JWT与Annotation和AOP的结合使用

最新推荐文章于 2023-07-25 21:54:42 发布
最新推荐文章于 2023-07-25 21:54:42 发布
阅读量578 收藏 2
点赞数
文章标签: jwt annotation aop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangxudongx/article/details/103102831
版权

JWT与Annotation和AOP的结合使用

这是一个完整的JWT应用实例项目,使用jjwt简化JWT的生成和效验,可使代码更少,程序更稳健。用切面织入需要效验的接口,全面拦截简化重复劳动,使用注解定义关注点,既灵活又方便。
使用JWT可以给我们带来什么:
灵活性提升、减少服务端内存占用,单点登录、使接口调用更加体系化。
首先是JWT Token里存储了一些数据、这些数据往往是会话相关的,这直接减少了服务端存储session数据的内存量。
使用JWT可以使多个session关联到一个用户身份,这个用session共享也能做到,但是我们使用redis管理session的话本身也是个消耗,特别是对于规模小并且上线周期短的项目,毕竟部署、管理redis也是成本。
我们经常可以遇到加签名调用API增加安全性的情况,比如加个sign参数,将接口其它参数排序、拼接、加密,然后接口内部再解密,过程是比较繁琐的,JWT完全可以取缔这种接口签名方案,JWT是个标准实现,还可以携带一些紧凑的信息,明显比各家自己加接口签名更优。

  • JWT有个特性需要注意,一般我们会把jwt放到客户端的cookie、sessionStorage、localStorage里,当把当前有效的jwt token拿到另一客户端或者IP请求会被认为是“有效请求”,这是个两面性的特性,对有些系统这样会使系统更简单、或者是对于某些业务系统是个必须的特性,但是对于一些系统的应用这个特点会被认为有害的,规避这个特点也很简单;比如将登录时发起请求的客户端IP放到JWT或者其它位置,与当前JWT token绑定,既将有效jwt token用到另一个IP发起请求时系统会效验到请求IP与jwt token的IP不一致,此时可进行处理(比如中止请求)。

  • 生成JWT时,携带信息 claims 和 payload 二选一
    使用jjwt的jwtBuild设置jwt附带信息(setIssuer、setId)的话跟claims和payload也有冲突,所以实际上是三种方式选择一种。
    使用claims可以使用map比较舒服。
    使用payload可以选择用JSON,或者序列化之后的对象,或者直接用String。
    使用claims之后会把 setId、setIssuer、setSubject … 覆盖。
    claims和payload同时使用会报错。
    推荐使用claims。

使用到了:

  • Spring AOP
    aspectjweaver
    Lombok

示例代码仓库 》 ExampleProject

引入依赖

示例项目用到的主要依赖,不是全部。

<!--        JWT 相关依赖 -->
        <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt -->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.8.2</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-aop</artifactId>
            <version>5.1.5.RELEASE</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.aspectj/aspectjweaver -->
        <dependency>
            <groupId>org.aspectj</groupId>
            <artifactId>aspectjweaver</artifactId>
            <version>1.9.4</version>
        </dependency>
<!--        阿里巴巴的fastJson库,用起来比jdk的Json库好用  -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.47</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/org.projectlombok/lombok -->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.10</version>
            <scope>provided</scope>
        </dependency>

码代码

JWT工具类

package cn.CommonUtils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.collections4.MapUtils;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.io.UnsupportedEncodingException;
import java.util.Date;
import java.util.Map;

@Slf4j
public class SignatureJwtUtils {
    /**
     * 生成JWT
     * 2019年11月16日
     * @throws UnsupportedEncodingException
     */
    public static String  generateJWT(String secret , SignatureAlgorithm signatureAlgorithm , Long expirationMillisecond , Map headers , Map claims) {

        Long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);

        byte[] encodedKey = new byte[0];
        try {
            encodedKey = secret.getBytes("UTF-8");
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
            log.error("生成JWT出错!");
        }

        SecretKey secretKey = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");


