SpringBoot中使用 JWT + 拦截器实现登录验证

最新推荐文章于 2024-05-14 19:24:17 发布
最新推荐文章于 2024-05-14 19:24:17 发布
阅读量496 收藏 3
点赞数
分类专栏: Spring Boot 文章标签: java redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39147809/article/details/120597450
版权

旧的方法存在缺点

之前的策略是,UUID + redis + 拦截器的思路。

服务器端在验证 roomid 和 password相匹配之后,使用 UUID 生成一个字符串作为 token ,接着往 Redis 服务中写入一个映射(token, roomid), 设置过期时间为20分钟, 并且把token 通过响应返回给客户端。因此,客户端便可以使用这个 UUID 产生的 token 来访问。

对于需要携带 token 的请求,安排了一个拦截器来检查这些请求,检验请求所携带的 token 与 roomid 是否与 Redis 中已有的映射相匹配,若匹配,说明已经授权可以可以放行,若不匹配,则拒绝请求。

缺点在于:

  • 服务器端需要使用 Redis 保存许多键值对,占用一定的内存空间。
  • 客户端获取的值是单纯的值,当用户太多时,UUID 的数目变得过多会加大被猜中的概率。

JWT

token 的三部分中,第一部分是头,第二部分是负载,第三部分是签名,一二部分都是base64加密,不能存放敏感信息。
如果客户端私自修改过期时间,token 的验证环节可以检测出来。(有使用密钥对过期时间进行加密)
如果修改客户端 roomid,是否意味着可以冒用他人的 token?token 生成过程有把负载部分考虑在内,验证的时候可以察觉到负载被修改。
使用 JWT 是用时间换空间,节省了服务器端的空间。

使用 JWT(JSON Web Token) 的方法

maven 中添加依赖,引入 Java-jwt 项目。

<dependency>
        <groupId>com.auth0</groupId>
        <artifactId>java-jwt</artifactId>
        <version>3.18.2</version>
</dependency>

服务器有一个不能公开的密钥。

服务器端在验证 roomid 和 password 之后,Token 签名算法使用密钥根据 payload 的内容生成签名,可以配置token 的过期时间(本项目配置的是 1 小时),token 的生成相当于服务器对验证通过者的授权,授权其可进行 1 小时的免密码畅行。最终得到一个 token 通过响应返回给客户端『generate 方法』。 客户端可以使用这个 token 进行请求。

对于需要携带 token 的请求,安排了一个拦截器进行检查,『validate 方法』使用 token 校验算法来检查请求所携带的 token的签名是否有效(过期或者 roomid 与签名内容不匹配都会被认为无效)。若 token 检验正确,则放行,若检验错误,则拒绝请求。

下方是 token 的生成与验证,其中 secret 是自己设定的密钥(是一个字符串,我的密钥可不能公开贴出来)。

token 生成过程:

 public static String generate(String roomid){
        String token = "";
        try{
            Algorithm algorithm = Algorithm.HMAC256(secret);
            Map<String,Object> map = new HashMap<>();
            map.put("roomid",roomid);
            token = JWT.create().withIssuer("auth0")
                    .withPayload(map)
                    .withExpiresAt(new Date(System.currentTimeMillis() + (long)3600*1000))
                    .sign(algorithm);
        }catch(JWTCreationException e){
            e.printStackTrace();
        }
        return token;
    }

token 的验证,验证通过则返回 roomid,验证不通过则返回 null。

public static String validate(String roomid, String token){
        DecodedJWT jwt = null;
        try{
            Algorithm algorithm = Algorithm.HMAC256(secret);
            JWTVerifier jwtVerifier = JWT.require(algorithm)
                    .withClaim("roomid",roomid)
                    .withIssuer("auth0").build();
            jwt = jwtVerifier.verify(token);
            if (jwt == null )return null;
            Claim claim = jwt.getClaim("roomid");
            if (claim == null )return null;
            return claim.asString();
        }catch (JWTVerificationException e){
            return null;
        }

