jwt怎么获取当前登录用户_JWT实现登录认证

最新推荐文章于 2023-04-09 13:58:09 发布
最新推荐文章于 2023-04-09 13:58:09 发布
阅读量1.3k 收藏
点赞数
文章标签: jwt怎么获取当前登录用户
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39901439/article/details/111526006
版权
该博客详细介绍了如何使用JWT(JSON Web Tokens)进行登录认证,包括JWT的优势和不足,如紧凑轻量但无法吊销令牌。文章提供了一个完整的JWT登录流程,包括加密工具类、登录类和验证登录的过滤器。在登录验证后,会将用户ID存入header中供后续服务使用。
摘要由CSDN通过智能技术生成

登录流程

image

JWT优劣

优势

1.紧凑轻量

2.token自身包含用户信息且无法篡改,在服务(网关)中可以自行解析校验出用户信息,对认证服务器(account-svc)压力小

不足

1.无法吊销令牌,只能等待令牌自身过期

2.令牌长度与其包含用户信息多少正相关,传输开销较大

工具类

引入依赖

com.auth0

java-jwt

3.6.0

org.bouncycastle

bcprov-jdk15on

1.60

HmacSHA256加密类

import org.bouncycastle.util.encoders.Hex;

import javax.crypto.Mac;

import javax.crypto.spec.SecretKeySpec;

public class Hash {

/**

* HmacSHA256加密

*

* @param key 密钥

* @param data 数据

* @return 加密结果

*/

public static String encode(String key, String data) {

String code = null;

try {

Mac sha256_HMAC = Mac.getInstance("HmacSHA256");

SecretKeySpec secret_key = new SecretKeySpec(key.getBytes("UTF-8"), "HmacSHA256");

sha256_HMAC.init(secret_key);

code = Hex.toHexString(sha256_HMAC.doFinal(data.getBytes("UTF-8")));

} catch (Exception e) {

throw new RuntimeException("密码编码错误");

}

return code;

}

}

获取request中数据的工具类

import org.springframework.http.HttpHeaders;

import org.springframework.http.server.reactive.ServerHttpRequest;

import org.springframework.web.server.ServerWebExchange;

import java.util.List;

import java.util.function.Consumer;

public class RequestDataExtractor {

/**

* 获取请求头

*/

public static String getHeader(ServerHttpRequest request, String key) {

List list = request.getHeaders().get(key);

if (list == null) {

return null;

}

return list.get(0);

}

/**

* 获得访问路径

*/

public static String getPath(ServerHttpRequest request) {

return request.getURI().getPath();

}

/**

* 添加请求头

*/

public static void addHeader(ServerWebExchange exchange, Consumer httpHeaders) {

ServerHttpRequest request = exchange.getRequest();

ServerHttpRequest serverHttpRequest = request.mutate().headers(httpHeaders).build();

exchange.mutate().request(serverHttpRequest).build();

}

}

登录类

import com.auth0.jwt.JWT;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.algorithms.Algorithm;

import com.auth0.jwt.interfaces.DecodedJWT;

import gnl.alibaba.common.dto.UserDto;

import gnl.alibaba.common.exception.ServiceException;

import org.springframework.util.StringUtils;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

public class Sign {

//token中包含的参数,可自行添加

public static final String CLAIM_USER_ID = "userId";

public static final String CLAIM_ACCOUNT = "account";

public static final String CLAIM_NAME = "name";

public static final String CLAIM_GENDER = "gender";

private static Map verifierMap = new HashMap();

private static Map algorithmMap = new HashMap();

/**

* 生成Token

*

* @param userDto 用户信息

* @param signingToken 密钥

* @param duration 过期时间

* @return token

*/

public static String generateSessionToken(UserDto userDto, String signingToken, long duration) {

if (StringUtils.isEmpty(signingToken)) {

throw new ServiceException("No signing token present");

}

Algorithm algorithm = getAlgorithm(signingToken);

String token = JWT.create()

.withClaim(CLAIM_USER_ID, userDto.getId())

.withClaim(CLAIM_ACCOUNT, userDto.getAccount())

.withClaim(CLAIM_NAME, userDto.getName())

.withClaim(CLAIM_GENDER, Integer.valueOf(userDto.getGender()))

