基于SpringBoot使用JWT实现Token认证

最新推荐文章于 2024-06-19 10:23:57 发布
最新推荐文章于 2024-06-19 10:23:57 发布
阅读量1.3w 收藏 112
点赞数 7
分类专栏: http 文章标签: JWT Token

目录

一、JWT的介绍

1、什么是JWT

2、、基于token的鉴权机制

3、JWT的构成

二、简单实战

1、新建一个简单的springboot项目 

2、自定义登录异常处理 

3、全局异常拦截处理输出 

4、创建工具类 

5、token的生成和拦截

三、参考文献

一、JWT的介绍

1、什么是JWT

Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

2、、基于token的鉴权机制

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或会话信息。这也就意味着机遇tokent认证机制的应用不需要去考虑用户在哪一台服务器登陆了,这就为应用的扩展提供了便利

     流程是这样的

  • 用户使用用户名密码请求服务器
  • 服务器进行验证用户信息
  • 服务器通过验证发送给用户一个token
  • 客户端存储token,并在每次请求时附加这个token值
  • 服务器验证token,并返回数据

      这个token必须要在每次请求时发送给服务器,它应该保存在请求头中,另外,服务器要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了 Access-Control-Allow-Origin:*

3、JWT的构成

JWT是由三部分构成,将这三段信息文本用链接构成了JWT字符串。就像这样

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJVc2VySWQiOjEyMywiVXNlck5hbWUiOiJhZG1pbiJ9.Qjw1epD5P6p4Yy2yju3-fkq28PddznqRj3ESfALQy_U

第一部分我们称它为头部(header)第二部分我们称其为载荷(payload,类似于飞机上承载的物品),第三部分是签证(signature)

 header

      JWT的头部承载的两部分信息:

  • 声明类型,这里是jwt
  • 声明加密的算法,通常直接使用HMAC SHA256

   完整的头部就像下面这样的JSON

{
     'typ':'JWT',
     'alg':'HS256'  
}

    然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

    plyload

      载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明 

     标注中注册的声明(建议不强制使用)

  • iss:jwt签发者
  • sub:jwt所面向的用户
  • aud:接收jwt的一方
  • exp:jwt的过期时间,这个过期时间必须大于签发时间
  • nbf:定义在什么时间之前,该jwt都是不可用的
  • iat:jwt的签发时间
  • jti:jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击 

    公共的声明:

       公共的声明可以添加任何的信息,一般添加用户的相关信息或其它业务需要的必要信息,但不建议添加敏感信息,因为该部分在客户端可解密;

     私有的声明

         私有的声明是提供者和消费者功能定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为名文信息。

     定义一个payload

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

    然后将其base64加密,得到jwt的一部分

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

Signature

    jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header(base64后的)
  • payload(base64后的)
  • secred     

       这个部分需要base64加密后的header和base64加密后的payload使用“.”连接组成的字符串,然后通过header中声明的加密方式进行加secret组合加密,然后就构成了jwt的第三部分

var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

    将这三部分用“.”连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

     注意:secret是保存在服务器端的,jwt的签发也是在服务端的,secret就是用来进行jwt的签发和jwt的验证,所以它就是你服务端的私钥,在任何场景都不应该流露出去,一旦客户端得知这个secret,那就意味着客户端可以自我签发jwt了

 应用 

一般是在请求头里加入Authorization,并加上 Bearer 标注:

fetch('api/user/1', {
  headers: {
    'Authorization': 'Bearer ' + token
  }
})

  优点:

  • 因为json的通用性,所以JWT是可以跨语言支持的,像C#,JavaScript,NodeJS,PHP等许多语言都可以使用
  • 因为由了payload部分,所以JWT可以在自身存储一些其它业务逻辑所必要的非敏感信息
  • 便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的
  • 它不需要在服务端保存会话信息,所以它易于应用的扩展

       安全相关

  • 不应该在jwt的payload部分存储敏感信息,因为该部分是客户端可解密的部分
  • 保护好secret私钥。该私钥非常重要
  • 如果可以,请使用https协议

