SpringMVC加JWT token验证

最新推荐文章于 2024-05-15 22:26:35 发布
最新推荐文章于 2024-05-15 22:26:35 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: JWT SpringMVC 文章标签: jwt spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scottfan/article/details/106298535
版权

开发环境:

MyEclipse  2017 CI 10

Spring 5.0

jar文件:

jjwt-0.7.0.jar  ,  jjwt-jackson-0.11.1.jar  ,  jackson-annotations-2.10.0.jar ,jackson-core-2.10.0.jar ,jackson-databind-2.10.0.jar

jar文件下载地址:

https://repo1.maven.org/maven2/com/

jackson-annotations-2.10.0.jar ,jackson-core-2.10.0.jar ,jackson-databind-2.10.0.jar在下列位置

https://repo1.maven.org/maven2/com/fasterxml/jackson/core/

https://download.csdn.net/download/scottfan/12450094

网盘:https://pan.baidu.com/s/1qm-Oiq2ZhlL0YFAdcZBSoQ 

提取码:t3ht

 

在现有SpringMVC项目中新建用于生成Token的package,命名为 com.jwt,然后添加class,这里命名为JwtHelper。

package com.jwt;

import io.jsonwebtoken.*;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;
import org.apache.tomcat.util.codec.binary.Base64;


public class JwtHelper {
	private static final String key="scott";
	
	public static String GenerateToken(String userCode) throws Exception
	{
		String token = "";
		String jwt_id = UUID.randomUUID().toString();
		token = createJWT(jwt_id,userCode,"",60*120,userCode);
		return token;
	}
	/**
     * 解密jwt
     *
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey key = generalKey();  //签名秘钥,和生成的签名的秘钥一模一样
        Claims claims = Jwts.parser()  //得到DefaultJwtParser
                .setSigningKey(key)                 //设置签名的秘钥
                .parseClaimsJws(jwt).getBody();     //设置需要解析的jwt
        return claims;
    }
	/**
     * 创建jwt
     * @param id
     * @param issuer
     * @param subject
     * @param ttlMillis
     * @return
     * @throws Exception
     */
    private static String createJWT(String id, String issuer, String subject, long ttlMillis,String usercode) throws Exception {
 
        // 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
 
        // 生成JWT的时间
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
 
        // 创建payload的私有声明(根据特定的业务需要添加,如果要拿这个做验证,一般是需要和jwt的接收方提前沟通好验证方式的)
        Map<String, Object> claims = new HashMap<>();
        claims.put("userCode", usercode);
 
        // 生成签名的时候使用的秘钥secret,切记这个秘钥不能外露哦。它就是你服务端的私钥,在任何场景都不应该流露出去。
        // 一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
        SecretKey key = generalKey();
 
        // 下面就是在为payload添加各种标准声明和私有声明了
        JwtBuilder builder = Jwts.builder() // 这里其实就是new一个JwtBuilder,设置jwt的body
                .setClaims(claims)          // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setId(id)                  // 设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。
                .setIssuedAt(now)           // iat: jwt的签发时间
                .setIssuer(issuer)          // issuer:jwt签发人
                .setSubject(subject)        // sub(Subject):代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可以存放什么userid,roldid之类的,作为什么用户的唯一标志。
                .signWith(signatureAlgorithm, key); // 设置签名使用的签名算法和签名使用的秘钥
 
        // 设置过期时间
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp);
        }
        return builder.compact();
    }
    
    
    
    /**
     * 由字符串生成加密key
     *
     * @return
     */
    private static SecretKey generalKey() {
        
 
        // 本地的密码解码
        byte[] encodedKey = Base64.decodeBase64(key);
 
        // 根据给定的字节数组使用AES加密算法构造一个密钥
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
 
        return key;
    }
}

 新增针对WebApi方法的拦截器

新增package,命名为com.TokenInterceptor,添加class,命名为ApiInterceptor 并继承于 HandlerInterceptor

package com.TokenInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.resource.DefaultServletHttpRequestHandler;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import java.io.PrintWriter;
import java.lang.annotation.ElementType;
import java.lang.annotation.Inherited;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
import java.lang.reflect.Method;

import com.jwt.JwtHelper;

import io.jsonwebtoken.lang.Objects;


public class ApiInterceptor implements HandlerInterceptor {
	
    //JWT工具类

    //第一个函数preHandle是预处理函数,比如我们用于拦截登录时,它是第一个工作的。
	@Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object handler) throws Exception {

		//检查请求的地址是否有效,如果不加这个判断,客户端请求地址如果不存在,服务端会有      异常
		if (!(handler instanceof HandlerMethod))
		{
			httpServletResponse.setCharacterEncoding("application/json;charset=UTF-8");
			httpServletResponse.setContentType("application/json;charset=UTF-8");
			PrintWriter writer = httpServletResponse.getWriter();
            StringBuffer jsonTip = new StringBuffer("{\"result\":");
            jsonTip.append(false).append(",\"tip\":\"请求的地址无效\"}");
            writer.print(jsonTip.toString());
			return false;
		}
		//获取到目标方法对象
				HandlerMethod method = (HandlerMethod) handler;
				//取到方法上的注解
				ExcludeInterceptor methodAnnotation = method.getMethodAnnotation(ExcludeInterceptor.class);
				if (methodAnnotation != null) {
					//无此注解的一律拦截
					System.out.println("This function is restricted");
					return false;
				}
		
		httpServletResponse.setCharacterEncoding("utf-8");
    	System.out.println("进入preHandle方法");