.withExpiresAt(new Date(System.currentTimeMillis() + duration))

.sign(algorithm);

return token;

}

/**

* 校验token

*

* @param tokenString token

* @param signingToken 密钥

* @return

*/

public static DecodedJWT verifySessionToken(String tokenString, String signingToken) {

return verifyToken(tokenString, signingToken);

}

static DecodedJWT verifyToken(String tokenString, String signingToken) {

JWTVerifier verifier = verifierMap.get(signingToken);

if (verifier == null) {

synchronized (verifierMap) {

verifier = verifierMap.get(signingToken);

if (verifier == null) {

Algorithm algorithm = Algorithm.HMAC512(signingToken);

verifier = JWT.require(algorithm).build();

verifierMap.put(signingToken, verifier);

}

}

}

DecodedJWT jwt = verifier.verify(tokenString);

return jwt;

}

private static Algorithm getAlgorithm(String signingToken) {

Algorithm algorithm = algorithmMap.get(signingToken);

if (algorithm == null) {

synchronized (algorithmMap) {

algorithm = algorithmMap.get(signingToken);

if (algorithm == null) {

algorithm = Algorithm.HMAC512(signingToken);

algorithmMap.put(signingToken, algorithm);

}

}

}

return algorithm;

}

}

登录流程

登录

import gnl.alibaba.common.api.BaseResponse;

import gnl.alibaba.common.auth.Hash;

import gnl.alibaba.common.auth.Sign;

import gnl.alibaba.common.dto.UserDto;

import gnl.alibaba.common.exception.PermissionDeniedException;

import org.springframework.web.bind.annotation.GetMapping;

import org.springframework.web.bind.annotation.RequestMapping;

import org.springframework.web.bind.annotation.RestController;

@RestController

@RequestMapping("/auth")

public class AccountController {

@GetMapping("/token")

public BaseResponse token(String account, String password) {

//根据账户密码查询用户

UserDto userDto = selectAccount(account, password);

if (userDto == null) {

throw new PermissionDeniedException("用户名或密码错误");

}

//根据用户信息和密钥得到token

String token = Sign.generateSessionToken(userDto, "secret", 24 * 60 * 60 * 1000L);

return new BaseResponse<>(token);

}

private UserDto selectAccount(String account, String password) {

//加密密码为对密码进行一次HmacSHA256,密钥为secret

password = Hash.encode("secret", password);

if ("gnl".equals(account) && "4a83854cf6f0112b4295bddd535a9b3fbe54a3f90e853b59d42e4bed553c55a4".equals(password)) {

UserDto user = new UserDto();

user.setId("1");

user.setAccount(account);

user.setName("郭南林");

user.setGender((byte) 1);

return user;

}

return null;

}

}

验证登录

这里登录验证放在SpringCloudGateway网关里了,验证通过后,将解析出来的userId存入header中,转发给相应的服务

import com.alibaba.fastjson.JSON;

import com.auth0.jwt.exceptions.TokenExpiredException;

import com.auth0.jwt.interfaces.DecodedJWT;

import gnl.alibaba.common.api.BaseResponse;

import gnl.alibaba.common.api.ResultCode;

import gnl.alibaba.common.auth.Sign;

import gnl.alibaba.gateway.http.RequestDataExtractor;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.cloud.gateway.filter.GatewayFilterChain;

import org.springframework.cloud.gateway.filter.GlobalFilter;

import org.springframework.core.Ordered;

import org.springframework.core.io.buffer.DataBuffer;

import org.springframework.http.HttpHeaders;

import org.springframework.http.HttpStatus;

import org.springframework.http.server.reactive.ServerHttpRequest;

import org.springframework.http.server.reactive.ServerHttpResponse;

import org.springframework.stereotype.Component;

import org.springframework.web.server.ServerWebExchange;

import reactor.core.publisher.Mono;

import java.nio.charset.StandardCharsets;

import java.util.HashSet;

import java.util.function.Consumer;

@Component

public class TokenFilter implements GlobalFilter, Ordered {

private final Logger log = LoggerFactory.getLogger(this.getClass());

@Override

public int getOrder() {

// 返回值用来指定执行的顺序,数字越小,优先级越高

return 0;

