Springboot实现JWT拦截器校验

最新推荐文章于 2024-08-31 19:25:22 发布
最新推荐文章于 2024-08-31 19:25:22 发布
阅读量114 收藏
点赞数 1
分类专栏: Springboot 文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_67195968/article/details/134230639
版权

1.什么是Jwt

JWT (全称:Json Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

1.1前端访问后端流程

  1. 用户使用账号、密码登录应用,登录的请求发送到 Authentication Server。
  2. Authentication Server 进行用户验证,然后创建 JWT 字符串返回给客户端。
  3. 客户端请求接口时,在请求头带上 JWT。
  4. Application Server 验证 JWT 合法性,如果合法则继续调用应用接口返回结果。

1.2JWT结构

JWT由3部分组成:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用.进行连接形成最终传输的字符串.

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJiYXIiLCJpYXQiOjE1ODc1NDgyMTV9.BCwUy3jnUQ_E6TqCayc7rCHkx-vxxdagUwPOWqwYCFc

1.3Jwt的优点

  1. json格式的通用性,所以JWT可以跨语言支持,比如Java、JavaScript、PHP、Node等等。
  2. 可以利用Payload存储一些非敏感的信息。
  3. 便于传输,JWT结构简单,字节占用小。
  4. 不需要在服务端保存会话信息,易于应用的扩展。

2.添加pom依赖

<!--       JWT-->
    <dependency>
        <groupId>com.auth0</groupId>
        <artifactId>java-jwt</artifactId>
        <version>3.19.2</version>
    </dependency>

3.新建JwtUtils工具类

public class JwtUtils {

    //自定义加密密钥
    private static final String sign="@%dpf**";

    public static String createToken(String userId){
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.MINUTE,10);// 设置一个十分钟的时间段
        return JWT.create().withAudience(userId) //将user id 保存到token里面,作为载荷
                .withExpiresAt(calendar.getTime()) // 设置十分钟过期
                .sign(Algorithm.HMAC256(sign));//添加token秘钥
    }

    /**
     * 验证token合法性
     */
    public static DecodedJWT verify(String token){
        DecodedJWT decodedJWT=null;
        try{
            //return JWT.require(Algorithm.HMAC256(sign)).build().verify(token);
            // 使用JWT的require,生成一个验证对象
            decodedJWT=JWT.require(Algorithm.HMAC256(sign)).build().verify(token);
            return decodedJWT;
        }catch (Exception e){
            //抛出异常赋为null
            decodedJWT=null;
            return decodedJWT;
        }
    }

}

注意:密钥sing可自行设置

4.添加拦截认证类

public class JwtInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");//从请求头获得token
        //如果不是映射到方法直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }

        if(token == null) return false;

        //执行认证
        if ("".equals(token)) {
            System.out.println("无token,请重新认证");
            return false;
        }


        //用户密码加签验证 token
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("@%dpf**")).build();
        try {
            jwtVerifier.verify(token); //验证token
        } catch (JWTVerificationException e) {
            System.out.println("验证失败");
            retuen false;
        }
        return true;
    }
}

注意String token = request.getHeader("token");//从请求头获得token 要求前端访问时将jwt保存到请求头中。

5.设置拦截器

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor())
                .addPathPatterns("/**") //全部拦截
                .excludePathPatterns("/user/login", "/student/getName", "/**/export", "/**/import", "/file/**");//此处设置不需要拦截的后端访问路径,可根据需要自行设置
    }

    @Bean
    public JwtInterceptor jwtInterceptor() {
        return new JwtInterceptor();
    }
}

