auth0的java-jwt_spring集成jwt验证方式,token验证

最新推荐文章于 2024-07-28 23:39:13 发布
最新推荐文章于 2024-07-28 23:39:13 发布
阅读量1.8k 收藏
点赞数
文章标签: auth0的java-jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36145482/article/details/114843051
版权
本文介绍了为何要弃用session并转向使用JWT进行身份验证,详细讲解了如何在Java的SSM框架中集成auth0的java-jwt库,包括JWT工具类的编写、登录时生成和校验JWT token,以及使用Spring MVC拦截器处理每个请求的token验证过程。
摘要由CSDN通过智能技术生成

为什么要告别session?有这样一个场景,系统的数据量达到千万级,需要几台服务器部署,当一个用户在其中一台服务器登录后,用session保存其登录信息,其他服务器怎么知道该用户登录了?(单点登录),当然解决办法有,可以用spring-session。如果该系统同时为移动端服务呢?移动端通过url向后台要数据,如果用session,通过sessionId识别用户,万一sessionId被截获了,别人可以利用sessionId向后台要数据,就有安全隐患了。所以有必要跟session说拜拜了。服务端不需要存储任何用户的信息,用户的验证应该放在客户端,jwt就是这种方式!

什么是jwt?

c58cf92c8e03358c198b975120ba4f91.png

这里以java的ssm框架为例,集成jwt。

1.pom.xml 导入jwt的包

com.auth0

java-jwt

2.2.0

1

2

3

4

5

6

7

2.编写jwt的工具类,有加密解密功能就好

import com.auth0.jwt.JWTSigner;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.internal.com.fasterxml.jackson.databind.ObjectMapper;

import java.util.HashMap;

import java.util.Map;

public class JWT {

private static final String SECRET = "XX#$%()(#*!()!KL<>?N<:>

private static final String EXP = "exp";

private static final String PAYLOAD = "payload";

//加密,传入一个对象和有效期

public static String sign(T object, long maxAge) {

try {

final JWTSigner signer = new JWTSigner(SECRET);

final Map claims = new HashMap();

ObjectMapper mapper = new ObjectMapper();

String jsonString = mapper.writeValueAsString(object);

claims.put(PAYLOAD, jsonString);

claims.put(EXP, System.currentTimeMillis() + maxAge);

return signer.sign(claims);

} catch(Exception e) {

return null;

}

}

//解密,传入一个加密后的token字符串和解密后的类型

public static T unsign(String jwt, Class classT) {

final JWTVerifier verifier = new JWTVerifier(SECRET);

try {

final Map claims= verifier.verify(jwt);

if (claims.containsKey(EXP) && claims.containsKey(PAYLOAD)) {

long exp = (Long)claims.get(EXP);

long currentTimeMillis = System.currentTimeMillis();

if (exp > currentTimeMillis) {

String json = (String)claims.get(PAYLOAD);

ObjectMapper objectMapper = new ObjectMapper();

return objectMapper.readValue(json, classT);

}

}

return null;

} catch (Exception e) {

return null;

}

}

}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

3.jwt有了,ssm要如何去利用,用户验证的第一步是登录,登录时根据用户传来的username和password到数据库验证身份,如果合法,便给该用户jwt加密生成token

//处理登录

@RequestMapping(value="login", produces = "application/json; charset=utf-8")

public @ResponseBody ResponseData login(HttpServletRequest request, @RequestParam( "email") String email,

@RequestParam("password") String password) {

Login login = new Login();

login.setEmail(email);

login.setPassword(password);

ResponseData responseData = ResponseData.ok();

//先到数据库验证

Integer loginId = userService.checkLogin(login);

if(null != loginId) {

User user = userService.getUserByLoginId(loginId);

login.setId(loginId);

//给用户jwt加密生成token

String token = JWT.sign(login, 60L* 1000L* 30L);

//封装成对象返回给客户端

responseData.putDataValue("loginId", login.getId());

responseData.putDataValue("token", token);

responseData.putDataValue("user", user);

