jwt判断token是否过期_SpringSecurity代码实现JWT接口权限授予与校验

最新推荐文章于 2024-06-14 14:16:51 发布
最新推荐文章于 2024-06-14 14:16:51 发布
阅读量2.9k 收藏 4
点赞数
文章标签: jwt判断token是否过期 springboot 集成jwt设置过期时间 springsecurity登录功能拦截 springsecurity登录验证 springsecurity登陆失败 自定义注解实现权限校验含义
1bb1593659aae0fecdf57027dbab8498.png

SpringSecurity代码实现JWT接口权限授予与校验

通过笔者前两篇文章的说明,相信大家已经知道JWT是什么,怎么用,该如何结合Spring Security使用。那么本节就用代码来具体的实现一下JWT登录认证及鉴权的流程。为了大部分的移动端用户观看,本文所有代码均用图片的形式发布,图片点击可放大。有需要源码的朋友可以call我。

一、环境准备工作

  • 建立Spring Boot项目并集成了Spring Security,项目可以正常启动
  • 通过controller写一个HTTP的GET方法服务接口,比如:“/hello”
  • 实现最基本的动态数据验证及权限分配,即实现UserDetailsService接口和UserDetails接口。这两个接口都是向Spring Security提供用户、角色、权限等校验信息的接口
  • 如果你学习过Spring Security的formLogin登录模式,请将HttpSecurity配置中的formLogin()配置段全部去掉。因为JWT完全使用JSON接口,没有from表单提交。
  • HttpSecurity配置中一定要加上csrf().disable(),即暂时关掉跨站攻击CSRF的防御。这样是不安全的,我们后续章节再做处理。

以上的内容,我们在之前的文章中都已经讲过。如果仍然不熟悉,可以翻看本号之前的文章。

二、开发JWT工具类

通过maven坐标引入JWT工具包jjwt

5d922f284e8e39e0e902d19a35eb15f1.png

图片:JWT工具包maven坐标

在application.yml中加入如下自定义一些关于JWT的配置

jwt:  header: JWTHeaderName secret: aabbccdd  expiration: 3600000
  • 其中header是携带JWT令牌的HTTP的Header的名称。虽然我这里叫做JWTHeaderName,但是在实际生产中可读性越差越安全。
  • secret是用来为JWT基础信息加密和解密的密钥。虽然我在这里在配置文件写死了,但是在实际生产中通常不直接写在配置文件里面。而是通过应用的启动参数传递,并且需要定期修改。
  • expiration是JWT令牌的有效时间。

写一个Spring Boot配置自动加载的工具类。

4a5d66da79232218ba24367401591634.png

图片:开发JWT工具类

上面的代码就是使用io.jsonwebtoken.jjwt提供的方法开发JWT令牌生成、刷新的工具类。

三、开发登录接口(获取Token的接口)

  • "/authentication"接口用于登录验证,并且生成JWT返回给客户端
  • "/refreshtoken"接口用于刷新JWT,更新JWT令牌的有效期
61c7a13a94bbab4e5d3a20170ecf4d6a.png

图片:开发登录接口(获取Token的接口)

核心的token业务逻辑写在JwtAuthService 中

  • login方法中首先使用用户名、密码进行登录验证。如果验证失败抛出BadCredentialsException异常。如果验证成功,程序继续向下走,生成JWT响应给前端
  • refreshToken方法只有在JWT token没有过期的情况下才能刷新,过期了就不能刷新了。需要重新登录。
76327d6cde227d3b7a33dd98e895387d.png

图片:核心的token业务逻辑写在JwtAuthService 中

因为使用到了AuthenticationManager ,所以在继承WebSecurityConfigurerAdapter的SpringSecurity配置实现类中,将AuthenticationManager 声明为一个Bean。并将"/authentication"和 "/refreshtoken" 开放访问权限,如何开放访问权限,我们之前的文章已经讲过了。

@Bean(name = BeanIds.AUTHENTICATION_MANAGER)@Overridepublic AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean();}

四、接口访问鉴权过滤器

当用户第一次登陆之后,我们将JWT令牌返回给了客户端,客户端应该将该令牌保存起来。在进行接口请求的时候,将令牌带上,放到HTTP的header里面,header的名字要和jwt.header的配置一致,这样服务端才能解析到。下面我们定义一个拦截器:

  • 拦截接口请求,从请求request获取token,从token中解析得到用户名
  • 然后通过UserDetailsService获得系统用户(从数据库、或其他其存储介质)
  • 根据用户信息和JWT令牌,验证系统用户与用户输入的一致性,并判断JWT是否过期。如果没有过期,至此表明了该用户的确是该系统的用户。
  • 但是,你是系统用户不代表你可以访问所有的接口。所以需要构造UsernamePasswordAuthenticationToken传递用户、权限信息,并将这些信息通过authentication告知Spring Security。Spring Security会以此判断你的接口访问权限。
8c5b079d12477c238cb5b5b47cf5a6d6.png

图片:接口访问鉴权过滤器

在spring Security的配置类(即WebSecurityConfigurerAdapter实现类的configure(HttpSecurity http)配置方法中,加入如下配置:

.sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and().addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
  • 因为我们使用了JWT,表明了我们的应用是一个前后端分离的应用,所以我们可以开启STATELESS禁止使用session。当然这并不绝对,前后端分离的应用通过一些办法也是可以使用session的,这不是本文的核心内容不做赘述。
  • 将我们的自定义jwtAuthenticationTokenFilter,加载到UsernamePasswordAuthenticationFilter的前面。

五、PostMan测试一下:

测试登录接口,即:获取token的接口。输入正确的用户名、密码即可获取token。

89d405aec91e677698a2729374ddb3be.png

图片:测试登录接口


下面我们访问一个我们定义的简单的接口“/hello”,但是不传递JWT令牌,结果是禁止访问。当我们将上一步返回的token,传递到header中,就能正常响应hello的接口结果。

91e3f7734ef9becf7c40bf86be818f35.png

图片:访问接口“/hello”