可根据需要自行设置拦截和放行的路径。

注意登录时前端需要将jwt保存,每次访问后端接口时都需要在请求头中带上jwt字符串(即token)。

我家的猫会写代码
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot】46、SpringBoot中整合JWT实现Token验证(拦截器篇)
Asurplus
02-28 21万+
前言 上篇文章我们已经实现了使用自定义注解验证 token 信息,这样我们就会发现,当我们需要验证的接口较多时,我们需要每个方法上面都加上 @JwtToken 这个注解,也是非常麻烦, 本片文章,我们继续使用拦截器实现 token 信息的验证 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证(整合篇) 如果对自定义注解验证 token 信息感兴趣的朋友,可以看看我的这篇博客:【SpringBoot】四十五、Spr
基于JWT令牌和拦截器实现登录校验
qq_63145239的博客
03-30 1341
浏览器发出未经服务器校验的请求,访问者可以随意访问更改数据库的内容,很不安全,所以用拦截器jwt令牌完成浏览器请求的校验提示:以下是本篇文章正文内容,下面案例可供参考通过拦截器拦截来自浏览器的请求,只有携带jwt令牌的请求才能访问服务端。
springboot中使用拦截器+JWT验证token的流程
m0_73556978的博客
03-14 624
我的计算机设计大赛的项目需要用到JWT来进行用户身份验证,项目采用springboot技术,因为我没学过springSrcurity所以只能用原生的拦截器+JWT技术进行验证,我是跟着这篇文章做的,老师讲的很详细跟着一步一步来也可以实现JWT身份验证,但是对于验证过程的整个流程是不太清楚的,不知道代码是怎么运行完成验证的,后面自己debug和测试了下,在这里分享给大家!
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 9249
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt拦截器实现token权限验证。
JWT令牌基础教程 全方位带你剖析JWT令牌,在Springboot中使用JWT技术体系,完成拦截器实现 Interceptor (后附源码)
dream_ready的博客
10-18 423
此处只是定义,若想定义的拦截器发挥功能,需注册拦截器定义一个类,实现接口,并重写对应方法一般来说preHandle是必须要重写的,因为它在请求到达目标资源方法前期执行,是拦截器的核心在preHandle中进行JWT令牌的校验,并根据校验结果选择放行或拦截/*** 校验jwt* @return*/// 该方法在请求处理方法之前被自动调用System.out.println("当前线程的id:" + Thread.currentThread().getId());
SpringBoot+JWT实现拦截器实现方式
weixin_47474875的博客
09-27 468
由于是第一次接触拦截器,所以对拦截器中的配置也不是很懂,导致在这个过程中踩了很多坑,最让我印象深刻的是,在配置拦截器的时候,由于我在项目中使用到了请求前缀,而我的拦截器又是从其他博主的博客中直接拿来用的,导致只要我一打开@Configuration,就会报404错误(尽管放行了登录请求),其原因是在添加拦截请求时,使用的是,其会让我的请求前缀也会纳入进去,导致一进入登录请求,就会被拦截到,导致请求误拦截。
SpringBootJWT令牌与登录校验
安晴晚风的博客
07-31 984
JWT,即JSON Web Tokens,是一种基于JSON的开放标准(RFC 7519),用于在各方之间安全地传输信息。它经常被用于身份验证和授权的场景中。@Component@Slf4j@Autowired// idea按Ctrl+o重写方法// preHandle目标资源方法运行前运行;// postHandle目标资源方法运行后运行;// afterCompletion视图渲染完毕后执行,最后执行./*** 目标资源方法运行前运行* 返回true:放行。
基于springboot实现JWT登录拦截及验证(超详细版)
Java程序员十六的博客
06-26 666
基于Springboot通过Jwt实现登录拦截及验证
SpringBoot集成JWT生成token及校验方法过程解析
08-19
SpringBoot集成JWT生成token及校验方法过程解析 本文主要介绍了SpringBoot集成JWT生成token及校验方法的过程解析,通过示例代码...同时,我们还介绍了新建自定义注解和拦截器配置的方法,以便更好地实现身份验证机制。
SpringBoot】45、SpringBoot中整合JWT实现Token验证(注解篇)
热门推荐
Asurplus
02-28 21万+