}

@Override

public Mono filter(ServerWebExchange exchange, GatewayFilterChain chain) {

ServerHttpRequest request = exchange.getRequest();

//获取访问路劲

String path = RequestDataExtractor.getPath(request);

//校验是否是可以直接访问的路径,例如登录接口

if (isPass(path)) {

return chain.filter(exchange);

}

//从请求头中获取token

String token = RequestDataExtractor.getHeader(request, "token");

//校验token

DecodedJWT decodedJWT = null;

try {

decodedJWT = Sign.verifySessionToken(token, "secret");

} catch (TokenExpiredException e) {

return this.returnData(ResultCode.UN_AUTHORIZED.getCode(), "登录状态已失效,请重新登录", exchange);

} catch (Exception e) {

log.info(e.getMessage(), e);

return this.returnData(ResultCode.UN_AUTHORIZED.getCode(), "您还未登录哟", exchange);

}

//获取token中解析出的userId

String userId = decodedJWT.getClaims().get(Sign.CLAIM_USER_ID).asString();

//将userId存入header

Consumer httpHeaders = httpHeader -> {

httpHeader.set("userId", userId);

};

RequestDataExtractor.addHeader(exchange, httpHeaders);

return chain.filter(exchange);

}

/**

* 校验不需要token可以直接访问的路径

*/

private boolean isPass(String path) {

HashSet paths = new HashSet<>();

//这里可以设置不用token可以访问的路径

paths.add("/account-service/auth/token");

return paths.contains(path) ? true : false;

}

/**

* 返回值的封装

*/

private Mono returnData(Integer code, String msg, ServerWebExchange exchange) {

ServerHttpResponse response = exchange.getResponse();

BaseResponse data = new BaseResponse<>(code, msg);

byte[] datas = JSON.toJSONString(data).getBytes(StandardCharsets.UTF_8);

DataBuffer buffer = response.bufferFactory().wrap(datas);

response.setStatusCode(HttpStatus.OK);

response.getHeaders().add("Content-Type", "application/json;charset=UTF-8");

return response.writeWith(Mono.just(buffer));

}

}

服务接收到请求获取请求头中的userId

import org.springframework.beans.factory.annotation.Autowired;

import javax.servlet.http.HttpServletRequest;

public class BaseController {

@Autowired

protected HttpServletRequest request;

public String getUserId(){

return request.getHeader("userId");

}

public String getHeader(String key){

return request.getHeader(key);