weixin_39661353
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
搞懂 JWT 这个知识点
程序员成长指北
09-22 650
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
jwt判断token是否过期_mall整合SpringSecurityJWT实现认证和授权(一)
weixin_39942492的博客
11-21 2627
本文主要讲解mall通过整合SpringSecurityJWT实现后台用户的登录和授权功能,同时改造Swagger-UI的配置使其可以自动记住登录令牌进行发送。SpringBoot实战电商项目mall(25k+star)地址:https://github.com/macrozheng/mall项目使用框架介绍SpringSecurity SpringSecurity是一个强大的可高度定制的认证和...
基于springSecurity的双token机制(accesToken,refreshToken)以及如何刷新token
最新发布
AllenLuoYi的博客
06-14 814
核心功能概要: 通过加密算法创建一个用户:1.代码整体结构: 2.所需依赖: 3.UserDetailServiceImpl拦截用户登陆:4.所需工具类4.1ApplicationContextUtils: 4.2JwtUtils:4.3ResponseResult4.4ResponseStatus4.5RsaUtils:4.6.SecurityContextUtil5.SecurityConfig:6.LoginSuccessHandler登陆成功处理器:7.RequestAuthenticationFi
jwt判断token是否过期_一文讲解JWT用户认证全流程
weixin_39600319的博客
11-12 4589
一、什么是JWT(what)JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,以JSON对象的形式在各方之间安全地传输信息。JWT是一个数字签名,生成的信息是可以验证并被信任的。使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对JWT进行签名。JWT是目前最流行的跨域认证解决方案1.1 JWT令牌结构SON Web令牌以紧凑的...
jwt判断token是否过期_4spring-security5整合jwt登录权限验证,全网最全!!!可用...
weixin_39889544的博客
11-21 547
github源码:https://github.com/gyb123456/spring-security5-jwt,最烦那些写文档只截图一半还不给源码的人,要不你就截全图,要不就给源码!前言:需要研究spring-securityjwt技术,搞了几天,现把成果记录下环境Springboot:2.1.3.RELEASE spring-security:5.1.4.RELEASE 前后端分离 所需...
JWT主动校验Token是否过期
詹Sir的博客
08-04 5205
JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案
基于springboot+springSecurity+jwt实现的基于token权限管理+源代码+文档
04-09
本项目通过集成Spring Boot、Spring SecurityJWT(JSON Web Tokens)技术,构建了一个基于token权限管理系统。下面将详细阐述这些关键技术及其相互间的协同工作原理。 1. **Spring Boot**: Spring Boot是...
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者Token过期了,那么禁止访问系统。如果用户一直...
jwt判断token是否过期_SpringBootSecurity学习(13)前后端分离版之JWT
weixin_39608063的博客
11-26 1439
JWT 使用前面简单介绍了把默认的页面登录改为前后端分离的接口异步登录的方法,可以帮我们实现基本的前后端分离登录功能。但是这种基本的登录和前面的页面登录还有一个一样的地方,就是使用session和cookie来维护登录状态,这种方法的问题在于,扩展性不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。一种解决方...
js如何获取jwt信息_前后端分离:基于JWT用户认证分析
weixin_39607798的博客
11-21 879
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!作者:lion1ouhttps://lion1ou.win/2017/01/18/在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所...
jwt判断token是否过期_jwt 实践应用以及特殊案例思考
weixin_39929253的博客
11-29 2335
JSON Web Token 是 rfc7519[1] 出的一份标准,使用 JSON 来传递数据,用于判定用户是否登录状态。jwt 之前,使用 session 来做用户认证。以下代码均使用 javascript 编写。session 传统判断是否登录的方式是使用 session + tokentoken 是指在客户端使用 token 作为用户状态凭证,浏览器一般存储在 localSto...
SpringCloud】配置:application.yml中都应该写些啥?
weixin_34117522的博客
06-12 1171
文章包含以下内容。 基本信息 容器配置 管理配置 Endpoint Swagger配置 Eureka配置 Feign和Ribbon 调用链 通用配置 连接池配置 Mybatis配置 基本信息 基本信息用来展示项目的版本、开发者等。可用来开发统一的管理后台对项目进行控制。 info: businessSide: 研发部 serviceName: ${artifactId} ver...
jwt判断token是否过期_警钟 | 还不会Spring Boot集成JWT,你可能错过了大厂的Office了...
weixin_39587822的博客
11-26 1416
概述(什么是JWT)JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该标准定义了一种简单的,自包含的,用于通信双方以JSON对象的形式安全的传递信息。请求流程流程如下用户使用账号和面发出 post 请求;服务器使用私钥创建一个 jwt;服务器返回这个 jwt 给浏览器;浏览器将该 jwt 串在请求头中像服务器发送请求;服务器验证jwt;返回响应的资源给浏览器。...
java实现token 过期,JWT认证,取得过期token的用户名
weixin_39593247的博客
03-15 1335
前言项目前后端分离,请求认证使用的是JWT无状态认证。最近遇到一个问题,认证token需要从token中获取用户名,但是这个token有可能是过期的。一般取得用户名用的是下面的代码。private Claims getClaimsFromToken(String token) {return Jwts.parser().setSigningKey(SECRET).parseClaimsJws(to...
Jwt生成token以及token过期校验
热门推荐
duanduan339的博客
12-06 1万+
Java的JJWT实现JWT 1 什么是JJWT ​ JJWT是一个提供端到端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。 2 JJWT快速入门 2.1 token的创建 (1)创建maven工程,引入依赖 <dependency> ...
29.Jwt集成(3):token设置过期时间、异常判断
p15097962069的博客
01-02 595
29.Jwt集成(3):token设置过期时间、异常判断
jwt token 过期刷新_SpringSecurity整合JWT
weixin_39691748的博客
12-03 1462
一、前言  最近负责支付宝小程序后端项目设计,这里主要分享一下用户会话、接口鉴权的设计。参考过微信小程序后端的设计,会话需要依靠redis。相关的开发人员和我说依靠Redis并不是很靠谱,redis在业务高峰期不稳定,容易出现问题,总会出现用户会话丢失、超时的问题。之前听过JWT相关的设计,决定尝试一下。二、什么是JWT  JSON Web TokenJWT)是一个开放标准(RFC 7519),...
Springboot + Spring Security + JTW +Vue,中判断前端的页面是否token或者token是否过期的问题时遇到的bug
bestrongest的博客
