用户修改了信息jwt服务器怎么识别,jwt验证登录信息

最新推荐文章于 2022-11-23 09:48:30 发布
最新推荐文章于 2022-11-23 09:48:30 发布
阅读量585 收藏 1
点赞数 1
文章标签: 用户修改了信息jwt服务器怎么识别

为什么要告别session?有这样一个场景,系统的数据量达到千万级,需要几台服务器部署,当一个用户在其中一台服务器登录后,用session保存其登录信息,其他服务器怎么知道该用户登录了?(单点登录),当然解决办法有,可以用spring-session。如果该系统同时为移动端服务呢?移动端通过url向后台要数据,如果用session,通过sessionId识别用户,万一sessionId被截获了,别人可以利用sessionId向后台要数据,就有安全隐患了。所以有必要跟session说拜拜了。服务端不需要存储任何用户的信息,用户的验证应该放在客户端,jwt就是这种方式!

什么是jwt?

b76d9af75f6666f86d869d742893091c.png

这里以java的ssm框架为例,集成jwt。

1.pom.xml 导入jwt的包

com.auth0

java-jwt

2.2.0

2.编写jwt的工具类,有加密解密功能就好

import com.auth0.jwt.JWTSigner;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.internal.com.fasterxml.jackson.databind.ObjectMapper;

import java.util.HashMap;

import java.util.Map;

public class JWT {

private static final String SECRET = "XX#$%()(#*!()!KL<>?N<:>

private static final String EXP = "exp";

private static final String PAYLOAD = "payload";

//加密,传入一个对象和有效期

public static String sign(T object, long maxAge) {

try {

final JWTSigner signer = new JWTSigner(SECRET);

final Map claims = new HashMap();

ObjectMapper mapper = new ObjectMapper();

String jsonString = mapper.writeValueAsString(object);

claims.put(PAYLOAD, jsonString);

claims.put(EXP, System.currentTimeMillis() + maxAge);

return signer.sign(claims);

} catch(Exception e) {

return null;

}

}

//解密,传入一个加密后的token字符串和解密后的类型

public static T unsign(String jwt, Class classT) {

final JWTVerifier verifier = new JWTVerifier(SECRET);

try {

final Map claims= verifier.verify(jwt);

if (claims.containsKey(EXP) && claims.containsKey(PAYLOAD)) {

long exp = (Long)claims.get(EXP);

long currentTimeMillis = System.currentTimeMillis();

if (exp > currentTimeMillis) {

String json = (String)claims.get(PAYLOAD);

ObjectMapper objectMapper = new ObjectMapper();

return objectMapper.readValue(json, classT);

}

}

return null;

} catch (Exception e) {

return null;

}

}

}

3.jwt有了,ssm要如何去利用,用户验证的第一步是登录,登录时根据用户传来的username和password到数据库验证身份,如果合法,便给该用户jwt加密生成token

//处理登录

@RequestMapping(value="login", produces = "application/json; charset=utf-8")

public @ResponseBody ResponseData login(HttpServletRequest request, @RequestParam( "email") String email,

@RequestParam("password") String password) {

Login login = new Login();

login.setEmail(email);

login.setPassword(password);

ResponseData responseData = ResponseData.ok();

//先到数据库验证

Integer loginId = userService.checkLogin(login);

if(null != loginId) {

User user = userService.getUserByLoginId(loginId);

login.setId(loginId);

//给用户jwt加密生成token

String token = JWT.sign(login, 60L* 1000L* 30L);

//封装成对象返回给客户端

responseData.putDataValue("loginId", login.getId());

responseData.putDataValue("token", token);

responseData.putDataValue("user", user);

}

else{

responseData = ResponseData.customerError();

}

return responseData;

}

4.在用户登录时,把loginId和token返回给前台,以后用户每次请求时,都得带上这两个参数,后台拿到token后解密出loginId,与用户传递过来的loginId比较,如果相同,则说明用户身份合法。因为是每个登录过后的每个请求,这里用springmvc的拦截器做

5.拦截器代码

import java.io.PrintWriter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

import com.alibaba.fastjson.JSONObject;

import com.xforce.charles.model.Admin;

import com.xforce.charles.model.Login;

import com.xforce.charles.util.JWT;

import com.xforce.charles.util.ResponseData;

public class TokenInterceptor implements HandlerInterceptor{

public void afterCompletion(HttpServletRequest request,

HttpServletResponse response, Object handler, Exception arg3)

throws Exception {

}

public void postHandle(HttpServletRequest request, HttpServletResponse response,

Object handler, ModelAndView model) throws Exception {

}

//拦截每个请求

public boolean preHandle(HttpServletRequest request, HttpServletResponse response,

Object handler) throws Exception {

response.setCharacterEncoding("utf-8");