}

else{

responseData = ResponseData.customerError();

}

return responseData;

}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

4.在用户登录时,把loginId和token返回给前台,以后用户每次请求时,都得带上这两个参数,后台拿到token后解密出loginId,与用户传递过来的loginId比较,如果相同,则说明用户身份合法。因为是每个登录过后的每个请求,这里用springmvc的拦截器做

1

2

3

4

5

6

7

8

9

10

11

5.拦截器代码

import java.io.PrintWriter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

import com.alibaba.fastjson.JSONObject;

import com.xforce.charles.model.Admin;

import com.xforce.charles.model.Login;

import com.xforce.charles.util.JWT;

import com.xforce.charles.util.ResponseData;

public class TokenInterceptor implements HandlerInterceptor{

public void afterCompletion(HttpServletRequest request,

HttpServletResponse response, Object handler, Exception arg3)

throws Exception {

}

public void postHandle(HttpServletRequest request, HttpServletResponse response,

Object handler, ModelAndView model) throws Exception {

}

//拦截每个请求

public boolean preHandle(HttpServletRequest request, HttpServletResponse response,

Object handler) throws Exception {

response.setCharacterEncoding("utf-8");

String token = request.getParameter("token");

ResponseData responseData = ResponseData.ok();

//token不存在

if(null != token) {

Login login = JWT.unsign(token, Login.class);

String loginId = request.getParameter("loginId");

//解密token后的loginId与用户传来的loginId不一致,一般都是token过期

if(null != loginId && null != login) {

if(Integer.parseInt(loginId) == login.getId()) {

return true;

}

else{

responseData = ResponseData.forbidden();

responseMessage(response, response.getWriter(), responseData);

return false;

}

}

else

{

responseData = ResponseData.forbidden();

responseMessage(response, response.getWriter(), responseData);

return false;

}

}

else

{

responseData = ResponseData.forbidden();

responseMessage(response, response.getWriter(), responseData);

return false;

}

}

//请求不通过,返回错误信息给客户端

private void responseMessage(HttpServletResponse response, PrintWriter out, ResponseData responseData) {

responseData = ResponseData.forbidden();

response.setContentType("application/json; charset=utf-8");

String json = JSONObject.toJSONString(responseData);

out.print(json);

out.flush();

out.close();

}

}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

6.注意点:用@ResponseBody返回json数据时,有时会有乱码,需要在springmvc的配置文件里面加以下配置(spring4以上)

1

2

3

4

5

6

7

7.最后分享一个类,用于返回给客户端的万能类,我觉得它可以满足一般的接口

import java.util.HashMap;

import java.util.Map;

public class ResponseData {

private final String message;

private final int code;

private final Map data = new HashMap();

public String getMessage() {

return message;

}

public int getCode() {

return code;

}

public Map getData() {

return data;

}

public ResponseData putDataValue(String key, Object value) {

data.put(key, value);

return this;

}

private ResponseData(int code, String message) {

this.code = code;

this.message = message;

}

public static ResponseData ok() {

return new ResponseData(200, "Ok");

}

public static ResponseData notFound() {

return new ResponseData(404, "Not Found");

}

public static ResponseData badRequest() {

return new ResponseData(400, "Bad Request");

}

public static ResponseData forbidden() {

return new ResponseData(403, "Forbidden");

}

public static ResponseData unauthorized() {

return new ResponseData(401, "unauthorized");

}

public static ResponseData serverInternalError() {

return new ResponseData(500, "Server Internal Error");

}

public static ResponseData customerError() {

return new ResponseData(1001, "customer Error");

