtUtil.verifyToken(token);
        } catch (Exception e) {
            writeErrorResponse(response,"token不合法");
            return false;
        }
        Emp emp = empMapper.selectEmpByUsername(jsonObject.getString("username"));
        if (Objects.isNull(emp) || !emp.getPassword().equals(jsonObject.getString("password"))) {
            writeErrorResponse(response,"校验不正确");
            return false;
        }
        return true;
    }
    private static void writeErrorResponse(HttpServletResponse sResponse,String msg) throws IOException {
        //设置UTF-8编码
        sResponse.setContentType("application/json;charset=utf-8");
        sResponse.setCharacterEncoding("UTF-8");
        //设置响应状态码
        sResponse.setStatus(HttpStatus.SC_UNAUTHORIZED);
        PrintWriter writer = sResponse.getWriter();
        ResultUtil fail = ResultUtil.fail(msg);
        //使用fastjson把对象转成json字符串
        writer.write(JSONObject.toJSONString(fail));
    }
}

配置拦截器

继承WebMvcConfigurationSupport类

package com.lu.tlias84.config;

import com.lu.tlias84.Interceptor.LoginInterceptor;
import jakarta.annotation.Resource;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * springboot配置类
 * 一般用来配置拦截器或者跨域配置。。
 *
 * 过滤器(filter) 与拦截器(Interceptor)的区别:
 * 相同点:执行都在controller(servlet)之前
 * 不同点:
 *      1.技术提供方:过滤器->servlet提供 拦截器 ->spring
 *      2.执行顺序:先执行过滤器 后执行拦截器
 *      3.拦截力度:过滤器拦截力度粗 ->编码转换,时间格式转化
 *                拦截器拦截力度细 ->登录认证,接口日志记录
 *                
 *                
 */
@Configuration
//如果继承 extends WebMvcConfigurationSupport springboot 会自己处理时间
//如果想使用自定义的时间格式 implements WebMvcConfigurer
//public class WebMvcConfig extends WebMvcConfigurationSupport {
public class WebMvcConfig implements WebMvcConfigurer {
    @Resource
    LoginInterceptor loginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //添加拦截器
        registry.addInterceptor(loginInterceptor)
                //添加拦截路径
                .addPathPatterns("/**")
                //排除路劲
                .excludePathPatterns("/login");
    }
}

面试题

1.过滤器和拦截器有什么区别

过滤器(filter) 与拦截器(Interceptor)的区别:
相同点:执行都在controller(servlet)之前
不同点:
     1.技术提供方:过滤器->servlet提供 拦截器 ->spring
     2.执行顺序:先执行过滤器 后执行拦截器
     3.拦截力度:过滤器拦截力度粗 ->编码转换,时间格式转化
                          拦截器拦截力度细 ->登录认证,接口日志记录