二、简单实战

1、新建一个简单的springboot项目 

来源于之前一篇 SpringBoot 整合 Mybatis 的基础上改造

引入 jwt  , jwt用于token管理。

<!-- jwt -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

2、自定义登录异常处理 

UserLoginException

/**
 * 自定义登录异常
 */
public class UserLoginException extends RuntimeException {
	 
    private static final long serialVersionUID = 6958499248468627021L;
    /** 错误码 */
    private String errorCode;
    /** 错误上下文 */
    private ErrorContext errorContext;
 

    public UserLoginException(String errorCode, String errorMsg){
        super(errorMsg);
        this.errorCode = errorCode;
    }
    
    public UserLoginException(SystemCodeAndMsg systemCodeAndMsg){
        super(systemCodeAndMsg.getMsg());
        this.errorCode = systemCodeAndMsg.getCode();
    }
 
    public UserLoginException(String errorCode, String errorMsg,Throwable throwable){
        super(errorMsg,throwable);
        this.errorCode = errorCode;
    }
    
    public UserLoginException(SystemCodeAndMsg systemCodeAndMsg,Throwable throwable){
        super(systemCodeAndMsg.getMsg(),throwable);
        this.errorCode = systemCodeAndMsg.getCode();
    }
    /**
     * Getter method for property <tt>errorCode</tt>.
     *
     * @return property value of errorCode
     */
    public String getErrorCode() {
        return errorCode;
    }
 
    /**
     * Setter method for property <tt>errorCode</tt>.
     *
     * @param errorCode value to be assigned to property errorCode
     */
    public void setErrorCode(String errorCode) {
        this.errorCode = errorCode;
    }
 
 
    /**
     * Getter method for property <tt>errorContext</tt>.
     *
     * @return property value of errorContext
     */
    public ErrorContext getErrorContext() {
        return errorContext;
    }
 
    /**
     * Setter method for property <tt>errorContext</tt>.
     *
     * @param errorContext value to be assigned to property errorContext
     */
    public void setErrorContext(ErrorContext errorContext) {
        this.errorContext = errorContext;
    }
 
}

3、全局异常拦截处理输出 

ExceptionConfig


/**
 * 全局异常拦截
 */
@RestControllerAdvice
public class ExceptionConfig {
	
	private static final Logger logger = LoggerFactory.getLogger(ExceptionConfig.class);

	@ExceptionHandler(value = Exception.class)
	public Message handleException(Exception e) {
		
//		自定义异常
		if (e instanceof UserLoginException) {
			UserLoginException userLoginException = (UserLoginException) e;
            return new Message(userLoginException.getErrorCode(), userLoginException.getMessage());
        }else {
            logger.error("【系统异常】{}", e);
            return new Message(SystemCodeAndMsg.SYSTEM_ERROR.getCode(), SystemCodeAndMsg.SYSTEM_ERROR.getMsg());
        }
	}
}

4、创建工具类 

JwtTokenUtil   


/**
 * tokenTool
 * @author leopard
 *
 */
public class JwtTokenUtil {
	
	public static final String TOKEN_HEADER = "Authorization";
    public static final String TOKEN_PREFIX = "Bearer ";

    private static final String SECRET = "jwtsecretdemo";
    private static final String ISS = "leopard";
    
    // 过期时间是3600秒,既是1个小时
    public static final long EXPIRATION = 3600L;

    // 选择了记住我之后的过期时间为7天
    public static final long EXPIRATION_REMEMBER = 604800L;

	/**
	 * 创建token
	 * 注:如果是根据可变的唯一值来生成,唯一值变化时,需重新生成token
	 * @param username
	 * @param isRememberMe
	 * @return
	 */
    public static String createToken(String id, String username, boolean isRememberMe) {
        long expiration = isRememberMe ? EXPIRATION_REMEMBER : EXPIRATION;
        //可以将基本不重要的对象信息放到claims中,此处信息不多,见简单直接放到配置内
//        HashMap<String,Object> claims = new HashMap<String,Object>();
//        claims.put("id", id);
//        claims.put("username",username);
        //id是重要信息,进行加密下
        String encryId = RCUtils.encry_string(id);
        return Jwts.builder()
                .signWith(SignatureAlgorithm.HS512, SECRET)
                // 这里要早set一点,放到后面会覆盖别的字段
//                .setClaims(claims)
                .setIssuer(ISS)
                .setId(encryId)
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + expiration * 1000))
                .compact();
    }
    