        /**
         * 生成JWT时,携带信息 claims 和 payload 二选一
         * 一种是map
         * 一种可以选择用JSON,或者序列化之后的对象
         * 使用claims之后会把 setId、setIssuer、setSubject .. 覆盖
         * 使用payload时,自己需要携带的任何信息都要用payload
         *
         * 推荐使用claims
         */

        JwtBuilder jwtBuilder = Jwts.builder()
                .signWith(signatureAlgorithm, secretKey);

        if (MapUtils.isNotEmpty(headers)) {
            jwtBuilder.setHeader(headers);
        }
        if (MapUtils.isNotEmpty(claims)) {
            jwtBuilder.setClaims(claims);
        }


        Date expiration = new Date(nowMillis + expirationMillisecond);

        jwtBuilder.setExpiration(expiration);

        log.info(jwtBuilder.compact());
        log.info(jwtBuilder.toString());

        return jwtBuilder.compact();
    }
    /**
     * 解析JWT
     * 2019年11月16日
     * @throws UnsupportedEncodingException
     */
    public static Claims translateJWT(String jwt , String secret , SignatureAlgorithm signatureAlgorithm ,Long expirationMillisecond )  {

        Long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);

        byte[] encodedKey = new byte[0];
        try {
            encodedKey = secret.getBytes("UTF-8");
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
            log.error("解析JWT时,encode密钥时出错!");
        }

        SecretKey secretKey = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");


        try {
            String signature = Jwts.parser()
                    .setSigningKey(secretKey)
                    .parseClaimsJws(jwt)
                    .getSignature();

            io.jsonwebtoken.Header  header = Jwts.parser()
                    .setSigningKey(secretKey)
                    .parseClaimsJws(jwt)
                    .getHeader();

            Claims claims = Jwts.parser()
                    .setSigningKey(secretKey)
                    .parseClaimsJws(jwt)
                    .getBody();




            log.info("############## signature ##########################################################");
            log.info(signature);

            log.info("################# header #################################################");
            header.keySet().forEach(k->{
                log.info(k+ ":" +header.get(k).toString());
            });

            log.info("############ claims ############################################################");

            claims.keySet().forEach(k->{
                log.info(k+ ":" + claims.get(k).toString());
            });

            log.info("########################## expiration #######################################");
            log.info(claims.getExpiration().toLocaleString());
            log.info("currentTimeMillis : "+ System.currentTimeMillis());
            log.info("JWT  expiration TimeMillis : "+ claims.getExpiration().getTime());
            if (System.currentTimeMillis() > claims.getExpiration().getTime()) {
                log.warn("JWT expirationTime had been over !");
            }else{
                return claims;
            }

        } catch (io.jsonwebtoken.ExpiredJwtException eje) {
            eje.getStackTrace();
            log.error(eje.getLocalizedMessage());
            log.info("############## signature ##########################################################");
//            log.info(signature);

            log.info("################# header #################################################");
            eje.getHeader().keySet().forEach(k->{
                log.info(k+ ":" +eje.getHeader().get(k).toString());
            });

            log.info("############ claims ############################################################");

            eje.getClaims().keySet().forEach(k->{
                log.info(k+ ":" + eje.getClaims().get(k).toString());
            });
        }
        catch (io.jsonwebtoken.MalformedJwtException mje) {
            mje.getStackTrace();
            log.error(mje.getLocalizedMessage());
        }

        return null;

    }
}

关注点注解类

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface SignatureJwt {
    public enum Status {Dead,Start}

    ToDo.Status status() default ToDo.Status.Dead;
}

接口切入AOP类

package cn.Aop;

import cn.CommonUtils.SignatureJwtUtils;
import cn.MetaData.Annotation.SignatureJwt;
import com.alibaba.fastjson.JSONObject;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.SignatureAlgorithm;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.*;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;

    @Component
    @Aspect
    @Slf4j
    public class FrontendInterfaceSignatureAop {

        /**
         * 注解切点
         * 带参
         */
        @Pointcut(value = "@annotation(cn.MetaData.Annotation.SignatureJwt) && args(..)" )
        public void PointcutAnnotationWithParameter(){}

