SpringBoot+JWT完成token验证

最新推荐文章于 2024-07-31 17:45:06 发布
最新推荐文章于 2024-07-31 17:45:06 发布
阅读量3.9k 收藏 3
点赞数 1
分类专栏: 架构资料

什么是JWT

Json Web Token(JWT):JSON网络令牌,是为了在网络应用环境间传递声明而制定的一种基于JSON的开放标准((RFC 7519)。JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式用于通信双方之间以 JSON 对象行使安全的传递信息。因为数字签名的存在,这些信息是可信的。

广义上讲JWT是一个标准的名称;狭义上讲JWT指的就是用来传递的那个token字符串。

JWT的组成

JWT含有三个部分:

  • 头部(header)
  • 载荷(payload)
  • 签证(signature)

头部(header)

头部一般有两部分信息:类型、加密的算法(通常使用HMAC SHA256)

头部一般使用base64加密:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

解密后:

 
{ "typ":"JWT", "alg":"HS256" }

载荷(payload)

该部分一般存放一些有效的信息。JWT的标准定义包含五个字段:

  • iss:该JWT的签发者
  • sub:该JWT所面向的用户
  • aud:接收该JWT的一方
  • exp(expires):什么时候过期,这里是一个Unit的时间戳
  • iat(issued at):在什么时候签发的

签证(signature)

JWT最后一个部分。该部分是使用了HS256加密后的数据;包含三个部分:

  • header(base64后的)
  • payload(base64后的)
  • secret 私钥

secret是保存在服务器端的,JWT的签发生成也是在服务器端的,secret就是用来进行JWT的签发和JWT的验证,所以,它就是你服务端的秘钥,在任何场景都不应该流露出去。一旦客户端得知这个secret,那就意味着客户端可以自我签发JWT了。

JWT特点

  • 紧凑:意味着这个字符串很小,甚至可以放在URL参数,POST Parameter中以Http Header的方式传输。
  • 自包含:传输的字符串包含很多信息,别人拿到以后就不需要多次访问数据库获取信息,而且通过其中的信息就可以知道加密类型和方式(当然解密需要公钥和密钥)。

如何使用JWT?

在身份鉴定的实现中,传统的方法是在服务端存储一个 session,给客户端返回一个 cookie,而使用JWT之后,当用户使用它的认证信息登录系统之后,会返回给用户一个JWT, 用户只需要本地保存该 token(通常使用localStorage,也可以使用cookie)即可。

当用户希望访问一个受保护的路由或者资源的时候,通常应该在 Authorization 头部使用 Bearer 模式添加JWT,其内容格式:

 
Authorization: Bearer <token>

因为用户的状态在服务端内容中是不存储的,所以这是一种无状态的认证机制。服务端的保护路由将会检查请求头 Authorization 中的JWT信息,如果合法,则允许用户的行为。由于JWT是 自包含的,因此,减少了需要查询数据库的需要。

JWT的这些特征使得我们可以完全依赖无状态的特性提供数据API服务。因为JWT并不使用Cookie的,所以你可以在任何域名提供你的API服务而不需要担心跨域资源共享问题(CORS)

下面的序列图展示了该过程:

 

中文流程介绍:

  1. 用户使用账号和密码发出POST登录请求;
  2. 服务器使用私钥创建一个JWT;
  3. 服务器返回这个JWT给浏览器;
  4. 浏览器将该JWT串放在请求头中向服务器发送请求;
  5. 服务器验证该JWT;
  6. 返回响应的资源给浏览器。

说了这么多JWT到底如何应用到我们的项目中,下面我们就使用SpringBoot 结合 JWT完成用户的登录验证。

应用流程

  • 初次登录生成JWT流程图

 

  •  
  • 用户访问资源流程图

 

  •  

搭建SpringBoot + JWT工程

下面通过代码来实现用户认证的功能,博主这里主要采用Spring Boot与JWT整合的方式实现。关于Spring Boot项目如何搭建与使用本章不做详细介绍。

  1. 首先引入JWT依赖:
 
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency>
  1. 在工程 application.yml 配置文件中添加JWT的配置信息:
 
##jwt配置 audience:  # 代表这个JWT的接收对象,存入audience clientId: 098f6bcd4621d373cade4e832627b4f6  # 密钥, 经过Base64加密, 可自行替换 base64Secret: MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=  # JWT的签发主体,存入issuer name: restapiuser  # 过期时间,时间戳 expiresSecond: 172800
  1. 新建配置信息的实体类,以便获取JWT配置:
 