    /**
     * 从token中获取用户名
     * @param token
     * @return
     */
    public static String getUsername(String token){
        return getTokenBody(token).getSubject();
    }

    /**
     * 从token中获取ID,同时做解密处理
     * @param token
     * @return
     */
    public static String getObjectId(String token){
        return RCUtils.decry(getTokenBody(token).getId());
    }

    
    /**
     * 是否已过期
     * @param token
     * @throws	 过期无法判断,只能通过捕获ExpiredJwtException异常
     * @return
     */
    @Deprecated
    public static boolean isExpiration(String token){
        return getTokenBody(token).getExpiration().before(new Date());
    }
    
    /**
     * 获取token信息,同时也做校验处理
     * @param token
     * @throws	 自定义UserLoginException异常处理
     * @return
     */
    public static Claims getTokenBody(String token){
        try{
        	return Jwts.parser()
                    .setSigningKey(SECRET)
                    .parseClaimsJws(token)
                    .getBody();
        }catch(ExpiredJwtException expired){
            //过期
        	throw new UserLoginException(SystemCodeAndMsg.TOKEN_EXPIRED);
        }catch (SignatureException e){
            //无效
            throw new UserLoginException(SystemCodeAndMsg.INVALID_REQUEST);
        }catch(MalformedJwtException malformedJwt){
            //无效
        	throw new UserLoginException(SystemCodeAndMsg.INVALID_REQUEST);
        }
    }
}

5、token的生成和拦截

准备工作做完后,重点开始,获取配置在token内的信息

新建 BaseController 之后的token信息获取可以统一处理获取ID,也可以添加其他方法,获取配置在token内部的其他信息

public class BaseController {

	/**
	 * 根据token获取用户ID
	 * 
	 * @param request
	 * @return
	 */
	public String getUserId(HttpServletRequest request) {

		// 取得token
		String tokenHeader = request.getHeader(JwtTokenUtil.TOKEN_HEADER);
		tokenHeader = tokenHeader.replace(JwtTokenUtil.TOKEN_PREFIX, "");
		return JwtTokenUtil.getObjectId(tokenHeader);
	}
}

第一步生成,用户信息登录验证成功后,获取token放在请求头,返回给客户端


@RestController
@RequestMapping(value = "/admin/adminUser")
public class AdminUserController extends BaseController{

	@Autowired
	private AdminUserServiceImpl adminUserServiceImpl;


	/**
	 * 查询管理用户名
	 * 
	 * @param name
	 * @return
	 */
	@RequestMapping(value = "/adminLogin", method = RequestMethod.POST)
	public Message adminLogin(HttpServletResponse response, String userName,String password) {
                //此次简单处理,直接用登录名查找对象,不验证密码
		AdminUser adminUser = adminUserServiceImpl.findAdminUserByAdminAccount(userName);

		String token = JwtTokenUtil.createToken(adminUser.getId(), adminUser.getAdminName(), false);
                //放到响应头部
		response.setHeader(JwtTokenUtil.TOKEN_HEADER, JwtTokenUtil.TOKEN_PREFIX + token);
		return new Message(SystemCodeAndMsg.SUCCESS.getCode(),SystemCodeAndMsg.SUCCESS.getMsg(),adminUser);
	}
	
	/**
	 * 退出
	 * 
	 * @param name
	 * @return
	 */
	@RequestMapping(value = "/adminLoginOut", method = RequestMethod.POST)
	public Message adminLoginOut(HttpServletRequest request) {
		
		String userId = getUserId(request);
		adminUserServiceImpl.removeAdminUserLoginInfo(userId);
		return new Message(SystemCodeAndMsg.SUCCESS.getCode(),SystemCodeAndMsg.SUCCESS.getMsg());
	}

}

访问:http://172.16.60.187:8081/admin/adminUser/adminLogin

先来看下测试结果,数据库本身有数据,直接测试后用postman请求,可以看到,效果如下,成功获取token.

