JTW实现spring后端token验证

已于 2022-07-07 15:21:11 修改
阅读量552 收藏 3
点赞数
文章标签: spring java 后端
于 2022-07-07 15:05:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanqiudemao/article/details/125654810
版权

JTW实现spring后端token验证

基于之前的spring结合MongoDB的登录功能,添加了token验证的功能

上一个项目
首先展示一下项目的结构
项目结构
#####项目依赖

 <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
	
        <dependency>
            <groupId>org.mongodb</groupId>
            <artifactId>mongo-java-driver</artifactId>
            <version>3.12.11</version>
        </dependency>

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>2.0.7</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-configuration-processor</artifactId>
            <optional>true</optional>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

        <dependency>
            <groupId>org.mongodb</groupId>
            <artifactId>bson</artifactId>
            <version>4.6.0</version>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>

        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.19.2</version>
        </dependency>
    </dependencies>
实体类部分
User.java
@Data
public class User{
    private String username;
    private String _id;
    private String password;
    private String token;//后端直接将token加入到实体类模型中
}
Msg.java
@Data
public class Msg<T> {
    private Integer code;//状态码
    private String msg;//信息
    private T data;//数据
    public static <T> Msg<T> success(T object){
        Msg<T> r = new Msg<>();
        r.data = object;
        r.code = 1;
        return r;
    }
    public static <T> Msg<T> error(String message){
        Msg r = new Msg();
        r.msg=message;
        r.code = 0;
        return r;
    }
}
工具类
DBUtil.java
@Slf4j
@Service
public class DBUtils {
    public static MongoCollection getCollection (String s){//根据传入的集合名称或许集合
        MongoClient mongoClient = new MongoClient("localhost",27017);
        MongoDatabase mongoDatabase = mongoClient.getDatabase("test");
        log.info("获取数据库成功:"+mongoDatabase);
        MongoCollection<Document> conn = mongoDatabase.getCollection(s);
        log.info("获取集合成功:"+mongoDatabase);
        return conn;
    }
}
JWTUtils.java
public class JWTUtils {
    public static String getToken(User user){

        Calendar calendar = Calendar.getInstance();//Calender为一个日期操作的类

        calendar.add(Calendar.DATE,1);//设置过期时间

        JWTCreator.Builder builder = JWT.create();
        builder.withClaim("_id",user.get_id())
                .withClaim("username",user.getUsername());//写入数据
        String token = builder.withExpiresAt(calendar.getTime()).sign(Algorithm.HMAC256(SIGNATURE));//生成token
        return token;
    }
    public static DecodedJWT verify(String token){
        DecodedJWT verify = JWT.require(Algorithm.HMAC256(SIGNATURE)).build().verify(token);
        return verify;
    }
}
Service层无更改,实现登录验证功能即可

这里直接将实现的类代码展示出来

UserServiceImpl.java
@Service
public class UserServiceImpl implements UserService {
    MongoCollection conn = DBUtils.getCollection("user");
    @Override
    public User findUserById(String _id) {
       FindIterable<Document> iterable = conn.find(new Document("_id",_id));
        MongoCursor<Document> cursor = iterable.iterator();
       if(cursor.hasNext()) {
           Document document = cursor.next();
           return JSON.parseObject(document.toJson(), User.class);
       } else{
            return null;
       }
    }
}
之后是拦截器的配置

拦截器验证则是直接根据前端发送的token令牌进行验证

JWTInterceptor.java
@Slf4j
public class JWTInterceptor implements HandlerInterceptor {
    @Override
    public  boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler){
        String token = request.getHeader("token");
        try {
            JWTUtils.verify(token);
        }catch (SignatureVerificationException e){
            e.printStackTrace();
            log.info("无效签名");
            return false;
        }catch (TokenExpiredException e){
            e.printStackTrace();
            log.info("token过期");
            return false;
        }catch (AlgorithmMismatchException e){
            e.printStackTrace();
            log.info("token算法不一致");
            return false;
        }catch (Exception e){
            e.printStackTrace();
            log.info("token无效");
            return false;
        }
        return true;
    }
}
IntercaptorConfig.java
@Configuration
public class IntercaptorConfig implements WebMvcConfigurer {

    public void addInterceptors(InterceptorRegistry registry){
        registry.addInterceptor((new JWTInterceptor()))
                .addPathPatterns("/**")//拦截所有api
                .excludePathPatterns("/login");//放行登录目录下的请求
    }
}
控制层
UserController.java
@Slf4j
@RestController
public class UserController {
    @Autowired
    UserServiceImpl service ;
    
