服务器如何验证jwt,spring集成jwt验证方式,token验证

最新推荐文章于 2024-05-14 19:10:29 发布
最新推荐文章于 2024-05-14 19:10:29 发布
阅读量588 收藏
点赞数
文章标签: 服务器如何验证jwt

为何要告别session?有这样一个场景,系统的数据量达到千万级,须要几台服务器部署,当一个用户在其中一台服务器登陆后,用session保存其登陆信息,其余服务器怎么知道该用户登陆了?(单点登陆),固然解决办法有,能够用spring-session。若是该系统同时为移动端服务呢?移动端经过url向后台要数据,若是用session,经过sessionId识别用户,万一sessionId被截获了,别人能够利用sessionId向后台要数据,就有安全隐患了。因此有必要跟session说拜拜了。服务端不须要存储任何用户的信息,用户的验证应该放在客户端,jwt就是这种方式!

什么是jwt?

d15f816ac786f43432615205bd78694b.png

这里以java的ssm框架为例,集成jwt。

1.pom.xml 导入jwt的包web

com.auth0java-jwt2.2.0

1

2

3

4

5

6

7

2.编写jwt的工具类,有加密解密功能就好spring

import com.auth0.jwt.JWTSigner;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.internal.com.fasterxml.jackson.databind.ObjectMapper;

import java.util.HashMap;

import java.util.Map; public class JWT { private static final String SECRET = "XX#$%()(#*!()!KL<>?N<: private static final string exp="exp" payload="payload" public> String sign(T object, long maxAge) { try { final JWTSigner signer = new JWTSigner(SECRET); final Map claims = new HashMap(); ObjectMapper mapper = new ObjectMapper(); String jsonString = mapper.writeValueAsString(object); claims.put(PAYLOAD, jsonString); claims.put(EXP, System.currentTimeMillis() + maxAge); return signer.sign(claims); } catch(Exception e) { return null; } } //解密,传入一个加密后的token字符串和解密后的类型 public static T unsign(String jwt, Class classT) { final JWTVerifier verifier = new JWTVerifier(SECRET); try { final Map claims= verifier.verify(jwt); if (claims.containsKey(EXP) && claims.containsKey(PAYLOAD)) { long exp = (Long)claims.get(EXP); long currentTimeMillis = System.currentTimeMillis(); if (exp > currentTimeMillis) { String json = (String)claims.get(PAYLOAD); ObjectMapper objectMapper = new ObjectMapper(); return objectMapper.readValue(json, classT); } } return null; } catch (Exception e) { return null; } } }

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

3.jwt有了,ssm要如何去利用,用户验证的第一步是登陆,登陆时根据用户传来的username和password到数据库验证身份,若是合法,便给该用户jwt加密生成token数据库

//处理登陆

@RequestMapping(value="login", produces = "application/json; charset=utf-8")

public @ResponseBody ResponseData login(HttpServletRequest request, @RequestParam( "email") String email, @RequestParam("password") String password) { Login login = new Login(); login.setEmail(email); login.setPassword(password); ResponseData responseData = ResponseData.ok(); //先到数据库验证 Integer loginId = userService.checkLogin(login); if(null != loginId) { User user = userService.getUserByLoginId(loginId); login.setId(loginId); //给用户jwt加密生成token String token = JWT.sign(login, 60L* 1000L* 30L); //封装成对象返回给客户端 responseData.putDataValue("loginId", login.getId()); responseData.putDataValue("token", token); responseData.putDataValue("user", user); } else{ responseData = ResponseData.customerError(); } return responseData; }

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

4.在用户登陆时,把loginId和token返回给前台,之后用户每次请求时,都得带上这两个参数,后台拿到token后解密出loginId,与用户传递过来的loginId比较,若是相同,则说明用户身份合法。由于是每一个登陆事后的每一个请求,这里用springmvc的拦截器作json