L。.。
关注
拦截器+JWT的使用
m0_73777375的博客
07-19 161
第三步:创建一个拦截器类并且继承HandlerInterceptor接口且重写里面的preHandle放大(快捷键ctrl + O)。第四步:创建一个配置类继承WebMvcConfigurer接口并重写里面的addInterceptors方法。第二步:创建一个JWT令牌的工具类。完结:有用请给个赞吧!第一步:导入JWT令牌的坐标。
JWT令牌&&拦截器
最新发布
weixin_64308540的博客
07-31 816
JWT令牌&&拦截器
Token-过滤器-拦截器-全局异常处理器-OSS-本地存储
Mr_FunnyNiu的博客
06-18 357
前期准备: 实例代码: 过滤器(Filter) 前期准备: 示例代码: 拦截器(Interceptor) 前期准备 登录校验拦截器 注册配置拦截器 全局异常处理器 前期准备: 示例代码: 对象存储(OSS)(创建获取:https://editor.csdn.net/md/?articleId=131270244) 前期准备: 配置yml 两种:properties和yml(根据项目需求使用)!!!注解使用::可以代替@Value 跟简单代码示例: 本地存储 前期准备: 代码示例:
jwt设置token登录拦截器
m0_58467275的博客
03-08 2019
springboot项目,搭配jwt设置判断token放行工具,控制页面登录之后才可以访问的页面
使用自定义的token认证过滤器替换security的认证功能
cominglately的博客
12-21 563
spring-boot-starter-security不够灵活, 项目需要二次开发。下面展示一个替换security认证功能的替代方案。
token认证过滤器实现(配合redis)
please93的博客
02-16 212
token过滤器认证
JWT 生成 token 与 fliter 过滤器的简单应用
qq_42649533的博客
05-31 303
这是一个比较简单易行的方式去实现token验证,不用将token放入session。
java的jwt+拦截器校验token获取用户信息
yechuanjiang的博客
09-22 4351
java的jwt+拦截器校验token获取用户信息 最近换工作,发现自己只会crud准备加强一下。结合网上资源写了一个用jwt生成并且校验token、校验token是在拦截器里面的,还有对异常的封装,响应体返回的封装,先写代码再总结一下项目中实际可以优化的地方。 异常封装和响应体封装都在上一节内容,地址:https://blog.csdn.net/yechuanjiang/article/details/120413850?spm=1001.2014.3001.5501 这里写的是生成token和用拦截器
spring boot 拦截器拦截/Filter 过滤session案例
06-28
在本文中,我们将深入探讨如何在Spring Boot应用中使用拦截器(Interceptor)和过滤器(Filter)来处理用户的登录session。这两个组件都是Spring框架的重要部分,它们在处理HTTP请求和响应时发挥着关键作用。 首先...
SpringCloud Alibaba 实战 - 如何让 jwt token 失效
BUG指挥课堂
01-24 2981
知识回顾 众所周知,在 OAuth2 体系中认证通过后返回的令牌信息分为两大类:不透明令牌(opaque tokens) 和 透明令牌(not opaque tokens)。 不透明令牌 是一种无可读性的令牌,一般来说就是一段普通的 UUID 字符串。使用不透明令牌时资源服务不知道这个令牌是什么,代表谁,需要调用认证服务器校验、获取用户信息。使用不透明令牌采用的是 中心化 的架构。 透明令牌 一般指的是我们常说的JWT Token,用户信息保存在 JWT 字符串中,资源服务器自己可以解析令牌不再需要去
gateway全局token过滤器
这人脑子有点不够用
04-29 980
实现全局过滤器GlobalFilter,并且实现fitler方法。创建一个tokenFilter。添加gateway依赖。
Elasticsearch:Keep words token 过滤器
Elastic 中国社区官方博客
02-09 350
Keep words token 过滤器是用来仅保留包含在指定单词列表中的 token,尽管你的文字中可能含有比这个列表更多的 token。在某些情况下,我们可以有一个包含多个单词的字段,但是将字段中的所有单词都设为标记可能并不有趣。这个过滤器使用 Lucene 的。它的使用和我们经常使用到的正好相反。关于 stop filter 的使用,你可以查看我之前的文章 “
使用JWT验证登陆(拦截器实现)
weixin_72979483的博客
06-12 1014
本文主要是使用jwt进行登陆验证的代码。JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的
JWT令牌过滤器Filter、拦截器Interceptor
m0_46702681的博客
06-16 1493
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}
过滤器filter实现token拦截解析(亲测)
qq_53314126的博客
02-27 1489
1、什么是tokentoken令牌:是服务端生成的一串随机生成字符串(我们的例子用UUID生成),放在请求头作为客户端进行请求的一个标识。 当用户第一次登录,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可判断是谁在调用接口,无需再要用户名和密码。 最近有一个需求是权限系统对另一个系统进行token验证权限管理。子系统并未引入权限框架。目前实现思路是前端将token传入子系统。通过共享redis去解决权限问题。故此子系统只
java jwt生成token并在网关设置全局过滤器进行token的校验并在给请求头设置参数及在微服务中解析参数
jjw_zyfx的博客
07-02 2165
java jwt生成token并在网关设置全局过滤器进行token的校验
服务端之验证Token过滤器编写
码说芯语的博客
07-07 542
1、过滤器Filder大致工作流程: package com.taru.YoungMall.filter; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class TokenIsVaildFilter implements Filter {
​​​​​​过滤器拦截器详解+Token
Java后端技术栈
07-05 4875
周末有个小伙伴加我微信,向我请教了一个问题:老哥,过滤器 () 和 拦截器 () 有啥区别啊? 听到题目我的第一感觉就是:简单!毕竟这两种工具开发中用到的频率都相当高,应用起来也是比较简单的,可当我准备回复他的时候,竟然不知道从哪说起,支支吾吾了半天,场面炒鸡尴尬有木有,工作这么久一个基础问题答成这样,丢了大人了。 平时觉得简单的知识点,但通常都不会太关注细节,一旦被别人问起来,反倒说不出个所以然来。归根结底,还是对这些知识了解的不够,一直停留在会用的阶段,以至于现在一看就会一说就废!这是典型基础不扎实的
自定义拦截器+auth0 jwt 登录登出
05-26
拦截器是一个在请求处理之前或之后进行拦截拦截的组件,类似于过滤器,可以对请求进行预处理、后处理等。在 Spring 框架中,可以使用拦截器来实现一些通用的处理逻辑,例如身份验证、日志记录等。 JWT(JSON Web ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值