    @PostMapping("/login")
    public Msg<User> login(@RequestBody User user){

        if(user!=null) log.info("后端成功接收User对象"+user);

        User o = service.findUserById(user.get_id());

        if(o==null){
            log.info("用户名不存在");
            return  Msg.error("用户不存在");
        }else {
            if(o.getPassword().equals(user.getPassword())){
                log.info("查询成功"+Msg.success(o));
                o.setToken(JWTUtils.getToken(o));
                o.setPassword(null);
                return  Msg.success(o);
            }else {
                log.info("密码错误,接受到的密码为:"+user.getPassword()+";正确密码为:"+o.getPassword());
                return Msg.error("密码错误");
            }
        }
    }
    @PostMapping("/verify")
    public String verify() {
        return "验证成功";
    }
项目测试
首先是直接访问Controller层写好的一个测试api

在这里插入图片描述
在这里插入图片描述

控制台给出了token无效的错误提示,说明拦截器成功拦截到了请求

之后进行一次正常登陆
请添加图片描述
这里已经可以得到后端返回的token了
然后使用返回的token再次验证
在这里插入图片描述
就可以正常访问了

VK.熊川
关注
SpringSecurity OAuth使用JWT替换默认Token
程序员劝退师的博客
11-15 1311
JWT(Json Web Token)是Json开放的一个Token标准,从这个名字来看它是一个令牌(Token)的一个标准。 DefaultTokenServices 特点: 自包含:生成的字符串是包含特定信息的,在做身份权限校验的时候直接解析字符串就能获取当前用户身份权限信息,不需要在存储中在读取校验了 密签:可以指定密钥签名,但是不建议将总要数据放入JWT签名串中,因为还是能破解的,这个JWT不是加密,只是签名,防止被篡改,JWT是一套开放的标准,那么别人也能使用这套标准获取用户信息 可扩展:可以自
springboot实现SpringSecurity权限框架《附带项目地址》
f234344435的博客
11-16 1884
不缺斤少两的项目,附带Gitee仓库地址方便下载
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
JTW
金霖海的博客
04-29 891
1.1.1.简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:https://jwt.io 1.1.2.数据格式 JWT包含三部分数据: Header:头部,通常头部有两部分信息: 声明类型,这里是JWT 加密算法,自定义 我们会对头部进行base64加密(可解密),得到第一部分数据 Payload:...
jwt 认证
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-13 8536
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。1. 基于token的认证当用户成功登录系统并成功验证有效之后,服务器会利用某种机制产生一个token字符串,这个token中可以包含很多信息,例如来源IP,过期时间,用户信息等, 把这个字符串下发给客户端,客户端在之后的每次请求中都携带着这个token,携带方式其实很自由,无论是cookie方式...
JTW token 登录认证实现
weixin_42118323的博客
04-17 898
场景:最近应业务要求,把一个子系统嵌入到一个主平台中,这个子系统使用的是 session 认证的方式,而主平台使用的是 jwt token 的认证方式,子系统嵌入到主平台中,需要兼容主平台的认证方式,借此机会把子系统的认证方式改成了 jwt token 认证。session 认证流程:JWTtoken 认证流程:session 和 JWTtoken 的比较:JWT所需依赖如下:JWT 工具类如下: 登录业务代码部分: 登录业务代码解析:贴出来的代码是非生产代码,项目中使用了公司统一的 CAS 登录,子系统登
spring token
zyzn1425077119的博客
06-15 439
token令牌生成后,服务如果重启,令牌就会失效,因为我们的令牌是存储到内存里面的。以后可以用redis解决。
SpringSecurity框架教程-Spring Security+JWT实现项目级前端分离认证授权
最新发布
m0_45209551的博客
05-10 986
SpringSecurity框架使用到讲解
Spring Security+JWT简述
m0_67266585的博客
09-08 2174
Spring Security是Spring家族的一个安全管理框架, 相比于另一个安全框架Shiro, 它具有更丰富的功能。一般中大型项目都是使用SpringSecurity做安全框架, 而Shiro上手比较简单spring security 的核心功能:认证(你是谁): 只有你的用户名或密码正确才能访问某些资源授权(你能干嘛): 当前用户具有哪些功能, 将资源进行划分, 如在公司中分为普通资料和高级资料, 只有经理用户以上才能访文高级资料, 其他人只能拥有访问普通资料的权限。
