基于JWT令牌登录校验

最新推荐文章于 2024-04-16 10:40:57 发布
最新推荐文章于 2024-04-16 10:40:57 发布
阅读量218 收藏
点赞数 1
文章标签: 服务器 运维 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ukoushi/article/details/129791590
版权

导言:

一:会话技术,用户访问浏览器访问web服务器的资源,就是一次会话,会话技术的两端,分别是浏览器和服务器,直到任何一方断开连接,会话结束.一次会话可以有多次请求和响应

二:会话跟踪,一种维护浏览器状态的方法,服务器需要识别多次请求是否来自同一浏览器,以便在一次会话的多次请求中共享数据

三:会话跟踪方案有三种,cookie,session,jwt令牌

        1.客户端会话技术cookie,浏览器第一次访问web服务器的时候,会在服务器生成一个cookie,里面可以存储当前用户的信息,如用户名以及Id,然后服务器在响应数据的时候自动把cookie响应给浏览器,浏览器再自动把cookie存储到浏览器本地,后续的每一次浏览器请求中,都会自动把cookie传递给服务器,服务器再来判断这个cookie是否存在

        优点:HTTP协议支持这个技术

        缺点:移动端APP无法使用这个技术

                用户可以自己在浏览器设置中,禁用这个技术

                Cookie不能跨域,跨域有三个维度:协议,IP/域名,端口,这三个维度只要有一个不同就是跨域

        2.服务端会话跟踪技术session,底层其实就是cookie,和cookie不同的是,服务器会把session存储到服务器本地,再把session响应给浏览器

        优点:存储在服务器,更加安全

        缺点:cookie技术的缺点,都有

                我们现在的技术一般都不会只有一台服务器,因为一台服务器容易引发单点故障,所以现在企业应用中,都是以集群的形式部署服务器,用户在访问的时候会访问负载均衡服务器,这个服务器在把浏览器的请求均匀的部署到tomcat服务器中,因为session是存储在服务器中,所以在集群部署的服务器模式中无法直接使用这个技术

        3.jwt令牌,本质其实就是一个字符串

        优点:可以存储到PC端,移动端,小程序端

                可以部署到服务器集群环境,因为jwt令牌并不存储在服务器端中

                减轻服务器端存储的压力

        缺点:需要自己实现

一:基于interceptor拦截器进行登录校验

        是一种动态拦截方法的机制,类似filter过滤器,由spring提供,用来动态拦截控制器方法的执行

        可以在执行指定方法的前中后拦截请求,并进行我们预设的逻辑代码

        浏览器发送请求给DispatcherServlet(前端控制器),前端控制器接收请求并调用  HandlerMapping处理器映射器,处理器映射器根据具体请求url,生成处理器对象,及处理器拦截器返回给DispatcherServlet,在DispatcherServlet调用HandleAdapter处理器适配器执行处理器controller前,拦截器可以进行相关的登录校验

1.定义一个拦截器,实现HandleInterceptor这个接口,并重写所有方法,preHandle,postHandle, afterCompletion,登录校验的逻辑代码就在preHandle方法体中,如果为true就放行,如果为false,校验失败,无法访问下一步资源

2.注册拦截器,定义一个配置类去实现WebMvcConfigurer接口,并重写addInterceptors这个方法,把拦截器对象,以及要执行的拦截哪些路径,注册到拦截器中

二:如何生成一个jwt令牌

        jwt令牌由三部分组成,第一部分header(头),记录签名算法,令牌类型等,第二部分PayLoad(有效载荷),可以携带自定义信息,第三部分signature(签名),防止token被篡改,确保安全性

        1.导依赖,jjwt

        2.生成一个jwt令牌:

    Jwts.builder()
        .addClaims(claims)  //第二部分,自定义载荷内容,形参是一个Map集合
        .signWith(SignatureAlgorithm.HS256, signKey)  //签名算法+指定秘钥
        .setExpiration(new Date(System.currentTimeMillis() + expire)) //过期时间
        .compact();       

