JWT登录的简单案例

已于 2023-09-12 00:00:50 修改
阅读量178 收藏
点赞数 3
分类专栏: 安全相关 Spring随记 文章标签: java spring boot
于 2023-09-12 00:00:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/strap/article/details/132819718
版权

jwt登录的简单实现案例

token构成

token=base64(header).base4(payload).hmacsha256(base64(header) + "." + base4(payload), secret)

一、JWT登录校验后台实现

package com.strap.mydemo.service.impl;

import cn.hutool.core.codec.Base64;
import cn.hutool.core.convert.Convert;
import cn.hutool.core.date.DateUnit;
import cn.hutool.core.map.MapUtil;
import cn.hutool.core.util.CharsetUtil;
import cn.hutool.core.util.StrUtil;
import cn.hutool.crypto.asymmetric.KeyType;
import cn.hutool.crypto.asymmetric.RSA;
import cn.hutool.crypto.digest.BCrypt;
import cn.hutool.http.Header;
import cn.hutool.jwt.JWT;
import cn.hutool.jwt.JWTUtil;
import cn.hutool.jwt.signers.JWTSignerUtil;
import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
import com.baomidou.mybatisplus.extension.service.impl.ServiceImpl;
import com.strap.mydemo.constants.MyDemoConstants;
import com.strap.mydemo.entity.UserDetail;
import com.strap.mydemo.enums.BaseResultType;
import com.strap.mydemo.exceptions.BaseResultException;
import com.strap.mydemo.mapper.UserDetailMapper;
import com.strap.mydemo.service.IUserDetailService;
import lombok.extern.log4j.Log4j;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Service;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.nio.charset.StandardCharsets;
import java.security.MessageDigest;
import java.security.SecureRandom;
import java.time.Duration;
import java.util.HashMap;

/**
 * <p>
 * jwt登录验证服务实现类
 * </p>
 *
 * @author strap
 */
@Service
@Log4j
public class UserDetailServiceImpl extends ServiceImpl<UserDetailMapper, UserDetail> implements IUserDetailService {

    /**
     * jwt登录失效时间
     */
    private static final Long LOGIN_EXPIRE_TIME = DateUnit.HOUR.getMillis();

    /**
     * 私钥失效时间
     */
    private static final Long PRI_KEY_EXPIRE_TIME = 30 * DateUnit.MINUTE.getMillis();

    /**
     * 私钥缓存前缀
     */
    private static final String PRI_KEY_PREFIX_NAME = "$LOGIN_PRI_KEY@";

    private static final String TOKEN_HEADER_PREFIX = "Bearer ";

    private RedisTemplate<String, Object> redisTemplate;

    private UserDetailMapper userDetailMapper;

    @Resource
    public void setUserDetailMapper(UserDetailMapper userDetailMapper) {
        this.userDetailMapper = userDetailMapper;
    }

    @Resource
    public void setRedisTemplate(RedisTemplate<String, Object> redisTemplate) {
        this.redisTemplate = redisTemplate;
    }

    @Override
    public boolean login(UserDetail userDetail, String pwd) throws Exception {
        // 获取私钥解密密码
        String privateKeyBase64 = Convert.toStr(redisTemplate.opsForValue().get(PRI_KEY_PREFIX_NAME + userDetail.getUsername()));
        BaseResultType.FAILED.isEmpty(privateKeyBase64, () -> "public key is invalid");
        byte[] decrypt;
        try {
            RSA rsa = new RSA(privateKeyBase64, null);
            // 获取原始密码
            decrypt = rsa.decrypt(Base64.decode(pwd), KeyType.PrivateKey);
        } catch (Exception e) {
            log.error("rsa.decrypt failed, \npwd:" + pwd + "\nprivateKeyBase64:" + privateKeyBase64, e);
            throw new BaseResultException(BaseResultType.FAILED, () -> "the entered password is incorrect");
        }
        // 将原始密码使用用户盐+BCrypt加密后与数据库比对
        String encryptPwd = encryptPwd(StrUtil.str(decrypt, CharsetUtil.CHARSET_UTF_8), userDetail.getSalt());
        // 不要简单使用string的equals对密码进行比较,可能产生计时攻击
        return MessageDigest.isEqual(encryptPwd.getBytes(CharsetUtil.CHARSET_UTF_8), userDetail.getPassword().getBytes(CharsetUtil.CHARSET_UTF_8));
    }

