springboot entity date_SpringBoot+JWT实战(附源码)

最新推荐文章于 2023-07-05 10:15:33 发布
最新推荐文章于 2023-07-05 10:15:33 发布
阅读量108 收藏
点赞数
文章标签: springboot entity date springboot session过期时间 springboot token springboot 集成jwt设置过期时间

在阅读本文之前,我们还应该对session、cookie、JWT有一个基本的了解。在本篇文章中小码仔不再对它们做出过多赘述,如果对这三者认识还不够清晰的小可爱可以先移步这里:看完这篇 Session、Cookie、Token,和面试官扯皮就没问题了对其做基本的了解和认识。

如果你已对以上三者有了的基本概念和了解,但是对于JWT的使用还充满疑问的话,那么本篇文章就是为你而写。本文我们将使用SpringBoot集成JWT来实现一个简单的token验证,从而使我们对JWT的使用有一个基本的了解。

c070263480ee452faef800af2411da4d

SpringBoot集成JWT

首先我们搭建好SpringBoot框架,SpringBoot环境准备就绪。接下来执行以下操作:

1.引入依赖

引入JWT依赖,由于是基于Java,所以需要的是java-jwt。

      com.auth0      java-jwt      3.5.0

2.自定义注解

在这一步,我们在annotation包下定义一个用户需要登录才能进行其他接口访问等一系列操作的注解TokenRequired。

@Target({ElementType.METHOD, ElementType.TYPE})@Retention(RetentionPolicy.RUNTIME)public @interface TokenRequired {    boolean required() default true;

@Target旨意为我们自定义注解@TokenRequired的作用目标,因为我们本次注解的作用目标为方法层级,因此使用 ElementType.METHOD。

@Retention旨意为我们自定义注解 @TokenRequired的保留位置,@TokenRequired的保留位置被定义为RetentionPolicy.RUNTIME这种类型的注解将被JVM保留,他能在运行时被JVM或其他使用反射机制的代码所读取和使用。

3.定义实体类

在entity包中,我们使用lombok,简单自定义一个实体类User。

@Data@AllArgsConstructor@NoArgsConstructorpublic class User {    String Id;    String username;    String password;}

4.定义一个JWT工具类

在这一步,我们在util包下面创建一个JwtUtil工具类,用于生成token和校验token。

public class JwtUtil {         //过期时间15分钟    private static final long EXPIRE_TIME = 15*60*1000;         //生成签名,15分钟后过期    public static String sign(String username,String userId,String password){        //过期时间        Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);        //使用用户密码作为私钥进行加密        Algorithm algorithm = Algorithm.HMAC256(password);        //设置头信息        HashMap header = new HashMap<>(2);        header.put("typ", "JWT");        header.put("alg", "HS256");        //附带username和userID生成签名        return JWT.create().withHeader(header).withClaim("userId",userId)                .withClaim("username",username).withExpiresAt(date).sign(algorithm);    }    //校验token    public static boolean verity(String token,String password){        try {            Algorithm algorithm = Algorithm.HMAC256(password);            JWTVerifier verifier = JWT.require(algorithm).build();            verifier.verify(token);            return true;        } catch (IllegalArgumentException e) {            return false;        } catch (JWTVerificationException e) {            return false;        }    }}

5.业务校验并生成token

在service包下,我们创建一个UserService,并定义一个login方法,用于做登录接口的业务层数据校验,并调取JwtUtil中方法生成token。

@Service("UserService")public class UserService {    @Autowired    UserMapper userMapper;    public String login(String name, String password) {        String token = null;        try {            //校验用户是否存在            User user = userMapper.findByUsername(name);            if(user == null){                 ResultDTO.failure(new ResultError(UserError.EMP_IS_NULL_EXIT));            }else{                //检验用户密码是否正确                if(!user.getPassword().equals(password)){                    ResultDTO.failure(new ResultError(UserError.PASSWORD_OR_NAME_IS_ERROR));                }else {                    // 生成token,将 user id 、userName保存到 token 里面                    token = JwtUtil.sign(user.getUsername(),user.getId(),user.getPassword());                }            }        } catch (Exception e) {            e.printStackTrace();        }        return token;    }}