    	//获取我们请求头中的token验证字符
    	String headerToken=httpServletRequest.getHeader("token");
        System.out.println("Token from header:"+headerToken);
		String userCode= httpServletRequest.getParameter("userCode");

        //getParameter的变量是放在我们请求附带的对象中的字符串,例如post方法中附带的account变量等。
		String url = httpServletRequest.getRequestURI();
		System.out.println(url);
		//检测当前页面,我们设置当页面不是登录页面时对其进行拦截
        //if(!httpServletRequest.getRequestURI().contains("login")){

        
		//将token加入返回页面的header
        httpServletResponse.setHeader("token",headerToken);

        

        return true;
        //当返回true表示第一个阶段结束,随后会执行postHandle和afterCompletion
    }

    

    //当请求到达Controller但是未渲染View时进行处理

    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }


    //相当于最后的回调函数

    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }
    
    //拦截器注解
    @Target(ElementType.METHOD)
    @Retention(RetentionPolicy.RUNTIME)
    @Inherited
    public @interface ExcludeInterceptor {

    }

}

代码中if (!(handler instanceof HandlerMethod))这句必须要加,要不然请求的地址不存在时,服务端会报错

java.lang.ClassCastException:      org.springframework.web.servlet.resource.DefaultServletHttpRequestHandler cannot be cast to org.springframework.web.method.HandlerMet

//拦截器注解
    @Target(ElementType.METHOD)
    @Retention(RetentionPolicy.RUNTIME)
    @Inherited
    public @interface ExcludeInterceptor {

    }

 这部分代码目的是指定某个方法需要验证Token,拦截器是针对整个Controller中的方法有效的,通过这个拦截器注解,就可以判断出那个方法不用验证。

需要验证Token的方法,加@ExcludeInterceptor注解即可

@ExcludeInterceptor
    @RequestMapping("/PlaceOrder")
    public String PlaceOrder {  
        System.out.println("PlaceOrder");
        return "success";
    }

