基于JWT的API鉴权如何实现?

最新推荐文章于 2024-07-19 17:59:08 发布
最新推荐文章于 2024-07-19 17:59:08 发布
阅读量523 收藏 9
点赞数 1
分类专栏: Jwt SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nsx_truth/article/details/108919561
版权
本文介绍了如何使用Spring MVC的拦截器实现权限控制。通过自定义拦截器`JwtInterceptor`,实现了登录验证、API权限校验等功能。登录服务在签发JWT时附带用户权限,拦截器在请求处理前检查JWT中的权限,确保用户只能访问授权的接口。此外,还展示了在BaseController中如何获取用户信息,并在UserController的profile方法中应用这些信息。
摘要由CSDN通过智能技术生成

前言

如果我们每个方法都去写一段代码,冗余度太高,不利于维护,那如何做使我们的代码看起来更清爽呢?我们可以将这段代码放入拦截器去实现

1. Spring中的拦截器

Spring为我们提供了org.springframework.web.servlet.handler.HandlerInterceptorAdapter这个适配器,继承此
类,可以非常方便的实现自己的拦截器。他有三个方法:分别实现预处理、后处理(调用了Service并返回
ModelAndView,但未进行页面渲染)、返回处理(已经渲染了页面)

1.在preHandle中,可以进行编码、安全控制等处理;
2.在postHandle中,有机会修改ModelAndView;
3.在afterCompletion中,可以根据ex是否为null判断是否发生了异常,进行日志记录。

2. 拦截器中鉴权

(1)修改签发token的登录服务添加API权限

@RequestMapping(value="/login",method = RequestMethod.POST)
    public Result login(@RequestBody Map<String,String> loginMap) {
        String mobile = loginMap.get("mobile");
        String password = loginMap.get("password");
        User user = userService.findByMobile(mobile);
        //登录失败
        if(user == null || !user.getPassword().equals(password)) {
            return new Result(ResultCode.MOBILEORPASSWORDERROR);
        }else {
            //登录成功
            //api权限字符串
            StringBuilder sb = new StringBuilder();
            //获取到所有的可访问API权限
            for (Role role : user.getRoles()) {
                for (Permission perm : role.getPermissions()) {
                    if(perm.getType() == PermissionConstants.PERMISSION_API) {
                        sb.append(perm.getCode()).append(",");
                    }
                }
            }
            Map<String,Object> map = new HashMap<>();
            map.put("apis",sb.toString());//可访问的api权限字符串
            map.put("companyId",user.getCompanyId());
            map.put("companyName",user.getCompanyName());
            String token = jwtUtils.createJwt(user.getId(), user.getUsername(), map);
            return new Result(ResultCode.SUCCESS,token);
        }
    }

(2)添加拦截器 JwtInterceptor

**
 * 自定义拦截器
 *      继承HandlerInterceptorAdapter
 *
 *      preHandle:进入到控制器方法之前执行的内容
 *          boolean*              true:可以继续执行控制器方法
 *              false:拦截
 *      posthandler:执行控制器方法之后执行的内容
 *      afterCompletion:响应结束之前执行的内容
 *
 * 1.简化获取token数据的代码编写
 *      统一的用户权限校验(是否登录)
 * 2.判断用户是否具有当前访问接口的权限
 *
 */
@Component
public class JwtInterceptor extends HandlerInterceptorAdapter {

    /**
     * 简化获取token数据的代码编写(判断是否登录)
     *  1.通过request获取请求token信息
     *  2.从token中解析获取claims
     *  3.将claims绑定到request域中
     */