三:在拦截器的第一个方法preHandle中进行校验

        1.判断请求路径是否是login,如果是第一次登录,就放行

        2.如果不是登录请求,判断请求头token的jwt令牌是否合法

        3.先判断是否为空,为空直接返回false,不为空进行下一步判断

        4.解析jwt令牌,解析成功的标志就是不报错,就返回true,放行,解析失败报错,就返回false,登录失败,无法访问下一步的web资源

        解析jwt令牌方法:

        Jwts.parser()
                .setSigningKey(signKey)   
                .parseClaimsJws(jwt)
                .getBody();

四:在原有loginController的登录请求中改造

        原有的方法是,前端把用户登录的登录名和密码传给controller层,我们去根据这个用户名和密码在数据库中查找,如果在数据库中有这个用户名和密码,返回相应的实体类对象,如果没有,返回的实体类对象为空

        进行判断,如果这个实体类对象不为空,并且用户在执行登录操作,下发一个令牌,在jwt令牌的第二部分,自定义载荷claims中,把用户的ID,登录名,密码添加到这个Map集合中,并生成jwt令牌,如果为空,返回一个result结果,登录名或密码错误

        

ukoushi
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tomcat-jwt-security:基于JWT令牌实现安全阀
05-10
基于Valve的身份验证应该可以与放置在web.xml文件中的Java标准安全性约束一起使用,并使服务器保持无状态:使用JWT令牌,您可以使Tomcat摆脱http会话的困扰。 从3.0.0版开始,已进行了一些改进(进行了许多重大...
JWT令牌验证
qq_51179608的博客
08-20 472
定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。简洁:是指jwt就是一个简单的字符串。可以在请求参数或者是请求头当中直接传递。自包含:指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。如:可以直接在jwt令牌中存储用户的相关信息。简单来讲,jwt就是将原始的json数据格式进行了安全的封装,这样就可以直接基于jwt在通信双方安全的进行信息传输了。
JWT登录校验
在这个地方会介绍一些前端和后端的开发内容,暂时以JavaEE和Vue为主。
06-06 807
springboot,登录jwtjwt解析,token,拦截器Interceptor
如何实现实现简单的JWT令牌校验(1),附赠复习资料
2401_83627805的博客
04-16 352
使用自定义拦截器拦截为登录用户对非登录注册类页面的访问@Slf4j​@Autowired​/*** 注册自定义拦截器*/log.info("开始注册自定义拦截器...");// 设置拦截路径// 设置排除路径 如登录页面允许访问。
用户登录权限校验 JWT【详解】
朝阳39的博客
10-26 1696
JWT (json web token)是当前最流行的用户登录权限校验(用户认证鉴权)方案。
【SpringBoot篇】登录校验JWT令牌
qq_59961910的博客
12-03 232
在技术的道路上,我们不断探索、不断前行,不断面对挑战、不断突破自我。头部包含了令牌使用的加密算法信息,载荷包含了所需传输的用户信息,签名用于保证令牌的完整性和真实性,防止令牌被篡改。每次向服务器发送请求时,在请求的头部中携带该令牌,以便服务器对请求进行身份验证。服务器收到请求后,从请求头中提取JWT令牌,并进行解析和验证。用户向服务器发送登录请求,服务器进行身份验证,如果验证成功则返回一个JWT令牌给客户端。(相当于校验令牌,只要解析令牌不报错,就相当于校验jwt令牌正确)运行后发现,出现了jwt令牌
JWT验证
阿巴阿巴
06-12 2418
JWT 的原理是,服务器认证以后,生成一个字符串,发回给用户,就像下面这样。它是一个很长的字符串,没有换行,中间用点()分隔成三个部分。怎么是json对象,方便前端使用么?话说这是认证用的,还指望用里面的信息?后端会再转换成json对象么?还是说一开始是个json对象,一开始这个怎么来的,为什么是少见的后端先生成JSON,因为后端先拿到数据么以后,用户与服务端通信的时候,都要发回这个字符串。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名(详见后文)
JAVA实现登录校验JWT令牌实现)
最新发布
05-06
JWT令牌工具类
JWT Token生成及验证
11-03
JWT的头部通常包含了令牌的类型("typ")和签名算法("alg"),例如`HS256`或`RS256`。这是一个JSON对象,通过Base64URL编码转换成字符串,例如: ```json { "typ": "JWT", "alg": "HS256" } ``` 2. **载荷...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
