前后端分离:SpringBoot + Jwt 登录验证token

最新推荐文章于 2024-05-23 16:59:07 发布
最新推荐文章于 2024-05-23 16:59:07 发布
阅读量2.2w 收藏 140
点赞数 20
分类专栏: 前后端分离 文章标签: 前后端分离 Springboot vue Jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41835866/article/details/82119017
版权

前后端分离:SpringBoot + Jwt 登录验证token

写在前面:近期在做一个前后台分离的项目 Springboot + vue 登录验证的时候选用了shiro 因为是拿来即用的 所以前后端部署完成后出现很多bug...   种种原因 最后选择了友好又亲切的Jwt  : )

好了 直接上代码了

wait 粗暴上代码之前让我先小小说下这个小模块是什么原理 (毕竟鱼的记忆力)

以我的理解的来说的话 Jwt相当于一个令牌 一旦用户成功登录 服务器端就会给用户办法一个令牌 用户后续的每一次请求 都会带着这个令牌 服务器将会校验这个令牌 允许该用户访问该令牌允许的路由,服务和资源 这个令牌能够轻松地跨不同域使用

 

Jwt(JSON Web Tokens)的令牌结构

在紧凑的形式中,Jwt 包含三个由(.)分隔得部分

  • 有效载荷

  • 签名

因此,Jwt 通常看起来为  xxxx.yyyy.zzzz

 

通常由两部分组成:令牌的类型,即JWT和正在使用的散列算法,如HMAC SHA256或RSA。

例如:

{

"alg": "HS256",

"typ": "JWT"

}

然后,这个JSON被Base64Url编码,形成JWT的第一部分。

 

有效载荷

令牌的第二部分是包含声明的有效负载。声明是关于实体(通常是用户)和其他元数据的声明。

例如:

{

"sub": "1234567890",

"name": "John Doe",

"admin": true

}

有效载荷会根据自己业务需求来编写 其中还包括 iss(发行者), exp(到期时间), sub(主题), aud(受众)等

这个JSON被Base64Url编码,形成JWT的第二部分。

请注意,对于已签名的令牌,此信息尽管受到篡改保护,但任何人都可以阅读。除非加密,否则不要将秘密信息放在JWT的有效内容或标题元素中。

 

签名

要创建签名部分,您必须采用编码标头,编码有效载荷,秘密,标头中指定的算法并签名

例如,如果你想使用HMAC SHA256算法,签名将按照以下方式创建:

HMACSHA256(

base64UrlEncode(header) + "." +

base64UrlEncode(payload),

secret)

输出是三个由点分隔的Base64-URL字符串,可以在HTML和HTTP环境中轻松传递,而与基于XML的标准(如SAML)相比,它更加紧凑。

Jwt 部分如果想了解的更加详细的话 可以参考:https://ninghao.net/blog/2834

好了 大概就讲这么多 开始上代码了

1、首先 编写一个生成token 的工具类

public class JwtUtil {

    final static String base64EncodedSecretKey = "你的私钥";//私钥

    final static long TOKEN_EXP = 1000 * 60 * 10;//过期时间,测试使用十分钟



    public static String getToken(String userName) {

        return Jwts.builder()

                .setSubject(userName)

                .claim("roles", "user")

                .setIssuedAt(new Date())

                .setExpiration(new Date(System.currentTimeMillis() + TOKEN_EXP)) /*过期时间*/

                .signWith(SignatureAlgorithm.HS256, base64EncodedSecretKey)

                .compact();

    }

}

 

2、在用户登录时 校验信息有效后 将token信息返回给客户端

/**

* 用户登录

* @param userPo

* @return

*/

@PostMapping("/login")

public ResponseResult<String> login(@RequestBody UserPo userPo) {

    String pwd = SHAUtils.encodeData(userPo.getPassword());

    userPo.setPassword(pwd);

    userService.findUserVoByUsernameAndPassword(userPo);

    String token = JwtUtil.getToken(userPo.getUsername());

    return new ResponseResult<>("Bearer:" + token);

}

3、好了 要开始写拦截器了 用户在登录后的每次请求 都会经过这个拦截器 校验token是否有效

import cn.yuchen.fr.utility.JwtInterceptor;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;



@Configuration

public class WebConfig implements WebMvcConfigurer {

    @Override

    public void addInterceptors(InterceptorRegistry registry) {

        //添加拦截器

        registry.addInterceptor(new JwtInterceptor()).excludePathPatterns("/login","/user/hello");//放掉某些特定不需要校验token的路由

    }

}

4、拦截器 JwtInterceptor()

import io.jsonwebtoken.Claims;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;


public class JwtInterceptor extends HandlerInterceptorAdapter {

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        String authHeader = request.getHeader("Authorization");

        if (authHeader == null || !authHeader.startsWith("Bearer:")) {

            throw new UserLoginException("用户未登录");

        }

        //取得token

        String token = authHeader.substring(7);

        //验证token

        Claims claims = JwtUtil.checkToken(token);

        request.setAttribute("username",claims.getSubject());

        return true;