    @Autowired
    private JwtUtils jwtUtils;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 1.通过request获取请求token信息
        String authorization = request.getHeader("Authorization");
        //判断请求头信息是否为空,或者是否已Bearer开头
        if(!StringUtils.isEmpty(authorization) && authorization.startsWith("Bearer")) {
            //获取token数据
            String token = authorization.replace("Bearer ","");
            //解析token获取claims
            Claims claims = jwtUtils.parseJwt(token);
            if(claims != null) {
                //通过claims获取到当前用户的可访问API权限字符串
                String apis = (String) claims.get("apis");  //api-user-delete,api-user-update
                //通过handler
                HandlerMethod h = (HandlerMethod) handler;
                //获取接口上的reqeustmapping注解
                RequestMapping annotation = h.getMethodAnnotation(RequestMapping.class);
                //获取当前请求接口中的name属性
                String name = annotation.name();
                //判断当前用户是否具有响应的请求权限
                if(apis.contains(name)) {
                    request.setAttribute("user_claims",claims);
                    return true;
                }else {
                    throw new CommonException(ResultCode.UNAUTHORISE);
                }
            }
        }
        throw new CommonException(ResultCode.UNAUTHENTICATED);
    }
}

(3)修改BaseController

public class BaseController {

    protected HttpServletRequest request;
    protected HttpServletResponse response;
    protected String companyId;
    protected String companyName;
    protected Claims claims;

    @ModelAttribute
    public void setResAnReq(HttpServletRequest request,HttpServletResponse response) {
        this.request = request;
        this.response = response;

        Object obj = request.getAttribute("user_claims");

        if(obj != null) {
            this.claims = (Claims) obj;
            this.companyId = (String)claims.get("companyId");
            this.companyName = (String)claims.get("companyName");
        }
    }
}

(4)修改UserController的profile方法

@RequestMapping(value="/profile",method = RequestMethod.POST)
    public Result profile(HttpServletRequest request) throws Exception {

        String userid = claims.getId();
        //获取用户信息
        User user = userService.findById(userid);
        //根据不同的用户级别获取用户权限

        ProfileResult result = null;

        if("user".equals(user.getLevel())) {
            result = new ProfileResult(user);
        }else {
            Map map = new HashMap();
            if("coAdmin".equals(user.getLevel())) {
                map.put("enVisible","1");
            }
            List<Permission> list = permissionService.findAll(map);
            result = new ProfileResult(user,list);
        }
        return new Result(ResultCode.SUCCESS,result);
    }

(5)配置拦截器类,创建com.ihrm.system.SystemConfig

// implements WebMvcConfiguer
@Configuration
public class SystemConfig extends WebMvcConfigurationSupport {

    @Autowired
    private JwtInterceptor jwtInterceptor;

    /**
     * 添加拦截器的配置
     */
    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        //1.添加自定义拦截器
        registry.addInterceptor(jwtInterceptor).
                addPathPatterns("/**").//2.指定拦截器的url地址
                excludePathPatterns("/sys/login","/frame/register/**");//3.指定不拦截的url地址
    }
}

(6)在启动类中加入

	//解决 jpa 的 no session
    @Bean
    public OpenEntityManagerInViewFilter openEntityManagerInViewFilter() {
        return new OpenEntityManagerInViewFilter();
    }

