jwt判断token是否过期_4spring-security5整合jwt做登录、权限验证,全网最全!!!可用...

最新推荐文章于 2023-10-17 14:33:34 发布
最新推荐文章于 2023-10-17 14:33:34 发布
阅读量583 收藏
点赞数
文章标签: jwt判断token是否过期 spring boot jwt spring boot2 默认登录账户 spring security 授予权限 springboot security 权限不足 springbsecurity 登录token验证过滤器

github源码:

https://github.com/gyb123456/spring-security5-jwt,最烦那些写文档只截图一半还不给源码的人,要不你就截全图,要不就给源码!

前言:

需要研究spring-security和jwt技术,搞了几天,现把成果记录下

环境

Springboot:2.1.3.RELEASE

spring-security:5.1.4.RELEASE

前后端分离

所需依赖3个,具体pom见源码

  org.springframework.boot spring-boot-starter-security io.jsonwebtoken jjwt 0.9.0org.projectlombok lombok true

spring-security原理

从网上的各种不同方法综合一下形成了这一套完整框架,源码里每个类各司其职,很清晰知道是干什么的,现在讲一下spring-security原理及工作流程

e7f068a290203a85ba8dff487c32c389.png

图片中各个类的作用:

1 JwtUser类:实现Springsecurity的UserDetails类,此类必须有三个属性

private String username;

private String password;

//权限,类如ROLE_ADMIN

private Collection extends GrantedAuthority> authorities;

2 JwtUtils:jwt工具类

3 MD5Util:密码加密工具类

4 MyAccessDeniedHandler:实现Springsecurity的AccessDeniedHandler,Spring security权限不足处理类

5 MyAuthenticationException:实现Springsecurity的AuthenticationEntryPoint,Spring security其他异常处理类,比如请求路径不存在等

6 MyAuthenticationFailHandler: 实现Springsecurity的AuthenticationFailureHandler,Spring security登录失败处理类

7 MyAuthenticationSuccessHandler:实现Springsecurity的AuthenticationSuccessHandler,Spring security登录成功处理类

8 MyJwtTokenFilter: 继承Springsecurity的OncePerRequestFilter,token 过滤器,在这里解析token,拿到该用户角色,设置到springsecurity的上下文环境中,让springsecurity自动判断权限

9 MyUserDetailsService:实现Springsecurity的UserDetailsService,根据用户名获取数据库该用户信息,spring security在登录时自动调用

10 WebSecurityConfig: Spring security的总配置类,配置密码验证规则、拦截的url、登录接口地址、登录成功与失败后的处理器、各种异常处理器

总结:

spring-security工作流程就是

1自动识别登录接口路径(你配置的),自动进入账户密码判断方法,判断规则可自定义,密码验证通过后会进入spring security提供的MyAuthenticationSuccessHandler类,在这里重写方法,用HttpServletResponse自定义返回给前端内容,可以返回接口也可以返回html,随你,我这里返回jwt。验证失败同理。

这里说下 Spring security的账户密码判断逻辑,WebSecurityConfig继承WebSecurityConfigurerAdapter,注入configureAuthentication方法,重写matches方法自定义密码验证规则,返回boolean

@Autowired public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception { authenticationManagerBuilder // 设置UserDetailsService 获取user对象 .userDetailsService(this.userDetailsService) // 自定义密码验证方法 .passwordEncoder(new PasswordEncoder() { //这个方法没用 @Override public String encode(CharSequence charSequence) { return ""; } //自定义密码验证方法,charSequence:用户输入的密码,s:我们查出来的数据库密码 @Override public boolean matches(CharSequence charSequence, String s) { String pass = MD5Util.string2MD5(charSequence.toString()); System.out.println("用户输入密码:" + charSequence + "与数据库相同?" + s.equals(pass)); return s.equals(pass); } }); }