前言 上篇文章,我们已经在 SpringBoot 中整合了 JWT实现了 Token 验证,那我们在实际应用中就会发现,如果每个 视图层(controller)都手动验证 token,代码就会显得特别臃肿,本篇文章主要为了解决该问题。 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证 自定义注解 1、创建自定义注解 package com.asurplus.common.annotation; import
分布式环境认证和授权-基于springboot+JWT+拦截器实现-实操+源码下载
雾林小妖的博客
12-12 1638
基于springbootboot工程+jwt+拦截器实现登录验证和授权
Spring Boot项目中结合MyBatis详细使用
08-26 2128
Spring Boot项目中结合MyBatis使用
Spring Boot如何解决跨域问题?
HBLOG
08-28 798
跨域请求,就是说浏览器在执行脚本文件的ajax请求时,脚本文件所在的服务地址和请求的服务地址不一样。说白了就是ip、网络协议、端口都一样的时候,就是同一个域,否则就是跨域。这是由于Netscape提出一个著名的安全策略——同源策略造成的,这是浏览器对JavaScript施加的安全限制。是防止外网的脚本恶意攻击服务器的一种措施。
深入解析 Spring Boot 中 MyBatis 自动配置的流程
weixin_54574094的博客
08-30 2724
标记当前类为配置类,相当于。:启用自动配置机制。:自动扫描并加载指定包及其子包中的组件。这些注解共同作用,启动并配置 Spring Boot 应用。Spring Boot 启动注解启动了整个 Spring Boot 应用,触发机制。读取配置类从文件中读取 MyBatis 的自动配置类,并将其注入 Spring 容器。自动配置 MyBatis根据项目中的配置和依赖,自动配置 MyBatis 的核心组件。配置数据源:通过引入。
【web开发】Spring Boot 快速搭建Web项目(二)
最新发布
qq_44304677的博客
08-31 776
由于搭建好项目后仍然无法使用, 我们还需要先配置一下项目。
五,Spring Boot中的 Spring initializr 的使用
weixin_61635597的博客
08-30 2284
在这个最后的篇章中,我要表达我对每一位读者的感激之情。你们的关注和回复是我创作的动力源泉,我从你们身上吸取了无尽的灵感与勇气。我会将你们的鼓励留在心底,继续在其他的领域奋斗。
第一章 Spring Boot入门
2301_78884095的博客
08-28 1013
Spring Boot 是由 Pivotal 团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。Spring Boot 默认配置了很多框架的使用方式,就像Maven整合了所有的Jar包,Spring Boot 整合了所有的框架。它的核心设计思想是:约定优于配置,Spring Boot 所有开发细节都是依据此思想进行实现的。
初学者指南:Spring Boot入门
apple_64847327的博客
08-26 1948
在当今快速发展的软件开发领域,Spring Boot已经成为了构建现代Java应用程序的首选框架之一。它以其简洁、易用和强大的特性,帮助开发者快速搭建起基于Spring的应用程序。如果你是Java开发新手,或者正在寻找一种更高效的开发方式,那么Spring Boot无疑是一个值得学习的技术。Spring Boot是一个开源的Java框架,由Pivotal团队(现为VMware的一部分)开发。它基于Spring框架,旨在简化Spring应用程序的初始搭建和开发过程。
前端如何与springboot拦截器进行jwt校验
06-07
前端与SpringBoot拦截器进行JWT校验的具体实现步骤如下: 1. 前端登录成功后,后端返回JWT Token给前端。前端需要将Token存储在本地,比如存储在Local Storage中。 2. 前端每次请求后端接口时,需要将JWT Token携带在请求头中,比如Authorization:Bearer <JWT Token>。 3. 在SpringBoot中,需要编写一个拦截器实现JWT Token的校验。可以通过实现HandlerInterceptor接口,并重写preHandle方法来实现拦截器。 4. 在preHandle方法中,可以通过获取请求头中的JWT Token,并使用JWT库进行解析和校验。如果Token校验成功,则放行请求,否则返回401 Unauthorized错误。 5. 最后,在SpringBoot中需要将拦截器注册到拦截器链中,以便于拦截器可以拦截到所有的请求。 需要注意的是,JWT Token的校验需要使用对应的JWT库,比如Java-JWT。同时,为了提高安全性,JWT Token需要设置过期时间,并定期更新Token。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值