}

}

weixin_39901439
关注
05-基于JWT实现用户登录、根据token获取userId
NikoChina的博客
05-15 2232
验证过程:服务端验证 浏览器携带的用户名和密码,验证通过后生成用户凭证保存在服务端(session),浏览器再次访问时,服务端查询session,实现登录状态保持。缺点:随着用户的增多,服务端压力增大;若浏览器cookie被攻击者拦截,容易受到跨站请求伪造攻击;分布式系统下扩展性不强。
jwt怎么获取当前登录用户_Springboot security oauth2 jwt实现权限控制,实现微服务获取当前用户信息...
weixin_39913422的博客
12-29 1882
为什么使用jwt?在原先dubbo+zookeeper项目中,web模块只暴露Restful接口,各服务模块只暴露duboo接口,此时用户登录后由web项目进行token的鉴权和验证,并通过dubbo的隐式传参将sessionID传递给dubbo服务模块, 拦截器再根据sessionID从Redis中获取用户信息设置到当前线程然鹅,在springcloud中,各个微服务直接暴露的是restful接...
SpringBoot+JWT实现登陆token验证并存储用户信息
Jul_C18672868641的博客
02-10 3547
/用来跳过验证的PassToken @Target({@Data @ApiModel("返回结果") public class R < T > {/*** 错误码*/ @ApiModelProperty("错误码") private Integer code;/*** 错误消息*/ @ApiModelProperty("错误消息") private String msg;/*** 内容*/ @ApiModelProperty("内容") private T data;
Spring Cloud ~ 从JWT获取当前用户信息
热门推荐
说淑人的所思所想
04-25 1万+
前言 当完整的搭建了Spring Security Oauth2 + JWT工程之后,我在想该如何获取当前用户的信息?这本质算不上是太大问题,配合Redis很容易就能解决,但既然JWT的优点就在于保存了用户信息,再去Redis中去拿就显得多此一举。 这就像是明明身上带着足够的钱,买东西时却偏偏要求你去银行取一样(线上支付让我的例子显得有些苍白无力)。 要做到这一点算不上难,但教材中没有讲述,网上的...
使用jwt在请求头中获取token从而获取用户信息
weixin_42759398的博客
04-09 3602
在 Spring Boot 项目中使用 JWT,你可以从请求头中获取 JWT,然后使用 JWT 中的信息来获取用户信息,然后进行业务处理。一般情况下,JWT 的信息会包含用户 ID、用户名、角色等信息,你可以根据这些信息来确定用户的身份和权限。在这个示例中,我们使用 @RequestHeader 注解从请求头中获取 JWT,然后使用 JJWT 库解析 JWT 中的信息。在解析 JWT 后,我们可以从 JWT获取用户 ID,然后使用 UserService 来获取用户信息
Jwts(jwt)生成token以及根据token获取用户信息
rxhcsdn的博客
11-23 5892
jwt生成token
SpringCloud Alibaba微服务实战二十一 - JWT增强
weixin_52416367的博客
12-12 400
SpringCloud Alibaba微服务实战二十一 - JWT增强 飘渺Jam 2020-11-19 10:34:29 919 收藏 6 分类专栏: SpringCloud alibaba 文章标签: jwt spring shiro 编程语言 mapreduce 版权 今天内容主要是解决一位粉丝提的问题:如何在jwt中添加用户的额外信息并在资源服务器中获取这些数据。 涉及的知识点有以下三个: 如何在返回的jwt中添加自定义数据 如何在jwt中添加用户的额外数据,比如用户id、手机号码 如何在资源服
jwt怎么获取当前登录用户_使用Spring Security从JWT令牌中提取当前登录用户信息...
weixin_39849054的博客
12-19 1211
小编典典您需要做的第一件事是在创建JWT时将用户信息存储在JWT内,然后在使用JWT时将其提取。我有一个类似的情况,我通过扩展双方解决它TokenEnhancer和JwtAccessTokenConverter。我使用TokenEnhancer来将我的扩展类型的主体嵌入CustomUserDetailsJWT其他信息中。public class CustomAccessTokenEnhancer ...
django jwt token认证中rest_framework_jwt的refresh token有效期
hhhhh11的博客
09-11 3424
导读 jwt在业界已经广泛使用,但这篇文章不是用来介绍jwt的,也不是用来介绍rest_framework_jwt的,而是跟各位掰扯掰扯rest_framework_jwt中的refresh token功能,因为它很可能不是你想象中的refresh token哦 。 场景再现 在jwt鉴权过程中往往会使用accesstoken 和 refreshtoken,顾名思义,refreshtoken是用来更新后的token,如果项目中配置了refreshtoken过期时间一般就是指refreshtoken的有效期,
jwt token 附加用户信息_掌握基于 JWT 实现的 Token 身份认证
weixin_35411438的博客
12-24 584
引语最近正好在独立开发一个后台管理系统,涉及到了基于Token的身份认证,自己边学边用边做整理和总结,对基于JWT实现的Token的身份认证做一次相对比较全面的认识。一、基于session的跨域身份验证Internet服务无法与用户身份验证分开。一般过程如下。用户向服务器发送用户名和密码。验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。服务器向用户返回session_id,se...
vue+egg+jwt实现登录验证的示例代码
10-16
这个守卫能够拦截每次路由的跳转请求,根据路由配置的元信息(meta信息)来判断当前路由是否需要验证用户登录状态。如果需要验证,并且没有有效的token,则重定向用户登录页面;如果token有效,则正常访问目标页面...
再谈Token认证,如何快速方便获取用户信息