}

}

王翰海
关注
auth0java-jwt_Spring boot + JWT 实现安全验证 ---auth0.jwt
weixin_31936393的博客
02-28 1599
auth0jwt 实现安全验证: 使用自定义参数 和时间戳生成token验证token验证自定义参数。auth0.jwt 验证token时会自动验证时间戳是否过期,如果过期,会抛出异常TokenExpiredException1.引入依赖com.auth0java-jwt3.10.32.生成token验证token的工具类import java.util.Date;import org.s...
java jwt_「java」使用jwt进行认证授权
weixin_39822629的博客
02-19 348
传统的web应用使用session来维护用户与服务器之间的状态,用户提交用户名密码到服务器,服务器生成会话id,并将验证通过的用户信息存到session中(内存or数据库),会话id会写出到cookie。用户登录之后的操作,都会附带包含sessionId的cookie,服务器根据用户端传来的sessionId获取用户信息,会话的有效期,包括用户登出等操作都依赖对session的操作,如下图:基于s...
使用auth0.jwt创建和解析token,登录和请求验证处理
最新发布
m0_73952463的博客
07-28 409
简单的创建和解析一个token
com.auth0.java jwt,从bean引发异常:java.lang.NoClassDefFoundError:com/auth0/jwt/algorithms/Algorithm...
weixin_32019909的博客
03-12 1868
javax.ejb.TransactionRolledbackLocalException: Exception thrown from bean: java.lang.NoClassDefFoundError: com/auth0/jwt/algorithms/Algorithmat com.sun.ejb.containers.EJBContainerTransactionManager.ch...
auth0java-jwt,Java-Auth0 JWT验证-这正确吗?
weixin_32940203的博客
02-28 713
I'm setting up a REST API with Auth0 as the authentication service. Everything is working but my confidence has been a bit shaken after a rather strange occurrence.My implementation is based on the s...
jwt token使用autho0-jwt框架使用(二)
平凡之路无尽路的博客
09-10 4300
转载:http://www.leftso.com/blog/221.html 转在学习分享,还有其他不错博文,可供学习。 一、前言 Java编程中使用jwt,首先你必须了解jwt是什么,长什么样子。如果你不了解可以先去本站另外一篇博客什么是JWT? 二、Java编程中jwt框架选择 在Java编程中,实现jwt标准的有很多框架,本博客采用的框架是auth0java-jwt版本为3.2...
auth-with-jwt:使用 JWT 进行身份验证
05-31
使用jwt令牌BaseUrl = 身份验证 1.本地 ... Login(POST) URL=BaserUrl/login Body={email,password} Retrun={... EmailExtraction(GET) URL=BaseUrl/auth/google/callback Return={ userSchema,token( aka jwttoken ) }
Django中 JWT -- obtain_jwt_token的原理
gymaisyl的博客
11-19 5610
首先先声明以下本次进行登陆验证操作的环境: Django框架中,在项目名同名的文件包下创建一个users子应用(正常流程下,咱们在注册时,已经将这个子应用创建好了);具体的一些文件可以参考下图。 当前,在使用JWT之前,我相信大家应该知道把JWT安装一下的吧 pip install djangorestframework-jwt Django REST framework JWT提供了登录签发...
spring-boot-jwt-sample:spring-boot-jwt-sample
05-16
spring-boot-jwt-sample spring boot整合jwt完成接口授权认证 1、注册用户(POST) { "id": 1, "userName": "admin", "loginName": "admin", "password": "admin", "roles": "admin", "email": "admin@ameizi...
express-auth:使用jwt进行身份验证以实现快速应用程序。 请查看自述文件以获取可用的API
05-13
使用JWT进行身份验证 如何使用 在终端中运行此命令以安装依赖项 npm install 创建一个.env文件,如下所示 PORT=[number that you wish the server to run on] DB_URI=[mongo db URI] ACCESS_TOKEN_SECRET=[secret ...
SpringBoot - 集成Auth0 JWT
Maggieq8324的博客
08-19 4910
