jwt判断token是否过期_SpringSecurity代码实现JWT接口权限授予与校验

最新推荐文章于 2022-09-27 09:20:05 发布
最新推荐文章于 2022-09-27 09:20:05 发布
阅读量2.3k 收藏 7
点赞数
文章标签: jwt判断token是否过期 springboot 集成jwt设置过期时间 springsecurity登录验证 自定义注解实现权限校验含义
本文介绍如何在Spring Boot项目中集成Spring Security,使用JWT进行登录认证和接口权限校验。详细讲解了JWT工具类的开发、登录接口的实现、鉴权过滤器的配置以及测试过程。
摘要由CSDN通过智能技术生成

35319f282e3658ffd91cb0912e92a903.png

通过笔者前两篇文章的说明,相信大家已经知道JWT是什么,怎么用,该如何结合Spring Security使用。那么本节就用代码来具体的实现一下JWT登录认证及鉴权的流程。

一、环境准备工作

  • 建立Spring Boot项目并集成了Spring Security,项目可以正常启动
  • 通过controller写一个HTTP的GET方法服务接口,比如:“/hello”
  • 实现最基本的动态数据验证及权限分配,即实现UserDetailsService接口和UserDetails接口。这两个接口都是向Spring Security提供用户、角色、权限等校验信息的接口
  • 如果你学习过Spring Security的formLogin登录模式,请将HttpSecurity配置中的formLogin()配置段全部去掉。因为JWT完全使用JSON接口,没有from表单提交。
  • HttpSecurity配置中一定要加上csrf().disable(),即暂时关掉跨站攻击CSRF的防御。这样是不安全的,我们后续章节再做处理。

以上的内容,我们在之前的文章中都已经讲过。如果仍然不熟悉,可以翻看本号之前的文章。

二、开发JWT工具类

通过maven坐标引入JWT工具包jjwt

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

在application.yml中加入如下自定义一些关于JWT的配置

jwt: 
  header: JWTHeaderName
  secret: aabbccdd  
  expiration: 3600000
  • 其中header是携带JWT令牌的HTTP的Header的名称。虽然我这里叫做JWTHeaderName,但是在实际生产中可读性越差越安全。
  • secret是用来为JWT基础信息加密和解密的密钥。虽然我在这里在配置文件写死了,但是在实际生产中通常不直接写在配置文件里面。而是通过应用的启动参数传递,并且需要定期修改。
  • expiration是JWT令牌的有效时间。

写一个Spring Boot配置自动加载的工具类。

@Data
@ConfigurationProperties(prefix = "jwt")    //配置自动加载,prefix是配置的前缀
@Component
public class JwtTokenUtil implements Serializable {

    private String secret;
    private Long expiration;
    private String header;


    /**
     * 生成token令牌
     *
     * @param userDetails 用户
     * @return 令token牌
     */
    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>(2);
        claims.put("sub", userDetails.getUsername());
        claims.put("created", new Date());
        return generateToken(claims);
    }

