SpringBoot使用JWT实现登录验证

最新推荐文章于 2022-05-27 18:30:36 发布
最新推荐文章于 2022-05-27 18:30:36 发布
阅读量230 收藏
点赞数
文章标签: java json
原文链接:https://segmentfault.com/a/1190000012874052
版权

什么是JWT

JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间以JSON对象安全地传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对来对JWT进行签名。
具体的jwt介绍可以查看官网的介绍: https://jwt.io/introduction/

jwt请求流程

引用官网的图片

中文介绍:

  1. 用户使用账号和面发出post请求;
  2. 服务器使用私钥创建一个jwt;
  3. 服务器返回这个jwt给浏览器;
  4. 浏览器将该jwt串在请求头中像服务器发送请求;
  5. 服务器验证该jwt;
  6. 返回响应的资源给浏览器。

jwt组成

jwt含有三部分:头部(header)、载荷(payload)、签证(signature)

头部(header)

头部一般有两部分信息:声明类型、声明加密的算法(通常使用HMAC SHA256)
头部一般使用base64加密:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
解密后:

{
    "typ":"JWT",
    "alg":"HS256"
}

载荷(payload)

该部分一般存放一些有效的信息。jwt的标准定义包含五个字段:

  • iss:该JWT的签发者
  • sub: 该JWT所面向的用户
  • aud: 接收该JWT的一方
  • exp(expires): 什么时候过期,这里是一个Unix时间戳
  • iat(issued at): 在什么时候签发的

这个只是JWT的定义标准,不强制使用。另外自己也可以添加一些公开的不涉及安全的方面的信息。

签证(signature)

JWT最后一个部分。该部分是使用了HS256加密后的数据;包含三个部分:

  • header (base64后的)
  • payload (base64后的)
  • secret 私钥

secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

在SpringBoot项目中应用

首先需要添加JWT的依赖:

    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.6.0</version>
    </dependency>

接下来在配置文件中添加JWT的配置信息:

##jwt配置
audience:
  clientId: 098f6bcd4621d373cade4e832627b4f6
  base64Secret: MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=
  name: restapiuser
  expiresSecond: 172800

配置信息的实体类,以便获取jwt的配置:

@Data
@ConfigurationProperties(prefix = "audience")
@Component
public class Audience {

    private String clientId;
    private String base64Secret;
    private String name;
    private int expiresSecond;

}

JWT验证主要是通过拦截器验证,所以我们需要添加一个拦截器来验证请求头中是否含有后台颁发的token,这里请求头的格式:这里bearer;后面就是服务器颁发的token

public class JwtFilter extends GenericFilterBean {

    @Autowired
    private Audience audience;

    /**
     *  Reserved claims(保留),它的含义就像是编程语言的保留字一样,属于JWT标准里面规定的一些claim。JWT标准里面定好的claim有:

     iss(Issuser):代表这个JWT的签发主体;
     sub(Subject):代表这个JWT的主体,即它的所有人;
     aud(Audience):代表这个JWT的接收对象;
     exp(Expiration time):是一个时间戳,代表这个JWT的过期时间;
     nbf(Not Before):是一个时间戳,代表这个JWT生效的开始时间,意味着在这个时间之前验证JWT是会失败的;
     iat(Issued at):是一个时间戳,代表这个JWT的签发时间;
     jti(JWT ID):是JWT的唯一标识。
     * @param req
     * @param res
     * @param chain
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void doFilter(final ServletRequest req, final ServletResponse res, final FilterChain chain)
            throws IOException, ServletException {

        final HttpServletRequest request = (HttpServletRequest) req;
        final HttpServletResponse response = (HttpServletResponse) res;
        //等到请求头信息authorization信息
        final String authHeader = request.getHeader("authorization");

        if ("OPTIONS".equals(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
            chain.doFilter(req, res);
        } else {

            if (authHeader == null || !authHeader.startsWith("bearer;")) {
                throw new LoginException(ResultEnum.LOGIN_ERROR);
            }
            final String token = authHeader.substring(7);

            try {
                if(audience == null){
                    BeanFactory factory = WebApplicationContextUtils.getRequiredWebApplicationContext(request.getServletContext());
                    audience = (Audience) factory.getBean("audience");
                }
                final Claims claims = JwtHelper.parseJWT(token,audience.getBase64Secret());
                if(claims == null){
                    throw new LoginException(ResultEnum.LOGIN_ERROR);
                }
                request.setAttribute(Constants.CLAIMS, claims);
            } catch (final Exception e) {
                throw new LoginException(ResultEnum.LOGIN_ERROR);
            }

            chain.doFilter(req, res);
        }
    }
}

注册JWT拦截器,可以在配置类中,也可以直接在SpringBoot的入口类中

    @Bean
    public FilterRegistrationBean jwtFilter() {
        final FilterRegistrationBean registrationBean = new FilterRegistrationBean();
        registrationBean.setFilter(new JwtFilter());
        //添加需要拦截的url
        List<String>  urlPatterns = Lists.newArrayList();
        urlPatterns.add("/article/insert");
        registrationBean.addUrlPatterns(urlPatterns.toArray(new String[urlPatterns.size()]));
        return registrationBean;
    }