03-26 670
项目场景: Springboot + Spring Security + JTW +Vue,中判断前端的页面是否token或者token是否过期的问题时遇到的bug 问题描述 在经JwtAuthenticationFilter extends BasicAuthenticationFilter拦截时,出现jwt有值的情况下,Claims claim = jwtUtils.getClaimByToken(jwt);claim 为null。 package com.bingtuan.security; i
仅需四步,整合SpringSecurity+JWT实现登录认证 !
macrozheng的专栏
12-11 1921
学习过我的mall项目的应该知道,mall-admin模块是使用SpringSecurity+JWT实现登录认证的,而mall-portal模块是使用的SpringSecurity基于...
spring security校验jwt token代码
05-26
Spring Security校验JWT Token代码可以参考如下: 首先,需要创建JWT Token验证过滤器类。该类继承自OncePerRequestFilter,并在doFilterInternal()方法中实现JWT Token校验逻辑: ```java public class JwtTokenAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider jwtTokenProvider; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = jwtTokenProvider.resolveToken(request); try { if (token != null && jwtTokenProvider.validateToken(token)) { Authentication auth = jwtTokenProvider.getAuthentication(token); if (auth != null) { SecurityContextHolder.getContext().setAuthentication(auth); } } } catch (JwtException e) { response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); response.sendError(HttpServletResponse.SC_UNAUTHORIZED, e.getMessage()); return; } filterChain.doFilter(request, response); } } ``` 然后,需要创建JWT Token的提供者类,该类负责创建Token验证Token: ```java @Component public class JwtTokenProvider { @Value("${jwt.secret}") private String secretKey; @Value("${jwt.token.validity}") private long validityInMilliseconds; private Key getSecretKey() { return Keys.hmacShaKeyFor(secretKey.getBytes()); } public String createToken(String username, List<Role> roles) { Claims claims = Jwts.claims().setSubject(username); claims.put("auth", roles.stream().map(role -> new SimpleGrantedAuthority(role.getAuthority())).filter(Objects::nonNull).collect(Collectors.toList())); Date now = new Date(); Date validity = new Date(now.getTime() + validityInMilliseconds); return Jwts.builder() .setClaims(claims) .setIssuedAt(now) .setExpiration(validity) .signWith(getSecretKey()) .compact(); } public Authentication getAuthentication(String token) { UserDetails userDetails = new User(getUsername(token), "", getAuthorities(token)); return new UsernamePasswordAuthenticationToken(userDetails, "", userDetails.getAuthorities()); } private String getUsername(String token) { return Jwts.parserBuilder().setSigningKey(getSecretKey()).build().parseClaimsJws(token).getBody().getSubject(); } private List<GrantedAuthority> getAuthorities(String token) { Claims claims = Jwts.parserBuilder() .setSigningKey(getSecretKey()) .build() .parseClaimsJws(token) .getBody(); List<LinkedHashMap<String, String>> roles = (List<LinkedHashMap<String, String>>) claims.get("auth"); return roles.stream().map(role -> new SimpleGrantedAuthority(role.get("authority"))).collect(Collectors.toList()); } public boolean validateToken(String token) { try { Jwts.parserBuilder().setSigningKey(getSecretKey()).build().parseClaimsJws(token); return true; } catch (JwtException | IllegalArgumentException e) { e.printStackTrace(); return false; } } public String resolveToken(HttpServletRequest req) { String bearerToken = req.getHeader("Authorization"); if (bearerToken != null && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` 最后,需要把上述过滤器类和提供者类添加到Spring Security的配置中: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenProvider jwtTokenProvider; @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() .authorizeRequests() .antMatchers("/api/v1/auth/login").permitAll() .anyRequest().authenticated() .and() .addFilterBefore(new JwtTokenAuthenticationFilter(jwtTokenProvider), UsernamePasswordAuthenticationFilter.class); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(12); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder()); } @Bean public UserDetailsService userDetailsService() { return new UserServiceImpl(); } } ``` 以上代码用来实现Spring Security校验JWT Token的功能,提供了创建Token校验Token和获取Token中存储的用户和权限信息等相关方法。您可以根据您的实际需求进行修改和调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值