SpringBoot - 集成Auth0 JWT

已于 2023-03-21 16:39:27 修改
阅读量4k 收藏 12
点赞数 7
分类专栏: SpringBoot 文章标签: SpringBoot JWT
于 2021-08-19 14:39:31 首次发布
以下为本篇文章的主要内容,希望大家多提意见,如果喜欢记得点个推荐哦 作者:梦想是咸鱼 本文版权归作者和CSDN博客共有,欢迎转载,转载时保留原作者和文章地址即可。
本文链接:https://blog.csdn.net/weixin_41182727/article/details/119792363
版权

目录

前言

说说JWT,先说下互联网服务常见的两种用户认证方式:


session认证与Token认证

session认证

传统的Session认证的大体流程可以表示为用户提供用户名和密码登录后由服务器存储一份用户登录信息并传递给浏览器保存为Cookie,并在下次请求中根据Cookie来识别用户,但这种方式缺陷明显:

  • Session都是保存在内存中,随着认证用户的增多,服务端的开销明显增大
  • 保存在内存中的Session限制了分布式的应用
  • Cookie容易被截获伪造
Token认证

Token 泛指身份验证时使用的令牌,Token鉴权机制从某些角度而言与Cookie是一个作用,其目的是让后台知道请求是来自于受信的客户端,其通过实现了某种算法加密的Token字符串来完成鉴权工作,其优点在于:

  • 服务器不需要保存 Session 数据(无状态),容易实现扩展
  • 有效避免Cookie被截获引发的CSRF攻击
  • 可以存储一些业务逻辑所必要的非敏感信息
  • 便于传输,其构成非常简单,字节占用小

JWT简介

JWT定义
  • JWT全称为Json web token,也就是 Json 格式的 web token,可以这么理解:
Token // 个人证件 
JWT  // 个人身份证

JWT数据结构
  • JWT由三段字符串组成,中间用.分隔,如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsInNjb3BlIjo4LCJleHAiOjE3MTU3NDAyMjIsImlhdCI6MTYyOTM0MDIyMn0.wuRsF5wvLHbDF_21Pocas8SeXQ315rgBl6wm1LRL2bQ
  • JWT 的三个部分依次如下:
Header(头部)// Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。
Payload(负载)// Payload 部分是一个 JSON 对象,用来存放实际需要传递的数据
Signature(签名)// Signature 部分是对前两部分的签名,防止数据篡改
  • 第一段字符串Header:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9将其 Base64 解码后得到:
{
	"typ": "JWT", // TOKEN TYPE ,token类型
	"alg": "HS256"  //ALGORITHM,算法 哈希256
}
  • 第二段字符串Payload:eyJ1aWQiOjEsInNjb3BlIjo4LCJleHAiOjE3MTU3NDAyMjIsImlhdCI6MTYyOTM0MDIyMn0
PAYLOAD是数据载体,可以有自定义数据
{
  "uid": "1234567890" // 自定义数据
}
  • 第三段字符串Signature:wuRsF5wvLHbDF_21Pocas8SeXQ315rgBl6wm1LRL2bQ
Signature 部分是对前两部分的签名,防止数据篡改。

JWT的类库
  • Java 中的 JWT 有很多类库,关于其优缺点可以在官网查看:https://jwt.io/,这里我们介绍Auth0的JWT的集成使用方式
Auth0 实现的 com.auth0 / java-jwt / 3.3.0
Brian Campbell 实现的 org.bitbucket.b_c / jose4j / 0.6.3
connect2id 实现的 com.nimbusds / nimbus-jose-jwt / 5.7
Les Hazlewood 实现的 io.jsonwebtoken / jjwt / 0.9.0
FusionAuth 实现的 io.fusionauth / fusionauth-jwt / 3.1.0
Vert.x 实现的 io.vertx / vertx-auth-jwt / 3.5.1