第二步就是拦截并验证token

先配置我们的拦截器 JwtInterceptor

/**
 * token验证拦截
 */
public class JwtInterceptor implements HandlerInterceptor {

	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {

		// 取得token
		String tokenHeader = request.getHeader(JwtTokenUtil.TOKEN_HEADER);
		if (tokenHeader == null || !tokenHeader.startsWith(JwtTokenUtil.TOKEN_PREFIX)) {
			throw new UserLoginException(SystemCodeAndMsg.TOKEN_INEXISTENCE);
		}
		tokenHeader = tokenHeader.replace(JwtTokenUtil.TOKEN_PREFIX, "");
		// 验证token是否有效--无效已做异常抛出,由全局异常处理后返回对应信息
		JwtTokenUtil.getTokenBody(tokenHeader);
		return true;
	}

	@Override
	public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
			ModelAndView modelAndView) throws Exception {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
			throws Exception {
		// TODO Auto-generated method stub
		
	}

}

 再创建 WebConfig 实现 WebMvcConfigurer 将拦截器配置进来。

@Configuration
public class WebConfig implements WebMvcConfigurer {

	/**
	 * 添加拦截器
	 */
	@Override
	public void addInterceptors(InterceptorRegistry registry) {
        //拦截路径可自行配置多个 可用 ,分隔开
		registry.addInterceptor(new JwtInterceptor()).addPathPatterns("/admin/adminUser/adminLoginO**");

	}

	/**
	 * 跨域支持
	 * 
	 * @param registry
	 */
	@Override
	public void addCorsMappings(CorsRegistry registry) {
		registry.addMapping("/**")
        .allowedOrigins("*")
        .allowCredentials(true)
        .allowedMethods("GET", "POST", "DELETE", "PUT")
        .maxAge(3600 * 24);
	}

	/**
	 * 配置消息转换器--这里用的是alibaba 开源的 fastjson
	 * 
	 * @param converters
	 */
	@Override
	public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
		
		 //1.需要定义一个convert转换消息的对象;
        FastJsonHttpMessageConverter fastJsonHttpMessageConverter = new FastJsonHttpMessageConverter();
        //2.添加fastJson的配置信息,比如:是否要格式化返回的json数据;
        FastJsonConfig fastJsonConfig = new FastJsonConfig();
        fastJsonConfig.setSerializerFeatures(SerializerFeature.PrettyFormat,
                SerializerFeature.WriteMapNullValue,
                SerializerFeature.WriteNullStringAsEmpty,
                SerializerFeature.DisableCircularReferenceDetect,
                SerializerFeature.WriteNullListAsEmpty,
                SerializerFeature.WriteDateUseDateFormat);
        //3处理中文乱码问题
        List<MediaType> fastMediaTypes = new ArrayList<>();
        fastMediaTypes.add(MediaType.APPLICATION_JSON_UTF8);
        //4.在convert中添加配置信息.
        fastJsonHttpMessageConverter.setSupportedMediaTypes(fastMediaTypes);
        fastJsonHttpMessageConverter.setFastJsonConfig(fastJsonConfig);
        //5.将convert添加到converters当中.
        converters.add(fastJsonHttpMessageConverter);
		
	}

    //这里暂时先展示主要使用的实现方法,关于WebMvcConfigurer 其他方法实现和实际应用,请自行搜寻

}

接下来开始测试我们的拦截效果,

先来试访问不带token: http://172.16.60.187:8081/admin/adminUser/adminLoginOut

再来访问下带之前登录生成的token:url同上

到此可用看到使用JWT进行token成功。

三、参考文献

SpringBoot集成JWT实现token验证

Springboot+Spring-Security+JWT+Redis实现restful Api的权限管理以及token管理(超详细用爱发电版) 

