java权限管理框架jwt_GitHub - vipsql/JwtPermission: 基于token验证的Java Web权限控制框架,使用jjwt,支持redis和db多种存储方式,可用于前后端...

最新推荐文章于 2024-03-04 18:34:26 发布
最新推荐文章于 2024-03-04 18:34:26 发布
阅读量278 收藏
点赞数
文章标签: java权限管理框架jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42222501/article/details/114857838
版权

JwtPermission

68747470733a2f2f696d672e736869656c64732e696f2f6d6176656e2d63656e7472616c2f762f636f6d2e6769746875622e7768766373652f6a7774702d737072696e672d626f6f742d737461727465723f7374796c653d666c61742d737175617265

68747470733a2f2f696d672e736869656c64732e696f2f686578706d2f6c2f706c75672e7376673f7374796c653d666c61742d737175617265

更新日志

2020-01-14 (v3.1.1)

使用RedisTokenStore不需要jdbc相关的包及配置

增加支持统一身份认证(单点登录)功能

对于排除拦截的接口也提供获取当前用户信息的方法

2019-12-16 (v3.0.0)

增加refresh_token机制

增加@Ignore注解(用于忽略验证)

增加url自动匹配权限机制(自带RESTful模式模式和简化模式)

增加自定义查询权限和角色的sql配置

1、简介

基于token验证的Java Web权限控制框架,使用jjwt,支持redis和db多种存储方式,可用于前后端分离项目,功能完善、使用简单、易于扩展。

详细开发文档

2、使用

2.1、SpringBoot集成

2.1.1、导入

com.github.whvcse

jwtp-spring-boot-starter

3.1.1

2.1.2、加注解

在Application启动类上面加入@EnableJwtPermission注解。

2.1.3、配置

## 0是 redisTokenStore ,1是 jdbcTokenStore ,默认是0

jwtp.store-type=0

## 拦截路径,默认是/**

jwtp.path=/**

## 排除拦截路径,默认无

jwtp.exclude-path=/login

## 单个用户最大token数,默认-1不限制

jwtp.max-token=10

## url自动对应权限方式,0 简易模式,1 RESTful模式

# jwtp.url-perm-type=0

## 自定义查询用户权限的sql

# jwtp.find-permissions-sql=SELECT authority FROM sys_user_authorities WHERE user_id = ?

## 自定义查询用户角色的sql

# jwtp.find-roles-sql=SELECT role_id FROM sys_user_role WHERE user_id = ?

## 日志级别设置debug可以输出详细信息

logging.level.org.wf.jwtp=DEBUG

如果使用jdbcTokenStore需要导入框架提供的sql脚本,如果使用redisTokenStore,需要集成好redis

2.2、登录签发token

@RestController

public class LoginController {

@Autowired

private TokenStore tokenStore;

@PostMapping("/token")

public Map token(String account, String password) {

// 你的验证逻辑

// ......

// 签发token

Token token = tokenStore.createNewToken(userId, permissions, roles, expire);

System.out.println("access_token:" + token.getAccessToken());

}

}

createNewToken方法参数说明:

userId          token载体,建议为用户id

permissions      权限列表

roles          角色列表

expire           token过期时间(单位秒)

关于createNewToken方法的详细介绍以及refresh_token机制的用法请在详细文档中查看

2.3、使用注解或代码限制权限

1.使用注解的方式:

// 需要有system权限才能访问

@RequiresPermissions("system")

// 需要有system和front权限才能访问,logical可以不写,默认是AND

@RequiresPermissions(value={"system","front"}, logical=Logical.AND)

// 需要有system或front权限才能访问

@RequiresPermissions(value={"system","front"}, logical=Logical.OR)

// 需要有admin或user角色才能访问

@RequiresRoles(value={"admin","user"}, logical=Logical.OR)

注解加在Controller的方法或类上面。

2.使用代码的方式:

//是否有system权限

SubjectUtil.hasPermission(request, "system");

//是否有system或者front权限

SubjectUtil.hasPermission(request, new String[]{"system","front"}, Logical.OR);

//是否有admin或者user角色

SubjectUtil.hasRole(request, new String[]{"admin","user"}, Logical.OR)

2.4、异常处理

JwtPermistion在token验证失败和没有权限的时候会抛出异常:

异常

描述

错误信息

ErrorTokenException

token验证失败

错误信息“身份验证失败”,错误码401

ExpiredTokenException

token已经过期

错误信息“登录已过期”,错误码402

UnauthorizedException

没有权限

错误信息“没有访问权限”,错误码403

建议使用异常处理器来捕获异常并返回json数据:

@ControllerAdvice

public class ExceptionHandler {

@ResponseBody

@ExceptionHandler(Exception.class)

public Map errorHandler(Exception ex) {

Map map = new HashMap<>();