    /**
     * 从令牌中获取用户名
     *
     * @param token 令牌
     * @return 用
最低0.47元/天 解锁文章
weixin_39907658
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt判断token是否过期_SpringBootSecurity学习(13)前后端分离版之JWT
weixin_39608063的博客
11-26 1448
JWT 使用前面简单介绍了把默认的页面登录改为前后端分离的接口异步登录的方法,可以帮我们实现基本的前后端分离登录功能。但是这种基本的登录和前面的页面登录还有一个一样的地方,就是使用session和cookie来维护登录状态,这种方法的问题在于,扩展性不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。一种解决方...
搞懂 JWT 这个知识点
程序员成长指北
09-22 652
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
腾讯IMWeb团队是如何使用 NodeJS 实现 JWT 原理
我本可以容忍阳光,如果我不曾见过太阳,然而阳光已使我荒凉,成为更新的荒凉。
11-20 351
关注前端瓶子君,回复“交流”加入我们一起学习,天天进步来源:腾讯IMWeb团队https://juejin.cn/post/6873700061000237069jwt是json w...
js如何获取jwt信息_前后端分离:基于JWT用户认证分析
weixin_39607798的博客
11-21 880
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!作者:lion1ouhttps://lion1ou.win/2017/01/18/在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所...
jwt判断token是否过期_一文讲解JWT用户认证全流程
weixin_39600319的博客
11-12 4604
一、什么是JWT(what)JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,以JSON对象的形式在各方之间安全地传输信息。JWT是一个数字签名,生成的信息是可以验证并被信任的。使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对JWT进行签名。JWT是目前最流行的跨域认证解决方案1.1 JWT令牌结构SON Web令牌以紧凑的...
基于springboot+springSecurity+jwt实现的基于token权限管理+源代码+文档
最新发布
04-09
本项目通过集成Spring Boot、Spring SecurityJWT(JSON Web Tokens)技术,构建了一个基于token权限管理系统。下面将详细阐述这些关键技术及其相互间的协同工作原理。 1. **Spring Boot**: Spring Boot是...
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者Token过期了,那么禁止访问系统。如果用户一直...
jwt判断token是否过期_警钟 | 还不会Spring Boot集成JWT,你可能错过了大厂的Office了...
weixin_39587822的博客
11-26 1428
概述(什么是JWT)JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该标准定义了一种简单的,自包含的,用于通信双方以JSON对象的形式安全的传递信息。请求流程流程如下用户使用账号和面发出 post 请求;服务器使用私钥创建一个 jwt;服务器返回这个 jwt 给浏览器;浏览器将该 jwt 串在请求头中像服务器发送请求;服务器验证jwt;返回响应的资源给浏览器。...
jwt判断token是否过期_我们真的需要JWT吗?
weixin_39929918的博客
11-24 683
JWT(JSON Web Token)是目前最流行的认证方案之一。博客园、各种技术公众号隔三差五就会推一篇JWT相关的文章,真的多如牛毛。但我对JWT有点困惑,今天写出来跟大家探讨探讨,不要喷哈。JWT原理本文默认读者已经对JWT有所了解,下面不再详细介绍JWT,只简单提一下。JWT全称JSON Web Token。当服务器认证成功后会生成一个Token,这个token包含了header、payl...
Spring Boot+Spring Security+JWT 实现token验证
xue317378914的专栏
06-06 1万+
Spring Boot+Spring Security+JWT 实现token验证什么是JWTJWT的工作流程JWT的主要应用场景JWT的结构SpringBoot+Spring SecurityJWT集成实现token验证引入JWT依赖JWT的生成和解析工具类Spring Security配置登录生成tokentoken校验演示总结 通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被机器攻击就喝一壶的。那么一般来说,对API要划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用
jwt判断token是否过期_mall整合SpringSecurityJWT实现认证和授权(一)
weixin_39942492的博客
11-21 2632
本文主要讲解mall通过整合SpringSecurityJWT实现后台用户的登录和授权功能,同时改造Swagger-UI的配置使其可以自动记住登录令牌进行发送。SpringBoot实战电商项目mall(25k+star)地址:https://github.com/macrozheng/mall项目使用框架介绍SpringSecurity SpringSecurity是一个强大的可高度定制的认证和...
记一次 spring security过期token请求免登录接口被拦截
want_to_future的博客
09-27 952
带着过期token访问已放行接口
springboot(前后端分离)登录拦截器+token过期返回状态码
热门推荐
qq_37759106的博客
08-03 3万+
1.首先要配置一个配置文件类 @Configuration public class SpringbootIntercepterConfig extends WebMvcConfigurerAdapter { @Override public void addInterceptors(InterceptorRegistry registry) { registr...
SprintBoot Security 数据库验证请求token是否有效
℡メ㏑╭ァ小凯
04-16 1159
0、思路 1、jwt生成的token是永久的,每次登陆的时候需要把token存数据库,所以需要拦截每次请求带过来的token是否在数据库里面。 2、验证之前需要过滤掉哪些不需要校验的url地址,避免duird和swg等这样的地址也走数据验证权限了 1、定义权限验证功能类 package com.java.core.core.security; import java.io.IOException; import java.util.Date; import j...
Spring Security Oauth2 如何鉴别Token是否有效
紫眸的博客
09-20 1万+
版本 Spring Security Oauth2 : 2.3.5.RELEASE Spring Boot 2.1.3 Spring Boot Starter: 2.1.3.RELEASE 解决思路 Spring Security 的两大功能认证和鉴权,通过FilterChain(过滤器链)实现的,不同的请求经过不同的过滤器链。 Spring Security Oauth2 增加了拓展的过滤器...
JWTSecurity 登录权限判断token访问和让token失效
yujunlong3919的专栏
12-10 9754
文章目录Spring SecurityJWT无状态的单点登录()流程用到的方法configure(HttpSecurity http)登录 authenticationSuccessHandler loadUserByUsername通过token访问 doFilterInternal方法设置权限 Spring Security Spring Security是一个功能强大且高度可定制的身份验...
spring-security中添加用户过期功能
javacup
02-12 1622
之前有篇文章记录了我是如何快速添加spring-security模块的,虽然快速,但是功能很简单。最近需要添加一个新的功能,就是验证用户是否过期实现方法肯定很多,但是首先要考虑自己项目当前什么个结构。在我的web.xml中,有两个Filter,如下: [code="xml"] CodeFilter com.platform.util.CheckCodeFil...
springsecurity+jwt+oauth2.0校验jwt过期时间源码解读
hero_is_me的博客
11-17 2817
场景描述 笔者的项目架构采用的是springsecurity+jwt+oauth2.0架构,配置的多客户端校验权限获取jwt访问系统资源。 也就是说系统存在web,小程序,手机号三个用户体系,对应三个用户主表。 每个客户端在BaseClientDetails的access_token_validity和refresh_token_validity配置jwt的access_token和refresh_token过期时间。 如下图: 读取数据库配置的客户端各字段属性,在上面的方法的中配置 如下图在配置类中
springboot 集成jwt设置过期时间_spring boot 2 集成JWT实现api接口认证
weixin_39677106的博客
11-26 621
一、JWT的数据结构JWT由header(头信息)、payload(有效载荷)和signature(签名)三部分组成的,用“.”连接起来的字符串。JWT的计算逻辑如下:(1)signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)其中私钥secret保存于服务器端,不能...
spring security校验jwt token代码
05-26
Spring Security校验JWT Token代码可以...以上代码用来实现Spring Security校验JWT Token的功能,提供了创建Token校验Token获取Token中存储的用户和权限信息等相关方法。您可以根据您的实际需求进行修改和调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值