2登录成功后,前端携带jwt的token来访问接口,首先会进入我们配置的MyJwtTokenFilter 类继承自OncePerRequestFilter,这个OncePerRequestFilter就厉害了,可以说是所有filter的基类,所以最先执行,在这里我们写验证jwt的逻辑,验证通过后要告诉springsecurity,我们获取到的用户的权限,并把权限设置到springsecurity的上下文环境中,让它来给我们做权限的判断,这点最重要!!!!是springsecurity和jwt的整合纽带,主要代码如下:

if(JwtUtils.isTokenExpired(Claims)){//token过期 System.out.println("token过期" + authToken); }else{ System.out.println("token没过期,放行" + authToken); UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(UserDetails, null, UserDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpServletRequest)); logger.info(String.format("Authenticated userDetail %s, setting security context
weixin_39889544
关注
搞懂 JWT 这个知识点
程序员成长指北
09-22 680
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
jwt判断token是否过期_mall整合SpringSecurityJWT实现认证和授权(一)
weixin_39942492的博客
11-21 2676
本文主要讲解mall通过整合SpringSecurityJWT实现后台用户的登录和授权功能,同时改造Swagger-UI的配置使其可以自动记住登录令牌进行发送。SpringBoot实战电商项目mall(25k+star)地址:https://github.com/macrozheng/mall项目使用框架介绍SpringSecurity SpringSecurity是一个强大的可高度定制的认证和...
前端刷新token判断token是否过期jwt鉴权)
最新发布
qq_45641978的博客
10-17 4142
4.1 什么是 JWTJWT 是 Auth0 提出的通过 对 JSON 进行加密签名来实现授权验证的方案;就是登录成功后将相关用户信息组成 JSON 对象,然后对这个对象进行某种方式的加密,返回给客户端;客户端在下次请求时带上这个 Token;服务端再收到请求时校验 token 合法性,其实也就是在校验请求的合法性。4.2 JWT 的组成JWT 由三部分组成: Header 头部、 Payload 负载 和 Signature 签名。
jwt判断token是否过期_SpringSecurity代码实现JWT接口权限授予与校验
weixin_39661353的博客
11-21 3023
SpringSecurity代码实现JWT接口权限授予与校验通过笔者前两篇文章的说明,相信大家已经知道JWT是什么,怎么用,该如何结合Spring Security使用。那么本节就用代码来具体的实现一下JWT登录认证及鉴权的流程。为了大部分的移动端用户观看,本文所有代码均用图片的形式发布,图片点击可放大。有需要源码的朋友可以call我。一、环境准备工作建立Spring Boot项目并集成了Spri...
jwt判断token是否过期_警钟 | 还不会Spring Boot集成JWT,你可能错过了大厂的Office了...
weixin_39587822的博客
11-26 1454
概述(什么是JWT)JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该标准定义了一种简单的,自包含的,用于通信双方以JSON对象的形式安全的传递信息。请求流程流程如下用户使用账号和面发出 post 请求;服务器使用私钥创建一个 jwt;服务器返回这个 jwt 给浏览器;浏览器将该 jwt 串在请求头中像服务器发送请求;服务器验证jwt;返回响应的资源给浏览器。...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
在IT行业中,Spring BootSpring Security是两个非常重要的框架,它们在构建现代Web应用程序时起着核心作用。JWT(Json Web Token)则是一种安全的身份验证机制,被广泛应用于微服务架构和API授权。本篇文章将深入...
spring-security-jwt-demo.zip
11-19
Spring SecurityJWT整合实战详解》 在现代Web应用程序中,安全性和用户认证是至关重要的。Spring Security作为Java领域中最受欢迎的安全框架,为开发者提供了强大的安全解决方案。而JSON Web TokenJWT)则是...
spring boot3.x结合spring security最新版实现jwt登录验证
09-02
本教程将详细讲解如何在Spring Boot 3.x版本中结合Spring Security的最新版实现JWT(JSON Web Token登录验证。 首先,让我们了解JWTJWT是一种轻量级的身份认证和授权机制,它以JSON对象的形式在客户端和服务器...
