java中使用jwt_Java使用JWT和Spring基于token验证登陆权限(非cookie)

最新推荐文章于 2023-02-06 18:10:19 发布
最新推荐文章于 2023-02-06 18:10:19 发布
阅读量228 收藏
点赞数
文章标签: java中使用jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39747075/article/details/114668300
版权
本文介绍了如何在Java中使用JWT进行登录验证,通过Spring Security配置无状态会话,并使用TokenAuthenticationFilter过滤器来检查每个请求的JWT token,确保用户权限。
摘要由CSDN通过智能技术生成

1、pom.xml文件配置

io.jsonwebtoken

jjwt

0.9.0

2、验证检查解析Token的代码(TokenHelper)

import io.jsonwebtoken.Claims;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

import javax.servlet.http.HttpServletRequest;

import org.apache.commons.logging.Log;

import org.apache.commons.logging.LogFactory;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.stereotype.Component;

import com.test.dfx.common.TimeProvider;

import com.test.dfx.model.LicenseDetail;

import com.test.dfx.model.User;

@Component

public class TokenHelper {

protected final Log LOGGER = LogFactory.getLog(getClass());

@Value("${app.name}")

private String APP_NAME;

@Value("${jwt.secret}")

public String SECRET; // 用于生成密钥的密钥。从属性文件得到它

@Value("${jwt.expires_in}")

private int EXPIRES_IN; // can specify time for token to expire.

@Value("${jwt.header}")

private String AUTH_HEADER;

@Autowired

TimeProvider timeProvider;

private SignatureAlgorithm SIGNATURE_ALGORITHM = SignatureAlgorithm.HS512; // JWT Algorithm for encryption

public Date getIssuedAtDateFromToken(String token) {

Date issueAt;

try {

final Claims claims = this.getAllClaimsFromToken(token);

issueAt = claims.getIssuedAt();

} catch (Exception e) {

LOGGER.error("Could not get IssuedDate from passed token");

issueAt = null;

}

return issueAt;

}

public String getAudienceFromToken(String token) {

String audience;

try {

final Claims claims = this.getAllClaimsFromToken(token);

audience = claims.getAudience();

} catch (Exception e) {

LOGGER.error("Could not get Audience from passed token");

audience = null;

}

return audience;

}

public String refreshToken(String token) {

String refreshedToken;

Date a = timeProvider.now();

try {

final Claims claims = this.getAllClaimsFromToken(token);

claims.setIssuedAt(a);

refreshedToken = Jwts.builder()

.setClaims(claims)

.setExpiration(generateExpirationDate())

.signWith( SIGNATURE_ALGORITHM, SECRET )

.compact();

} catch (Exception e) {

LOGGER.error("Could not generate Refresh Token from passed token");

refreshedToken = null;

}

return refreshedToken;

}

public String generateToken(String username) {

String audience = generateAudience();

return Jwts.builder()

.setIssuer( APP_NAME )

.setSubject(username)

.setAudience(audience)

.setIssuedAt(timeProvider.now())

.setExpiration(generateExpirationDate())

.signWith( SIGNATURE_ALGORITHM, SECRET )

.compact();

}

private Claims getAllClaimsFromToken(String token) {

Claims claims;

try {

claims = Jwts.parser()

.setSigningKey(SECRET)

.parseClaimsJws(token)

.getBody();

} catch (Exception e) {

LOGGER.error("Could not get all claims Token from passed token");

claims = null;

}

return claims;

}

private Date generateExpirationDate() {

long expiresIn = EXPIRES_IN;

return new Date(timeProvider.now().getTime() + expiresIn * 1000);

}

public int getExpiredIn() {

return EXPIRES_IN;

}

public Boolean validateToken(String token, UserDetails userDetails) {

User user = (User) userDetails;

final String username = getUsernameFromToken(token);

final Date created = getIssuedAtDateFromToken(token);

return (

username != null &&

username.equals(userDetails.getUsername()) &&

!isCreatedBeforeLastPasswordReset(created, user.getLastPasswordResetDate())

);

}

private Boolean isCreatedBeforeLastPasswordReset(Date created, Date lastPasswordReset) {

return (lastPasswordReset != null && created.before(lastPasswordReset));

}

public String getToken( HttpServletRequest request ) {

/**

* Getting the token from Authentication header

* e.g Bearer your_token

*/

String authHeader = getAuthHeaderFromHeader( request );

if ( authHeader != null && authHeader.startsWith("Bearer ")) {

return authHeader.substring(7);

}

return null;

}

public String getAuthHeaderFromHeader( HttpServletRequest request ) {

return request.getHeader(AUTH_HEADER);

}

}

3、Spring Security 代码中添加JWT验证@Override

protected void configure(HttpSecurity http) throws Exception {

http

.sessionManagement().sessionCreationPolicy( SessionCreationPolicy.STATELESS ).and()

