JWT 认证校验 从理论到实战

于 2024-07-15 15:42:17 发布
阅读量172 收藏 1
点赞数 1
文章标签: java spring boot spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_69183322/article/details/140437702
版权

一、JWT理论部分

1.JWT概述

JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。这种信息可以被验证和信任,因为它是数字签名的。JWT通常用于身份验证和授权,可以在浏览器和服务器之间传输,也可以在不同的系统之间传输。

JWT通常由三部分组成:

  • 头部(Header):一个JSON对象,描述了令牌的元数据,例如令牌的算法和类型。

  • 有效载荷(Payload):一个JSON对象,包含了令牌的声明,例如用户信息、发行人、过期时间等。

  • 签名(Signature):使用头部中指定的算法,对头部和有效载荷的Base64编码字符串进行加密,生成签名。

2.在通用模块下

导入jwt依赖

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

3.编写JWT的工具类:

signKey:密钥

expire:有效时长

最好使用@ConfigurationProperties,在所需要模块的application.yml中进行设置signKey和expire

public class JwtUtils {
 
    private static String signKey = "signKey";
    private static Long expire = 43200000L;
 
    /**
     * 生成JWT令牌
     * @param claims JWT第二部分负载 payload 中存储的内容
     * @return
     */
    public static String generateJwt(Map<String, Object> claims){
        String jwt = Jwts.builder()
                .addClaims(claims)
                .signWith(SignatureAlgorithm.HS256, signKey)
                .setExpiration(new Date(System.currentTimeMillis() + expire))
                .compact();
        return jwt;
    }
 
    /**
     * 解析JWT令牌
     * @param jwt JWT令牌
     * @return JWT第二部分负载 payload 中存储的内容
     */
    public static Claims parseJWT(String jwt){
        Claims claims = Jwts.parser()
                .setSigningKey(signKey)
                .parseClaimsJws(jwt)
                .getBody();
        return claims;
    }
}

4.JWT工具类(加入容器)

方式一:

在使用的类中,通过@Bean注解的方式

    @Bean
    public JwtUtils jwtUtils(){
        return new JwtUtils();
    }

方式二:

当你在 Spring Boot 应用程序中使用 @EnableAutoConfiguration 注解时,Spring Boot 会读取 META-INF/spring.factories 文件中定义的自动配置类。

在resource中创建文件夹META-INF,然后在其创建spring.factories文件

添加 单个

org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
  com.etc.company.common.utils.JwtUtils

例如添加多个就使用(逗号和斜杠)进行分隔

org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
  com.etc.common.config.RedisConfig,\
  com.etc.common.config.MyBatisConfig,\
  com.etc.company.common.utils.JwtUtils

二、JWT实战 

登录时,如果登录成功则获取返回的token值

    @Override
    public String loginUserByPassword(LoginDTO loginDTO) {

        User user = getUserByPhone(loginDTO.getPhone());

        if(Md5Util.checkPassword(loginDTO.getPhone()+loginDTO.getPassword(),user.getPassword())){
            Map<String, Object> claims = new HashMap<>();
            claims.put("id",user.getId());
            claims.put("phone",user.getPhone());
            String token = JwtUtils.generateJwt(claims);

            redisTemplate.opsForValue().set(token,token,2,TimeUnit.HOURS);
            return token;
        }
        return null;
    }

在拦截器中进行token校验:

@Component
public class LoginInterceptor implements HandlerInterceptor {

    @Autowired
    private RedisTemplate redisTemplate;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        String token = request.getHeader("Authorization");

        try{

            String redisToken  = (String) redisTemplate.opsForValue().get(token);
            if (redisToken == null){
                throw new ForbiddenException("token失效");
            }

            Claims claims = JwtUtils.parseJWT(token);

            //把业务数据存储到ThreadLocal中
            ThreadLocalUtil.set(claims);

            return true;
        }catch (Exception e){
            response.setStatus(401);
            return false;
        }

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        //清空ThreadLocal中的数据
        ThreadLocalUtil.remove();
    }
}