具体实现

JWT配置

  • pom.xml
<!-- jwt -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.8.1</version>
</dependency>
  • application.yml
coisini:
  security:
    jwt-key: coisini
    # 过期时间
    token-expired-in: 86400000

JWT工具类

  • JwtUtil.java
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;
import java.util.*;

/**
 * @Description JWT工具类
 * @author coisini
 * @date Aug 18, 2021
 * @Version 1.0
 */
@Component
public class JwtUtil {

    /**
     * key
     */
    private static String jwtKey;

    /**
     * 过期时间
     */
    private static Integer expiredTimeIn;

    /**
     * JWT KEY
     * @param jwtKey
     */
    @Value("${coisini.security.jwt-key}")
    public void setJwtKey(String jwtKey) {
        JwtUtil.jwtKey = jwtKey;
    }

    /**
     * 过期时间
     * @param expiredTimeIn
     */
    @Value("${coisini.security.token-expired-in}")
    public void setExpiredTimeIn(Integer expiredTimeIn) {
        JwtUtil.expiredTimeIn = expiredTimeIn;
    }

    /**
     * 生成令牌
     * @param uid 用户id
     * @return
     */
    public static String makeToken(Long uid) {
        return JwtUtil.getToken(uid);
    }

    /**
     * 获取令牌
     * @param uid 用户id
     * @param scope 权限分级数字
     * @return
     */
    private static String getToken(Long uid) {
        // 指定算法
        Algorithm algorithm = Algorithm.HMAC256(JwtUtil.jwtKey);

        Map<String, Date> dateMap = JwtUtil.calculateExpiredIssues();

        /**
         * withClaim() 写入自定义数据
         * withExpiresAt() 设置过期时间
         * withIssuedAt() 设置当前时间
         * sign() 签名算法
         */
        return JWT.create()
                    .withClaim("uid", uid)
                    .withExpiresAt(dateMap.get("expiredTime"))
                    .withIssuedAt(dateMap.get("now"))
                    .sign(algorithm);
    }

    /**
     * 获取自定义数据
     * @param token
     * @return
     */
    public static Optional<Map<String, Claim>> getClaims(String token) {
        DecodedJWT decodedJWT;

        // 指定算法
        Algorithm algorithm = Algorithm.HMAC256(JwtUtil.jwtKey);
        JWTVerifier jwtVerifier = JWT.require(algorithm).build();

        try {
            decodedJWT = jwtVerifier.verify(token);
        } catch (JWTVerificationException e) {
            return Optional.empty();
        }

        return Optional.of(decodedJWT.getClaims());
    }

    /**
     * 验证Token
     * @param token
     * @return
     */
    public static boolean verifyToken(String token) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(JwtUtil.jwtKey);
            JWTVerifier jwtVerifier = JWT.require(algorithm).build();
            jwtVerifier.verify(token);
        } catch (JWTVerificationException e) {
            return false;
        }

        return true;
    }

    /**
     * 计算过期时间
     * @return
     */
    private static Map<String, Date> calculateExpiredIssues() {
        Map<String, Date> map = new HashMap<>();
        Calendar calendar = Calendar.getInstance();
        Date now = calendar.getTime();
        calendar.add(Calendar.SECOND, JwtUtil.expiredTimeIn);
        // 当前时间
        map.put("now", now);
        // 过期时间
        map.put("expiredTime", calendar.getTime());
        return map;
    }

}

测试接口

  • JwtController.java
@RestController
@RequestMapping("/jwt")
public class JwtController {

    /**
     * 获取Token
     * @param id
     * @return
     */
    @GetMapping(value = "/get")
    public String getToken(@RequestParam Long id) {
        return JwtUtil.makeToken(id);
    }

    /**
     * 验证Token
     * @param token
     * @return
     */
    @PostMapping("/verify")
    public Map<String, Boolean> verify(@RequestParam String token) {
        Map<String, Boolean> map = new HashMap<>();
        Boolean valid = JwtUtil.verifyToken(token);
        map.put("is_valid", valid);
        return map;
    }