weixin_33716154的博客
06-11 854
前面我写了一篇《Token认证,如何快速方便获取用户信息》的文章,引起了各位读者的积极参与,除了文章中我提出的三种方式,各位读者大佬们也贡献了其他多种实现方式。 今天决定基于大家提供的思路再写一篇文章,主要是有读者留言说想要知道其他的实现方式,没办法,只能自己先研究下,然后分享出来,我就是这么宠读者,哈哈。 总结起来就是ThreadLocal,AOP,HandlerMethodArgume...
springboot使用JWT,并自动获取用户信息
sunxy0617的博客
05-31 1993
使用JWT生成token,并在controller中通过注解判断登录权限,自动在需要登录的api中获取用户信息,支持分布式登录。 废话不多说,直接上链接sunxy0617/jinwu_admin: JWT使用学习 (github.com)
java的jwt+拦截器校验token获取用户信息
yechuanjiang的博客
09-22 4340
java的jwt+拦截器校验token获取用户信息 最近换工作,发现自己只会crud准备加强一下。结合网上资源写了一个用jwt生成并且校验token、校验token是在拦截器里面的,还有对异常的封装,响应体返回的封装,先写代码再总结一下项目中实际可以优化的地方。 异常封装和响应体封装都在上一节内容,地址:https://blog.csdn.net/yechuanjiang/article/details/120413850?spm=1001.2014.3001.5501 这里写的是生成token和用拦截器校
jwt根据token获取用户信息
liguoxiangzhizui的博客
07-19 2794
注:JWT_SECERT为加的盐 public static Claims parseJWT(String jwt) throws Exception { SecretKey secretKey = generalKey(); return Jwts.parser() .setSigningKey(secretKey) .parseClaimsJws(jwt) .getBody(); } public static SecretKey generalKey() { byte[] encodedKey = B
jwt怎么获取当前登录用户,如何在.NET Core Web API中获取当前用户(来自JWT令牌)...
weixin_35379520的博客
01-15 754
After a lot of struggling (and a lot of tuturials, guides, etc) I managed to setup a small .NET Core REST Web API with an Auth Controller issuing JWT tokens when stored username and password are valid...
jwt怎么获取当前登录用户_如何在.NET Core Web API中获取当前用户(来自JWT令牌)...
weixin_39995764的博客
01-15 761
After a lot of struggling (and a lot of tuturials, guides, etc) I managed to setup a small .NET Core REST Web API with an Auth Controller issuing JWT tokens when stored username and password are valid...
使用.NET 6开发TodoList应用(填坑1)——实现当前登录用户获取
pythonxxoo的博客
01-19 1252
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 系列导航及源代码 使用.NET 6开发TodoList应用文章索引 需求 在前面的文章里使用.NET 6开发TodoList应用(5)——领域实体创建,我们留了一个坑还没有填上,就是在数据库保存的时候,CreateUser和ModifiedUser我们当时填的都是Anon
Python configparser模块
你必须十分努力,才能看起来毫不费力!
03-31 207
# 导入包 import configparser # 配置 config = configparser.ConfigParser() config.read('test.ini') 1、获取sections print(config.sections()) 2、获取某一section下的所有options print(config.options('section1')) 3、获取item...
springboot+shiro+jwt获取当前登录用户
最新发布
09-01
在Spring Boot中使用Shiro和JWT获取当前登录用户,可以按照以下步骤进行: 1. 配置Shiro和JWT:在Spring Boot的配置文件中配置Shiro和JWT,包括配置Shiro的Realm、SessionManager和SecurityManager,以及配置JWT的密钥、过期时间等参数。 2. 创建ShiroRealm:继承Shiro的AuthorizingRealm类,重写doGetAuthenticationInfo和doGetAuthorizationInfo方法,用于验证用户身份和获取用户权限信息。 3. 创建JWT工具类:实现生成JWT、解析JWT和验证JWT的方法。 4. 创建登录接口:在登录接口中,验证用户的身份和密码是否正确,并生成JWT返回给客户端。 5. 创建获取当前登录用户接口:在需要获取当前登录用户的接口中,从请求头或请求参数中获取JWT,并解析JWT获取用户信息。 6. 配置Shiro的过滤链:在Spring Boot的配置类中配置Shiro的过滤链,将需要验证用户身份的接口配置为需要登录认证。 7. 编写前端代码:在前端页面中,发送登录请求获取JWT,并在需要获取当前登录用户的地方带上JWT发送请求。 总结:通过配置Shiro和JWT,重写ShiroRealm,创建JWT工具类,并在登录获取用户接口中进行相关操作,可以实现在Spring Boot中使用Shiro和JWT获取当前登录用户的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值