探索星辰大海
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
3-2. SpringBoot项目集成【用户身份认证实战实战核心篇】基于JWT生成和校验Token
天罡gg的专栏
03-31 2673
书接上文技术选型篇,我们做了【用户身份认证】的技术选型说明,对基于Session、Token、JWT的方案进行了详细的对比分析,详细说明了它们都是什么和各自的优缺点!这些是实战的基础,还没看过的同学,建议先看上文。最终我和狗哥(博客主页) 采用的是目前流行的基于JWT的Token用户身份认证机制! 本文是实战核心篇,重点是把JWT的核心代码实现! 基于上文我们分析的【用户身份认证】的流程(如下图),我们可以确定使用JWT的核心是实现两点:生成Token、校验Token! 接下来我们就来实现它!
3-1. SpringBoot项目集成【用户身份认证实战 【技术选型篇】基于Session、Token、JWT怎么选?
天罡gg的专栏
03-29 4732
接下来开始第三章,主要做用户身份认证,主要实现一套统一鉴权的用户身份认证的机制。 我已经提前和狗哥一起讨论确定了认证机制,会采用目前流行的基于JWT的Token用户身份认证机制,主流程如下: 前端请求【用户名+密码登录】接口,后端验证通过后生成Token 返回给前端; 前端保存Token,以后每次请求API都会携带Token,后端校验Token通过就正常返回数据; 直到后端校验Token已失效,这时再从第1步重新开始。
Spring Cloud OAuth2(基于JWT)的微服务认证授权实战
Trazen的专栏
07-21 1306
文章目录1.简介1.1解决方案1.2案例工程架构2.构建auth-server工程2.1添加maven依赖2.2创建数据表2.3 添加配置2.4 自定义UserDetailsService2.5 认证授权配置2.6 扩展token增强器TokenEnhancer2.7 认证授权服务器配置2.8 认证授权服务器测试3.构建auth-client工程3.1 添加maven依赖3.2 重写token解析器3.3 解决Feign接口调用Token传递问题3.4 资源服务器配置4.构建资源服务器应用user-serv
3-3. SpringBoot项目集成【用户身份认证实战 【全流程篇】基于JWT+双重检查的登录+登出+拦截器
天罡gg的专栏
04-03 2572
书接上文 实战核心篇,我们已经把JWT的核心代码实现了! 文中不止是代码实现,更是使用到了设计原则,提升大家的内功心法。并且抛转引玉的实现了RSA和HMAC两种算法,还没看过的同学,建议先看上文。所以对于基于JWT的Token用户身份认证机制来说,剩下的就是与接口结合起来,服务端需要做三部分处理:登录接口,生成JWT,返回给前端。其它接口,校验JWT。如果每个接口在调用前都去调用一下校验Token,对接口的侵入性太强,这显然不是我们期望的。这时,我们可以使用拦截器对请求进行拦截实现。登出接口,目的是能主动退
istio 实战JWT 认证
01-05
实战主要关注的是 Istio 的安全性方面,特别是 JSON Web Token (JWT) 认证的实现。JWT 是一种轻量级的身份验证和授权机制,广泛用于分布式系统中。 JWT 认证在 Istio 中的角色是确保只有经过身份验证的用户和服务...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
JWT认证原理、流程整合springboot实战应用
01-18
4. **过滤器**:创建`JwtRequestFilter`,拦截所有请求,从中提取JWT,验证并设置认证信息到Spring Security上下文。 5. **过期策略**:在Payload中设置过期时间,或者实现刷新Token功能,允许用户在Token即将过期时...
详解Django配置JWT认证方式
09-16
在本文中,我们将深入探讨如何在Django框架中配置JSON Web Token(JWT认证JWT是一种轻量级的身份验证机制,允许服务器通过一个令牌(token)来确认客户端的身份,而无需在每次请求时发送用户名和密码。Django ...
Asp.net Core 3.1 JWT 认证Demo
12-27
接下来,配置JWT认证涉及到以下步骤: 1. **配置服务**:在`Startup.cs`的`ConfigureServices`方法中,使用`AddAuthentication`方法注册认证服务,并指定JWTBearer作为默认方案。同时,你需要设置JWT的安全密钥...
配置Java开发环境
Broken_x的博客
07-10 1586
Java开发环境配置
java版的上门家政系统和PHP版的上门家政有什么区别?
baina666的博客
07-12 542
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
elk部署springboot
Chihirozy的博客
07-11 404
elk部署springboot。
Java方法练习-双色球彩票系统
T1798218285的博客
07-11 289
红色球号码从1-33中选择;蓝色球号码从1-16中选择。投注号码由6个红色球号码和1个蓝色球号码组成。三等奖 5+1 / 5+0 3000。四等奖4+1 / 4+0 200。六等奖1+1 / 1+0 5。一等奖6+1 1000w。二等奖6+0 500w。五等奖3+1 / 2+1。
基于Java技术的校园台球厅人员与设备管理系统
heye0910032的博客
07-12 539
本文介绍了一个基于Java技术和SpringBoot框架开发的校园台球厅人员与设备管理系统。该系统利用MySQL数据库进行数据存储,实现了包括首页、个人中心、用户管理、会员账号管理、会员充值管理、球桌信息管理、会员预约管理、普通预约管理、留言反馈和系统管理等多功能集成。系统设计考虑了用户友好性和操作便捷性,旨在提高校园台球厅人员与设备管理的效率和质量。本文介绍了一个基于Java技术和SpringBoot框架开发的校园台球厅人员与设备管理系统。
从零手写实现 nginx-27-return 指令
最新发布
07-14 478
大家好,我是老马。很高兴遇到你。我们为 java 开发者实现了 java 版本的 nginx如果你想知道 servlet 如何处理的,可以参考我的另一个项目:手写从零实现简易版 tomcatminicat。
JavaSE 面向对象程序设计进阶 IO流 字节流详解 抛出异常
牛马程序员的博客
07-10 796
存储和读取数据的解决方案内存中数据不能永久化存储 程序停止运行 数据消失File只能对文件本身进行操作 不能读写文件里存储的数据读写数据必须要有IO流可以把程序中的数据保存到文件当中还可以把本地文件中的数据读取到数据当中。
uboot的功能
weixin_43732386的博客
07-13 39
uboot=裸机程序,uboot的核心功能是启动内核。
项目实战--XML文档解析工具
qq_40623672的博客
07-11 898
XML (eXtensible Markup Language)指可扩展标记语言,标准通用标记语言的子集,可以标记数据、定义数据类型,可以允许自定义标记语言进行数据承载,通常被用来传输和存储数据,定义也简单,遵循核心DTD(文档类型定义)语法约束。> < site > < name > CSDN博客网站 </ name > < url > https://blog.csdn.net/ </ url > < desc > 技术学习网站 </ desc > </ site >
drf的JWT认证.doc
07-08
drf的JWT认证.doc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值