登录处理,也就是jwt的颁发

  @PostMapping("login")
    public ResultVo login(@RequestParam(value = "usernameOrEmail", required = true) String usernameOrEmail,
                          @RequestParam(value = "password", required = true) String password,
                          HttpServletRequest request) {
        Boolean is_email = MatcherUtil.matcherEmail(usernameOrEmail);
        User user = new User();
        if (is_email) {
            user.setEmail(usernameOrEmail);
        } else {
            user.setUsername(usernameOrEmail);
        }
        User query_user = userService.get(user);
        if (query_user == null) {
            return ResultVOUtil.error("400", "用户名或邮箱错误");
        }
        //验证密码
        PasswordEncoder encoder = new BCryptPasswordEncoder();
        boolean is_password = encoder.matches(password, query_user.getPassword());
        if (!is_password) {
            //密码错误,返回提示
            return ResultVOUtil.error("400", "密码错误");
        }
     
       String jwtToken = JwtHelper.createJWT(query_user.getUsername(),
                                           query_user.getId(),
                                           query_user.getRole().toString(),
                                           audience.getClientId(),
                                           audience.getName(),
                                           audience.getExpiresSecond()*1000,
                                           audience.getBase64Secret());

        String result_str = "bearer;" + jwtToken;
        return ResultVOUtil.success(result_str);
    }

这里将jwt的颁发处理抽离出来了,JWT工具类:

public class JwtHelper {

    /**
     * 解析jwt
     */
    public static Claims parseJWT(String jsonWebToken, String base64Security){
        try
        {
            Claims claims = Jwts.parser()
                    .setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))
                    .parseClaimsJws(jsonWebToken).getBody();
            return claims;
        }
        catch(Exception ex)
        {
            return null;
        }
    }

    /**
     * 构建jwt
     */
    public static String createJWT(String name, String userId, String role,
                                   String audience, String issuer, long TTLMillis, String base64Security)
    {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);

        //生成签名密钥
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(base64Security);
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

        //添加构成JWT的参数
        JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")
                .claim("role", role)
                .claim("unique_name", name)
                .claim("userid", userId)
                .setIssuer(issuer)
                .setAudience(audience)
                .signWith(signatureAlgorithm, signingKey);
        //添加Token过期时间
        if (TTLMillis >= 0) {
            long expMillis = nowMillis + TTLMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp).setNotBefore(now);
        }

        //生成JWT
        return builder.compact();
    }
}

最后,jwt可能会出现跨域的问题,所以最好添加一下对跨域的处理

@Configuration
public class CorsConfig {

    @Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.addAllowedOrigin("*");
        config.addAllowedHeader("*");
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        source.registerCorsConfiguration("/**", config);
        final FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(0);
        return bean;
    }

    @Bean
    public WebMvcConfigurer mvcConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**").allowedMethods("GET", "PUT", "POST", "GET", "OPTIONS");
            }
        };
    }
}

参考:

weixin_33795743
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot通过jwt实现token验证
m0_50207524的博客
08-25 684
throw new ServiceException("请登录", "401");import com/*** @date 2024年07月28日 22:13} }/*** @date 2024年07月28日 22:13} }/*** @date 2024年07月28日 22:13} }R;import org/*** @date 2024年07月28日 22:13} }/**
spring-boot系列,使用JWT实现登录认证、完整的前后台交互的系统设计案例
03-09
spring-boo框架,基于JWT、redis鉴权设计,使用restful风格设计开发,前台使用layui、bootstrap等
Spring Boot使用JWT实现系统登录验证
朝雨忆轻尘
08-20 1116
简介 什么是JWT(Json Web Token) jwt是为了在网络应用环境间传递声明而执行的一种基于json的开放标准。该token被设计紧凑且安全的,特别适用于SSO场景。jwt的声明一般被用来在身份提供者和服务提供者之间传递被认证的用户身份信息。 JWT长什么样 eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ0ZXN0MDAyIiw...
SpringBoot整合JWT实现验证登陆
JAVA葵花宝典
06-23 2032
什么是JWTJsonwebtoken(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑...
springbootjwt登录验证
冲锋
01-17 195
代码量不多, 就直接上代码了 public class TokenUtil { /** * 过期时间15秒 */ protected static final long EXPIRE_TIME = 15 * 1000; /** * token私钥, 每次调用都使用UUID 重新生成一个私钥 */ protected sta...
springboot+jwt 实现登录验证
热门推荐
大白的博客
05-15 1万+
jwt 简介 json web token ,简要说明:前端传验证信息到后端,后端验证通过,返回一个对象,只不过这个对象是被加密的,这样后端就可以为无状态的,每次请求的时候,请求头带上token ,里面封装了对象的信息,我们只需要用拦截器进行拦截,解析token,后端就可以知道是谁登录了界面,可以设置相应的超时时间,超时时间不应太长或者太短,根据实际情况而定,超时用户就需要从新登录 优点: 减少...
SpringBoot使用JWT实现登录验证的方法示例
08-25
SpringBoot应用中,我们可以利用JWT实现登录验证,为用户提供安全的身份验证体验。 在SpringBoot使用JWT的基本步骤如下: 1. **添加JWT依赖**: 首先,我们需要在项目的pom.xml文件中添加JWT库的依赖,例如...
springboot使用jwt实现登录验证
最新发布
09-25
SpringBoot使用JWTJSON Web Token)实现登录验证是一种常见的方式。在SpringBoot中,可以通过编写相应的代码来实现JWT登录验证。通过对用户的登录信息进行校验,根据校验结果生成相应的token,并将token返回给用户...
基于springboot+jwt实现刷新token过程解析
08-19
在拦截器中,我们使用JwtUtil.verify()方法来验证Token的有效期,如果 Token 已经过期,则重新登录。 优点和缺点 在线刷新Token的方式可以实时刷新Token,提高了系统的安全性。但是,这种方式需要频繁地访问Redis,...
SpringBoot集成JWT实现token验证源码.zip
12-20
SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip 【备注】 主要针对计算机相关专业的正在做毕设的学生和需要项目实战的Java学习者。 也可...
详细步骤截图。微信,淘宝客api域名检验,centos nginx springboot jar下的验证文件xxx.txt放置于您所配置域名
01-07
验证文件放置于您所配置域名(www.xxx.cn)的根目录下,折腾了好久,终于自己研究出来。现总结出来分享。centos nginx 多域名情况下,springboot jar部署。
springboot集成JWT实现登陆验证
justleavel的博客
05-27 781
1:首先,我们需要在项目中导入两个依赖: <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.10.3</version> </dependency> <depend
springboot+jwt完成登录验证
码码码码码码农的博客
07-09 550
编写一个小demo实现用户登录生成token,然后在请求header中携带token完成访问用户列表信息。 1.前期工作 1.1新建一张用户表 1.2实体类 @Setter @Getter @Entity @Table(name = "user") @JsonIgnoreProperties(value = {"hibernateLazyInitializer", "handler"}) @DynamicInsert @DynamicUpdate public class User { priva
SpringBoot使用JWT实现登录拦截验证
ThailandKing的博客
04-08 2046
一、定义 JSON Web Token(JWT)是一个开放的标准(RFC 7519) 定义了一个紧凑且自包含的方式,用于在各方之间以JSON对象安全地传输信息 信息可以通过数字签名进行验证和信任 可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对来对JWT进行签名 二、请求流程 1、用户在浏览器中输入用户名、密码进行登录验证 2、服务端登录验证 3、成功则返回生成的JWT,失败则抛...
八幅漫画理解使用JSON Web Token设计单点登录系统
cruise技术博客
03-14 2498
上次在《JSON Web Token - 在Web应用间安全地传递信息》中我提到了JSON Web Token可以用来设计单点登录系统。我尝试用八幅漫画先让大家理解如何设计正常的用户认证系统,然后再延伸到单点登录系统。 如果还没有阅读《JSON Web Token - 在Web应用间安全地传递信息》,我强烈建议你花十分钟阅读它,理解JWT的生成过程和原理。 用户认证八步走 所谓用户认证(Au
springboot 配置允许跨域访问
qq_20519453的博客
08-13 250
package com.hckj.iot.config.web; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration...
JWT
P_YUX的博客
09-08 600
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “20...
JWT(JSON Web Token)
yptsqc的博客
12-10 322
什么是JWTJWT全称JSON Web Token是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {“typ”:“JWT”,“alg”:“HS256”} 在头...
无状态登录--JWT使用私钥生成token写入cookie中--domain属性引发的写入问题
luoskr的博客
08-31 2361
无状态登录--JWT使用私钥生成token写入cookie中--domain属性引发的写入问题 前端并未接收到含token的cookie 在编写微服务集群---授权中心 模块时,采用了 JWT+RSA非对称加密, 部署环境:虚拟机服务器中,使用nginx作为api网关统一处理,微服务中使用springcloud的zuul路由网关。 本地虚构域名通过host文件,对应虚拟机ip,虚拟机ngi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值