String token = request.getParameter("token");

ResponseData responseData = ResponseData.ok();

//token不存在

if(null != token) {

Login login = JWT.unsign(token, Login.class);

String loginId = request.getParameter("loginId");

//解密token后的loginId与用户传来的loginId不一致,一般都是token过期

if(null != loginId && null != login) {

if(Integer.parseInt(loginId) == login.getId()) {

return true;

}

else{

responseData = ResponseData.forbidden();

responseMessage(response, response.getWriter(), responseData);

return false;

}

}

else

{

responseData = ResponseData.forbidden();

responseMessage(response, response.getWriter(), responseData);

return false;

}

}

else

{

responseData = ResponseData.forbidden();

responseMessage(response, response.getWriter(), responseData);

return false;

}

}

//请求不通过,返回错误信息给客户端

private void responseMessage(HttpServletResponse response, PrintWriter out, ResponseData responseData) {

responseData = ResponseData.forbidden();

response.setContentType("application/json; charset=utf-8");

String json = JSONObject.toJSONString(responseData);

out.print(json);

out.flush();

out.close();

}

}

6.注意点:用@ResponseBody返回json数据时,有时会有乱码,需要在springmvc的配置文件里面加以下配置(spring4以上)

7.最后分享一个类,用于返回给客户端的万能类,我觉得它可以满足一般的接口

import java.util.HashMap;

import java.util.Map;

public class ResponseData {

private final String message;

private final int code;

private final Map data = new HashMap();

public String getMessage() {

return message;

}

public int getCode() {

return code;

}

public Map getData() {

return data;

}

public ResponseData putDataValue(String key, Object value) {

data.put(key, value);

return this;

}

private ResponseData(int code, String message) {

this.code = code;

this.message = message;

}

public static ResponseData ok() {

return new ResponseData(200, "Ok");

}

public static ResponseData notFound() {

return new ResponseData(404, "Not Found");

}

public static ResponseData badRequest() {

return new ResponseData(400, "Bad Request");

}

public static ResponseData forbidden() {

return new ResponseData(403, "Forbidden");

}

public static ResponseData unauthorized() {

return new ResponseData(401, "unauthorized");

}

public static ResponseData serverInternalError() {

return new ResponseData(500, "Server Internal Error");

}

public static ResponseData customerError() {

return new ResponseData(1001, "customer Error");

}

}

解决:使用ajax验证登录信息返回前端页面时,当前整个页面刷新。

源代码如下: function loginform(){ $.ajax({ url:"loginValidate.do", type:'post', data:{"nam ...

golang学习笔记10 beego api 用jwt验证auth2 token 获取解码信息

golang学习笔记10 beego api 用jwt验证auth2 token 获取解码信息 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放 ...

Python 解密JWT验证苹果登录

验证苹果登录,官方提供两种验证方法,一种是token,另一个种是code.这里使用的是token 登录流程: 苹果客户端调用苹果API,获取到用户的信息,包括: user_id 昵称 identity ...

spring boot&colon;spring security整合jwt实现登录和权限验证&lpar;spring boot 2&period;3&period;3&rpar;

一,为什么使用jwt? 1,什么是jwt? Json Web Token, 它是JSON风格的轻量级的授权和身份认证规范, 可以实现无状态.分布式的Web应用授权 2,jwt的官网: https:// ...

Spring 笔记 -06- 从 MySQL 建库到 登录验证数据库信息(maven)

Spring 笔记 -06- 从 MySQL 建库到 登录验证数据库信息(maven) 本篇和 Spring 没有什么关系,只是学习 Spring,必备一些知识,所以放在这里了. 本篇内容: (1)M ...

spring集成jwt验证方式,token验证

为什么要告别session?有这样一个场景,系统的数据量达到千万级,需要几台服务器部署,当一个用户在其中一台服务器登录后,用session保存其登录信息,其他服务器怎么知道该用户登录了?(单点登录), ...

webapi中使用token验证(JWT验证)

本文介绍如何在webapi中使用JWT验证 准备 安装JWT安装包 System.IdentityModel.Tokens.Jwt 你的前端api登录请求的方法,参考 axios.get(" ...

django--通过jwt获取用户信息的两种方式

HTTP请求是无状态的,我们通常会使用cookie或session对其进行状态保持,cookie存储在客户端,容易被用户误删,安全性不高,session存储在服务端,在服务器集群情况下需要解决sess ...

随机推荐

&lbrack;Android Pro&rsqb; AES加密

reference to :http://blog.csdn.net/wfung_kwok/article/details/7766427 package com.secufity.aes; impo ...

UITableViewCell重用的问题

UITableView中有两种重用Cell的方法: - (id)dequeueReusableCellWithIdentifier:(NSString *)identifier; - (id)dequ ...