Algorithm.HMAC256():使用HS256生成token,密钥则是用户的密码,唯一密钥的话可以保存在服务端。

withAudience()存入需要保存在token的信息,这里我把用户ID存入token中。

6.定义拦截器

接下来我们需要写一个拦截器去获取token并验证token。

public class AuthenticationInterceptor implements HandlerInterceptor {    @Autowired    UserService userService;    @Override    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {        // 从 http 请求头中取出 token        String token = httpServletRequest.getHeader("token");        // 如果不是映射到方法直接通过        if(!(object instanceof HandlerMethod)){            return true;        }        HandlerMethod handlerMethod=(HandlerMethod)object;        Method method=handlerMethod.getMethod();        //检查有没有需要用户权限的注解        if (method.isAnnotationPresent(TokenRequired.class)) {            TokenRequired userLoginToken = method.getAnnotation(TokenRequired.class);            if (userLoginToken.required()) {                // 执行认证                if (token == null) {                    throw new RuntimeException("无token,请重新登录");                }                // 获取 token 中的 user id                String userId;                try {                    userId = JWT.decode(token).getClaim("userId").asString();                } catch (JWTDecodeException j) {                    throw new RuntimeException("401");                }                User user = userService.findUserById(userId);                if (user == null) {                    throw new RuntimeException("用户不存在,请重新登录");                }                // 验证 token                try {                    if(!JwtUtil.verity(token,user.getPassword())){                        throw new RuntimeException("无效的令牌");                    }                } catch (JWTVerificationException e) {                    throw new RuntimeException("401");                }                return true;            }        }        return true;    }    @Override    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {    }    @Override    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {    }}

AuthenticationInterceptor拦截器实现了HandlerInterceptor接口的三个方法:

  1. boolean preHandle ():

预处理回调方法,实现处理器的预处理,第三个参数为响应的处理器,自定义Controller返回值,返回值为true会调用下一个拦截器或处理器,或者接着执行postHandle()和afterCompletion();false表示流程中断,不会继续调用其他的拦截器或处理器,中断执行。

  1. void postHandle():

后处理回调方法,实现处理器的后处理(DispatcherServlet进行视图返回渲染之前进行调用),此时我们可以通过modelAndView对模型数据进行处理或对视图进行处理,modelAndView也可能为null。

  1. void afterCompletion():

整个请求处理完毕回调方法,该方法也是需要当前对应的Interceptor的preHandle()的返回值为true时才会执行,也就是在DispatcherServlet渲染了对应的视图之后执行。用于进行资源清理。

该拦截器的执行流程为:

  1. 从 http 请求头中取出 token;
  2. 检查有没有需要用户权限的注解,如果需要,检验token是否为空;
  3. 如果token不为空,查询用户信息并校验token;
  4. 校验通过,则进行业务访问处理,校验失败则返回token失效信息。

7.配置拦截器

在配置类上添加了注解@Configuration,标明了该类是一个配置类并且会将该类作为一个SpringBean添加到IOC容器内。

@Configurationpublic class InterceptorConfig implements WebMvcConfigurer {    @Bean    public AuthenticationInterceptor authenticationInterceptor() {        return new AuthenticationInterceptor();    }    @Override    public void addInterceptors(InterceptorRegistry registry) {        // 将我们上步定义的实现了HandlerInterceptor接口的拦截器实例authenticationInterceptor添加InterceptorRegistration中,并设置过滤规则,所有请求都要经过authenticationInterceptor拦截。        registry.addInterceptor(authenticationInterceptor())                .addPathPatterns("/**");    }}

WebMvcConfigurer接口是Spring内部的一种配置方式,采用JavaBean的形式来代替传统的xml配置文件来实现基本的配置需要。

InterceptorConfig内的addInterceptor需要一个实现HandlerInterceptor接口的拦截器实例,addPathPatterns方法用于设置拦截器的过滤路径规则。

在addInterceptors方法中,我们将第6步定义的实现了HandlerInterceptor接口的拦截器实例authenticationInterceptor,添加至InterceptorRegistration中,并设置过滤路径。现在,我们所有请求都要经过authenticationInterceptor的拦截,拦截器authenticationInterceptor通过preHandle方法的业务过滤,判断是否有@TokenRequired 来决定是否需要登录。

8.定义接口方法并添加注解

@RestController@RequestMapping("user")public class UserController {    @Autowired    UserService userService;    /**     * 用户登录     * @param user     * @return     */    @PostMapping("/login")    public ResultDTO login( User user){        String token = userService.login(user.getUsername(), user.getPassword());        if (token == null) {            return ResultDTO.failure(new ResultError(UserError.PASSWORD_OR_NAME_IS_ERROR));        }        Map tokenMap = new HashMap<>();        tokenMap.put("token", token);        return ResultDTO.success(tokenMap);    }    @TokenRequired    @GetMapping("/hello")    public String getMessage(){        return "你好哇,我是小码仔";    }}

不加注解的话默认不验证,登录接口一般是不验证的。所以我在getMessage()中加上了登录注解,说明该接口必须登录获取token后,在请求头中加上token并通过验证才可以访问。

请求验证

我在代码中对getMessage()添加了@TokenRequired注解,此刻访问该方法时必须要通过登录拿取到token值,并在请求头中添加token才可以访问。我们现在做以下校验:

  1. 直接访问,不在请求头里添加token:

如上图所示,请求结果显示:无token,请重新登录。

  1. 访问登录接口,获取token,并在请求头中添加token信息: 此时,访问成功。
  2. 15分钟后,token失效,我们再次在请求头中添加token信息访问: 此时token已失效,返回:无效的令牌。

总结

回顾一下本次JWT使用的基本业务判断流程:

  1. 用户访问页面,前端请求相关接口,经过拦截器,拦截器中从 http 请求头中取出 token;
  2. 检查该接口有没有@TokenRequired注解,如果没有,直接放行;如果有,检验token是否为空;
  3. 如果token为空,访问失败;token不为空,则查询用户信息并校验token;
  4. 校验通过,则进行业务访问处理,校验失败则返回token失效信息。

不足之处:本次集成只是做一个简单的JWT使用介绍,没有实现token的过期刷新机制,此种情况下用户每隔15分钟就需要重新登录一次,如果在实际生产环境中使用,可能会被用户打死,因此实际开发中并不推荐。

关于token的刷新机制,小码仔将在下篇文章中为大家解读并附上源码。


作者:马尾
链接:https://juejin.im/post/5ea27c5be51d4546c27bdf94

weixin_39820136
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于springboot+mybatis+redis+es+bootstrap的搜索实战项目
07-10
.entity 实体类 .dao dao包 .service 业务包 .controller 控制器 .elasticsearch.dao esDAO接口包 .config 项目配置包 ..... src/main/resources ...
springboot entity date_SpringBoot基于数据库实现简单的分布式锁
weixin_39862669的博客
11-26 69
本文介绍SpringBoot基于数据库实现简单的分布式锁。1.简介分布式锁的方式有很多种,通常方案有:基于mysql数据库基于redis基于ZooKeeper网上的实现方式有很多,本文主要介绍的是如果使用mysql实现简单的分布式锁,加锁流程如下图:其实大致思想如下:1.根据一个值来获取锁(也就是我这里的tag),如果当前不存在锁,那么在数据库插入一条记录,然后进行处理业务,当结束,释放锁(删除锁...
springboot entity date_SpringBoot 整合 SpringDataJPA
weixin_39617497的博客
11-26 134
项目环境:Jdk11.0.2、MySql8.0.19一、创建普通Java项目二、修改 pom.xml 文件<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSc...
springboot entity date_Spring boot学习(六)Spring boot实现AOP记录操作日志
weixin_39628105的博客
11-20 116
前言在实际的项目中,特别是管理系统中,对于那些重要的操作我们通常都会记录操作日志。比如对数据库的CRUD操作,我们都会对每一次重要的操作进行记录,通常的做法是向数据库指定的日志表中插入一条记录。这里就产生了一个问题,难道要我们每次在 CRUD的时候都手动的插入日志记录吗?这肯定是不合适的,这样的操作无疑是加大了开发量,而且不易维护,所以实际项目中总是利用AOP(Aspect Oriented Pr...
jwt如何防止token被窃取_在吗?认识一下JWT(JSON Web Token)?
weixin_39830588的博客
11-21 1071
什么是JSON Web Token ?官网介绍:JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。尽管可以对JWT进行加密以在各方之间提供保密性,但我们将...
springboot entity date_员工管理系统B站陈艳男老师的笔记(springboot 入门级)
weixin_39918961的博客
11-22 119
1.项目开始使用开发工具:IDEA使用spring Initializr初始化一个springboot项目选择配件时勾选springWeb和Thymeleaf2.导入静态资源将html放到templates目录下3.配置文件中增添相关配置使用的数据源是阿里巴巴的在pom文件中添加相关依赖<dependency> <groupId>com.alibab...
springboot+mybatis逆向生成controller+service+mapper+entity
02-20
springboot+mybatis逆向生成controller+service+mapper+entity 直接生成一个简单的CURD的swagger风格的代码工具,集成了多种通用Mapper。
基于SpringBoot的毕业设计选题系统+源代码+文档说明
11-29
基于SpringBoot的毕业设计选题系统 ## 接口设计 ### 1.角色信息 - @RequestMapping("/role") #### 1.1.角色登录 ##### 接口名:verifyRole ##### 请求参数: | 参数名 | 类型 | 说明 | 备注 | |:---- |:---- |:-...
基于Springboot(后端)+Vue(前端)实现的运输车辆管理系统源码+项目说明.zip
最新发布
01-10
基于Springboot(后端)+Vue(前端)实现的运输车辆管理系统源码+项目说明.zip # 1. backend 后端 配置好Springboot,运行主函数, 启动后端 # 2. frontend 前端 ## 2.1. Project setup ``` npm install ``` ### ...
