3-1. SpringBoot项目集成【用户身份认证】实战 【技术选型篇】基于Session、Token、JWT怎么选?

已于 2023-04-02 11:46:44 修改
阅读量4.7k 收藏 75
点赞数 77
分类专栏: SpringBoot+Vue前后端分离项目实战 文章标签: spring boot java jwt Session Token
于 2023-03-29 16:36:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scm_2008/article/details/129838950
版权

前言

通过第二章2-2. SpringBoot API开发详解 --SpringMVC注解+封装结果+支持跨域+打包,我们实现了基于SpringBoot项目的API接口开发,并实现 API结果统一封装、支持跨域请求等等功能,接下来开始第三章,主要做用户身份认证,主要实现一套统一鉴权的用户身份认证的机制

我已经提前和狗哥一起讨论确定了认证机制,会采用目前流行的基于JWT的Token用户身份认证机制,主流程如下:

  1. 前端请求【用户名+密码登录】接口,后端验证通过后生成Token 返回给前端;
  2. 前端保存Token,以后每次请求API都会携带Token,后端校验Token通过就正常返回数据;
  3. 直到后端校验Token已失效,这时再从第1步重新开始。
    JWT认证流程

为什么这么选型?我们都考虑了哪些点?
OK,那我也很乐意和大家一起探讨:怎么做好用户身份认证!
网上很多文章大多直接整合JWT,并没有讲解 为什么选择JWT?与其它选型对比有什么优缺点? 这些都是我们实战的基础,也会让我们代码写的清清楚楚、明明白白。不管写毕业设计,这是面试谈项目亮点,本文也将是你可以参考的点!
用户身份认证很重要,很多小细节,等你收割!相信本文一定会让你有所收获!OK,Let’s go!

PS,完整的用户身份认证代码早已实现,和狗哥也已联调通过,将分三篇来写,非常详细,料很足,准备好发车喽,Let’s go!
本文对应思维导图:
技术选型Session、Token、JWT?

专栏介绍

因为可能还有很多同学还不清楚上下文,所以简单介绍一下这个专栏要做的事:

天罡老哥和狗哥(博客主页)有意从0到1带大家搭建一个SpringBoot+SpringCloud+Vue的前后端分离项目!
打造一个短小精悍、技术主流、架构规范的前后端分离实战项目!我负责后端,狗哥负责前端!
目的就是让大家通过项目实战,学到一些真东西,将所学理论落地,助力有心强大的你更快的成长!开启你的工作之旅,让开发游刃有余!