目录前言 说说JWT,先说下互联网服务常见的两种用户认证方式:session认证与Token认证 session认证 传统的Session认证的大体流程可以表示为用户提供用户名和密码登录后由服务器存储一份用户登录信息并传递给浏览器保存为Cookie,并在下次请求中根据Cookie来识别用户,但这种方式缺陷明显: - Session都是保存在内存中,随着认证用户的增多,服务端的开销明显增大 - 保存在内存中的Session限制了分布式的应用 - Cookie容易被截获伪造
auth0-servlet-sample:Java Servlet和JSP的Auth0集成示例
02-06
Auth0 Servlet样本 此示例演示如何使用Auth0Java Web应用程序添加身份验证。 检查以更好地理解此示例。 什么是Auth0Auth0可帮助您: 使用添加身份验证,可以是社交,例如Google,Facebook,Microsoft帐户,LinkedIn,GitHub,Twitter,Box,Salesforce,amont other或企业身份系统,例如Windows Azure AD,Google Apps,Active Directory,ADFS或任何SAML身份提供者。 通过更传统的添加身份验证。 添加对与同一用户支持。 支持生成签名的以调用您的A
auth0-java:Auth0平台的Java客户端库
04-06
Auth0 Java 平台的Java客户端库。 下载 通过Maven获取Auth0 Java: < dependency> < groupId>com.auth0</ groupId> < artifactId>auth0</ artifactId> < version>1.28.1</ version> </ dependency> 或Gradle: implementation ' com.auth0:auth0:1.28.1 ' 安卓 auth0.android库中的Auth0身份验证API和用户管理API可用于Android。 检查了解更多信息。 验证API 该实现基于 。 通过从提供应用程序详细信息来创建AuthAPI实例。 阅读有关降低资源使用量的。 AuthAPI auth = new AuthAPI ( " {YOUR_DOMAIN
关于auth0jwt
qq_35824590的博客
12-08 3374
JWT(Json Web Token) 用于无法产生cookie的项目(App/微信小程序 ) 同时解决了分布式中session共享的问题(登陆信息以非对称加密的形式存在客户端中,只消耗cpu以及网络io,自然解决了分布式session共享) JWT 规定了7个官方字段,提供使用。 iss (issuer):发布者 sub (subject):主题 iat (Issued At):生成签名的时间 exp (expiration time):签名过期时间 aud (audience):观众,相
Spring boot + JWT 实现安全验证 ---auth0.jwt
dream_heheda的博客
06-29 8252
使用auth0jwt 实现安全验证: 使用自定义参数 和时间戳生成token验证token验证自定义参数。auth0.jwt 验证token时会自动验证时间戳是否过期,如果过期,会抛出异常TokenExpiredException 1.引入依赖 <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt --> <dependency> <groupId>com.auth0</groupId&g
JWT 实战教程
weixin_43145539的博客
03-30 379
JWT 实战教程 注:资料整理自b站up主,编程不良人 1.什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted bec
SpringBoot集成auth0-jwt插件,实现jwttoken生成、校验,用户登录验证,配置拦截器拦截请求校验token功能
yunnuo的博客
01-05 842
该文章介绍了SpringBoot如何集成auth0-jwt插件,实现jwttoken生成、校验,用户登录验证,配置拦截器拦截请求校验token功能. JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。它以JSON对象的形式存在,并使用数字签名来验证信息的完整性和真实性。JWT由三部分组成,分别是Header、Payload和Signature。
auth0 封装 JwtUtils
qq_52425315的博客
11-28 262
auth0 封装 JwtUtils
使用auth0构建JWT
热门推荐
qq_36913208的博客
01-29 1万+
写于2019年年底,2020年春,新年好! JWT 全称 Json Web Token 用于用户认证 用于前后端分离项目(App/微信小程序 无法产生cookie的项目) 文中所提到的 Token泛指身份验证时使用的令牌,而JWT,是json 格式的 web token,两者稍作区别 JWT的构成 JWT 官网 点击前往 ,下列数据解释官网内容: 由三段字符串组成,两端中间用.分隔 eyJhb...
Laravel5.5安装与使用jwt-auth生成Token全攻略
通过以上步骤,你就能够在 Laravel 5.5 中成功集成 jwt-auth,为你的 API 提供基于 token 的身份验证。了解这些知识点后,你可以构建安全的、基于 REST 的应用程序,允许用户通过 JWT 进行身份验证并访问受保护的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值