.exceptionHandling().authenticationEntryPoint( restAuthenticationEntryPoint ).and()

.authorizeRequests()

.antMatchers("/auth/**").permitAll()

.antMatchers("/login").permitAll()

.antMatchers("/home").permitAll()

.antMatchers("/actuator/**").permitAll()

.anyRequest().authenticated().and()

.addFilterBefore(new TokenAuthenticationFilter(tokenHelper, jwtUserDetailsService), BasicAuthenticationFilter.class);

http.csrf().disable();

}

4、权限登陆验证过滤器(TokenAuthenticationFilter)

验证每次会话的tokenpackage com.test.dfx.security;

import java.io.IOException;

import javax.servlet.FilterChain;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.apache.commons.logging.Log;

import org.apache.commons.logging.LogFactory;

import org.springframework.security.core.context.SecurityContextHolder;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.web.filter.OncePerRequestFilter;

public class TokenAuthenticationFilter extends OncePerRequestFilter {

protected final Log logger = LogFactory.getLog(getClass());

private TokenHelper tokenHelper;

private UserDetailsService userDetailsService;

public TokenAuthenticationFilter(TokenHelper tokenHelper, UserDetailsService userDetailsService) {

this.tokenHelper = tokenHelper;

this.userDetailsService = userDetailsService;

}

@Override

public void doFilterInternal(

HttpServletRequest request,

HttpServletResponse response,

FilterChain chain

) throws IOException, ServletException {

String username;

String authToken = tokenHelper.getToken(request);

logger.info("AuthToken: "+authToken);

if (authToken != null) {

// get username from token

username = tokenHelper.getUsernameFromToken(authToken);

logger.info("UserName: "+username);

if (username != null) {

// get user

UserDetails userDetails = userDetailsService.loadUserByUsername(username);

if (tokenHelper.validateToken(authToken, userDetails)) {

// 创建身份验证

TokenBasedAuthentication authentication = new TokenBasedAuthentication(userDetails);

authentication.setToken(authToken);

SecurityContextHolder.getContext().setAuthentication(authentication);

}

}else{

logger.error("Something is wrong with Token.");

}

}

chain.doFilter(request, response);

