统一监听jwttoken的校验

最新推荐文章于 2022-10-03 20:48:30 发布
最新推荐文章于 2022-10-03 20:48:30 发布
阅读量435 收藏
点赞数
分类专栏: 工具类 文章标签: java redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qqjjj/article/details/105911850
版权

package com.k5003.gatewayzuul.config;

import com.k5003.gatewayzuul.service.GatewayService;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.core.io.ClassPathResource;
import org.springframework.core.io.Resource;
import org.springframework.core.io.buffer.DataBuffer;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.security.jwt.Jwt;
import org.springframework.security.jwt.JwtHelper;
import org.springframework.security.jwt.crypto.sign.RsaVerifier;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Flux;
import reactor.core.publisher.Mono;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.StandardCharsets;
import java.util.Arrays;
import java.util.stream.Collectors;

/**

  • 统一监听jwttoken的校验

  • king 2020.05.03
    */
    @Component
    public class JwtTokenFilter implements GlobalFilter, Ordered {

     @Autowired
 GatewayService gtewayService;

 //公钥
 private static final String PUBLIC_KEY = "publickey.txt";

 //跳过验证地址 登录等
 private String[] skipAuthUrls = {"/auth/auth/userlogin","/auth/auth/v2/api-docs","/users/users/v2/api-docs","/qiniu/qiniu/v2/api-docs"};

 @Override
 public int getOrder() {
     return -1;
 }

 /**
  * 过滤器
  * @param exchange
  * @param chain
  * @return
  */
 @Override
 public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
     String url = exchange.getRequest().getURI().getPath();
     System.out.println(url);
     String token = exchange.getRequest().getHeaders().getFirst("Authorization");
     System.out.println(token);
     if (null != skipAuthUrls && Arrays.asList(skipAuthUrls).contains(url)) {
         return chain.filter(exchange);
     }
     if (StringUtils.isBlank(token)) {
             return returnAuthFail(exchange, "请先登陆");
     } else {
         //判断是否存在cookie
         String tokenFromCookie = gtewayService.getTokenFromCookie(exchange);
         if(StringUtils.isEmpty(tokenFromCookie)){
             //拒绝访问
             //return returnAuthFail(exchange, "登录超时,请重新登录");
         }
         //从header中取jwt
         String jwtFromHeader = gtewayService.getJwtFromHeader(exchange);
         if(StringUtils.isEmpty(jwtFromHeader)){
             //拒绝访问
             return returnAuthFail(exchange, "异常访问,请重新登录");
         }
         //从redis取出jwt的过期时间
         //long expire = gtewayService.getExpire(tokenFromCookie);
         //if(expire<0){
             //拒绝访问
             //return returnAuthFail(exchange, "登录超时,请重新登录");
         //}
         //根据公钥校验token
         Boolean isjwts=jwrVerify(token);
         if(!isjwts){
             //拒绝访问
             return returnAuthFail(exchange, "登录异常,请重新登录");
         }
         return chain.filter(exchange);
     }
 }

 /**
  * 返回校验失败
  *
  * @param exchange
  * @return
  */
 private Mono<Void> returnAuthFail(ServerWebExchange exchange,String message) {
     ServerHttpResponse serverHttpResponse = exchange.getResponse();
     serverHttpResponse.setStatusCode(HttpStatus.UNAUTHORIZED);
     String resultData = "{\"status\":\"-1\",\"msg\":"+message+"}";
     byte[] bytes = resultData.getBytes(StandardCharsets.UTF_8);
     DataBuffer buffer = exchange.getResponse().bufferFactory().wrap(bytes);
     return exchange.getResponse().writeWith(Flux.just(buffer));
 }

    /**

    • 校验jwt的合法性
    • @param jwtString
    • @return
      */
      private Boolean jwrVerify(String jwtString){
      Boolean jwtver=true;
      String publickey=getPubKey();
      //校验jwt令牌
      try{
      Jwt jwt = JwtHelper.decodeAndVerify(jwtString.replace(“Bearer “,””), new RsaVerifier(publickey));
      } catch (Exception e) {
      jwtver=false;
      }
      return jwtver;
      }

    /**

    • 获取公钥字符
    • @return
      */
      private String getPubKey() {
      Resource resource = new ClassPathResource(PUBLIC_KEY);
      try {
      InputStreamReader inputStreamReader = new InputStreamReader(resource.getInputStream());
      BufferedReader br = new BufferedReader(inputStreamReader);
      return br.lines().collect(Collectors.joining("\n"));
      } catch (IOException ioe) {
      return null;
      }
      }