    }

参考:https://github.com/auth0/java-jwt

zanxinz
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用jwt拦截器实现登录接口
weiqi_123的博客
11-20 4562
使用jwt来创建token和解密token,拦截器则是用来校验token。 jwt生成token /** * @author weiqi: * @version 创建时间:2018年11月5日 下午9:23:01 登录Token的生成和解析 */ public class JwtUtils { private static Logger log = LoggerFactory.g...
Interceptor拦截器+JWT令牌实现登陆验证
weixin_54039182的博客
03-07 479
与过滤器的作用类似,不过拦截器是spring的组件,只能拦截进入spring的请求;过滤器则可以拦截所有从前端页面发送来的请求。
Spring Boot使用JWT拦截器配置以及各层次的介绍
最新发布
qq_63795657的博客
05-14 1591
本文详细介绍了在Spring Boot应用使用JWT进行用户身份验证实现方式。首先,UserController作为控制层处理登录请求,并通过UsersService与UserDao进行交互查询用户信息。若用户存在,系统将生成JWT并返回。JwtInterceptor拦截器用于验证JWT的有效性,而JwtUtils工具类负责JWT的生成和解析。此外,InterceptorConfig类用于配置拦截器,确保了除登录接口外的所有请求都需要携带有效的Token。整个实现过程涉及控制器、服务层、数据访问对象层、
SpringBoot使用JWT实现登录拦截验证
ThailandKing的博客
04-08 2008
一、定义 JSON Web Token(JWT)是一个开放的标准(RFC 7519) 定义了一个紧凑且自包含的方式,用于在各方之间以JSON对象安全地传输信息 信息可以通过数字签名进行验证和信任 可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对来对JWT进行签名 二、请求流程 1、用户在浏览器输入用户名、密码进行登录验证 2、服务端登录验证 3、成功则返回生成的JWT,失败则抛...
jwt登录拦截
自在如风
04-23 1661
注解:PassToken.java package com.ak1ak1.yycollege.config; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.an...
Spring MVC使用JWT配合登录拦截器
monetto咖啡小栈
06-21 6731
使用登录拦截器+Json Web Token来进行登录验证,后台为SpringMVC (Boot同理)首先,为我们基于Maven的项目配置依赖:&lt;dependency&gt;    &lt;groupId&gt;io.jsonwebtoken&lt;/groupId&gt;    &lt;artifactId&gt;jjwt&lt;/artifactId&gt;    &lt;version...
JDK8使用JWT以及使用拦截器进行登录拦截
qq_40820382的博客
01-29 790
一、JDK8使用JWT 新建工具类 JWTUtils 添加jwt依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> 定义一些常量 /**
springboot + jwt + websocket + 拦截
09-02
3. **拦截WebSocket连接**:为了增强安全性,可以使用Spring的WebSocket消息拦截器(WebSocketMessageBrokerConfigurer)来拦截WebSocket连接请求,对JWT进行验证,只有当JWT有效时才允许建立WebSocket连接。...
springboot实现拦截器验证登录示例
08-31
本文将详细介绍如何在Spring Boot实现一个登录验证拦截器。 首先,我们需要创建一个自定义注解`@Auth`,用于标记需要进行登录验证的方法或类。在`@Auth`注解,我们可以添加一些属性来定制验证行为,例如允许...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目,我们将探讨如何利用Spring Boot、Spring Security和JWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
SpringBoot+shiro+redis+jwt .zip
01-03
在这个项目,`Redis`可以用来存储JWT,以实现JWT的刷新和验证。当JWT过期时,客户端可以通过刷新令牌(Refresh Token)向服务器请求新的JWT,这样用户就不需要重新登录。 项目的`demo`可能包含了以下组件和配置...
springboot整和jwt、shiro、redis实现token自动刷新
08-19
此外,还需要编写一个TokenFilter,这个过滤器会在每次请求时检查请求头JWT,如果发现Token即将过期,就调用刷新接口获取新的Token。这个过程应该设计为无感知的,即用户在正常使用应用时,后台自动完成Token的...
SpringBoot拦截器处理JWT验证
时光、疏离了记忆づ童话的博客
11-23 1093
在上文一文读懂JWT+JAVA的两种实现方式,我们已经了解到了JWT并进行了实现,但是在每个接口都进行验证会使得代码非常冗余,因此本文,我们将结合SpringBoot2.x进行整合,将JWT验证放到拦截器进行实现JWT认证流程图如下: 创建包结构: Maven依赖信息: <!--java-jwt--> <dependency> <groupId>com.auth0</groupId> .
基于JWT+拦截器实现用户登录拦截
qq_43375881的博客
01-19 1528
基于JWT+拦截器实现用户登录拦截 首先是maven依赖 <dependency> <groupId>com.nimbusds</groupId> <artifactId>nimbus-jose-jwt</artifactId> <version>6.0</version> </dependency> 然后是JwtUti
分布式应用下登录检验解决方案 JWT+登录拦截器开发+用户信息传递
点滴记忆,分享成长之路
12-15 947
一.什么是JWT JWT 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名 简单来说: 就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息 { id:888, name:'wnn', expire:10000 .
Jwt入门教程:实战( 三) | 使用Springboot基于拦截器redisJwt判断用户登录以及安全校验
慌途L
11-26 1744
利用Jwt判断用户登录以及安全校验 这里简单介绍用户登录解析Jwt token,从请求的session、以及redis获取我们想要信息,再做具体业务操作。 不熟悉Jwt概念和用法的可以参考前面两篇: Jwt入门教程( 一) | 原理和用法. Jwt入门教程:实战( 二) | Java/.Net/Python使用. ...
SpringBoot整合JWT实现验证登陆
weixin_38328252的博客
04-14 821
什么是JWT?Jsonwebtoken(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且安全的,特别...
SpringBoot 通过token进行身份验证,存储redis--use
justlpf的专栏
05-19 1634
参考文章:SpringBoot 通过token进行身份验证,存储redis
拿下登录拦截、jwt生成token和验证token,争取月薪30+K
weixin_45150104的博客
07-07 284
   前两天自己写的项目使用到了登录时采用jwt加密、系统拦截、验证登录的功能,今天抽出时间来给大家进行详细讲解下其含义和如何使用。来吧小老弟,废话少说,开始步入正题。    这里我只给大家讲后端内容,涉及的前端内容就不给大家进行讲解(小声逼逼:其实俺也不会前端、、、) 1、请求拦截    编写配置类,继承WebMvcConfigurerAdapter重写addInterceptors方法来将我们自定义的拦截器注册