关于yum与源码安装的LAMP或LNMP网页直接显示空白页的问题?

学习LAMP.LNMP时,遇到很奇怪的问题就是:搭建完LAMP或LNMP环境后安装PHPweb程序时,Discuz和Wordpress打不开安装向导,直接显示空白页(PHPWind9.0除外),没有任 ...

Qt入门学习——Qt 5 帮助文档的使用

Qt入门学习——Qt 5 帮助文档的使用 学习图形界面开发,肯定离不开帮助文档的使用,因为它不像 C 语言那样就那么几个函数接口,图形接口的接口可以用海量来形容,常用的我们可能能记住,其它的真的没有必 ...

2D-2D&colon;对极几何 基础矩阵F 本质矩阵E 单应矩阵H

对极约束 \[ \boldsymbol{x}_{2}^{T} \boldsymbol{F} \boldsymbol{x}_{1}=\boldsymbol{0} \quad \hat{\boldsymb ...

Android:进程优先级

进程优先级 优先级 服务 说明 高优先级 前台进程 ①该进程包含正在与用户进行交互的界面组件,比如一个Activity. ②进程服务被Activity调用,而且这个Activity正在与用户进行交互 ...

zabbix监控短信息接口是否正常

1.创建Web scenarios 2.创建zabbix触发器name:short_message send status is not 100 Expression:{u04zbx01.yaya.c ...

mysql sleep进程 过多

如果你没有修改过MySQL的配置,缺省情况下,wait_timeout的初始值是28800. wait_timeout过大有弊端,其体现就是MySQL里大量的SLEEP进程无法及时释放,拖累系统性能, ...

【dijkstra】【次短路】【fread】hdu6181 Two Paths

题意:给你一张简单无向图,问你1到n的次短路.注意,可以不是简单路径. 存个次短路板子,原理还是挺简单,直接看代码吧.然后这份代码还是个fread的示例用法. #include