}

}

weixin_39747075
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot】44、SpringBoot整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
jwt 例子 java_利用Springboot实现Jwt认证的示例代码
weixin_34452012的博客
02-13 312
JSON Web Token是目前最流行的跨域认证解决方案,,适合前后端分离项目通过Restful API进行数据交互时进行身份认证概述由于概念性内容网上多的是,所以就不详细介绍了具体可以看这里:阮一峰大佬的博客我总结几个重点:JWT,全称Json Web Token,是一种令牌认证的方式长相:头部:放有签名算法和令牌类型(这个就是JWT)载荷:你在令牌上附带的信息:比如用户的id,用户的电话号码...
java token身份认证_java – 基于Spring Security Token的身份验证
weixin_34194499的博客
02-13 327
以下是我能够实现基于令牌的身份验证和基本身份验证的方法SpringSecurityConfig.java@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter{@Overridepublic void configure(final Authentication...
java登陆器网关_登录功能使用(Eureka注册心+Zuul网关+过滤器+JWT生产Token)整合...
weixin_28983061的博客
02-25 406
一, 首先创建项目,分对应模块 整体架构图 二, 在公共工具导入pom.xml依赖(包含JWT相应依赖),org.springframework.bootspring-boot-starter-testorg.projectlomboklombok1.16.20commons-beanutilscommons-beanutils1.9.3io.jsonwebtokenjjwt0.9.0joda-...
java login jwt token filter
舒适hanxs4
01-02 326
jwt token login
jwt 整合java,SpringSecurity整合Jwt过程图解
weixin_39988779的博客
03-11 144
这篇文章主要介绍了SpringSecurity整合Jwt过程图解,文通过示例代码介绍的常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下一、创建项目并导入依赖org.springframework.bootspring-boot-starter-securityorg.springframework.bootspring-boot-starter-webio.jsonwe...
springboot+springSecurity+jwt实现的基于token权限管理的一个demo
02-16
这个“springboot+springSecurity+jwt实现的基于token权限管理的一个demo”旨在演示如何在Spring Boot应用集成这些技术,以创建一个安全的、基于令牌的身份验证系统。 首先,Spring Boot是Java领域的一个快速...
基于springboot+springSecurity+jwt实现的基于token权限管理的一个demo,适合新手
03-02
本篇文章将深入探讨如何使用SpringBoot、SpringSecurity以及JSON Web TokenJWT)技术来构建一个简单的权限管理Demo,常适合初学者学习。 **1. SpringBoot简介** SpringBoot是Spring框架的一种简化版本,它旨在...
基于springboot+springSecurity+jwt实现的基于token权限管理+源代码+文档
最新发布
03-14
在基于Token权限管理JWT通常用于身份验证和授权。当用户成功登录后,服务器会返回一个JWT,客户端将其存储起来,然后在后续请求携带此Token,服务器通过验证Token来确定用户的身份和权限。 在这个项目,...
Java Spring boot+Jwt 认证
博哥哥的博客
02-06 439
说明:除了user、login 其他的都务必添加上,这些文件都是swgger的文件,如果你使用了Swgger请添加忽略拦截,反之。1、除了登录,其他的都会拦截,如果想设置拦截的话,到config里维护即可。此文完,关注作者不迷路,天天都走发财路!直接运行接口的话就会返回。
LaancTokenHelper
03-01
LaancTokenHelper 工作完成: 根据KID,针对本地缓存的JWK验证JWT。 从FAA服务器检索JWK并将其保存到本地缓存 使用本机JsonWebKeyset存储缓存的密钥 使用MockAPI.IO完整的API集成和示例响应 经过NUnitTest的全面测试 性能测试:(新的JWK重试取决于服务器响应时间〜100ms,针对缓存的密钥验证JWT是即时的,迭代i = 1000,t <1s) 需要做的工作:-LaancTokenHandler.cs:21-FAAbaseUrl(需要指向FAA URL,当前它指向带有示例响应的嘲笑api.io) LaancTokenHandler.cs:42 -validationParameters(需要自定义验证要求,即到期验证,Aud,Iss) LaancTokenHandler.cs:128-faaLaancJWK(可能需要根据
java jwt框架_Spring安全框架——jwt的集成(服务器端)
weixin_39598308的博客
03-04 340
新建用户表——users,并完成数据库增删查改一、新建表二、持久化映射,建立模型类,添加主键生成器//指定生成器名称@GeneratedValue(generator = "uuid2" )@GenericGenerator(name = "uuid2", strategy = "org.hibernate.id.UUIDGenerator" )三、建立Dao层package edu.ynmd.c...
JavaSpringBoot集成JWT实现token验证
彭世瑜的博客
01-05 1269
demo-jwt 依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 注解 package com.example.demojwt.annotation; import java.lang.annotat
html登录状态验证,Token验证登录状态的简单实现
weixin_31499919的博客
05-30 2702
设计思路用户发出登录请求,带着用户名和密码到服务器经行验证,服务器验证成功就在后台生成一个token返回给客户端客户端将token存储到cookie,服务端将token存储到redis,可以设置存储token的有效期。后续客户端的每次请求资源都必须携带token,这里放在请求头,服务端接收到请求首先校验是否携带token,以及token是否和redis的匹配,若不存在或不匹配直接拦截返回错...
JWT
m0_46487331的博客
12-14 882
Author:Allen_Huang Version:1.0.0 一. JWT简介 什么是JWTJWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 为什么使用JWT? 随着技术的发展,分布式web应用的普.
SpringBoot进阶之如何集成JWT实现Token验证
weixin_68320784的博客
04-07 856
近年来,随着前后端分离、微服务等架构的兴起,传统的cookie+session身份验证模式已经逐渐被基于Token的身份验证模式取代。接下来介绍如何在Spring Boot项目集成JWT实现Token验证。 一、JWT入门 1.什么是JWT JWT (Json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。它定义了一种紧凑的,自包含的方式,用于通信双方之间以JSON对象的形式安全传递信息。JWT使用HMAC算法或者是RSA的公私秘钥的数字
Hand SecurityTokenHelper的源码
awodwde的博客
12-07 300
加密时使用到的实体,pkValue表示的是主键 生成token的流程:首先是构建成一个 SecurityTokenEntity类,该类必须含有以下四个属性, 然后使用AES加密方式,对SecurityTokenEntity的序列化字符串进行加密 public static <T extends SecurityToken> String generateToken(T obj) { if (noContext()) { logger.de
Token验证登录状态的简单实现
Libra_rookie的博客
05-14 864
设计思路 1、用户发出登录请求,带着用户名和密码到服务器经行验证,服务器验证成功就在后台生成一个token返回给客户端 2、客户端将token存储到cookie,服务端将token存储到redis,可以设置存储token的有效期。 3、后续客户端的每次请求资源都必须携带token,这里放在请求头,服务端接收到请求首先校验是否携带token,以及token是否和redis的匹配,若不存在或不匹配直接拦截返回错误信息(如未认证)。 token管理:生成、校验、解析、删除 token:这里使用userI
springmvc如何防止表达重复提交
热门推荐
无意摘花
08-28 6万+
问题描述: 现在的
SpringCloud服务认证:深入理解JWT与OAuth、Cookie比较
本文详细解析了SpringCloud服务认证使用JWT(JSON Web Tokens)的过程和优势。JWT是一种基于JSON的开放标准,特别适合分布式环境下的单点登录(SSO),其核心在于紧凑且安全地传递用户身份验证信息,常用于服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值