Leopard锋
关注
  • 7
    点赞
  • 112
    收藏
    觉得还不错? 一键收藏
  • 16
    评论
专栏目录
SpringBoot使用JWT认证
wujingang的专栏
06-05 369
添加依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> 代码结构 JwtConfig.j...
SpringBoot集成JWT实现权限认证
Java碎碎念
11-04 805
点击上方“Java碎碎念”,关注公众号优质文章,第一时间送达本文目录 一、JWT认证流程二、SpringBoot整合JWT三、测试一、JWT认证流程 JWT认证流程认证流程如下:用户使用账号和密码发出post请求;服务器使用私钥创建一个jwt;服务器返回这个jwt给浏览器;浏览器将该jwt串在请求头中像服务器发送请求;服务器验证该jwt;返回响应的资源给浏览器。二、SpringBoot整合JWT ...
springboot整合jwt实现token,简明笔记
学习,是熵减的最有效途径。
06-21 2576
一篇搞定springboot整合jwt实现token
JWT 使用教程及 springboot使用 (认证授权, 简洁易上手)
w3444j的博客
02-25 1192
jwt 基础使用; springboot 结合 jwt 实现简单的登录授权; springboot 结合 jwt 通过拦截器进行处理授权
SpringBoot整合JWT(JSON Web Token)生成token与验证
最新发布
小hui的博客
06-19 2286
JWT(JSON Web Token)是是目前最流行的跨域认证解决方案。它通常被用于对用户进行身份验证和授权。这篇文章是springbootjwt的整合实例
SpringBoot集成JWT实现Token登录验证
热门推荐
Young_深情不及里子的博客
11-25 1万+
JSON Web令牌(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑而独立的方式在各方之间安全地传输信息为JSON对象。学习总结一下SpringBoot整合JWT的登录token验证,简单易理解哦~
SpringBoot】1、SpringBoot整合JWT实现Token验证
qq_24099547的博客
04-10 7882
单点登录
【应用】SpringBoot -- JWT 实现 token 验证
情绪瓜皮皮丶的学习之路
10-07 3508
SpringBoot使用 JWT 实现 token 验证
Spring Boot 如何集成JWT实现Token验证
weixin_44837153的博客
03-06 901
它定义了一种紧凑的,自包含的方式,用于通信双方之间以JSON对象的形式安全传递信息。JWT使用HMAC算法或者是RSA的公私秘钥的数字签名技术,所以这些信息是可被验证和信任的。近年来,随着前后端分离、微服务等架构的兴起,传统的cookie+session身份验证模式已经逐渐被基于Token的身份验证模式取代。然后,调用http://localhost:8080/testToken 验证token是否有效。JWT(Java版)的github地址:https://github.com/jwtk/jjwt
SpringBoot使用JWT实现Token登录校验
培根芝士的专栏
05-16 1686
JWT全称JSON Web Token实现过程简单的说就是用户登录成功之后,将用户的信息进行加密,然后生成一个token返回给客户端,与传统的session交互没太大区别。 区别就是token存放了用户的基本信息,更直观一点就是将原本放入redis中的用户数据,放入到token中去了。 1、导入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt<
springboot+jwt实现token登陆权限认证实现
08-19
在本文中,我们将介绍如何使用 Spring Boot 和 JWT 实现 Token 登录权限认证JWT(JSON Web Token)是一种基于 token 的身份验证机制,能够提供一种简洁、安全的方式来验证用户身份。 什么是 JWT JWT 是一种基于 ...
SpringBoot集成JWT实现token验证的流程
10-15
标题中的“SpringBoot集成JWT实现token验证的流程”是指在SpringBoot应用中使用JWT(Json Web Token)技术来实现用户身份验证的过程。JWT是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式来安全地在各...
java基于springBootjwt实现用户登录功能
06-07
JWT(JSON Web Token)是一种轻量级的认证 token使用_json web token_来实现身份验证和数据传输。JWT的主要特点包括轻量级、灵活、可扩展性强等。JWT通常用于实现用户认证、授权和身份验证等功能。 知识点3:依赖...
SpringBoot使用JWT实现登录验证的方法示例
08-25
通过以上步骤,SpringBoot应用就可以实现基于JWT的登录验证。当用户通过身份验证后,服务器返回JWT,之后客户端在每次请求时都将JWT放入请求头,服务器验证JWT的有效性,从而确认用户身份,实现无状态的身份验证。...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
springboot base64_SpringBoot+JWT完成token验证
weixin_39521651的博客
11-07 337
什么是JWTJson Web TokenJWT):JSON网络令牌,是为了在网络应用环境间传递声明而制定的一种基于JSON的开放标准((RFC 7519)。JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式用于通信双方之间以 JSON 对象行使安全的传递信息。因为数字签名的存在,这些信息是可信的。广义上讲JWT是一个标准的名称;狭义上讲JWT指的就是用来传递的那个token字符串...
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 8105
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证。
SpringBoot项目使用JWT+拦截器实现token验证
weixin_44320429的博客
10-18 1万+
上述流程当中token的具体实现方式为JWT,其全称是,官网地址:https://jwt.io/就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。