柳不是刘
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解使用JWT实现单点登录(完全跨域方案)
10-16
主要介绍了详解使用JWT实现单点登录(完全跨域方案),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringCloud Alibaba微服务实战二十一 - JWT增强
weixin_52416367的博客
12-12 382
SpringCloud Alibaba微服务实战二十一 - JWT增强 飘渺Jam 2020-11-19 10:34:29 919 收藏 6 分类专栏: SpringCloud alibaba 文章标签: jwt spring shiro 编程语言 mapreduce 版权 今天内容主要是解决一位粉丝提的问题:如何在jwt中添加用户的额外信息并在资源服务器中获取这些数据。 涉及的知识点有以下三个: 如何在返回的jwt中添加自定义数据 如何在jwt中添加用户的额外数据,比如用户id、手机号码 如何在资源服
关于 SpringCloud oauth2 JWT 认证与授权解决用户信息变更token失效问题的解决(伪)
Tkzc_Yuan的博客
12-24 4551
解决jwt在密码发生改变后使原token失效的问题(伪)
jwt token 过期刷新_ASP.NET Core 应用JWT进行用户认证及Token的刷新
weixin_39785970的博客
12-01 1929
(给DotNet加星标,提升.Net技能)转自:FlyLolocnblogs.com/FlyLolo/p/ASPNETCore2_26.html本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token的刷新方案(ASP.NET Core 系列目录)一、什么是JWTJWT(json web token)基于开放标准(RFC 7519),是一种无状态的...
用户修改信息jwt服务器怎么识别,Spring cloud微服务安全实战-6-3JWT改造之网关和服务改造...
weixin_39526564的博客
08-12 318
网关上认证去做哪些改造在网关上用jwt去解析用户信息,而不再发送校验令牌的请求了。之前的时候网关上实际上写了很多的代码包括认证,发check_token去把token请求,换成用户信息。这俩是审计日志和授权。自己写了个MeFilter获取用户信息限流filter都删掉,Spring Security和Spring OAuth 已经把所有的都封装好了。除了限流和日志。审计、认证、授权都封装好了。用...
用户修改信息jwt服务器怎么识别,django使用JWT保存用户登录信息
weixin_36485298的博客
08-12 291
什么是JWT?Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被...
laravel集成JWT修改用户实例
weixin_34413065的博客
11-03 493
2019独角兽企业重金招聘Python工程师标准>>> ...
用户修改信息jwt服务器怎么识别,如何使用JWT服务器证明你就是你
weixin_31499265的博客
08-12 211
点击上方“编程沉思录”,选择“置顶公众号”有内涵有价值的文章第一时间送达!作者:John Wu。
Django如何使用jwt获取用户信息
09-17
re_path(r'v1/login/$', obtain_jwt_token, name='login'), # 用户登录后返回token ] ``` **前端处理** 前端在接收到登录成功的响应后,会得到一个JWT。为了在后续请求中携带JWT,可以将其存储在localStorage中,...
微信小程序登录对接Django后端实现JWT方式验证登录详解
10-16
这种方法的优势在于,JWT可以在客户端和服务器之间安全地传递用户信息,且无需在每个请求中携带完整的用户数据,提高了系统的安全性与效率。同时,由于JWT的自包含性,即使数据库出现问题,仍能验证用户身份,增强了...
Jwt的应用:登陆验证的流程
07-24
服务器验证签名,确保JWT未被篡改,并解析载荷中的信息以确认用户权限。 7. JWT的过期 JWT通常具有有限的有效期,过期后不再有效。客户端可以在载荷中设置一个`exp`(过期时间)声明,服务器验证时会检查这个值...
Spring cloud Oauth2的密码模式使用JWT方式实现登录验证授权
12-10
JWT是一种轻量级的身份验证和授权机制,它允许信息在各方之间安全地传递,而无需共享秘密。JWT包含三部分:头部、载荷和签名。头部标识令牌类型和加密算法,载荷存储声明信息,签名用于验证消息的完整性和发送者的...
【微服务实战系列】从数据库读取用户和认证信息jwt改造实现
qq_36305027的博客
06-08 218
上面的实现,将token都存储到了数据库里面,同时资源服务器每次请求都需要到认证服务器来授权和验证,如果请求量比较大,会消耗性能。这部分将进行jwt方式的改造,适合生产访问量大的场景,同时数据信息都是从数据库中读取。​ 将上述搭建的模块中的OauthServerConfiger的代码修改如下,代码中的修改主要是将JdbcTokenStore改成JwtTokenStore: ​ 上述代码用到了一个自定义的Dream21thAccessTokenConvertor(AccessTok
jwt简介
花&败
11-28 630
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 一、跨域认证的问题  HTTP协议是无状态的,也就是说,如果我们已经认证了一个用户,那么他下一次请求的时候,服务器不知道我是谁,我们必须再次认证。  互联网服务离不开用户认证。一般流程是下面这样。 1、用户服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(s
魔坊APP项目-12-首页更新用户jwt token、在flask中使用mongodb、修改个人信息[头像]、用户页面更新用户信息、交易密码、密码修改、昵称修改、交易密码的初始化和修改接口
Hi文的博客
12-14 608
一、首页更新用户jwt token html/index.html,代码; <!DOCTYPE html> <html lang="en"> <head> <title>首页</title> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width,minimum-scale=1.0,maximum-scale=1.0,user-
JWT令牌如何将令牌token转换为登录者的信息的?
ykyangkun的博客
03-11 1351
SpringMVC中HandlerMethodArgumentResolver的作用及实践
Jwts(jwt)生成token以及根据token获取用户信息
rxhcsdn的博客
11-23 5554
jwt生成token
vue搭配element获取token登录校验
weixin_45631430的博客
01-06 2521
Vue项目登录页面获取token验证 实现思路 1、第一次登录的时候,前端调后端的登陆接口,发送用户名和密码 2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token 3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面 4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页...
2014-2023年的绿色债券数据.txt
最新发布
07-06
因文件较多,数据存放网盘,txt文件内包含下载链接及提取码,永久有效。失效会第一时间进行补充。样例数据及详细介绍参见文章:https://blog.csdn.net/samLi0620/article/details/140227523
jwt登录验证云开发
01-27
JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它可以在客户端和服务器之间传递安全的信息,并且可以被验证和信任。在云开发中,使用JWT进行登录验证可以提供更安全和可靠的身份验证机制。 以下是使用JWT进行登录验证的步骤: 1. 配置Dex服务器:首先,您需要将Dex服务器配置为发布。Dex是一个开源的身份提供者,可以用于管理用户身份验证和授权。 2. 生成JWT:当用户登录时,您的应用程序服务器将生成一个JWT并将其返回给客户端。JWT包含有关用户身份的信息,例如用户ID、角色等。 3. 客户端请求接口时携带JWT:在客户端发起请求时,需要在请求头中携带JWT。可以使用Bearer模式将JWT放置在Authorization头中。 4. 应用服务器验证JWT合法性:应用服务器接收到请求后,会验证JWT的合法性。验证包括检查JWT的签名、过期时间等信息。 5. 调用应用接口返回结果:如果JWT验证通过,应用服务器会继续调用相应的应用接口,并返回结果给客户端。 通过使用JWT进行登录验证,您可以实现云开发中的安全身份验证和授权机制。JWT提供了一种可靠的方式来验证用户身份,并确保只有经过授权的用户可以访问受保护的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值