jwt token 附加用户信息_利用 jwt 可以获取用户的额外信息?

最新推荐文章于 2023-04-09 13:58:09 发布
最新推荐文章于 2023-04-09 13:58:09 发布
阅读量837 收藏
点赞数
文章标签: jwt token 附加用户信息
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39854867/article/details/111959823
版权

List authorityList = AuthorityUtils.createAuthorityList(authSet.toArray( newString[ 0]));

returnnewSecurityUser(sysUser.getId,sysUser.getMobile,sysUser.getUsername,sysUser.getPassword,authorityList);}

3. 在ehance方法中获取当前用户并设置用户信息

publicclassCustomJwtTokenConverterextendsJwtAccessTokenConverter{@OverridepublicOAuth2AccessToken enhance(OAuth2AccessToken oAuth2AccessToken, OAuth2Authentication authentication){SecurityUser securityUser = (SecurityUser) authentication.getUserAuthentication.getPrincipal;finalMap additionalInformation = newHashMap<>( 4);additionalInformation.put( "userId", securityUser.getId);additionalInformation.put( "mobile", securityUser.getMobile);...((DefaultOAuth2AccessToken) oAuth2AccessToken).setAdditionalInformation(additionalInformation);returnsuper.enhance(oAuth2AccessToken,authentication);}}

如何在资源服务器中获取这些自定义信息

通过上面的配置我们可以往 jwt 的 token 中添加上用户的数据信息,但是在资源服务器中还是获取不到,通过SecurityContextHolder.getContext.getAuthentication.getPrincipal获取到的用户信息 还是只包含用户名。

这里还是得从 token 的转换器入手,默认情况下 JwtAccessTokenConverter 会调用 DefaultUserAuthenticationConverter 中的 extractAuthentication 方法从 token 中获取用户信息。

我们先看看具体实现逻辑:

publicclassDefaultUserAuthenticationConverterimplementsUserAuthenticationConverter{...publicAuthentication extractAuthentication(Map map){if( map.containsKey(USERNAME)) {Object principal = map.get(USERNAME);Collection extends GrantedAuthority> authorities = getAuthorities( map);if(userDetailsService != null) {UserDetails user = userDetailsService.loadUserByUsername((String) map.get(USERNAME));authorities = user.getAuthorities;principal = user;}returnnewUsernamePasswordAuthenticationToken(principal, "N/A", authorities);}returnnull;}...}

在没有注入 UserDetailService 的情况下,oauth2 只会获取用户名 user_name。如果注入了 UserDetailService 就可以返回所有用户信息。

所以这里我们对应的实现方式也有两种:

在资源服务器中也注入 UserDetailService ,这种方法不推荐,资源服务器与认证服务器分开的情况下强行耦合在一起,也需要加入用户认证的功能。

扩展DefaultUserAuthenticationConverter,重写extractAuthentication方法 ,手动取出额外数据,然后在资源服务器配置中将其注入到 AccessTokenConverter 中。

这里我们采用第二种方法实现,实现顺序如下:

1. 自定义 token 解析器,从 jwt token 中解析用户信息。

package com.javadaily.common.security.component;importcom.javadaily.common.security.user.SecurityUser;importorg.springframework.security.authentication.UsernamePasswordAuthenticationToken;importorg.springframework.security.core.Authentication;importorg.springframework.security.core.GrantedAuthority;importorg.springframework.security.core.authority.AuthorityUtils;importorg.springframework.security.oauth2.provider.token.DefaultUserAuthenticationConverter;importorg.springframework.util.StringUtils;

importjava.util.Collection;importjava.util.Map;

publicclassCustomUserAuthenticationConverterextendsDefaultUserAuthenticationConverter{

/*** 重写抽取用户数据方法* @author javadaily* @date 2020/11/18 10:56* @param map 用户认证信息* @return Authentication*/@ OverridepublicAuthenticationextractAuthentication( Map< String, ?> map) {if( map.containsKey( USERNAME)) {Collection extends GrantedAuthority> authorities = getAuthorities( map);Stringusername = ( String) map. get( USERNAME);Integerid = ( Integer) map. get( "userId");Stringmobile = ( String) map. get( "mobile");SecurityUseruser = new SecurityUser(id, mobile, username, "N/A", authorities);returnnew UsernamePasswordAuthenticationToken(user, "N/A", authorities);}returnnull;}

privateCollection extends GrantedAuthority> getAuthorities( Map< String, ?> map) {Objectauthorities = map. get( AUTHORITIES);if(authorities instanceof String) {returnAuthorityUtils.commaSeparatedStringToAuthorityList(( String) authorities);}if(authorities instanceof Collection) {returnAuthorityUtils.commaSeparatedStringToAuthorityList( StringUtils.collectionToCommaDelimitedString(( Collection>) authorities));}thrownew IllegalArgumentException( "Authorities must be either a String or a Collection");}