    }

}

5、 校验 Jwt 的工具类

/**

* 检查token,只要不正确就会抛出异常

**/

public static Claims checkToken(String token) throws ServletException {

    try {

        final Claims claims = Jwts.parser().setSigningKey(base64EncodedSecretKey).parseClaimsJws(token).getBody();

        return claims;

    } catch (ExpiredJwtException e1) {

        throw new UserLoginInvalidException("登录信息过期,请重新登录");

    } catch (Exception e) {

        throw new UserLoginException("用户未登录,请重新登录");

    }

}

到这里 后台部分就完成了 现在你只要和你前端小哥哥 or 小姐姐 约定好 登陆成功后 每次请求时将token放在requestHeader中就好了

wait wait 跨域 这个忘了写

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class GlobalCorsConfig {

    @Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.addAllowedOrigin("*");
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(0);
        return bean;
    }
}

好了 下班了回家啦 :)

如果有什么问题 欢迎指正

ps:补上SHAUtils

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

public class SHAUtils {

    public static String encodeData(String str){
        try {
            MessageDigest md = MessageDigest.getInstance("SHA-256");
            md.update(str.getBytes());
            byte byteData[] = md.digest();

            //将字节转换为十六进制格式方法一
            StringBuffer sb = new StringBuffer();
            for(int i = 0; i < byteData.length; i++){
                sb.append(Integer.toString((byteData[i] & 0xff) + 0x100, 16).substring(1));
            }
            System.out.println("Hex format : " + sb.toString());
            return sb.toString();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
            return null;
        }
    }
}