如何在SpringBootOAuth服务器中实现双因素身份验证?第一部分:配置
m0_67455745的博客
03-08 9701
在这篇文章中,我将演示如何为SpringBoot 2.5OAuthJWT服务器配置一个双因素身份验证功能,这是一个更大的SpringCloud系统的一部分。 我们构建了一个分布式CRM系统。该系统具有专用的基于SpringBoot的身份验证/授权服务和许多安全和不安全的微服务。我们选择授权服务器的JWT安全机制来验证每个安全的微服务的任何请求,这是微服务的工作。另外,我们希望在授权服务发出有效的JWT之前为授权服务启用2FA身份验证,以达到另一级别的保护。 该员额安排如下。首先,我描述了系统的各个部分。
spring-token:整合JWT,springspringMVC,实现基于token验证
05-11
spring-token 整合JWT,springspringMVC,实现基于token验证 因为CSDN博客上 这篇文章好多小伙伴希望我分享一下源码, 我这边就这个功能单独拉出来写了一个小示例供大家分享。 因为这篇博客讲的是基于JWT和springspringMVC的整合,所以如果有小伙伴想整合JWT和spring-boot,只需要将spring基于xml文件的拦截器配置方式转换成 spring-boot的配置方式就ok了。 欢迎大家讨论,分享!
SpringBoot框架集成token实现登录校验功能
08-25
主要为大家详细介绍了SpringBoot框架集成token实现登录校验功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring框架整合Java Web Token
11-06 7566
Java Web TokenJSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。JWT组成一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。荷载{ "iss": "John Wu JWT", "iat": 1441593502, "exp": 1441594722, "aud": "www.example.com
Spring token鉴权
05-24 101
什么是REST REST(Representational State Transfer)是一种软件架构风格。它将服务端的信息和功能等所有事物统称为资源,客户端的请求实际就是对资源进行操作,它的主要特点有: – 每一个资源都会对应一个独一无二的url – 客户端通过HTTP的GET、POS...
Spring 中的 Token 验证
LinzhiQQQ的博客
12-02 1297
Java Web 工程项目中,登录等操作是非常常见的,那么登陆之后要做的第一件事就是要记住这个登录状态,那么常规且一般的操作是怎么做的呢? 1.账号密码验证 2.验证通过,往 session 里赛用户信息 但是今天要介绍另一个高级的身份验证方法 : token 那么为什么要使用 token 而不直接使用 session 呢?首先,token 相对session安全性更好,另外这种方法兼...
springboot整合JTW
qq_45726143的博客
09-19 483
1 什么是JWT ​ JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signe
探索 Spring Token:一款强大的身份验证解决方案
gitblog_00001的博客
04-22 346
探索 Spring Token:一款强大的身份验证解决方案 项目地址:https://gitcode.com/qiaokun-sh/spring-token 在现代Web开发中,安全性和用户认证是不可忽视的关键环节。Spring框架作为Java生态系统中的主力选手,提供了一系列工具和库来简化这些任务。而今天我们要介绍的是Spring Token,一个基于Spring Boot的轻量级身份验证系统,...
Spring使用JWT生成token、shiro
weixin_45257570的博客
12-01 1538
JWT生成token概要: 概要: JWT意思是Json web token,通过POST参数或者在HTTP header发送,然后进行验证验证通过之后,就能返回响应的资源给浏览器。 通常和权限框架(如shiro)搭配使用 1.为什么使用JWT? 1.简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快。 2.自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。 3.安全(security): 与
反解JTW token
04-23
JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全方式。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。 头部包含了关于该JWT的元数据,例如使用的加密算法。载荷是JWT的主要内容,包含了一些声明和自定义的数据。签名用于验证JWT的真实性和完整性。 反解JWT token指的是解析和提取JWT中的信息。可以通过以下步骤来反解JWT token: 1. 将JWT token按照"."进行分割,得到头部、载荷和签名三个部分。 2. 对头部和载荷进行Base64解码,得到对应的JSON字符串。 3. 解析JSON字符串,获取其中的信息。 需要注意的是,JWT token中的信息是经过Base64编码的,并不是加密的。因此,任何人都可以反解JWT token并获取其中的信息。为了保证JWT的安全性,应该使用HTTPS等安全通道传输,并在服务端对JWT进行验证和授权。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值