}
  • 测试结果

在这里插入图片描述

在这里插入图片描述

  • JWT生成的Token应该放在请求头内来传输,后端统一拦截验证,这里留在下篇文章吧。。。

- End -
- 个人学习笔记 -
- 仅供参考 -

Maggieq8324
关注
  • 7
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springboot+jwt(com.auth0)
xuanyan_的博客
07-24 2894
springboot+jwt(com.auth0) 1、pom.xml 1 <dependency> 2 <groupId>com.auth0</groupId> 3 <artifactId>java-jwt</artifactId> 4 <version>3.7.0</version> 5 </dependency> 2、Jw
springboot-jwt-demo:测试JWT转载
03-05
springboot-jwt-demo 简介 这是一个使用了springboot + springSecurity + jwt实现的基于令牌的权限管理的一个演示 具体说明可以看 使用 更改一下application.properites的数据库的一些配置信息,然后就可以运行了 ...
JWT 登录认证 Springboot
热门推荐
徐本锡的专栏
07-04 134万+
SystemPara.SECRET 是自己定义的常量 依赖 <!-- token --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> ...
推荐使用:Auth0 PHP SDK
最新发布
gitblog_00092的博客
05-24 247
推荐使用:Auth0 PHP SDK 项目简介 项目地址:https://gitcode.com/auth0/auth0-PHP Auth0 PHP SDK 是一款专为Auth0认证和管理API设计的PHP库。这个强大的工具允许你在PHP应用中无缝集成身份验证和授权功能,无论你的应用是传统的Web应用还是现代的API驱动的服务。 项目技术分析 Auth0 PHP SDK 遵循PSR-18、PSR...
JWT鉴权实战
前者已逝,后者未至。
11-04 1230
目标 熟悉JWT鉴权流程,能通过代码实现项目上的鉴权。 JWT(Json Web Token)鉴权
SpringBoot第一次使用auth0JWT
世 间 尤 物,不 敢 妄 取
03-02 3749
依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 工具类(含包) package ...
使用JWT完成前后端请求发送的数据校验
qq_43647376的博客
08-17 1055
一切配置好后,使用postman发送请求。有此工具类就可调用接口生成token。在浏览器修改错误token同理。#### 配置请求头。
关于auth0jwt
qq_35824590的博客
12-08 3334
JWT(Json Web Token) 用于无法产生cookie的项目(App/微信小程序 ) 同时解决了分布式中session共享的问题(登陆信息以非对称加密的形式存在客户端中,只消耗cpu以及网络io,自然解决了分布式session共享) JWT 规定了7个官方字段,提供使用。 iss (issuer):发布者 sub (subject):主题 iat (Issued At):生成签名的时间 exp (expiration time):签名过期时间 aud (audience):观众,相
使用auth0构建JWT
qq_36913208的博客
01-29 1万+
写于2019年年底,2020年春,新年好! JWT 全称 Json Web Token 用于用户认证 用于前后端分离项目(App/微信小程序 无法产生cookie的项目) 文中所提到的 Token泛指身份验证时使用的令牌,而JWT,是json 格式的 web token,两者稍作区别 JWT的构成 JWT 官网 点击前往 ,下列数据解释官网内容: 由三段字符串组成,两端中间用.分隔 eyJhb...
Jwt选型和实现
qq_45317823的博客
02-19 494
package com.zhjt.zhdataexchange.utils; import io.jsonwebtoken.*; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import jav...
auth0 封装 JwtUtils
qq_52425315的博客
11-28 254
auth0 封装 JwtUtils
详解在Spring-Boot中实现通用Auth认证的几种方式
08-27
主要介绍了详解在Spring-Boot中实现通用Auth认证的几种方式,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
通俗易懂的详细介绍Springboot如何集成/整合JWT
01-18
SpringBoot集成JWT步骤 #### 4.1 引入依赖 在项目中添加JWT的依赖,例如使用`com.auth0`的`java-jwt`库。 ```xml <groupId>com.auth0</groupId> <artifactId>java-jwt <version>3.10.3 ``` #### 4.2 自定义...
boot-example-shiro-separate-auth0-jwt-2.0.5
07-17
记录一下使用SpringBoot集成Shiro框架和Jwt框架实现前后端分离Web项目的过程,后端使用SpringBoot整合Shiro+Jwt(auth0),前端使用vue+elementUI框架,前后端的交互使用的是jwt的token,shiro的会话关闭,后端只需要...
auth-jwt-springboot:实用utilizando jwt
02-15
标题 "auth-jwt-springboot:实用utilizando jwt" 指的是一个使用Java开发的Spring Boot项目,专门用于实现JWT(JSON Web Tokens)身份验证。JWT是一种安全的身份验证机制,广泛应用于现代Web应用程序,特别是在单页...
springboot-06-security.zip
09-25
Spring Security可以轻松地与JWT集成,实现无状态的身份验证。 10. **自定义安全配置** 虽然Spring Security提供了默认配置,但往往需要根据实际项目需求进行定制。这包括自定义安全配置类、权限策略、认证和...
auth0.jwt生成token
qq_40506747的博客
08-26 427
auth0.jwt生成token