1

2

3

4

5

6

7

8

9

10

11

5.拦截器代码安全

import java.io.PrintWriter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView; import com.alibaba.fastjson.JSONObject; import com.xforce.charles.model.Admin; import com.xforce.charles.model.Login; import com.xforce.charles.util.JWT; import com.xforce.charles.util.ResponseData; public class TokenInterceptor implements HandlerInterceptor{ public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception arg3) throws Exception { } public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView model) throws Exception { } //拦截每一个请求 public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { response.setCharacterEncoding("utf-8"); String token = request.getParameter("token"); ResponseData responseData = ResponseData.ok(); //token不存在 if(null != token) { Login login = JWT.unsign(token, Login.class); String loginId = request.getParameter("loginId"); //解密token后的loginId与用户传来的loginId不一致,通常都是token过时 if(null != loginId && null != login) { if(Integer.parseInt(loginId) == login.getId()) { return true; } else{ responseData = ResponseData.forbidden(); responseMessage(response, response.getWriter(), responseData); return false; } } else { responseData = ResponseData.forbidden(); responseMessage(response, response.getWriter(), responseData); return false; } } else { responseData = ResponseData.forbidden(); responseMessage(response, response.getWriter(), responseData); return false; } } //请求不经过,返回错误信息给客户端 private void responseMessage(HttpServletResponse response, PrintWriter out, ResponseData responseData) { responseData = ResponseData.forbidden(); response.setContentType("application/json; charset=utf-8"); String json = JSONObject.toJSONString(responseData); out.print(json); out.flush(); out.close(); } }

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

6.注意点:用@ResponseBody返回json数据时,有时会有乱码,须要在springmvc的配置文件里面加如下配置(spring4以上)服务器

1

2

3

4

5

6

7

7.最后分享一个类,用于返回给客户端的万能类,我以为它能够知足通常的接口session

import java.util.HashMap;

import java.util.Map;

public class ResponseData { private final String message; private final int code; private final Map data = new HashMap(); public String getMessage() { return message; } public int getCode() { return code; } public Map getData() { return data; } public ResponseData putDataValue(String key, Object value) { data.put(key, value); return this; } private ResponseData(int code, String message) { this.code = code; this.message = message; } public static ResponseData ok() { return new ResponseData(200, "Ok"); } public static ResponseData notFound() { return new ResponseData(404, "Not Found"); } public static ResponseData badRequest() { return new ResponseData(400, "Bad Request"); } public static ResponseData forbidden() { return new ResponseData(403, "Forbidden"); } public static ResponseData unauthorized() { return new ResponseData(401, "unauthorized"); } public static ResponseData serverInternalError() { return new ResponseData(500, "Server Internal Error"); } public static ResponseData customerError() { return new ResponseData(1001, "customer Error"); } }