    @Override
    public UserDetail queryUserByUserName(String userName) throws Exception {
        // 获取用户信息
        UserDetail user = userDetailMapper.selectOne(
                new LambdaQueryWrapper<UserDetail>().eq(
                        UserDetail::getUsername, userName
                )
        );
        BaseResultType.FAILED.isNull(user, () -> "user not exists");
        return user;
    }

    @Override
    public String encryptPwd(String sourcePwd, String salt) throws Exception {
        return BCrypt.hashpw(sourcePwd, BCrypt.gensalt(10, new SecureRandom(salt.getBytes())));
    }

    @Override
    public String getPublicKeyBase64(String userName) throws Exception {
        RSA rsa = new RSA();
        redisTemplate.opsForValue().set(PRI_KEY_PREFIX_NAME + userName, rsa.getPrivateKeyBase64(), Duration.ofMillis(PRI_KEY_EXPIRE_TIME));
        return rsa.getPublicKeyBase64();
    }

    @Override
    public String generateJwtToken(UserDetail userDetail) throws Exception {
        return JWTUtil.createToken(
                MapUtil.builder(new HashMap<String, Object>(3))
                        .put("userName", userDetail.getUsername())
                        .put(MyDemoConstants.UserConstants.JWT_EXPIRE_KEY, System.currentTimeMillis() + LOGIN_EXPIRE_TIME)
                        .build(),
                JWTSignerUtil.hs256(getLoginSecretStr())
        );
    }

    @Override
    public byte[] getLoginSecretStr() throws Exception {
        // TODO 服务密钥
        return "ajk1234562laskasfdj$lajsldas%asdaf".getBytes(StandardCharsets.UTF_8);
    }

    @Override
    public boolean verify(HttpServletRequest request) throws Exception {
        String token = StrUtil.removeAll(request.getHeader(Header.AUTHORIZATION.getValue()), TOKEN_HEADER_PREFIX);
        BaseResultType.ILLEGAL_ARG.isEmpty(token, () -> "token cannot be empty");
        JWT jwt = JWT.of(token);
        BaseResultType.TOKEN_EXPIRE.isError(Convert.toLong(jwt.getPayload(MyDemoConstants.UserConstants.JWT_EXPIRE_KEY), 0L) < System.currentTimeMillis(),
                () -> "token has expired");
        BaseResultType.FAILED.isError(!jwt.verify(JWTSignerUtil.hs256(getLoginSecretStr())), () -> "invalid token");
        return true;
    }
}

二、拦截方式

方式一:通过拦截器的方式拦截无效请求

  1. 增加配置类
package com.strap.mydemo.config;

import com.strap.mydemo.interceptors.LoginInterceptor;
import com.strap.mydemo.service.IUserDetailService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * <p></p>
 *
 * @author strap
 */
@Configuration
public class WebConfig implements WebMvcConfigurer {

    private IUserDetailService userDetailService;

    @Autowired
    public void setUserDetailService(IUserDetailService userDetailService) {
        this.userDetailService = userDetailService;
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new LoginInterceptor(userDetailService))
                .addPathPatterns("/**")
                .excludePathPatterns("/login", "/login/publicKey/get", "/test*");
    }
}
  1. 增加拦截器类
package com.strap.mydemo.interceptors;

import com.strap.mydemo.service.IUserDetailService;
import lombok.extern.log4j.Log4j;
import org.jetbrains.annotations.NotNull;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * <p></p>
 *
 * @author strap
 */
@Log4j
public class LoginInterceptor implements HandlerInterceptor {

    private final IUserDetailService userDetailService;

    public LoginInterceptor(IUserDetailService userDetailService) {
        this.userDetailService = userDetailService;
    }