基于SpringBoot实现的留学信息管理与分析系统源码+数据库+项目说明.zip
01-09
基于SpringBoot实现的留学信息管理与分析系统源码+数据库+项目说明.zip ## 展示地址 测试账号HanLi 密码123456 ## 实现功能 ### 系统 1、提供用户的登录注册与退出功能 2、提供智能推荐功能,可由访问院校...
jwt 如何防止token被拦截_SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题
weixin_42501373的博客
02-26 381
一、传统Session认证1、认证过程1、用户向服务器发送用户名和密码。2、服务器验证后在当前对话(session)保存相关数据。3、服务器向返回sessionId,写入客户端 Cookie。4、客户端每次请求,需要通过 Cookie,将 sessionId 回传服务器。5、服务器收到 sessionId,验证客户端。2、存在问题1、session保存在服务端,客户端访问高并发时,服务端压力大。2...
asp.net core 集成JWT
dotNET跨平台
06-14 3757
【什么是JWT】  JSON Web TokenJWT)是目前最流行的跨域身份验证解决方案。  JWT的官网地址:https://jwt.io/  通俗地来讲,JWT是...
jwt如何防止token被窃取_JWT令牌
weixin_39678163的博客
12-03 2505
6.3.1 JWT介绍通过上边的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能 。解决上边问题:令牌采用JWT格式即可解决上边的问题,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,...
jwt如何防止token被窃取_SpringBoot系列之前后端接口安全技术JWT
weixin_39847437的博客
11-22 5990
作者|smileNicky来源 |cnblogs.com/mzq123/p/13278935.html1.什么是JWT?JWT的全称为Json Web Token (JWT),是目前最流行的跨域认证解决方案,是在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),JWT 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的W...
jwt如何防止token被窃取_Token令牌不是后端万能解药!8个漏洞,有1个你就得爬起来加班了...
热门推荐
weixin_39849054的博客
12-03 1万+
“日防夜防,家贼难防。”“打铁还需自身硬!”养成铁的纪律,有助于铸造坚固的城池。本文从八个方面全面排查你的令牌系统。1 - ​注意OAuth凭据的泄漏你把应用程序代码推到GitHub了?OAuth应用程序凭据是否也存储在仓库里,特别是客户端密码?这可是当今头号凭据泄漏来源。如果那些凭证被窃取了,任何人都可以冒充你。如果你察觉凭据可能已被破坏,请立即重新生成。2 - 不要在应用程序中硬编码令牌为了长...
jwt如何防止token被窃取_Refresh Token的使用场景以及如何与JWT交互
weixin_39802020的博客
12-03 1775
介绍现代的认证或者授权的解决方案已经将token引入到了协议当中。token是 一种特殊的数据片段,用来授权用户执行特定的操作,或允许客户获得关于授权过程的额外信息(然后完成)。换句话说,令牌是允许授权过程执行的信息。该信息 是否可由客户端(或授权服务器以外的任何方)读取或解析,由该实现定义。重要的是:客户端获取这些信息,然后用来获取特定的资源。JSON Web Token(JWT)规范定义了一种...
jwt如何防止token被窃取_Spring Cloud中如何保证各个微服务之间调用的安全性(上篇)...
weixin_39821605的博客
11-23 919
首先为自己打个广告,我目前在某互联网公司做架构师,已经有5年经验,每天都会写架构师系列的文章,感兴趣的朋友可以关注我和我一起探讨,关注我,免费分享Java基础教程,以及进阶的高级Java架构师教程,全部免费送一.背景微服务架构下,我们的系统根据业务被拆分成了多个职责单一的微服务。每个服务都有自己的一套API提供给别的服务调用,那么如何保证安全性呢?不是说你想调用就可以调用,一定要有认证机制,是我们...
springboot entity date_SpringBoot系列(14):Spring AOP装逼指南之实现操作日志记录
weixin_39791225的博客
11-25 52
摘要AOP ,也称为"面向切面编程",其大名早已如雷贯耳,是 Spring 框架的核心特性之一,相信各位小伙伴也早已听闻过,其最普遍的用法是"记录应用系统业务模块的操作日志",今天我们就来分享介绍一下如何利用Spring AOP实现业务模块操作日志的记录。内容Spring AOP,是"面向切面编程"的简称,可以起到"解耦业务模块"的作用,深层次的作用可以利用网上一位博主所说的一句话进行概括,即:"...
如何防止token伪造、篡改、窃取
m0_69057918的博客
07-05 5161
防止token伪造、篡改、窃取的解决方案
springboot+springsecurity+jwt+vue
11-23
Spring Boot是一个基于Spring框架的快速开发Web应用程序的框架,Spring Security是Spring框架的安全模块,JWT是一种用于身份验证的开放标准。Vue是一种流行的JavaScript框架,用于构建用户界面。 结合这些技术,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值