        /**
         * 带参 关注点对象 处理JWT
         * 需要把jwt放在最后一个参数
         * @param proceedingJoinPoint
         * @return
         */
        @Around(value = "PointcutAnnotationWithParameter()")
        public Object oneParamBeforeHandlerByAnnoWithParam2(ProceedingJoinPoint proceedingJoinPoint ){

            log.info("$$$$$$$$$$$$$$$$$$$$$$ 注解切点 抓取关注点参数 $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$");
            log.info("Come in Aop Procduce : "+ "powerd by annotation" + " JoinPoint");

            String jwtSignature = (String) proceedingJoinPoint.getArgs()[proceedingJoinPoint.getArgs().length - 1 ];

            if (StringUtils.isEmpty(jwtSignature)) {
                JSONObject result = new JSONObject();
                result.put("status", "invail login");
                return result;
            }

            Claims claims = SignatureJwtUtils.translateJWT(jwtSignature, "secret", SignatureAlgorithm.HS384, 30 * 60 * 1000L);
            if (claims == null) {
                JSONObject result = new JSONObject();
                result.put("status", "invail login claims is null");
                return result;
            }

            log.info("$$$$$$$$$$$$$$$$$$$$$$ 注解切点 抓取关注点参数 $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$");

            try {
                Object result = proceedingJoinPoint.proceed();
                return result;
            } catch (Throwable throwable) {
                throwable.printStackTrace();
            }
            return null;
        }

    }

测试Controller类

@Slf4j
@Controller
public class FourthController {

    @RequestMapping("/fourth/test1")
    @ResponseBody
    @SignatureJwt
    public JSONObject test1Proc(String id, String name , HttpServletRequest request , HttpServletResponse response , String jwt) {

        JSONObject result = new JSONObject();
        result.put("status", "success");

        log.info("############ this is fourth test procduce ... ");

        return result;
    }

    @RequestMapping("/fourth/login")
    @ResponseBody
    public JSONObject test1Proc( String name , String pwd , HttpServletRequest request , HttpServletResponse response ) {

        JSONObject result = new JSONObject();

        if ("tom".equals(name) && "123".equals(pwd)) {
            String jwt = SignatureJwtUtils.generateJWT("secret", SignatureAlgorithm.HS384, 30 * 60 * 1000L, null, null);
            result.put("status", "success");
            result.put("jwt", jwt);
            return result;
        }

        result.put("status", "fail");

        log.info("############ this is fourth test procduce ... ");

        return result;
    }


    /**
     * 在使用jwt时,用@PathVariable风格接收参数要注意 jwt token 会以 . 被分为三段
     * @param id
     * @param name
     * @param request
     * @param response
     * @param jwt
     * @return
     */
    @RequestMapping("/fourth2/{jwt}")
    @ResponseBody
    @SignatureJwt
    public JSONObject test1Proc2(String id, String name , HttpServletRequest request , HttpServletResponse response , @PathVariable(name = "jwt") String jwt) {

        JSONObject result = new JSONObject();
        result.put("status", "success");

        log.info("############ this is fourth test procduce . 2 .. ");

        return result;
    }

}

测试

在做接口jwt签名时,最好把jwt参数放到第一个或者最后一个位置,
我这里选择放到最后。

直接访问 test1 接口
在这里插入图片描述

随便整个jwt提交

在这里插入图片描述
登录拿jwt
登录(拿jwt)的接口可别再用jwt效验了,不然就成一个闭环了。
在这里插入图片描述
用登录拿到的jwt访问接口
在这里插入图片描述