}

k5003
关注
专栏目录
Jwt-token
weixin_39406672的博客
12-22 176
1:登录账号密码与数据库验证。 package com.sxt.sso.commons; import java.util.HashMap; import java.util.Map; /** * 用于模拟用户数据的。开发中应访问数据库验证用户。 */ public class JWTUsers { private static final Map<String, String&...
使用JWT PHP 使用JWT-Json Web Token 生成Token 实现Token认证
Zhang_jing1的博客
07-22 957
为什么使用JWT? 官网 https://jwt.io/ 3.0版本 https://github.com/lcobucci/jwt 安装 composer require lcobucci/jwt 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及
统一处理token的思路
weixin_49185060的博客
11-20 653
统一处理token 1、处理token的逻辑代码 @Service public class UserService { private static final ObjectMapper OBJECT_MAPPER = new ObjectMapper(); private static final Logger LOGGER = LoggerFactory.getLogger(UserService.class); @Autowired private RedisTemp
基于JWTtoken认证实现登录、鉴权接口
andwey的博客
06-10 2624
一、JWT简介 1、JWT的全称是JSON WEB TOKEN 基于token进行身份验证的方案; 是一个字符串,由hearder、payload、signature组成; 具备安全、自包含、紧揍等特点。 2、JWT优点 安全性高,防止token被伪造和篡改; 自包含,减少存储的开销; 跨语言,支持多种语言的实现; 支持过期,发布者校验。 3、不足 消息体可以被base64解密成明文; 不适合存放大量信息; 无法作废未过期的JWT; 二、流程图 三、具体实现 1、引..
Spring Security Oauth2学习(二)
收破烂的小熊猫
11-25 303
Spring Security Oauth2(二) 认识JWT令牌 在介绍JWT之前先看一下传统校验令牌的方法,如下图: 问题: 传统授权方法的问题是用户每次访问资源服务,资源服务都须携带令牌去认证服务中心请求验证令牌合法性,并根据令牌获取用户相关信息,性能低下。 这个时候的令牌只是作为唯一标识,并没有其他用途。 解决: 使用JWT的思路,用户认证通过会得到一个JWT令牌,JWT令牌中已经包含了...
Springboot整合JwtHelper实现非对称加密
AllenLuoYi的博客
03-02 1163
一、生成公私钥对 提供两种方法,一种基于命令行中的Keytool工具生成,一种是基于SpringSecurity中的KeyPairGenerator类生成,现实现第二种方式: // 加密算法 private static final String KEY_ALGORITHM = "RSA"; // 公钥key private static final String PUB_KEY="publicKey"; // 私钥key private static fin
JWT非对称加密公私钥加解密可设置过期时间【Spring安全框架的JwtHelper】【jsonwebtoken.JJWTJwts】
竹林幽深
10-03 1190
rsa
Nginx实现JWT验证-基于OpenResty实现
weixin_34296641的博客
07-18 3144
介绍 权限认证是接口开发中不可避免的问题,权限认证包括两个方面 接口需要知道调用的用户是谁 接口需要知道该用户是否有权限调用 第1个问题偏向于架构,第2个问题更偏向于业务,因此考虑在架构层解决第1个问题,以达到以下目的 所有请求被保护的接口保证是合法的(已经认证过的用户) 接口可以从请求头中获取当前用户信息 每个请求都有uuid用于...
spring boot+spring security+jwt+vue整合前后端分离token权限认证项目详细过程代码 含AES加密
m0_47576928的博客
07-21 1375
准备前提条件:已搭好一个spring boot后台项目及vue前台项目 目录 一、后台 1、依赖 2、继承WebSecurityConfigurerAdapter适配器 3、自定义用户名密码校验 MyAuthenticationProvider 4、登录成功处理逻辑 CustomizeAuthenticationSuccessHandler 5、登录失败处理逻辑 CustomizeAuthenticationFailureHandler 6、匿名用户访问无权限资源时的异常处理 Customi
JWT身份认证(附带源码讲解)
m0_37322399的博客
03-31 942
文章目录JWT(Json Web Token)验证(附带源码讲解)1 cookie、session、Token的区别CookieSessionToken2 JWT是个啥?jwt token 的组成部分headerSignature签名的⽬的jwt.io⽹站啥时候使用JWT呢?JWT工作方式是怎样的?3 基于Token的身份认证和基于服务器的身份认证1、给予服务器的身份认证,通常是基于服务器上的session来做用户认证,使用session会有如下几个问题2、基于Token的身份认证证是⽆状态的,服务器或者s