如登录方法是获取Token的,就不需验证了。具体验证方法,在上述代码块中有标记。

个人学习笔记,部分代码来源于网上代码。

scottfan
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SSM(Spring+Springmvc+MyBatis)+ajax+JWT,实现登录JWT(token)认证获取权限
qq_50617892的博客
05-18 575
本人最近钻研SpringMVC,都是学习感悟与个人看法,接受任何提问与建议,希望大家提出自己独特的见解,谢谢。
Spring Gateway使用JWT实现统一身份认证
王广帅--游戏开发技术
05-23 1790
主要介绍JWT Token在网关统一鉴权中的使用
Spring MVC】拦截器、JWT 认证与 ThreadLocal 数据共享笔记
最新发布
ajsbxi的博客
05-15 976
Spring MVC框架中,拦截器、JWT认证和ThreadLocal工具共同构建了强大的安全与请求处理机制。它们协同工作,确保了应用的安全性、高效性和线程安全。拦截器、JWT和ThreadLocal在Web开发中扮演关键角色,提供安全认证、请求预处理和线程局部数据管理,强化了应用的安全性、效率和维护性,是构建现代Web服务不可或缺的技术栈。理解和掌握这些技术,对于提升开发质量至关重要。
springmvc结合jwt的使用,实现前后端分离token验证
左小轩的博客
07-26 4601
1.首先需要导入maven依赖 <dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-core</artifactId> <version>2.9.4</version> </...
SpringBoot集成JWT实现Token登录验证
我爱写代码 我爱写代码 我爱写代码
05-04 1003
SpringBoot集成JWT实现Token登录验证
spring-token:整合JWTspringspringMVC,实现基于token验证
05-11
整合JWTspringspringMVC,实现基于token验证 因为CSDN博客上 这篇文章好多小伙伴希望我分享一下源码, 我这边就这个功能单独拉出来写了一个小示例供大家分享。 因为这篇博客讲的是基于JWTspringspringMVC的...
SpringMVC精品资源--整合JWTspringspringMVC,实现基于token验证.zip
02-18
【标题】中的“SpringMVC精品资源--整合JWTspringspringMVC,实现基于token验证”是一个关于使用Spring框架,特别是SpringMVC,与JSON Web Tokens (JWT)集成的教程或项目。这个主题涉及了现代Web应用中常见的...
JWT(JsonWebToken)+SpringMVC demo
10-12
JSON Web TokenJWT)...总结,`JWT+SpringMVC`的示例项目展示了如何在基于Spring的Web应用中实现安全的身份验证和授权。通过理解JWT的工作原理和如何在Spring MVC中集成它,开发者可以创建更安全、更高效的Web服务。
基于Vue和SSM框架的康养App后端源码,集成JWTToken与WebSocket消息推送
03-25
1. 安全性:项目集成了JWT(JSON Web Token)双Token机制,分别为访问Token和刷新Token,确保了用户身份的安全验证和数据传输的安全性。 2. 实时通信:利用WebSocket技术实现服务端与客户端之间的实时消息推送,提高...
JWT(JsonWebToken)+SpringMVC项目demo
09-21
JSON Web TokenJWT)是一个非常轻巧的规范。现在免费给大家分享一个JWT(JsonWebToken)+SpringMVC项目的demo!
Spring Cloud Gateway 2.1 使用手册中文版
08-25
版本:2.1.0.BUILD-SNAPSHOT。 这个项目提供了一个构建在Spring生态系统之上的API网关,包括:Spring 5,Spring Boot 2和Project Reactor。 Spring Cloud Gateway旨在提供一种简单而有效的API路由方式,并为其提供横切关注点,例如:安全,监控/指标和弹性。 特征: (1)构建于Spring Framework 5,Project Reactor 和 Spring Boot 2.0 (2)能够匹配任何请求属性的路由 (3)谓词和过滤器对于路由是特定的 (4)Hystrix断路器集成 (5)Spring Cloud DiscoveryClient集成 (6)易于编写谓词和过滤器 (7)请求速率限制 (8)路径重写
基于springmvc 通过注解方式实现token(重复提交)验证
傻根她弟
09-02 500
token验证,记得当年struts/struts2的时候,现在页面设置token,然后在 action进行验证,而在springmvc下,有更简单的方法 具体实现如下: /** * 防止重复提交 * @author 傻根她弟 * */ @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) @Docume...
spring cloud gateway + jwt 认证服务
weixin_47240281的博客
03-31 606
4.在gateway模块新建filter包新建AuthFilter类并实现GlobalFilter类和Ordered类用作网关过滤器代码如下,当请求与路由匹配时,Web 处理程序会将所有的GlobalFilter和特定的GatewayFilter添到过滤器链中。2.创建子模块 名为 gateway 用来配置网关,创建名为usercenter的子模块用来做用户认证服务。5.在gateway模块下创建utils包并创建JwtUtils类用来做token生成的一些操作代码如下。6.现在可以用来做登录操作啦。
Spring Cloud 学习笔记(6) gateway 结合 JWT 实现身份认证
张云飞Vir的专栏
05-17 2561
1. 背景 Spring cloud gateway 是一个api网关,可以作为 api 接口的统一入口点。实际使用过程中往往需要 对 一个 URL 进行身份认证,比如必须携带token令牌才能访问具体的URL等,这个过程可以统一在 gateway 网关实现。 JWT 是一种数字签名(令牌)的格式。借助于 java 类库的 JWT 实现我们可以很方便的实现 生成token,和验证,解析token。...
[框架]Spring下接口的测试方法
shichimiyasatone的博客
11-11 734
一、困境 系统中存在用户的概念,接口测试时需要额外考虑处理登录的过滤器。 接口篡改数据,对于长流程的调用一步到底太过繁琐,直接更改可能产生脏数据。 二、解决 使用@Primary和@Bean“屏蔽”掉容器内的过滤器。 使用@SqlGroup建立内存数据库。 三、代码 过滤器配置类SkipAuthConfig // 根据skipAuth进行触发 @Profile("skipAuth...
gateway-统一权限-认证
热门推荐
JAVAMysql111的博客
04-10 1万+
基础名词概念 **权限:**属于系统的安全范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全控制策略用户可以访问而且只能访问自己被授权的资源,主要包括用户身份认证和请求鉴权两部分,简称认证鉴权 认证判断一个用户是否为合法用户的处理过程,最常用的简单身份认证是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确 鉴权:即访问控制,控制谁能访问那些资源;进行身份认证后需要分配权限可访问的系统资源,对于某些资源没有权限是无法访问的,如下图所示 权
SpringCloud Gateway 实现自定义全局过滤器 + JWT权限验证
知道的越多 不知道的就越多
08-09 8866
1、gateway filter的生命周期Spring Cloud Gateway同zuul类似,有“pre”和“post”两种方式的filter。客户端的请求先经过“pre”类型的filter,然后将请求转发到具体的业务服务,收到业务服务的响应之后,再经过“post”类型的filter处理,最后返回响应到客户端pre类型的filter:在业务逻辑之前post类型的filter:在业务逻辑之后2、gateway filter的应用场景。...
springmvc、Mybatis、JWT、Swagger的定义
05-17
3. JWT(JSON Web Token)是一种基于JSON的安全传输协议,用于在网络上传输信息时进行身份验证和授权。 4. Swagger是一个用于设计、构建、文档化和测试RESTful API的开源框架,它能够自动生成API文档,并提供了一套...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值