详细的后端规划

了解本专栏 订阅专栏 解锁全文
天罡gg
关注
  • 77
    点赞
  • 75
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 129
    评论
专栏目录
订阅专栏
3-2. SpringBoot项目集成用户身份认证实战实战核心】基于JWT生成和校验Token
天罡gg的专栏
03-31 2671
书接上文技术选型,我们做了【用户身份认证】的技术选型说明,对基于SessionTokenJWT的方案进行了详细的对比分析,详细说明了它们都是什么和各自的优缺点!这些是实战的基础,还没看过的同学,建议先看上文。最终我和狗哥(博客主页) 采用的是目前流行的基于JWTToken用户身份认证机制! 本文是实战核心,重点是把JWT的核心代码实现! 基于上文我们分析的【用户身份认证】的流程(如下图),我们可以确定使用JWT的核心是实现两点:生成Token、校验Token! 接下来我们就来实现它!
基于springboot+jwt实现刷新token过程解析
08-19
基于SpringBoot+JWT实现刷新Token过程解析 标题解析 本文主要介绍了基于SpringBootJWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于...
关于session&cookies和JWT
qq_26976669的博客
01-28 624
session与cookies的区别: 额外信息由谁来维护。 利用cookies来实现会话管理时,用户的相关信息或者其他我们想要保持在每个请求中的信息,都是放在cookies中,而cookies是由客户端来保存,每当客户端发出新请求时,就会稍带上cookies,服务端会根据其中的信息进行操作。当利用session来进行会话管理时,客户端实际上只存了一个由服务端发送的session_id,而由这...
网络通信和IO(10):JWT详解、JWTSession Cookie使用区别
qq_40373699的博客
06-19 293
JSON Web TokenSession Cookies 的对比 JSON Web Token ,简称 JWT,它和 Session都可以为网站提供用户身份认证,但是它们不是一回事。下面是 JWTSession 不同之处的研究 JWTSession Cookies 的相同之处 在探讨 JWTSession Cookies 之前,有必要需要先去理解一下它们的相同之处。 它们既可以对用户进行身份验证,也可以用来在用户单击进入不同页面时以及登陆网站或应用程序后进行身份验证。 如果没有这
springboot实现身份认证
gaohechao的博客
02-28 1296
好久没总结项目了,最近一直比较忙都在加班,在整一个定制项目公交行业的,大致内容就是由于这几年受疫情影响好多年没有组织扫墓活动了,想通过定制车辆去扫墓,然后公交行业又有资源,是想做h5嵌入到公交app里面跟app做授权,有用户端和司机端,目前是这样做,然后有自己的一个管理平台做crud,大致有两个项目, 需要一个管理平台,去管理一些基础数据有一些导入导出功能,能实现基础表的crud操作,这里主要用的是人人开源的开源版本,前后台都是用的人人的,还是比较好上手的,后端是springboot 2....
SpringBoot集成JWT--实现token验证(转)
lingjianqwert110的博客
03-10 475
什么是JWTJWT即JSON WEB TOKEN,为了在网络应用环境上进行传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该token被设计者设计成紧凑且安全的,特别适用分布式站点的单点登陆(SSO)。JWT申明一般被用来在身份提供者和服务提供者之间传递被认证的用户信息,以便于从资源服务器上获取资源,也可以增加一些额外的业务逻辑所必需的的声明信息,该token可直接被用于认证了...
基于springboot的手机app端支付宝实名认证
a1430490717的博客
07-17 2383
yml配置文件: alipay: APP_ID: 2021001166634591 APP_PRIVATE_KEY: ALIPAY_PUBLIC_KEY: maven依赖: <!-- https://mvnrepository.com/artifact/com.alibaba/fastjson --> <dependency> <groupId>com.alibaba</groupId>
springboot 集成腾讯云市场身份证实名认证
hyddhy的博客
09-21 1137
该接口文档地址:https://market.cloud.tencent.com/products/6841,公司在使用,目前没发现什么问题 //控制层 @PostMapping("/getAuth") @ApiOperation(value = "实名认证接口", notes = "") public GlobalReponse<Object> getAuth(@RequestBody AuthDTO authDTO) throws NoSuchAlgorithmExcep
SpringBoot集成JWT实现token验证源码.zip
12-20
SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip 【备注】 主要针对计算机相关专业的正在做毕设的学生和需要项目实战Java学习者。 也可...
Springboot集成spring-security实现基于验证码的登录认证项目源码+项目说明.7z
12-18
Springboot集成spring-security实现基于验证码的登录认证项目源码+项目说明.7z springboot集成spring-security实现基于验证码的登录认证。 在spring-boot-security的基础上实现角色管理。 spring-boot-security-jwt...
SpringBoot集成JWT生成token及校验方法过程解析
08-19
JSON Web Tokens(JWT)是一种基于 Token 的身份验证机制,主要用于客户端和服务器端之间的身份验证。JWT token由三个部分组成:Header、Payload和Signature。其中,Header和Payload是明文的,Signature是通过Secret...
基于SpringBoot+Mybatis-Plus+JWT的前后端分离社区系统源码+项目说明.zip
01-08
1、基于SpringBoot+Mybatis-Plus+JWT的前后端分离社区系统源码+项目说明.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...
SpringBoot实现身份证实名认证(阿里云实现)
zhouhengzhe的博客
01-05 8222
文章目录1、功能展示2、购买API3、 API 文档 1、功能展示 地址:阿里云身份证实名认证 2、购买API 购买成功的结果: AppKey 图上面 AppSecret 图上面 AppCode 图上面 3、 API 文档 地址:api文档
SpringBoot集成身份证认证
xiao-啸
09-27 2473
SpringBoot集成身份证认证 1. 身份认证 此处我们升级为自动的认证过程,无需人工参与 1.1 功能展示 我们输入真实姓名和身份证号就能验证,其技术在于阿里云的身份认证接口. https://market.aliyun.com/products/57000002/cmapi022049.html?spm=5176.730005-56956004.productlist.d_cmapi022049.744d123e6WmvqO&innerSource=search#sku=yuncode16
SpringBoot实现基于token的登录验证
qq_36816062的博客
09-17 9694
SpringBoot实现基于token的登录验证        基于token的登录验证实现原理:客户端通过用户名和密码调用登录接口,当验证数据库中存在该用户后,将用户的信息按照token的生成规则,生成一个字符串token,返回给客户端,客户端在调用其他接口的时候,需要在请求头上带上token,来验证登录信息        Demo实现代码如下: (因为除登录接口外,
springboot项目集成JWT实现身份认证(权鉴)
dhklsl的专栏
04-11 1875
springboot集成JWT实现身份认证
第二十七天 SpringBootWeb(三)登录认证(JWT令牌,过滤器拦截器)
HuanLe.的博客
04-02 996
完善前一天 登录校验(过滤器Filter 拦截器Interceptor) 全局异常处理
SpringBoot集成JWT实现Token登录验证
热门推荐
Young_深情不及里子的博客
11-25 1万+
JSON Web令牌(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑而独立的方式在各方之间安全地传输信息为JSON对象。学习总结一下SpringBoot整合JWT的登录token验证,简单易理解哦~
Spring Boot中的多租户架构实现
最新发布
微赚淘客开发者博客
07-06 579
在多租户系统中,每个租户都能够安全且有效地使用相同的应用程序,同时确保数据隔离和性能独立性。通过合理的设计和实施,开发人员可以有效地管理和运行支持多个租户的应用程序,从而提升系统的灵活性和扩展性。每个租户是一个逻辑上独立的客户,拥有自己的数据、配置、用户界面等资源,而这些资源又可以在同一个应用程序实例中共享。在Spring Boot中配置多租户数据源,可以使用AbstractRoutingDataSource实现动态数据源切换,根据不同的租户标识动态择数据源。
SpringBoot集成jwt实现token认证
05-28