// 根据不同错误获取错误信息

if (ex instanceof TokenException) {

map.put("code", ((TokenException) ex).getCode());

map.put("msg", ex.getMessage());

} else {

map.put("code", 500);

map.put("msg", ex.getMessage());

ex.printStackTrace();

}

return map;

}

}

2.5、更多用法

2.5.1、使用注解忽略验证

在Controller的方法或类上面添加@Ignore注解可排除框架拦截,即表示调用接口不用传递access_token了。

2.5.2、自定义查询角色和权限的sql

如果是在签发token的时候指定权限和角色,不重新获取token,不主动更新权限,权限和角色不会实时更新,

可以配置自定义查询角色和权限的sql来实时查询用户的权限和角色:

## 自定义查询用户权限的sql

jwtp.find-permissions-sql=SELECT authority FROM sys_user_authorities WHERE user_id = ?

## 自定义查询用户角色的sql

jwtp.find-roles-sql=SELECT role_id FROM sys_user_role WHERE user_id = ?

2.5.3、url自动匹配权限

如果不想每个接口都加@RequiresPermissions注解来控制权限,可以配置url自动匹配权限:

## url自动对应权限方式,0 简易模式,1 RESTful模式

jwtp.url-perm-type=0

RESTful模式(请求方式:url):post:/api/login

简易模式(url):/api/login

配置了自动匹配也可以同时使用注解,注解优先级高于自动匹配,你还可以借助Swagger自动扫描所有接口生成权限到数据库权限表中

2.5.4、获取当前的用户信息

// 正常可以这样获取

Token token = SubjectUtil.getToken(request);

// 对于排除拦截的接口可以这样获取

Token token = SubjectUtil.parseToken(request);

2.5.5、主动让token失效:

// 移除用户的某个token

tokenStore.removeToken(userId, access_token);

// 移除用户的全部token

tokenStore.removeTokensByUserId(userId);

2.5.6、更新角色和权限列表

修改了用户的角色和权限需要同步更新框架中的角色和权限:

// 更新用户的角色列表

tokenStore.updateRolesByUserId(userId, roles);

// 更新用户的权限列表

tokenStore.updatePermissionsByUserId(userId, permissions);

2.6、前端传递token

放在参数里面用access_token传递:

$.get("/xxx", { access_token: token }, function(data) {

});

放在header里面用Authorization、Bearer传递:

$.ajax({

url: "/xxx",

beforeSend: function(xhr) {

xhr.setRequestHeader("Authorization", 'Bearer '+ token);

},

success: function(data){ }

});

联系方式

前后端分离技术交流群:

cf932f3d5338adbb479e023382937580.png

Apple Cook
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EndecryptUtil-1.0.4.jar
11-15
<dependency> <groupId>com.github.whvcse</groupId> <artifactId>EndecryptUtil</artifactId> <version>1.0.4</version> <scope>system</scope> <systemPath>${project.basedir}/libs/EndecryptUtil-1.0.4.jar</systemPath> </dependency>
JwtPermission:基于token验证Java Web权限控制框架使用jjwt支持redisdb多种存储方式,可用于前后端分离项目,功能完善、使用简单、易于扩展
05-10
JwtPermission更新日志2020-01-14 (v3.1.1)使用RedisTokenStore不需要jdbc相关的包及配置增加支持统一身份认证(单点登录)功能对于排除拦截的接口也提供获取当前用户信息的方法2019-12-16 (v3.0.0)增加refresh_...
图形验证
qq_51205188的博客
06-30 802
Java图形验证码 EasyCaptcha [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-x1eI2Qxz-1625019799766)(https://img.shields.io/maven-central/v/com.github.whvcse/easy-captcha?style=flat-square)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pbkmWLgs-1625019799768)(https://img.shield
博客摘录「 vue项目下载依赖包失败解决方法」2024年3月4日
lingshuangdd的博客
03-04 104
npm i --legacy-peer-deps
验证码依赖包的使用
baozi731719165的博客
07-26 781
1、pom.xml 添加 <dependency> <groupId>com.github.whvcse</groupId> <artifactId>easy-captcha</artifactId> <version>1.6.2</version> </dependency> 2、实例 @RestController @RequestMapping("/captcha") public c...
java jwt token reids_GitHub - whvcse/JwtPermission: 基于token验证Java Web权限控制框架使用jjwt支持redisdb多种存储方式...
weixin_42552315的博客
02-24 518
JwtPermission更新日志2020-01-14 (v3.1.1)使用RedisTokenStore不需要jdbc相关的包及配置增加支持统一身份认证(单点登录)功能对于排除拦截的接口也提供获取当前用户信息的方法2019-12-16 (v3.0.0)增加refresh_token机制增加@Ignore注解(用于忽略验证)增加url自动匹配权限机制(自带RESTful模式模式和简化模式)增加自定...
Spring Boot3.0升级,踩坑之旅,附解决方案(二)
fzlhz的博客
12-26 1110
项目中使用了 com.github.whvcse包的easy-captcha 验证码依赖,升级至Jdk17后,验证码接口报错:Cannot invoke "javax.script.ScriptEngine.eval(String)" because "engine" is null,错误原因很明显脚本引擎执行脚本语句报错,因为执行引擎为空。查询相关资料Jdk8自带的JavaScript引擎 nashorn 再升级到Jdk9后就被移除了,从而导致报错
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
用户权限管理是每个信息系统最基本的需求,对基于 Java 的项目来说,最常用的权限管理框架就是大名鼎鼎的 Apache Shiro。Apache Shiro 功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWTRedis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Token-based-authentication:使用JWT实现的基于令牌的身份验证Java Web令牌)
05-20
基于令牌的身份验证使用JWT实现的基于令牌的身份验证Java Web令牌)
springboot-jwt-demo:这是一个使用了springboot+springSecurity+jwt实现的基于token权限管理的一个demo
05-07
这是一个使用了springboot+springSecurity+jwt实现的基于token权限管理的一个demo 具体说明可以看 使用 更改一下application.properites的数据库的一些配置信息,然后就可以运行了 首先注册的url是/auth/register ...
word源码java-EndecryptUtil:Java、Android加密解密工具类
06-05
word源码java EndecryptUtil 简介 Java、Android(安卓)加密解密工具类,不依赖于其他库。 导入 gradle方式的引入 需要先在project的build.gradle下添加: allprojects { repositories { maven { url 'https://jitpack.io' } } } dependencies { compile 'com.github.whvcse:EndecryptUtil:1.0.4' } maven方式引入 <repositories> <repository> <id>jitpack.io</id> <url>https://jitpack.io</url> </repository> </repositories> <dependency> <groupId>com.github.whvcse</groupId> <artifactId>EndecryptUtil</artifactId> <version>1.0.4</version> </dependency> jar包下载 用法 1.字符串转
验证码工具(SpecCaptcha、whvcse)
qq_43538925的博客
03-09 2077
1、pom.xml <dependencies> <dependency> <groupId>com.github.whvcse</groupId> <artifactId>easy-captcha</artifactId> <version>1.6.2</version> </dependency> </dependencies> 2
验证码插件EasyCaptcha
weixin_53402685的博客
04-04 3598
我们自己编写验证码过于麻烦,所以一般会编写验证码插件或直接使用其他人的插件,这里推荐一个EasyCaptcha验证码插件,简单易用。 1.添加maven依赖 <!-- https://mvnrepository.com/artifact/com.github.whvcse/easy-captcha --> <dependency> <groupId>com.github.whvcse</groupId>
项目 maven 导入 EndecryptUtil jar报错
liushilejimo的博客
11-15 562
<dependency> <groupId>com.github.whvcse</groupId> <artifactId>EndecryptUtil</artifactId> <version>1.0.4</version> ...
Jenkins 中Maven构建未开源的jar包终极解决方案
MaoObject的博客
02-28 623
因为本司的项目是支持Jenkins 一键部署的,但是服务器中maven依赖是linux系统所下载的,这样就无法使用Jenkins 部署,大大增加了, 打war包,xftp上传服务,然后重启tomcat 的繁琐性,Jenkins 一键部署就失去了意义。 1 构建本地系统的jar包,也就是在 maven项目下的 pom文件中加载 你要导入的未开源jar包。 maven命令: mvn ins...
JWT加入注解实现权限认证
重生之我不会写代码
05-20 641
jwt简介: Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 基本流程 1。用户输入账号密码, 2。进行验证返回给用户一个token, 3。用户
JWT详解(文章内嵌jwt工具类)
我认不到你的博客
11-17 4046
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 TokenJWT 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。
JWT 快速入门,并实现登录认证
m0_56966142的博客
03-10 3996
一、JWT 简介 jwt(JSON Web Tokens),是一种开发的行业标准RFC 7519 ,用于安全的表示双方之间的声明。目前,jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目。 1.1 Jwt认证流程 前端用户填写好用户名和密码,点击登录 后端对提交的用户名和密码进行校验,校验通过则发送token给前端 前端将token保存在cookie中,并在每一次请求时都将cookie一并发送给后端 后端对用户发送过来的token进行校验,并通过token识别是哪个用户。 1.2 sessio
gin-jwt/v2 与 "github.com/golang-jwt/jwt/v4" 使用jwt 冲突
最新发布
03-17
gin-jwt/v2 和 "github.com/golang-jwt/jwt/v4" 都是 Go 语言中用于处理 JSON Web Token (JWT) 的库,它们之间可能存在一些使用上的冲突。 gin-jwt/v2 是一个专门为 Gin 框架设计的 JWT 中间件,它提供了一些方便的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值