SpringBoot认证和授权学习笔记
番茄Salad
06-21 2609
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制。用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话)中,发给客户端的sesssion_id 存放到 cookie 中,这样用户客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验,当用户退出系统或session过期销毁时,客户端的session_id也就无效了。基于session的认证方式由Servl
springbootjwt实现token登录验证的代码
08-23
### 回答1: 可以参考下面的代码实现 Springboot 使用 JWT 实现 Token 登录验证:@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { // ... @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/**").authenticated() .and() .addFilter(new JWTAuthenticationFilter(authenticationManager())) .addFilter(new JWTAuthorizationFilter(authenticationManager())); } } ### 回答2: Spring Boot是一个开发框架,可用于构建独立的、基于Spring的应用程序。JWT(Json Web Token)是一种用于认证和授权的开放标准,它将用户信息加密在令牌中。 下面是使用Spring Boot和JWT实现Token登录验证的代码示例: 1. 首先,需要导入所需的依赖项。在pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 2. 创建一个JWT工具类,用于生成和解析JWT的方法: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public class JwtUtil { private static final String SECRET_KEY = "your_secret_key"; private static final long EXPIRATION_TIME = 86400000; // 24小时 public static String generateToken(String username) { Date now = new Date(); Date expirationTime = new Date(now.getTime() + EXPIRATION_TIME); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expirationTime) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public static String getUsernameFromToken(String token) { Claims claims = Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody(); return claims.getSubject(); } public static boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (Exception e) { return false; } } } ``` 3. 创建一个控制器,包含登录和验证方法: ```java import org.springframework.web.bind.annotation.*; @RestController @RequestMapping("/api") public class AuthController { @PostMapping("/login") public ResponseEntity<?> login(@RequestBody UserCredentials credentials) { // 检查用户凭据并生成令牌 if (credentials.getUsername().equals("admin") && credentials.getPassword().equals("admin123")) { String token = JwtUtil.generateToken(credentials.getUsername()); return ResponseEntity.ok(new AuthResponse(token)); } else { return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build(); } } @GetMapping("/protected") public ResponseEntity<?> protectedResource(@RequestHeader("Authorization") String token) { // 验证令牌并提供受保护的资源 if (JwtUtil.validateToken(token)) { return ResponseEntity.ok("Protected resource accessed successfully"); } else { return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build(); } } } ``` 4. 定义用户凭据模型类: ```java public class UserCredentials { private String username; private String password; // getter和setter方法 } ``` 5. 定义认证响应模型类: ```java public class AuthResponse { private String token; // 构造函数和getter方法 } ``` 上述代码示例实现使用JWT进行Token登录验证的功能。用户通过登录接口提供正确的凭据后,将获得一个JWT令牌。然后,可以使用此令牌访问受保护的资源,该资源通过令牌进行验证。如果验证成功,则允许访问,否则返回未授权的HTTP状态码。
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值