SpringBoot集合JWT实现工具类
qq_25105163的博客
10-28 852
文章目录一、JWT是什么二、JWT构成三、SpringBoot集成JWT 一、JWT是什么 什么是JWT:Json web token (JWT) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA或ECDSA的公私秘钥对进行签名。 JWT如何获取访问令牌(token)并用于访问资源(API)流程:1、应用端向权限
auth0的java-jwt,Java-Auth0 JWT验证-这正确吗?
weixin_32940203的博客
02-28 697
I'm setting up a REST API with Auth0 as the authentication service. Everything is working but my confidence has been a bit shaken after a rather strange occurrence.My implementation is based on the s...
springboot集成springsecurity jwt示例
06-01
好的,下面是一个简单的 Spring Boot 集成 Spring Security 和 JWT 的示例: 1. 添加依赖 在项目的 pom.xml 文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 配置 Spring Security 在 Spring Boot 项目中,可以通过配置类来配置 Spring Security。创建一个继承自 WebSecurityConfigurerAdapter 的配置类,并重写 configure 方法: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private MyUserDetailsService userDetailsService; @Autowired private JwtRequestFilter jwtRequestFilter; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity httpSecurity) throws Exception { httpSecurity.csrf().disable() .authorizeRequests().antMatchers("/authenticate").permitAll() .anyRequest().authenticated().and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); httpSecurity.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 上述代码中,我们配置了一个用户详细信息服务 MyUserDetailsService,并将其注入到 AuthenticationManagerBuilder 中。此外,我们还配置了一个 BCryptPasswordEncoder,用于加密用户的密码。 我们还配置了一个 HttpSecurity 对象,用于定义 Spring Security 的策略。在这里,我们允许任何人访问 /authenticate 接口,并要求其他接口进行身份验证。我们还配置了一个 JwtRequestFilter,用于检查 JWT 是否有效,并将其添加到过滤器链中。 3. 实现用户详细信息服务 我们需要实现一个用户详细信息服务 MyUserDetailsService,用于从数据库中获取用户信息。创建一个实现了 UserDetailsService 接口的类,并重写 loadUserByUsername 方法: ``` @Service public class MyUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { Optional<User> userOptional = userRepository.findByUsername(username); userOptional.orElseThrow(() -> new UsernameNotFoundException("User not found with username: " + username)); return userOptional.map(MyUserDetails::new).get(); } } ``` 上述代码中,我们使用 UserRepository 来从数据库中获取用户信息,并将其转换为 UserDetails 对象。 4. 实现 JWT 工具类 我们需要实现一个 JWT 工具类 JwtUtil,用于生成和验证 JWT。创建一个实现了 Serializable 接口的类 JwtUtil: ``` @Component public class JwtUtil implements Serializable { private static final long serialVersionUID = -2550185165626007488L; public static final long JWT_TOKEN_VALIDITY = 5 * 60 * 60; @Value("${jwt.secret}") private String secret; public String getUsernameFromToken(String token) { return getClaimFromToken(token, Claims::getSubject); } public Date getExpirationDateFromToken(String token) { return getClaimFromToken(token, Claims::getExpiration); } public <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) { final Claims claims = getAllClaimsFromToken(token); return claimsResolver.apply(claims); } private Claims getAllClaimsFromToken(String token) { return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody(); } private Boolean isTokenExpired(String token) { final Date expiration = getExpirationDateFromToken(token); return expiration.before(new Date()); } public String generateToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); return doGenerateToken(claims, userDetails.getUsername()); } private String doGenerateToken(Map<String, Object> claims, String subject) { return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(new Date(System.currentTimeMillis())) .setExpiration(new Date(System.currentTimeMillis() + JWT_TOKEN_VALIDITY * 1000)) .signWith(SignatureAlgorithm.HS512, secret).compact(); } public Boolean validateToken(String token, UserDetails userDetails) { final String username = getUsernameFromToken(token); return (username.equals(userDetails.getUsername()) && !isTokenExpired(token)); } } ``` 上述代码中,我们使用了 JJWT 库来生成和验证 JWT。我们定义了一些方法来获取 JWT 中的信息,以及生成和验证 JWT。 5. 实现 JWT 请求过滤器 我们需要实现一个 JWT 请求过滤器 JwtRequestFilter,用于检查 JWT 是否有效。创建一个实现了 OncePerRequestFilter 接口的类 JwtRequestFilter: ``` @Component public class JwtRequestFilter extends OncePerRequestFilter { @Autowired private MyUserDetailsService userDetailsService; @Autowired private JwtUtil jwtUtil; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { final String authorizationHeader = request.getHeader("Authorization"); String username = null; String jwt = null; if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) { jwt = authorizationHeader.substring(7); username = jwtUtil.getUsernameFromToken(jwt); } if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = this.userDetailsService.loadUserByUsername(username); if (jwtUtil.validateToken(jwt, userDetails)) { UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); usernamePasswordAuthenticationToken .setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); } } chain.doFilter(request, response); } } ``` 上述代码中,我们使用了 OncePerRequestFilter 接口来实现一个请求过滤器。在 doFilterInternal 方法中,我们检查 Authorization 头是否存在,并从中获取 JWT。如果 JWT 有效,则将其添加到 Spring Security 的上下文中。 6. 创建控制器 最后,我们创建一个控制器 FileController,用于处理文件的上传和下载请求。创建一个加了 @RestController 注解的类 FileController: ``` @RestController public class FileController { @Autowired private JwtUtil jwtUtil; @PostMapping("/upload") public ResponseEntity<String> uploadFile(@RequestParam("file") MultipartFile file, @RequestHeader("Authorization") String authorizationHeader) { String jwt = authorizationHeader.substring(7); String username = jwtUtil.getUsernameFromToken(jwt); // TODO: 上传文件的逻辑 return ResponseEntity.ok("File uploaded successfully."); } @GetMapping("/download") public void downloadFile(HttpServletResponse response, @RequestHeader("Authorization") String authorizationHeader) { String jwt = authorizationHeader.substring(7); String username = jwtUtil.getUsernameFromToken(jwt); // TODO: 下载文件的逻辑 } } ``` 上述代码中,我们创建了两个接口,一个用于上传文件,一个用于下载文件。在这里,我们检查 Authorization 头是否存在,并从中获取 JWT。如果 JWT 有效,则继续执行相应的逻辑。 这就是一个简单的 Spring Boot 集成 Spring Security 和 JWT 的示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Maggieq8324

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值