5. **登录验证拦截器**:创建一个过滤器或拦截器,处理用户的登录请求,校验用户名和密码,然后生成JWT令牌。 6. **权限验证拦截器**:这个拦截器检查JWT令牌的有效性,并根据令牌中的信息决定用户是否有权访问特定...
JWT令牌的使用以及一些算法
01-20
Base64 编码 :字节数组(文本或其他格式)64个字符的表示形式 -解码 : 散列算法  ...令牌是在用户验证通过后颁发给用户的身份标示,之后请求只需携带令牌令牌中用户的标示,不存储敏感信息, 如何防止
JWT如何在服务端验证Token令牌是否正确?
Calm 的博客
11-16 6835
JWT结构 header:就包含了两部分,一个是使用什么算法加密的,另一个是Token的类型,会使用Base64的算法进行编码。 // 通过Base64算法编译后的header: // eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 { "typ": "JWT", "alg": "HS256" } 我们会对头部进行base64编码,得到第一部分数据 payload:载荷,就是一些有效数据,登录之后可以存放用户id之类的信息,因为采用Base64编码,可以被解.
jwt(JSON Web Token)做登陆校验
m0_64224130的博客
09-22 558
1、客户端使用用户名和密码请求登录2、服务端收到请求,验证用户名和密码3、验证成功后,服务端会签发一个token,再把这个token返回给客户端4、客户端收到token后可以把它存储起来,比如放到cookie中5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带6、服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据。
JWT令牌生成与校验
赵广陆
02-08 2403
目录1 JWT介绍1.1 什么是JWT?1.2 JWT令牌结构2 配置JWT令牌服务3 生成JWT令牌4 校验JWT令牌5 JWT整合Spring Security5.1 创建表6 配置授权服务6.1 测试 1 JWT介绍 通过上边的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能 。 解决上边问题: 令牌采用JWT格式即可解决上边的问题,用户认证通过会得到一个JWT令牌JWT令牌中已经包括了
JWT令牌校验
简单随风的博客
04-27 1050
之前写了《Auto0生成JWT令牌》,这篇是对令牌进行校验。 /** * @param token 令牌 * @return 令牌校验结果 * 使用Optional对返回结果进行一场处理 */ public static Optional<Map<String, Claim>> getClaims(String token) ...
jwt
遥是此间桃花庵
10-10 389
文章目录1.JWT是什么2.为什么使用JWT3.JWT的工作原理4. JWT组成5.jwt实现验证: 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2.为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3.JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName...
JWT令牌组成和安全校验讲解
Leon_Jinhai_Sun的博客
05-09 451
JWT的构成 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {"typ":"JWT","alg":"HS256"} 在头部指明了签名算法是HS256算法。 我们进行BASE64编码http://base64.xpcha.com/,编码后的字符串如下: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 小知识:Base
基于JWT令牌Token校验以及java-jwt的使用
cyadyx的博客
06-16 891
JWT JWT , 全写JSON Web Token, 是开放的行业标准RFC7591,用来实现端到端安全验证. 简单来说, 就是通过一些算法对加密字符串和JSON对象之间进行加解密。 JWT加密JSON,保存在客户端,不需要在服务端保存会话信息。,可以应用在前后端分离的用户验证上,后端对前端输入的用户信息进行加密产生一个令牌字符串, 前端再次请求时附加此字符串,后端再使用算法解密。 下列场景中使用JSON Web Token是很有用的: Authorization (授权) : 这是使用JWT的最常见场
JWT校验
笛卡尔的梦博客
08-28 500
JWT校验
学成在线-第18天-讲义-用户授权 v1.21
08-03
1、用户认证通过,认证服务向浏览器cookie写入token( 身份令牌) 2、前端携带token请求用户中心服务获取jwt令牌 3、前端携带cookie中的身

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值