}

2. 编写自定义token转换器,注入自定义解压器

publicclassCustomAccessTokenConverterextendsDefaultAccessTokenConverter{publicCustomAccessTokenConverter{super.setUserTokenConverter( newCustomUserAuthenticationConverter);}}

3. 在资源服务器中配置类ResourceServerConfig中注入自定义token转换器

@BeanpublicJwtAccessTokenConverter jwtTokenConverter{JwtAccessTokenConverter jwtAccessTokenConverter = newJwtAccessTokenConverter;jwtAccessTokenConverter.setSigningKey( "javadaily");jwtAccessTokenConverter.setAccessTokenConverter( newCustomAccessTokenConverter);returnjwtAccessTokenConverter;}

通过上面三步配置我们再调用 SecurityContextHolder.getContext.getAuthentication.getPrincipal方法时 就可以获取到用户的额外信息了。

当然我们可以再来一个工具类,从上下文中直接获取用户信息:

@UtilityClasspublicclassSecurityUtils{/*** 获取Authentication*/publicAuthentication getAuthentication{returnSecurityContextHolder.getContext.getAuthentication;}publicSecurityUser getUser{Authentication authentication = getAuthentication;if(authentication == null) {returnnull;}returngetUser(authentication);}

/*** 获取当前用户* @paramauthentication 认证信息* @return当前用户*/privatestaticSecurityUser getUser(Authentication authentication){Object principal = authentication.getPrincipal;if(principal instanceofSecurityUser){return(SecurityUser) principal;}returnnull;}}