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者Token过期了,那么禁止访问系统。如果用户一直...
springboot+jwt+spring-security.rar
05-20
Spring Boot集成JWT的过程主要包括创建Token验证Token和处理Token过期。在创建Token时,我们需要定义一个密钥,使用这个密钥和JWT的Payload生成Signature。验证Token时,服务器会检查Signature是否匹配,确保Token...
JWT主动校验Token是否过期
詹Sir的博客
08-04 5338
JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案
jwt判断token是否过期_SpringBootSecurity学习(13)前后端分离版之JWT
weixin_39608063的博客
11-26 1486
JWT 使用前面简单介绍了把默认的页面登录改为前后端分离的接口异步登录的方法,可以帮我们实现基本的前后端分离登录功能。但是这种基本的登录和前面的页面登录还有一个一样的地方,就是使用session和cookie来维护登录状态,这种方法的问题在于,扩展性不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。一种解决方...
js如何获取jwt信息_前后端分离:基于JWT用户认证分析
weixin_39607798的博客
11-21 907
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!作者:lion1ouhttps://lion1ou.win/2017/01/18/在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所...
jwt判断token是否过期_jwt 实践应用以及特殊案例思考
weixin_39929253的博客
11-29 2387
JSON Web Token 是 rfc7519[1] 出的一份标准,使用 JSON 来传递数据,用于判定用户是否登录状态。jwt 之前,使用 session 来用户认证。以下代码均使用 javascript 编写。session 传统判断是否登录的方式是使用 session + tokentoken 是指在客户端使用 token 作为用户状态凭证,浏览器一般存储在 localSto...
jwt判断token是否过期_一文讲解JWT用户认证全流程
weixin_39600319的博客
11-12 4639
一、什么是JWT(what)JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,以JSON对象的形式在各方之间安全地传输信息。JWT是一个数字签名,生成的信息是可以验证并被信任的。使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对JWT进行签名。JWT是目前最流行的跨域认证解决方案1.1 JWT令牌结构SON Web令牌以紧凑的...
用户 sa 登录失败。_史上最简单的Spring Security教程(九):自定义用户登录失败页面...
weixin_39928106的博客
12-06 117
生活中肯定存在这样的场景,在登录某个网站时,难免会忘记密码,或是验证码输入错误,造成多次尝试。所以,有必要适度的提醒用户,到底是什么原因造成了登录失败,如用户名密码不正确、验证码错误等等。由于 Spring Security 框架自带的登录失败url为 /login?error,除了知道是登录失败了,其它的,可以说是毫无用处。所以,需要我们自定义用户登录失败页面。先来一个简单的登录失败页面,简单...
java实现token 过期,JWT认证,取得过期token的用户名
weixin_39593247的博客
03-15 1397
前言项目前后端分离,请求认证使用的是JWT无状态认证。最近遇到一个问题,认证token需要从token中获取用户名,但是这个token有可能是过期的。一般取得用户名用的是下面的代码。private Claims getClaimsFromToken(String token) {return Jwts.parser().setSigningKey(SECRET).parseClaimsJws(to...
29.Jwt集成(3):token设置过期时间、异常判断
p15097962069的博客
01-02 610
29.Jwt集成(3):token设置过期时间、异常判断
Vue+elementui+JWT+AOP+回车键+token自动续期 实现登录功能
jq1223的博客
03-09 999
功能介绍:登录成功后,用户页面1分钟无操作返回登录页面,包括新增等按钮 效果: vue登录 首先导jar包: <!-- jwt jar 包--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId&g
Spring Security整合JWT权限验证实战教程
"本文将详细阐述如何在Spring Security框架中集成JSON Web Token (JWT) 进行权限验证,包括其优势、前端实现流程以及Spring Security的相关配置。" 在现代Web应用开发中,权限验证是非常关键的一环。Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值