wangxudongx
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Annotation+AOP+JWT实现登录检测
qq_36674140的博客
06-28 234
Annotation+AOP+JWT实现登录检测 POM依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>io.springfox</groupId&
JWT+AOP+自定义注解实现接口安全
koyi0000的博客
05-22 2180
前言: 又是一个人加班无聊的时间,把之前尝试的一个例子大概做一个总结,这是一个使用json  web token实现的校验接口安全的例子。具体是方式是,后台使用jwt,用户登录后,服务端返回jwttoken,前端做cookie存储,同时将jwttoken和对应的userId放在每一个请求的header上,这里要做跨域处理。通过自定义的注解实现校验,校验结果以异常的形式抛出,定义全局的异常处理处理上...
基于 AOPJWT 实现的 Token 身份认证组件
lyloou的专栏(lyloou.com)
08-13 556
基于 AOPJWT 实现的 Token 身份认证组件原理服务端使用方式使用自定义的缓存客户端使用源码实现 原理 基于 AOP 面向切面编程,在执行前后插入身份认证的逻辑。 原理细节: 登录过程:这个过程比较简单,将用户 id、用户名、过期时间等属性结合 jwt 工具生成 token,并将用户的信息存入到缓存中,以供后期使用。 验证过程:前端通过 Header 头信息的 Authorization 属性得到 Token,先进行 token 验证,再结合缓存验证,验证成功的话,将用户 id 和
springsecurity + jwt +aop 实现认证&授权学习跟实践
CCWAaaaa的博客
07-06 544
spring security 可以解决登录认证跟权限控制问题(基于角色/基于权限) 但是本身登录信息也是依赖session 不能很好的解决 分布式单点登录问题,所以引入springsecurity+jwt方式 之前项目中用过,但是是已经搭建好的今天自己整合了一个,借鉴了几个很好的文章,再此做一个记录方便以后回顾跟查阅 springsecurity+jwt整合实现认证授权https://www.cnblogs.com/zzjlxy-225223/p/11290900.html Spring Secu.
JWT生成tonken验证+AOP拦截验证
一只程序猿
12-01 1193
JSON Web Token(JWT)是目前都在用的前后分离跨域验证规则。5、前端调用查看效果,token生成返回成功,后端也能成功读取数据。3、自定义注解APO实现类AuthAspect.java。4、在需要token验证的地方加入注解@Auth。2、编写jwt工具类JwtUtil.java。2、自定义注解接口Auth.java。1、引入依赖pom.xml。
使用自定义注解+AOP,实现JWT访问token认证授权
月光秦城
06-10 3034
JWT:Json Web Token是实现token的一种解决方案,它有三个部分组成,header(头)、payload(载体)、signature(签名)。 jwt的第一部分是header,header主要包含两个部分,alg指加密类型,可选值HS256,RSA,type为JWT固定值,表示token类型。 第二部分为payload载体,payload是token的详细信息,一般包含iss发...
AOP&JWT&全局异常处理
最新发布
weixin_44678167的博客
07-25 170
我们该怎么样定义全局异常处理器?定义全局异常处理器非常简单,就是定义一个类,在类上加上一个注解@RestControllerAdvice,加上这个注解就代表我们定义了一个全局异常处理器。在全局异常处理器当中,需要定义一个方法来捕获异常,在这个方法上需要加上注解@ExceptionHandler。通过@ExceptionHandler注解当中的value属性来指定我们要捕获的是哪一类型的异常。
详解JWT token心得与使用实例
10-16
- 服务器通过重新计算签名来验证JWT的合法性,使用相同的算法和密钥,对比生成的新签名与JWT中的签名是否一致。 5. **Token 的安全性考虑**: - 因为签名是基于密钥生成的,只有服务器知道这个密钥,所以其他人...
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的...基于JWT.NET的使用详解,JWT是一种优秀的身份验证和授权的方式,可以广泛应用于web开发中。
JWT+Log4net配置与使用详解
10-18
JWT+Log4net配置与使用详解中介绍了如何在.NET环境中使用JWT(JSON Web Tokens)和Log4net进行日志记录。文章主要讲解了Log4net的结构、优势以及如何在项目中配置和使用Log4net进行高效日志记录。此外,还涉及了JWT...
jwt-example:将JWT与Spring安全性结合使用的示例
05-24
使用Spring Boot和Spring MVC将JWT与Spring Security集成的示例。 验证码 目前,有3个硬编码用户可以简化示例(在UsernameAuthBean.java类中) user1-ROLE_TUBE(具有对Tube API调用的访问权限) user2-ROLE_...