小聪约了只喵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-token:整合JWTspringspringMVC,实现基于token验证
05-11
spring-token 整合JWTspringspringMVC,实现基于token验证 因为CSDN博客上 这篇文章好多小伙伴希望我分享一下源码, 我这边就这个功能单独拉出来写了一个小示例供大家分享。 因为这篇博客讲的是基于JWTspringspringMVC的整合,所以如果有小伙伴想整合JWTspring-boot,只需要将spring基于xml文件的拦截器配置方式转换成 spring-boot的配置方式就ok了。 欢迎大家讨论,分享!
后台接口token校验库JWT
qq_33820379的博客
06-11 536
1:jwt官网:https://jwt.io/2:轻量级很好用    
JWT令牌技术实现登录校验
最新发布
fjf_666的博客
05-14 983
介绍JWT令牌会话技术实现登录校验
SpringMVC加JWT token验证
scottfan的博客
05-23 1178
开发环境: MyEclipse 2017 CI 10 Spring 5.0 jar文件: jjwt-0.7.0.jar , jjwt-jackson-0.11.1.jar , jackson-annotations-2.10.0.jar ,jackson-core-2.10.0.jar ,jackson-databind-2.10.0.jar jar文件下载地址: https://repo1.maven.org/maven2/com/ jackson-annotations-2.10...
SpringMVC使用JWT简单验证
laok186的博客
04-02 2291
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量...
Spring+Springmvc+Hibernate结合Jwt实现前后端分离token验证(含源码Demo)
Dan的博客
10-30 747
前言 什么是token验证,我第一次听的时候,感觉非常高大上,但实际上形象的理解就是: 比如你去酒店开一间房,那么在前台的人员会给你一张房卡,规定时间内,你可以用这张房卡访问指定的房间,当时间结束后,那么这张房卡就失效了,需要重新在前台申请 那么token就相当于这张房卡,前台就相当于拦截器,拦截所有用户的请求,并发放房卡,没有房卡或者房卡时间超时的不能再访问房间。 那么实现的过程很好理解了,我们首先需要根据用户登录的账号密码来设定token,这个token包含的基本信息有:用户账号密码,token过期时间
SpringBoot集成JWT实现token验证的流程
10-15
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).这篇文章主要介绍了SpringBoot集成JWT实现token验证,需要的朋友可以参考下
Spring Cloud Feign统一设置验证token实现方法解析
08-18
Spring Cloud Feign统一设置验证token实现方法解析 Spring Cloud Feign是一个基于Netflix的Feign组件,提供了一个简洁的方式来构建RESTful风格的微服务接口。Feign组件提供了一个统一的接口调用方式,使得微服务...
SpringSecurity Jwt Token 自动刷新的实现
08-19
1. Token的生成:使用jwt生成Tokenjwt是一种 JSON WEB TOKEN 的缩写,它是一种基于Token的身份验证方法。 2. Token的自动延长:系统给用户颁发一个Token,无法实现自动延长Token的过期时间,那么通过变通一个,给...
spring boot+jwt实现api的token认证详解
08-26
主要给大家介绍了关于spring boot+jwt实现api的token认证的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一学习学习吧
SpringBoot集成JWT实现token验证-源码
10-02
SpringBoot集成JWT实现token验证_源码
JWT(JsonWebToken)+SpringMVC项目demo
09-21
JSON Web TokenJWT)是一个非常轻巧的规范。现在免费给大家分享一个JWT(JsonWebToken)+SpringMVC项目的demo!
Spring项目中使用Jwt完成Token验证
服务员的博客
10-24 4578
一、什么是JWT?为什么使用JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 随着技术的发展,分布式web应用的普及,通过se.
JWT 的认证流程
生命不息,挖坑不止
06-28 1412
4、用户将 JWT 存储在本地,通常是 cookie 或者 localStorage。6、服务器验证 JWT ,如果验证通过,则会处理请求,返回数据。3、一旦凭据验证成功,服务器会创建一个 JWT 并返回给用户。5、用户每次向服务器发送请求时,都会在请求头中包含 JWT。7、如果用户注销或者 JWT 过期,服务器会拒绝请求。1、用户使用用户名和密码登录。2、服务器验证用户凭据。
Jwt安装配置
Passerby_one的博客
10-05 570
1.登录接口 2.刷新接口 3.自定义返回格式 1.JWT安装配置 1.1 安装JWT pip install djangorestframework-jwt==1.11.0 1.2 syl/settings.py 配置jwt载荷中的有效期设置 # jwt载荷中的有效期设置 JWT_AUTH = { # 1.token前缀:headers中 Authorization 值的前缀 'JWT_AUTH_HEADER_PREFIX': 'JWT', # 2.token有效期:一天有效
SSM(Spring+Springmvc+MyBatis)+ajax+JWT,实现登录JWT(token)认证获取权限
qq_50617892的博客
05-18 554
本人最近钻研SpringMVC,都是学习感悟与个人看法,接受任何提问与建议,希望大家提出自己独特的见解,谢谢。
springmvc结合jwt的使用,实现前后端分离token验证
左小轩的博客
07-26 4588
1.首先需要导入maven依赖 <dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-core</artifactId> <version>2.9.4</version> </...
SSM 整合 JWT
weixin_52721608的博客
11-04 228
SSM 是一个流行的 Java Web 框架,它可以简化开发过程并提高生产率,同时提供了高性能和可扩展性。在 SSM 中整合 JWT 身份验证可以确保用户在访问系统时能够安全地身份验证JWT 是一种身份验证和授权协议,它允许用户在访问系统时使用其 JSON 密钥来验证其身份。使用 JWT,用户可以在不提供密码的情况下验证其身份,并且可以确保只有经过授权的用户才能访问敏感信息。要在 SSM 中整合 JWT,需要完成以下步骤:1、首先,需要使用一个 JWT 服务来生成和验证 JWT
后台实战——用户登录之JWT
热门推荐
itKingOne的博客
03-26 1万+
现在的app往往会有登录功能,一般移动端app登录后都会得到一个token,今天就将token的一种实现方式Json Web TokenJWT),对于不了解JWT的同学可以参考这里,这里还有一个在线的的JWT生成器。在java中要使用jwt,需要pom.xml中添加如下依赖[html] view plain copy&lt;dependency&gt;      &lt;groupId&gt;c...
springboot整合jwt验证token
06-28
Spring Boot 集成 JWT 验证 Token 的步骤如下: 1. 引入相关依赖包 2. 实现自定义 JWT 验证过滤器 3. 在 Security 配置中配置 JWT 验证过滤器 4. 在需要验证的接口上添加 @PreAuthorize 注解 5. 处理 Token 相关操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值