以上,希望对你有所帮助。返回搜狐,查看更多

weixin_39854867
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Flask 学习-28.flask_jwt_extended插件 JWT 中存储额外数据(additional_claims)
qq_27371025的博客
09-02 286
在访问令牌中存储其他信息,以后可以在受保护的视图中访问这些信息。这可以使用additional_claims 带有create_access_token()or create_refresh_token()函数的参数来完成。 get_jwt() 函数在受保护的路径中获取额外的数据。
jwt判断token是否过期_一文讲解JWT用户认证全流程
weixin_39600319的博客
11-12 4538
一、什么是JWT(what)JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,以JSON对象的形式在各方之间安全地传输信息JWT是一个数字签名,生成的信息是可以验证并被信任的。使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对JWT进行签名。JWT是目前最流行的跨域认证解决方案1.1 JWT令牌结构SON Web令牌以紧凑的...
SpringCloud Alibaba微服务实战二十一 - JWT增强
乌龟的专栏
08-16 556
原创飘渺JamJAVA日知录2020-11-19 今天内容主要是解决一位粉丝提的问题:如何在jwt中添加用户额外信息并在资源服务器中获取这些数据。 涉及的知识点有以下三个: 如何在返回的jwt中添加自定义数据 如何在jwt中添加用户额外数据,比如用户id、手机号码 如何在资源服务器中取出这些自定义数据 下面我们分别来看如何实现。 如何在返回的jwt中添加自定义数据 这个问题比较简单,只要按照如下两步即可: 编写自定义token增强器 packa...
JWT令牌
weixin_41636858的博客
02-26 1431
JWT
Jwts(jwt)生成token以及根据token获取用户信息
rxhcsdn的博客
11-23 5319
jwt生成token
Spring Security Oauth2 在资源服务器如何获取jwt中的额外信息
cauchy6317的博客
12-24 6795
在上一篇Spring Security Oauth2 中实现TokenEnhancer向jwt中添加额外信息中,笔者向大家介绍了如何向jwt中存额外信息(extraInfo) 接下来这篇blog,笔者将和大家一起探讨这些问题,希望对各位有帮助,如有不正确的地方,请大家指出。 1.auth_server如何使用TokenEnhancer添加extraInfo? 2.resource_server如...
使用jwt在请求头中获取token从而获取用户信息
weixin_42759398的博客
04-09 3306
在 Spring Boot 项目中使用 JWT,你可以从请求头中获取 JWT,然后使用 JWT 中的信息获取用户信息,然后进行业务处理。一般情况下,JWT信息会包含用户 ID、用户名、角色等信息,你可以根据这些信息来确定用户的身份和权限。在这个示例中,我们使用 @RequestHeader 注解从请求头中获取 JWT,然后使用 JJWT 库解析 JWT 中的信息。在解析 JWT 后,我们可以从 JWT获取用户 ID,然后使用 UserService 来获取用户信息
JWT以及TokenAuth
m0_47944994的博客
02-14 2779
JWT以及TokenAuth
java使用token登录验证并携带用户参数
yjw_2019的博客
05-12 1139
<dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 工具类 public class TokenUtils { //设置过期时间 //
jwt根据token获取用户信息
liguoxiangzhizui的博客
07-19 2727
注:JWT_SECERT为加的盐 public static Claims parseJWT(String jwt) throws Exception { SecretKey secretKey = generalKey(); return Jwts.parser() .setSigningKey(secretKey) .parseClaimsJws(jwt) .getBody(); } public static SecretKey generalKey() { byte[] encodedKey = B
Django如何使用jwt获取用户信息
09-17
主要介绍了Django如何使用jwt获取用户信息,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
webapi jwt身份验证请求token(亲测通过)源码
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
JWT_TOKEN_Application_DOTNET
03-27
JWT_TOKEN_Application_DOTNET
Django JWT Token RestfulAPI用户认证详解
01-21
一般情况下我们Django默认的用户系统是满足不了我们的需求的,那么我们会对他做一定的扩展 创建用户项目 python manage.py startapp users 添加项目apps settings.py INSTALLED_APPS = [ ... 'users.apps....
SpringSecurity-Oauth2 之JWT令牌详解
qq_42861526的博客
08-06 3446
这两个时机的执行都是依靠JwtAccessTokenConverter来完成的注意:上面说的只是组件,JWT暴露给SpringSecurity的服务是tokenService,SpringSecurity也是通过tokenService来完成token的生成、解析以及存储的 (二) 组件之间的依赖关系 JWT暴露给tokenService使用的类是tokenStore,而tokenStore又依赖于accessTokenConvert和authenticationConvert完成token的生成和解析
Springsceurity使用TokenEnhancer和JwtAccessConverter增强jwt令牌原理
热门推荐
qq_42654484的博客
07-09 1万+
什么是JWT JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。(更多信息建议去官网了解) 使用JWT替换传统Token有很多好处,比如: 简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快 自包含(Self-contained):...
扩展jwt解决oauth2 性能瓶颈
乌龟的专栏
08-16 713
oauth2 性能瓶颈 资源服务器的请求都会被拦截 到认证服务器校验合法性 (如下图) 用户携带token 请求资源服务器 资源服务器拦截器 携带token 去认证服务器 调用tokenstore 对token 合法性校验 资源服务器拿到token,默认只会含有用户信息 通过用户名调用userdetailsservice.loadbyusername 查询用户全部信息 如上步骤在实际使用,会造成认证中心的负载压力过大,成为造成整个系统瓶颈的关键点。 check-token 过程中涉及的
Spring Security 详解与实操第五节 JWT和Oauth2
fegus的博客
05-01 831
令牌扩展:如何使用 JWT 实现定制化 Token? 上一讲我们详细介绍了在微服务架构中如何使用 Token 对微服务的访问过程进行权限控制,这里的 Token 是类似“b7c2c7e0-0223-40e2-911d-eff82d125b80”的一种字符串结构。显然,这种格式的 Token 包含的内容应该是很有限的,那么是否有办法实现更为丰富的 Token 呢?答案是肯定的。 事实上,在 OAuth2 协议中并没有明确规定 Token 具体的组成结构,而在现实应用中,我也不太建议你使用上一讲中我们用到的 T
springboot jwt token前后端分离_前后端分离之JWT用户认证
最新发布
06-09
好的,关于 Spring Boot JWT Token 的前后端分离问题,我可以为您提供一些帮助。 JWT(JSON Web Token)是一种基于 JSON 的开放标准(RFC 7519),用于在网络上安全传输声明。在前后端分离的应用中,通常会使用 JWT...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值