@Data @ConfigurationProperties(prefix = "audience") @Component public class Audience { private String clientId; private String base64Secret; private String name; private int expiresSecond; }

JWT验证主要是通过过滤器验证,所以我们需要添加一个拦截器来演请求头中是否包含有后台颁发的 token,这里请求头的格式:

 
Authorization: Bearer <token>
  1. 创建JWT工具类:
 
package com.thtf.util; import com.thtf.common.exception.CustomException; import com.thtf.common.response.ResultCode; import com.thtf.model.Audience; import io.jsonwebtoken.*; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import javax.crypto.spec.SecretKeySpec; import javax.xml.bind.DatatypeConverter; import java.security.Key; import java.util.Date; /** * ======================== * Created with IntelliJ IDEA. * User:pyy * Date:2019/7/17 17:24 * Version: v1.0 * ======================== */ public class JwtTokenUtil { private static Logger log = LoggerFactory.getLogger(JwtTokenUtil.class); public static final String AUTH_HEADER_KEY = "Authorization"; public static final String TOKEN_PREFIX = "Bearer "; /** * 解析jwt * @param jsonWebToken * @param base64Security * @return */ public static Claims parseJWT(String jsonWebToken, String base64Security) { try { Claims claims = Jwts.parser() .setSigningKey(DatatypeConverter.parseBase64Binary(base64Security)) .parseClaimsJws(jsonWebToken).getBody(); return claims; } catch (ExpiredJwtException eje) { log.error("===== Token过期 =====", eje); throw new CustomException(ResultCode.PERMISSION_TOKEN_EXPIRED); } catch (Exception e){ log.error("===== token解析异常 =====", e); throw new CustomException(ResultCode.PERMISSION_TOKEN_INVALID); } } /** * 构建jwt * @param userId * @param username * @param role * @param audience * @return */ public static String createJWT(String userId, String username, String role, Audience audience) { try { // 使用HS256加密算法 SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; long nowMillis = System.currentTimeMillis(); Date now = new Date(nowMillis); //生成签名密钥 byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(audience.getBase64Secret()); Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName()); //userId是重要信息,进行加密下 String encryId = Base64Util.encode(userId); //添加构成JWT的参数 JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT") // 可以将基本不重要的对象信息放到claims .claim("role", role) .claim("userId", userId) .setSubject(username) // 代表这个JWT的主体,即它的所有人 .setIssuer(audience.getClientId()) // 代表这个JWT的签发主体; .setIssuedAt(new Date()) // 是一个时间戳,代表这个JWT的签发时间; .setAudience(audience.getName()) // 代表这个JWT的接收对象; .signWith(signatureAlgorithm, signingKey); //添加Token过期时间 int TTLMillis = audience.getExpiresSecond(); if (TTLMillis >= 0) { long expMillis = nowMillis + TTLMillis; Date exp = new Date(expMillis); builder.setExpiration(exp) // 是一个时间戳,代表这个JWT的过期时间; .setNotBefore(now); // 是一个时间戳,代表这个JWT生效的开始时间,意味着在这个时间之前验证JWT是会失败的 } //生成JWT return builder.compact(); } catch (Exception e) { log.error("签名失败", e); throw new CustomException(ResultCode.PERMISSION_SIGNATURE_ERROR); } } /** * 从token中获取用户名 * @param token * @param base64Security * @return */ public static String getUsername(String token, String base64Security){ return parseJWT(token, base64Security).getSubject(); } /** * 从token中获取用户ID * @param token * @param base64Security * @return */ public static String getUserId(String token, String base64Security){ String userId = parseJWT(token, base64Security).get("userId", String.class); return Base64Util.decode(userId); } /** * 是否已过期 * @param token * @param base64Security * @return */ public static boolean isExpiration(String token, String base64Security) { return parseJWT(token, base64Security).getExpiration().before(new Date()); } }
  1. 创建JWT验证拦截器:
 