Spring Boot中,可以使用以下步骤将JWT集成到应用程序中以实现token认证: 1. 添加依赖项 在pom.xml文件中添加以下依赖项: ``` <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 创建Token工具类 创建一个JwtTokenUtil工具类,该类将用于生成和验证JWT令牌。以下是一个基本的JwtTokenUtil类: ```java public class JwtTokenUtil { private static final String SECRET_KEY = "secret"; public static String generateToken(String username) { Date now = new Date(); Date expiryDate = new Date(now.getTime() + 3600000); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expiryDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public static String getUsernameFromToken(String token) { return Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody() .getSubject(); } public static boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (SignatureException ex) { System.out.println("Invalid JWT signature"); } catch (MalformedJwtException ex) { System.out.println("Invalid JWT token"); } catch (ExpiredJwtException ex) { System.out.println("Expired JWT token"); } catch (UnsupportedJwtException ex) { System.out.println("Unsupported JWT token"); } catch (IllegalArgumentException ex) { System.out.println("JWT claims string is empty."); } return false; } } ``` 3. 创建安全配置类 创建一个SecurityConfig类,该类将用于配置Spring Security以使用JWT进行认证。以下是一个基本的SecurityConfig类: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Autowired private JwtUserDetailsService jwtUserDetailsService; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(jwtUserDetailsService).passwordEncoder(passwordEncoder()); } @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests().antMatchers("/authenticate").permitAll() .anyRequest().authenticated().and() .exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } } ``` 4. 创建用户详细信息服务类 创建一个JwtUserDetailsService类,该类将用于从数据库或其他存储中获取用户信息以进行身份验证。以下是一个基本的JwtUserDetailsService类: ```java @Service public class JwtUserDetailsService implements UserDetailsService { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 在这里获取用户信息并返回UserDetails对象 return null; } } ``` 5. 创建身份验证过滤器 创建一个JwtAuthenticationFilter类,该类将用于拦截所有请求,并进行JWT身份验证。以下是一个基本的JwtAuthenticationFilter类: ```java public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtUserDetailsService jwtUserDetailsService; @Autowired private JwtTokenUtil jwtTokenUtil; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { final String requestTokenHeader = request.getHeader("Authorization"); String username = null; String jwtToken = null; // JWT Token is in the form "Bearer token". Remove Bearer word and get only the Token if (requestTokenHeader != null && requestTokenHeader.startsWith("Bearer ")) { jwtToken = requestTokenHeader.substring(7); try { username = jwtTokenUtil.getUsernameFromToken(jwtToken); } catch (IllegalArgumentException e) { System.out.println("Unable to get JWT Token"); } catch (ExpiredJwtException e) { System.out.println("JWT Token has expired"); } } else { logger.warn("JWT Token does not begin with Bearer String"); } // Once we get the token validate it. if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = this.jwtUserDetailsService.loadUserByUsername(username); // if token is valid configure Spring Security to manually set authentication if (jwtTokenUtil.validateToken(jwtToken)) { UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); usernamePasswordAuthenticationToken .setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); // After setting the Authentication in the context, we specify // that the current user is authenticated. So it passes the // Spring Security Configurations successfully. SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); } } chain.doFilter(request, response); } } ``` 6. 创建身份验证控制器 创建一个JwtAuthenticationController类,该类将用于处理身份验证请求,生成JWT令牌并返回给客户端。以下是一个基本的JwtAuthenticationController类: ```java @RestController public class JwtAuthenticationController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtTokenUtil jwtTokenUtil; @Autowired private JwtUserDetailsService jwtUserDetailsService; @RequestMapping(value = "/authenticate", method = RequestMethod.POST) public ResponseEntity<?> createAuthenticationToken(@RequestBody JwtRequest authenticationRequest) throws Exception { authenticate(authenticationRequest.getUsername(), authenticationRequest.getPassword()); final UserDetails userDetails = jwtUserDetailsService .loadUserByUsername(authenticationRequest.getUsername()); final String token = jwtTokenUtil.generateToken(userDetails.getUsername()); return ResponseEntity.ok(new JwtResponse(token)); } private void authenticate(String username, String password) throws Exception { try { authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password)); } catch (DisabledException e) { throw new Exception("USER_DISABLED", e); } catch (BadCredentialsException e) { throw new Exception("INVALID_CREDENTIALS", e); } } } ``` 现在,您的Spring Boot应用程序已经集成JWT以进行身份验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 129
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天罡gg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值