_wanshuang_
关注
  • 20
    点赞
  • 140
    收藏
    觉得还不错? 一键收藏
  • 30
    评论
专栏目录
springboot jwt token前后端分离_解释一下什么是前后端分离的核心 JWT
weixin_39634579的博客
12-03 194
JWT 详解JWT是为了在网络应用中,前后端交付中,进行页面传值的一种手段。 该TOKEN 设计紧凑,安全,适用于分布式站点的单点登录。起源传统的HTTP协议是无状态的,一个用户,只能保存一份用户信息。 这份登录信息,会在传递的时候,无状态的传递给浏览器,告诉其保存为cookie。以便下次的时候,告诉那个用户。 即传统的给予session的前后端认证。 基于Token的鉴权机制。基于token的鉴...
SpringBoot使用JWT作为Token实现前后端分离登录
q438944209的博客
02-14 7292
JWT就不多介绍了 传统的shiro和SpringSecurity安全框架需要Session,重启后Session会丢失,或者将Session存入redis也行,但是相对比较繁琐。利用JWT可以很轻松的实现Token的认证,在前后端分离的情况下,JWT也显得非常的简易。 依赖 &lt;dependency&gt; &lt;groupId&gt;com.auth0&lt;/groupId&...
Springboot+JWT验证 前后端
最新发布
weixin_45939316的博客
05-23 262
使用Springboot+JWT+vue 完成前后端分离验证
springboot jwt token前后端分离_实战:十分钟实现基于JWT前后端分离的权限框架
weixin_39862097的博客
11-26 414
前言面试过很多Java开发,能把权限这块说的清楚的实在是不多,很多人因为公司项目职责问题,很难学到这类相关的流程和技术,本文梳理一个简单的场景,实现一个基于jwt前后端分离的权限框架。简易流程登录获取票据和缓存信息image-20200709160301317鉴权流程image-20200709160427929技术栈和功能规划本文技术选型为SpringBoot+JWT+Redis, 实...
为什么要 前后端分离
公众号:Java后端
05-21 514
作 者:互扯程序来 源:互扯程序广而告之:由于此订阅号换了个皮肤,系统自动取消了读者的公众号置顶。导致用户接受文章不及时。您可以打开订阅号,选择置顶(星标)公众号,重磅干...
Spring Boot 整合 Spring Security 示例实现前后分离权限注解 + JWT 登录认证
公众号-老炮说Java
05-11 404
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达99套Java企业级实战项目4000G架构师资料作者:Sans_juejin.im/post/5da82f066fb9a04e2...
springboot 整合 JWT 和请求拦截,实现利用 token 做请求安全拦截校验,且实现阻止并发登录
Johnson_7的博客
09-15 3012
springboot 整合 JWT 和请求拦截,实现利用 token 做请求安全拦截校验,且实现阻止并发登录
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
本系统“SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统”就是针对这一需求而设计的,它结合了多种技术,提供了高效、安全且灵活的解决方案。 首先,SpringBoot是这个系统的核心,它...
Spring boot整合shiro+jwt实现前后端分离
08-25
JWT(JSON Web Token)是一种轻量级的身份验证机制,用于在前后端之间传递身份验证信息。本文将介绍如何使用 Spring Boot 框架整合 Shiro 和 JWT 实现前后端分离。 一、Shiro 简介 Shiro 是一个开源的 Java 安全...
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Vue+Jwt+SpringBoot+Ldap完成登录认证的示例代码
08-27
使用Jwt可以解决Session的问题,使得我们可以在前后端分离的情况下实现登录认证。 在实现登录认证时,我们还需要解决另外一个问题,即如何在访问受保护的资源时判断用户是否已经认证过。在这里,我们可以使用Vue-...
【笔记】vue+springboot前后端分离实现token登录验证和状态保存的简单实现方案
热门推荐
songfei_dream的专栏
12-01 1万+
简单实现 token可用于登录验证和权限管理。 大致步骤分为: 前端登录,post用户名和密码到后端。 后端验证用户名和密码,若通过,生成一个token返回给前端。 前端拿到tokenvuex和localStorage管理,登录成功进入首页。 之后前端每一次权限操作如跳转路由,都需要判断是否存在token,若不存在,跳转至登录页。 前端之后的每一个对后端的请求都要在请求头上带...
31.整合JWT
gunsmoke的专栏
04-19 336
pom.xml <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> 工具类 package com.gunsmoke.comm...
单体项目以及前后端分离项目token验证以及验证流程
qq_61935738的博客
03-20 818
单体项目以及前后端分离项目token验证以及验证流程
springboot整合jwt认证
多肉是金毛的博客
06-22 691
jwt含有三个部分头部(header)头部一般有两部分信息:载荷(payload)该部分一般存放一些有效的信息。jwt的标准定义包含五个字段:签证(signature)jwt最后一个部分。该部分是使用了HS256加密后的数据;包含了三个部分:在身份鉴定的实现中,传统的方法是在服务端存储一个 ,给客户端返回一个 ,而使用JWT之后,当用户使用它的认证信息登录系统之后,会返回给用户一个, 用户只需要本地保存该 即可。...
Token认证,如何快速方便获取用户信息
weixin_33849942的博客
05-19 2982
背景 我们有一个Web项目,这个项目提供了很多的Rest API。也做了权限控制,访问API的请求必须要带上事先认证后获取的Token才可以。 认证的话就在Filter中进行的,会获取请求的Token进行验证,如果成功了可以得到Token中的用户信息,本文的核心就是讲解如何将用户信息(用户ID)优雅的传递给API接口(Controller)。 方式一(很挫) 我们在Filter中进行了统一拦截,在...
java SpringBoot登录验证token拦截器
m0_48922996的博客
07-14 4508
用户访问接口验证,如果用户没有登录,则不让他访问除登录外的任何接口。1.前端登录,后端创建token(通过JWT这个依赖),返给前端;2.前端访问其他接口,传递token,后端判断token存在以或失效3.失效或不存在,则返回失效提示,前端根据接口返回的失效提示,让其跳转到登录界面注解的作用说明@Target代表此注解,能@到哪些代码上返回值-全局异常类定义程序员使用:方法不加注解,测试程序员使用:加上,调用通过,注解拓展:从请求中获取token定义2个注解,1个用于 任何接口都能访问 ....
前后端分离springboot实现token拦截器,注解放行restfulAPI、白名单过滤
qq_28163999的博客
04-07 3754
放行注解定义 @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Inherited public @interface ExcludeInterceptor { } 白名单注解定义 /** @des 白名单验证注解 @author wxg @date 2020年4月7日 */ @Target({ElementTy...
springboot+vue前后端分离 + security + JWT 实现token登录
04-04
Spring Boot和Vue.js是两个非常流行的技术栈,可以非常好地实现前后端分离的开发模式。Security和JWT是两个很好的工具,可以帮助我们实现安全的登录和授权机制。 以下是实现Spring Boot和Vue.js前后端分离的步骤: 1.创建Spring Boot工程 首先,我们需要创建一个Spring Boot工程,可以使用Spring Initializr来生成一个基本的Maven项目,添加所需的依赖项,包括Spring Security和JWT。 2.配置Spring Security 在Spring Security中,我们需要定义一个安全配置类,该类将定义我们的安全策略和JWT的配置。在这里,我们可以使用注解来定义我们的安全策略,如@PreAuthorize和@Secured。 3.实现JWT JWT是一种基于令牌的身份验证机制,它使用JSON Web Token来传递安全信息。在我们的应用程序中,我们需要实现JWT的生成和验证机制,以便我们可以安全地登录和授权。 4.配置Vue.js 在Vue.js中,我们需要创建一个Vue.js项目,并使用Vue CLI来安装和配置我们的项目。我们需要使用Vue Router来定义我们的路由,并使用Axios来发送HTTP请求。 5.实现登录和授权 最后,我们需要实现登录和授权机制,以便用户可以安全地登录和访问我们的应用程序。在Vue.js中,我们可以使用Vue Router和Axios来发送HTTP请求,并在Spring Boot中使用JWT验证用户身份。 总结 以上是实现Spring Boot和Vue.js前后端分离的步骤,我们可以使用Security和JWT来实现安全的登录和授权机制。这种开发模式可以让我们更好地实现前后端分离,提高我们的开发效率和应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 30
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值