package com.thtf.interceptor; import com.thtf.annotation.JwtIgnore; import com.thtf.common.exception.CustomException; import com.thtf.common.response.ResultCode; import com.thtf.model.Audience; import com.thtf.util.JwtTokenUtil; import lombok.extern.slf4j.Slf4j; import org.apache.commons.lang3.StringUtils; import org.springframework.beans.factory.BeanFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.http.HttpMethod; import org.springframework.web.context.support.WebApplicationContextUtils; import org.springframework.web.method.HandlerMethod; import org.springframework.web.servlet.handler.HandlerInterceptorAdapter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; /** * ======================== * token验证拦截器 * Created with IntelliJ IDEA. * User:pyy * Date:2019/7/18 9:46 * Version: v1.0 * ======================== */ @Slf4j public class JwtInterceptor extends HandlerInterceptorAdapter{ @Autowired private Audience audience; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 忽略带JwtIgnore注解的请求, 不做后续token认证校验 if (handler instanceof HandlerMethod) { HandlerMethod handlerMethod = (HandlerMethod) handler; JwtIgnore jwtIgnore = handlerMethod.getMethodAnnotation(JwtIgnore.class); if (jwtIgnore != null) { return true; } } if (HttpMethod.OPTIONS.equals(request.getMethod())) { response.setStatus(HttpServletResponse.SC_OK); return true; } // 获取请求头信息authorization信息 final String authHeader = request.getHeader(JwtTokenUtil.AUTH_HEADER_KEY); log.info("## authHeader= {}", authHeader); if (StringUtils.isBlank(authHeader) || !authHeader.startsWith(JwtTokenUtil.TOKEN_PREFIX)) { log.info("### 用户未登录,请先登录 ###"); throw new CustomException(ResultCode.USER_NOT_LOGGED_IN); } // 获取token final String token = authHeader.substring(7); if(audience == null){ BeanFactory factory = WebApplicationContextUtils.getRequiredWebApplicationContext(request.getServletContext()); audience = (Audience) factory.getBean("audience"); } // 验证token是否有效--无效已做异常抛出,由全局异常处理后返回对应信息 JwtTokenUtil.parseJWT(token, audience.getBase64Secret()); return true; } }
  1. 配置拦截器:
 
package com.thtf.config; import com.thtf.interceptor.JwtInterceptor; import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; /** * ======================== * Created with IntelliJ IDEA. * User:pyy * Date:2019/7/18 10:37 * Version: v1.0 * ======================== */ @Configuration public class WebConfig implements WebMvcConfigurer { /** * 添加拦截器 */ @Override public void addInterceptors(InterceptorRegistry registry) { //拦截路径可自行配置多个 可用 ,分隔开 registry.addInterceptor(new JwtInterceptor()).addPathPatterns("/**"); } /** * 跨域支持 * * @param registry */ @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") .allowCredentials(true) .allowedMethods("GET", "POST", "DELETE", "PUT", "PATCH", "OPTIONS", "HEAD") .maxAge(3600 * 24); } }

这里JWT可能会有跨域问题,配置跨域支持。

  1. 编写测试Controller接口:
 
package com.thtf.controller; import com.alibaba.fastjson.JSONObject; import com.thtf.annotation.JwtIgnore; import com.thtf.common.response.Result; import com.thtf.model.Audience; import com.thtf.util.JwtTokenUtil; import lombok.extern.slf4j.Slf4j; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RestController; import javax.servlet.http.HttpServletResponse; import java.util.UUID; /** * ======================== * Created with IntelliJ IDEA. * User:pyy * Date:2019/7/18 10:41 * Version: v1.0 * ======================== */ @Slf4j @RestController public class AdminUserController { @Autowired private Audience audience; @PostMapping("/login") @JwtIgnore public Result adminLogin(HttpServletResponse response, String username,String password) { // 这里模拟测试, 默认登录成功,返回用户ID和角色信息 String userId = UUID.randomUUID().toString(); String role = "admin"; // 创建token String token = JwtTokenUtil.createJWT(userId, username, role, audience); log.info("### 登录成功, token={} ###", token); // 将token放在响应头 response.setHeader(JwtTokenUtil.AUTH_HEADER_KEY, JwtTokenUtil.TOKEN_PREFIX + token); // 将token响应给客户端 JSONObject result = new JSONObject(); result.put("token", token); return Result.SUCCESS(result); } @GetMapping("/users") public Result userList() { log.info("### 查询所有用户列表 ###"); return Result.SUCCESS(); } }
  1. 接下来我们使用PostMan工具进行测试:

没有登录时候直接访问:http://localhost:8080/users 接口:

 

执行登录:

 

携带生成token再次访问:http://localhost:8080/users 接口

 