    @Override
    public boolean preHandle(@NotNull HttpServletRequest request, @NotNull HttpServletResponse response, Object handler) throws Exception {
        return userDetailService.verify(request);
    }


}

方式二:通过AOP切面方式拦截无效请求

  1. 引入AOP依赖
      <dependency>
              <groupId>org.springframework.boot</groupId>
              <artifactId>spring-boot-starter-aop</artifactId>
      </dependency>
  1. 新增权限控制注解
package com.strap.mydemo.annotations;

import java.lang.annotation.*;

/**
 * <p>自定义权限注解</p>
 *
 * @author strap
 */
@Target(value = ElementType.METHOD)
@Documented
@Retention(value = RetentionPolicy.RUNTIME)
public @interface MyDemoAuth {

    /**
     * 是否校验token
     */
    boolean checkToken() default true;

}
  1. 增加切面类
package com.strap.mydemo.components;

import com.strap.mydemo.annotations.MyDemoAuth;
import com.strap.mydemo.service.IUserDetailService;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;

/**
 * <p>切面鉴权</p>
 *
 * @author strap
 */
@Component
@Aspect
public class AuthAspect {

    private final HttpServletRequest request;

    private final IUserDetailService userDetailService;

    public AuthAspect(HttpServletRequest request, IUserDetailService userDetailService) {
        this.request = request;
        this.userDetailService = userDetailService;
    }

    @Pointcut("@annotation(com.strap.mydemo.annotations.MyDemoAuth)")
    private void authPointcut() {
    }

    @Around("authPointcut()")
    public Object handleControllerMethod(ProceedingJoinPoint joinPoint) throws Throwable {
        //获取目标对象对应的字节码对象
        //Class<?> targetCls=joinPoint.getTarget().getClass();
        //获取方法签名信息从而获取方法名和参数类型
        MethodSignature ms = (MethodSignature) joinPoint.getSignature();
        //获取目标方法对象上注解中的属性值
        MyDemoAuth auth = ms.getMethod().getAnnotation(MyDemoAuth.class);
        // 校验签名
        if (auth.checkToken()) {
            userDetailService.verify(request);
        }
        return joinPoint.proceed();
    }
}
  1. demo
    @MyDemoAuth(checkToken = false)
    @GetMapping(path = "/showPage")
    public String showPage() throws Exception {
        return "test1.html";
    }