SpringBoot AOP 切面 使用 JWT 完成登录鉴权
weixin_43217512的博客
09-04 651
最近项目上碰到一个问题,使用SpringBoot拦截器实现 JWT登录鉴权时,无法Pass swagger2的请求,经过研究最终解决了该问题,方案如下,如有更好的建议,请大家不吝赐教。
Spring Boot+Jwt+AOP+自定义注解实现接口的权限控制
LT19990304的博客
06-20 2072
之前在项目中通过自定义拦截器+自定义注解进行权限校验,拦截器代码过于臃肿!!!于是想到了使用面向切面的方法!!
AOP 做接口防重复提交
ShiXZ213的博客
01-05 176
3 使用方法直接在方法前进行注解拦截。
Spring 之 jwt,过滤器,拦截器,aop,监听器,参数校验
初心魏的博客
05-25 1734
OverrideSystem.out.println("过滤器2初始化");System.out.println("过滤器2前执行");System.out.println("过滤器2后执行");System.out.println("过滤器2毁灭");} }/*** 重写addCorsMappings() 解决跨域问题* 配置:允许http请求进行跨域访问* @Author 有梦想的肥宅*/
springboot+jwt+aop+异常统一处理+token验证实现登陆功能
惊执
08-03 2495
java实现基于JWT的token登陆认证 前言 之前基于session的登录方式,是在用户登录成功后将用户信息存入到session中,这样不利于程序的横向扩展, 如果将项目部署多份,会出现session漂移的问题,并且随着登录用户的增加,会不断的占用服务端的内存资源;而现在这种基于token的登录方式,是在登录成功 后 将用户信息存入到客户端中,不会额外占用服务端的内存资源,并且通过签名和验签可以保证数据不被篡改, 又因为登录成功后是将用户的信息存入到客户端中,所以在进行横向扩展,部署多份的时候,不会产生
SSM中 token的使用,拦截器(医院信息管理系统)
qq_41709884的博客
09-20 1133
目录token引入token工具类与自定义异常验证登录请求生成token后台验证token前台验证token是否正确(Vue.cli3) token 什么是token 1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 2、Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给
Base64.js和jwt结合使用
05-19
Base64编码和JWT(JSON Web Token)通常结合使用,以便在Web应用程序中进行身份验证和授权。 JWT是一种在客户端和服务器之间安全传输信息的方法,它将信息编码为JSON格式,并使用Base64进行编码。JWT由三个部分组成:头部,负载和签名。 在实现JWT时,Base64编码主要用于将JSON格式的头部和负载转换为Base64编码字符串,并将它们连接起来。然后,使用算法(如HMAC或RSA)将其与密钥一起签名,形成一个安全的JWT令牌,以便在请求中进行传输。 以下是使用Base64.js和JWT结合使用的示例代码: ```javascript // 安装 Base64.js 和 jsonwebtoken 模块 const Base64 = require('Base64'); const jwt = require('jsonwebtoken'); // 设置 JWT 的头部信息 const header = { "alg": "HS256", "typ": "JWT" }; // 设置 JWT 的负载信息 const payload = { "sub": "1234567890", "name": "John Doe", "iat": 1516239022 }; // 将头部和负载信息进行 Base64 编码 const encodedHeader = Base64.encode(JSON.stringify(header)); const encodedPayload = Base64.encode(JSON.stringify(payload)); // 使用秘钥对头部和负载信息进行签名 const secret = 'your-256-bit-secret'; const signature = jwt.sign(`${encodedHeader}.${encodedPayload}`, secret); // 将编码后的头部、负载和签名信息连接起来,形成一个 JWT 令牌 const token = `${encodedHeader}.${encodedPayload}.${signature}`; console.log(token); ``` 当服务器收到此JWT令牌时,它将使用与签名时相同的密钥和算法来验证令牌的完整性,并提取出负载信息。如果签名无效或已被篡改,则服务器将拒绝令牌,并返回错误响应。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值