注意:这里选择 Bearer Token类型,就把不要在 Token中手动Bearer,postman会自动拼接。

作者:白天不懂夜的黑

链接:https://www.jianshu.com/p/430cd44a2796

来源:知乎

殷十娘
关注
专栏目录
SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
基于springboot+jwt实现刷新token过程解析
08-19
在拦截器中,我们使用JwtUtil.verify()方法来验证Token的有效期,如果 Token 已经过期,则重新登录。 优点和缺点 在线刷新Token的方式可以实时刷新Token,提高了系统的安全性。但是,这种方式需要频繁地访问Redis,...
基于SpringBoot使用JWT实现Token认证
热门推荐
Leopard锋的博客
03-11 1万+
目录 一、JWT的介绍 1、什么是JWT 2、、基于token的鉴权机制 3、JWT的构成 二、简单实战 1、新建一个简单的springboot项目 2、自定义登录异常处理 3、全局异常拦截处理输出 4、创建工具类 5、token的生成和拦截 三、参考文献 一、JWT的介绍 1、什么是JWT Json web tokenJWT)是为了网络应用环境间传递声明而执...
springboot系列教程(二十六):springboot整合JWT框架,解决Token验证问题
最新发布
weixin_43860634的博客
07-31 600
springboot系列教程(二十六):springboot整合JWT框架,解决Token验证问题
springboot实现jwttoken认证
噗嗤
04-21 558
一、 jwt实现登陆认证流程 用户使用账号和面发出post请求 服务器接受到请求后使用私钥创建一个jwt,这边会生成token 服务器返回这个jwt给浏览器 浏览器需要将带有tokenjwt放入请求头 每次手到客户端请求,服务器验证jwttoken 验证成功返回响应的资源给浏览器。否则异常处理 二、 相关介绍jwt 2.1jwt 组成 JWTtoken由三段信息构成的,将这三段信息文本用.连接一起就构成了JWT字符串; Header 头部(包含了令牌的元数据,并且包含签名和或加密算法的类型
SpringBoot集成JWT实现token验证
一个学习困难症患者的破博客
05-22 442
JWT官网: https://jwt.io/ JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 JWT请求流程 用户使用账号和面发出
springboot banner.txt 在线制作
狼魂之力
10-22 1945
https://www.cnblogs.com/bdjsdl/p/13439469.html 另外 有几个网站也是在线制作 banner的 http://patorjk.com/software/taag/ https://www.bootschool.net/ascii http://www.network-science.de/ascii/ https://www.degraeve.com/img2txt.php 佛祖保佑 永无bug _ooOoo_
springboot + jwt + websocket + 拦截
09-02
在IT行业中,Spring Boot、JWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统中实现的一种中间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
springboot+mybatis-plus+jwt+redis的简易后端框架
04-10
一个简单的后端框架,实现步骤可以根据文章 ...2.springboot+JWT+redis实现token身份令牌验证(附代码)(超详细) https://blog.csdn.net/pengpm/article/details/124077041?spm=1001.2014.3001.5501
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
springboot+redis+token保持登录
08-03
在现代Web应用开发中,保持用户登录状态是一个常见的需求,"springboot+redis+token保持登录"的主题就涉及到了如何利用Spring Boot、Redis以及Token技术来实现这一功能。本文将详细探讨这一技术栈的实现原理和步骤。...
JWT 生成Token验证
01-22
JWT生成token验证(过期时间)用于前后断分离,及APP认证,可结合redis使用也可单独使用。
JWT Token生成及验证
11-03
请参考博客:http://www.cnblogs.com/chenwolong/p/Token.html
JWT token验证
曾令胜的博客
06-09 884
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 这种模式的问题在于,扩展性(scaling)不好。单机当然没有问
SpringBoot集成JWT实现Token登录验证
Young_深情不及里子的博客
11-25 1万+
JSON Web令牌(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑而独立的方式在各方之间安全地传输信息为JSON对象。学习总结一下SpringBoot整合JWT的登录token验证,简单易理解哦~
SpringBoot——JWTtoken
逾越的博客
10-23 3869
1.JWT JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2.优点 1.无状态 2.有效避免了CSRF 攻击(跨站请求伪造,属于网络攻击领域范围) 3.适合移动端应用 4.单点登录友好(SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。) @Slf4j public class JwtUtil { //过期时
SpringBoot】1、SpringBoot整合JWT实现Token验证
qq_24099547的博客
04-10 8794
单点登录
SpringBoot+JWT:实现Token登录权限认证详解
"本文详细介绍了如何使用SpringBoot结合JWT(JSON Web Token)实现用户登录权限认证。文中通过具体的示例代码,展示了JWT的登陆认证流程、JWT的构成以及其优势,并给出了项目的依赖配置。" 在现代Web应用中,安全性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值