    @MyDemoAuth()
    @GetMapping(path = "/queryData")
    public String quueryData() throws Exception {
        return "查询数据";
    }
strap
关注
专栏目录
beego使用jwt进行登陆验证
01-08
API开发中常常使用jwt进行用户验证,那么在beego框架中如何使用呢 一 引入jwt go get github.com/dgrijalva/jwt-go 二 框架中引入jwt ```go import ( fmt github.com/astaxie/beego github....
过滤器与拦截器 - 登录校验与登录认证(JWT令牌技术)
weixin_51351637的博客
05-17 2816
会话:用户打开浏览器,访问web服务器资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。比如我们打开浏览器与Web服务器建立连接。首先访问login接口,再访问depts接口,最后访问emps接口。只要浏览器和服务器都没有关闭,那么这三次请求都是在一次会话中完成的。关闭服务器,所有的会话都会关闭关闭当前浏览器,当前会话结束会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。
Java实战:JWT Token认证授权方案
oandy0的博客
02-23 1488
本文将详细介绍如何在Spring Boot应用程序中实现JWT(JSON Web Token)Token认证授权
jwt 实现用户登录完整java
qq_62383709的博客
06-02 1121
保护所有受保护的接口增加jwt合法性逻辑 custom.interceptor.AuthenticationInterceptor。我们约定,前端登录后,后续请求都将JWT,放置于HTTP请求的Header中,其Header的key为。登录接口需要为登录成功的用户创建并返回JWT,本项目使用开源的JWT工具。创建JWT和工具类 common.utils.JwtUtil。用户登录的校验逻辑分为三个主要步骤,分别是。,配置如下,具体内容可参考。controller逻辑。编写mapper逻辑。
Java中基于JWT+拦截器实现的登录
weixin_48524022的博客
06-30 819
3.为实现所有接口进行登录校验,创建全局拦截器用于校验token。2.创建基于jwt生成、解析、校验token的工具类。4、将拦截器添加到SpringMvc中。6、验证其他接口是否有权限校验。
Web后端开发:登录认证案例
qq_50086023的博客
02-08 1610
Web后端开发:登录认证案例
自定义Django_rest_framework_jwt登陆错误返回的解决
12-16
在开发基于Django的Web应用时,为了实现前后端分离并提供RESTful API,开发者常常会采用Django Rest Framework(DRF)结合JSON Web Tokens (JWT)进行身份验证。JWT是一种轻量级的身份验证机制,它允许服务器生成一个...
jwt简单的介绍和了解
10-27
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT主要应用于身份验证以及授权...
Jwt的应用:登陆验证的流程
07-24
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT 在现代Web应用中广泛用于...
spring-boot系列,使用JWT实现登录认证、完整的前后台交互的系统设计案例
03-09
总的来说,这个案例是一个综合性的实战项目,涵盖了Spring Boot的微服务架构、JWT的身份验证、Redis的使用、RESTful接口设计以及前端开发等多个关键知识点,对于想要深入理解现代Web开发流程和技术栈的开发者来说,...
一张流程图带你学会SpringBoot结合JWT实现登录功能
DaenCode的博客
08-05 774
JWT(JsonWebToken)是一种轻量级的跨域身份验证解决方案。通常被用于无状态身份验证机制,将用户信息签名打包进行传输。
【107】Java使用JWT的小例子。使用HMAC256算法加密。
zhangchao19890805的专栏
01-29 1万+
我利用 JWT 官网提供的 Java 模块,写了个加密和解密token的例子。这个例子使用Maven管理项目,源代码共包含三个文件:Encrypt.java、Decrypt、Main.java pom.xml project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSche
SpringBootJWT令牌
qq_62254095的博客
04-19 1720
定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。简洁:是指jwt就是一个简单的字符串。可以在请求参数或者是请求头当中直接传递。自包含:指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。如:可以直接在jwt令牌中存储用户的相关信息。简单来讲,jwt就是将原始的json数据格式进行了安全的封装,这样就可以直接基于jwt在通信双方安全的进行信息传输了。
JWT令牌技术实现登录校验
fjf_666的博客
05-14 1172
介绍JWT令牌会话技术实现登录校验
Springboot | 零基础快速搭建JWT简单登录案例(一)
最新发布
键盘爱好者
07-11 354
依赖Yaml配置数据库设计实体类Dao(Mapper)层服务层服务接口 UserService实现服务接口 UserServiceImpl控制器层。
JWT入门,登录案例的实现,踩雷与解析.
Ryan_black的博客
12-25 942
一个晚上就搞一个JWT,各种采坑要自闭了. 就怕自己继续自闭,写一个笔记,记录一下JWT入门用法: 1.环境: pom.xml中写入坐标: <!--jwt依赖--> <dependency> <groupId>commons-beanutils</groupId> <artifa...
后台实战——用户登录JWT
itKingOne的博客
03-26 1万+
现在的app往往会有登录功能,一般移动端app登录后都会得到一个token,今天就将token的一种实现方式Json Web Token(JWT),对于不了解JWT的同学可以参考这里,这里还有一个在线的的JWT生成器。在java中要使用jwt,需要pom.xml中添加如下依赖[html] view plain copy&lt;dependency&gt;      &lt;groupId&gt;c...
三、后台实战——用户登录JWT
jackcheng的博客
09-26 4万+
三、后台实战——用户登录JWT
JWT token心得与使用实例
热门推荐
God Liao On The Way
06-20 6万+
本文你能学到什么?token的组成 token串的生成流程。 token在客户端与服务器端的交互流程 Token的优点和思考 参考代码:核心代码使用参考,不是全部代码JWT token的组成头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符
Django Rest Framework JWT 自定义登陆响应
设置jwt登陆返回的格式 :param token: :param user: :param request: :return: """ return { "msg": "success", "status": 200, "data": [ { # data自定义你接口想返回的信息 'token': token, '...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值