spring cloud oauth2 jwt 解析示例
weixin_43931625的博客
02-08 2385
springcloudoauth2jwt解析示例 ********************** 相关类及接口 JwtHelperjwt编解码、获取header public class JwtHelper { static byte[] PERIOD = Codecs.utf8Encode("."); ************* 构造方法 pub...
jwttoken解码_手把手教你实现JWT Token
weixin_29123281的博客
12-24 2573
1. 前言Json Web Token(JWT) 近几年是前后端分离常用的Token技术,是目前最流行的跨域身份验证解决方案。你可以通过文章JWT。今天我们来手写一个通用的JWT服务。DEMO获取方式在文末,实现在jwt相关包下2. spring-security-jwtspring-security-jwt是Spring Security Crypto提供的JWT工具...
JWT学习
cnsummerLi
11-15 264
一、JWT介绍: 在介绍JWT之前先看一下传统校验令牌的方法,如下图: 问题: 传统授权方法的问题是用户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性,并根 据令牌获取用户的相关信息,性能低下。 解决: 使用JWT的思路是,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带 JWT...
JWT令牌 JWT概述和简单使用
guohao_Kwok的博客
04-24 7187
面试:你懂什么是分布式系统吗?Redis分布式锁都不会?>>> ...
Web安全通讯之JWTJava实现
热门推荐
wangcantian的博客
07-04 2万+
上篇文章中目的是介绍 Json Web Token(以下简称 jwt) ,由于我对 Java 比较熟悉就介绍 Java 服务端 的实现方式,其他语言原理是相同的哈~ PS:如果不清楚JWT,请先看 《Web安全通讯之TokenJWT》 参考博客:各种语言版本的基于HMAC-SHA256的base64加密 官网地址:https://jwt.io/ jwt github:https:
Spring Security Oauth2 JWT实战入门及使用
GuiSu97的博客
08-11 812
1、JWT研究 1.1、简介 JSON Web TokenJWT)是一个开放的行业标准(RFC 7519),它定义了一种简介的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。 JWT令牌的优点: 1、jwt基于json,非常方便解析。 2、可以在令牌中自定义丰富的内容,易扩展。 3、通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。 4、资源服务使用JWT可不依赖认证服务即
angular中使集成jwt进行token身份加密,解密验证
xuehu837769474的博客
08-13 1804
一 、安装jwt依赖模块npm install @auth0/angular-jwt --save 二、在app.module.ts中引入JwtModule这个模块(注意,引入该模块的同时也要引入HttpClientModule模块)如下: 其中是 whitelistedDomains 白名单,blacklistedRoutes 是黑名单,添加以后那些可以访问验证,那些不可以访...
JWT 帮助类 JWTHelper
一只小迷糊虫
08-20 7694
JWTPlayloadInfo.cs 代码如下: /// <summary> /// JWT载荷实体 /// </summary> public sealed class JWTPlayloadInfo { /// <summary> /// jwt签发者 /// &lt...
有个接口apis/Login/JWTToken3.0怎么代理成api/Login/JWTToken3.0
最新发布
10-09
如果想要在 Vite 开发环境下通过代理将接口 `apis/Login/JWTToken3.0` 映射到相同的URL `api/Login/JWTToken3.0`,可以在 `vite.config.js` 文件中的 `proxy` 对象里配置。假设你已经设置了服务器监听的端口(默认是3000),可以这样做: ```javascript export default defineConfig({ server: { port: 3000, proxy: { '/api': { target: 'http://localhost:8080', // 如果实际 API 位于本地其他端口(这里是8080为例) pathRewrite: { '^/apis': '/' }, // 将 '/apis' 部分替换为 '/' changeOrigin: true, }, }, }, }); ``` 这个配置表示所有以 `/api` 开头的请求都将被转发到 `http://localhost:8080/api/Login/JWTToken3.0`。`pathRewrite` 用于处理原始路径的重写,这里的 `'^/apis': '/'` 意味着任何以 `/apis` 开始的路径会变成根路径 `/`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

k5003

您的鼓励将是我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值