springboot使用JWT拦截器实现登录验证
06-03
下面是一个使用 Spring Boot、JWT拦截器实现登录验证的示例代码: 1. 添加 JWT 依赖 在 pom.xml 文件添加以下依赖: ```xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 2. 创建 JWT 工具类 ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import io.jsonwebtoken.security.Keys; import org.springframework.stereotype.Component; import java.security.Key; import java.util.Date; import java.util.HashMap; import java.util.Map; @Component public class JwtUtil { private final Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256); public String generateToken(String subject) { return Jwts.builder() .setClaims(new HashMap<>()) .setSubject(subject) .setExpiration(new Date(System.currentTimeMillis() + 60 * 60 * 1000)) .signWith(key) .compact(); } public boolean validateToken(String token) { try { Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token); return true; } catch (Exception e) { return false; } } public String getUsernameFromToken(String token) { Claims claims = Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token).getBody(); return claims.getSubject(); } } ``` 3. 创建拦截器 ```java import com.example.demo.jwt.JwtUtil; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Component; import org.springframework.web.method.HandlerMethod; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.lang.reflect.Method; @Component public class AuthenticationInterceptor implements HandlerInterceptor { @Autowired private JwtUtil jwtUtil; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String token = request.getHeader("Authorization"); if (token != null && jwtUtil.validateToken(token)) { String username = jwtUtil.getUsernameFromToken(token); request.setAttribute("username", username); return true; } else { response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); return false; } } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { HandlerMethod handlerMethod = (HandlerMethod) handler; Method method = handlerMethod.getMethod(); LoginRequired loginRequired = method.getAnnotation(LoginRequired.class); if (loginRequired != null && modelAndView != null) { modelAndView.addObject("username", request.getAttribute("username")); } } } ``` 4. 创建注解 ```java import java.lang.annotation.*; @Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface LoginRequired { } ``` 5. 创建控制器 ```java import com.example.demo.interceptor.LoginRequired; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; @RestController public class HelloController { @GetMapping("/") public String index() { return "Hello World"; } @GetMapping("/hello") @LoginRequired public String hello() { return "Hello " + SecurityContextHolder.getContext().getAuthentication().getName(); } } ``` 6. 配置拦截器 ```java import com.example.demo.interceptor.AuthenticationInterceptor; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebMvcConfig implements WebMvcConfigurer { @Autowired private AuthenticationInterceptor authenticationInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(authenticationInterceptor).addPathPatterns("/**"); } } ``` 7. 创建登录控制器 ```java import com.example.demo.jwt.JwtUtil; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RestController; import java.util.HashMap; import java.util.Map; @RestController public class LoginController { @Autowired private JwtUtil jwtUtil; @PostMapping("/login") public Map<String, Object> login(@RequestBody Map<String, String> params) { String username = params.get("username"); String password = params.get("password"); // TODO: 验证用户名和密码 String token = jwtUtil.generateToken(username); Map<String, Object> result = new HashMap<>(); result.put("token", token); return result; } } ``` 在这个示例,我们创建了一个 JWT 工具类来生成和验证 JWT,创建了一个拦截器验证用户是否登录,并使用 @LoginRequired 注解来标记需要登录验证的方法。我们还创建了一个登录控制器来生成 JWT。通过这个示例,您可以了解如何使用 Spring Boot、JWT拦截器实现登录验证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值