是不是一脸懵,再看回这个视频

༺鲸落༻
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot结合JWT访问API实现Token验证
wuhongyuxuexi的博客
09-15 665
SpringBoot结合JWT实现token验证
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
主要介绍了Java中使用JWT生成Token进行接口鉴权实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
接口鉴权方案 jwt
qq_36428598的博客
06-24 703
setExpiration(new Date(currentTimeMillis + TOKEN_EXPIRE_MILLIS)) // 设置过期时间。.setIssuedAt(new Date(currentTimeMillis)) // 设置签发时间。.setSigningKey(generateKey()) // 设置签名密钥。@return 0 验证成功,1、2、3、4、5 验证失败。key(按照签名算法的字节长度设置key)5.使用注解在接口上。
接口鉴权--JWT
12-11 163
参考   一,传统和现在的接口测试的定义及接口的类型   二,认识URL   三,认识HTTP协议   四,接口认证方式:Bearer Token
使用JWT双令牌机制进行接口请求鉴权
最新发布
北海之灵的博客
07-19 1018
1.JWT的使用 2.双令牌模式 3.无感刷新 token
SaaS-HRM(7)服务状态和基于JWTAPI鉴权
zengdongwen的博客
12-02 262
1、服务状态 1.1 什么是服务状态 有状态和无状态服务是两种不同的服务架构,两者的不同之处在于对于服务状态的处理。服务状态是服务请求所需的数据,它可以是一个变量或者一个数据结构。无状态服务不会记录服务状态,不同请求之间也是没有任何关系;而有状态服务则反之。对服务器程序来说,究竟是有状态服务,还是无状态服务,其判断依据——两个来自相同发起者的请求在服务器端是否具备上下文关系...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
Spring security+jwt服务鉴权完整代码.zip
09-09
本项目"Spring security+jwt服务鉴权完整代码.zip"是基于Spring Security实现JWT身份验证服务。主要包含了以下关键知识点: 1. **JWT令牌生成与验证**:JWT由三部分组成:头部(Header)、负载(Payload)和签名...
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
08-19
通过以上步骤,我们就完成了Spring Boot应用中基于JWT的登录和鉴权功能的实现。这种方法允许我们创建安全、高效且易于扩展的身份验证系统,适应现代Web应用的需求。不过,实际应用中还需要考虑其他因素,例如JWT的...
SpringBoot集成SpringSecurity和JWT做登陆鉴权实现
08-19
在本文中,我们将深入探讨如何使用SpringBoot与SpringSecurity及JWT(JSON Web Token)结合,以实现登录鉴权功能。SpringBoot因其简化配置和与其他框架的无缝集成,成为了开发小型应用的理想选择。前后端分离的架构...
JWT技术——基于token的鉴权机制
zollty的专栏
12-27 7048
本文是《REST API安全认证研究》的一部分。   JWT技术(基于token的鉴权机制) 流程上是这样的: 用户使用用户名密码来请求服务器 服务器进行验证用户的信息 服务器通过验证后生成一个token发送给用户 客户端存储token,并在每次请求时附送上这个token值 服务端验证token值,并返回数据 这个token必须要在每次请求时...
使用JWT生成Token进行接口鉴权实现方法
penriver的博客
09-24 2426
利用JWT进行鉴权的思路 用户发起登录请求。 服务器使用私钥创建一个jwt字符串,作为token; 服务器将这个token返回给浏览器; 在后续请求中,token作为请求头的内容,发给服务端。 服务端拿到token之后进行解密,正确解密表示此次请求合法,验证通过;解密失败说明Token无效或者已过期 返回响应的资源给浏览器 JWT介绍 什么是JWT JSON Web令牌(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,以JSON对象的形式在通信双方之间安全地传输信息。由于该
如何实现jwt鉴权机制?
zz130428的博客
12-10 1232
JWT(JSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息。在分布式系统中,每个子系统都要获取到秘钥,那么这个子系统根据该秘钥可以发布和验证令牌,但有些服务器只需要验证令牌。,分成了三部分,头部(Header)、载荷(Payload)、签名(Signature),并以。一旦前面两部分数据被篡改,只要服务器加密用的密钥没有泄露,得到的签名肯定和之前的签名不一致。这时候可以采用非对称加密,利用私钥发布令牌,公钥验证令牌,加密算法可以选择。
JWT鉴权实现
YelloJesse的博客
12-28 406
1 2 3 4
JWT鉴权
liu4461431的博客
05-25 4317
JWT鉴权知识点总结
JWT鉴权实现
kerolalala的博客
02-04 1254
1.JWT构成 头部(header) 有效载荷(Payload) 签名(signature) 2.header(header是一段json,经过base64编码变成一段字符串,编码前后对比图如图所示:) typ:token的类型,这里固定为JWT alg:使用的hash算法,例如:HMAC SHA256或者RSA 3.payload 存储需要传递的信息,如用户ID、用户名等 还包含元数据,如过期时间、发布人等 与header不同,payload可以加密 4.signature .
使用jwt在后端进行鉴权
qq_53483403的博客
01-03 464
在用户登录后,后台给前台发送一个凭证(token),前台请求的时候需要带上这个凭证(token),才可以访问接口,如果没有凭证或者凭证跟后台创建的不一致,则说明该用户不合法。
如何实现jwt鉴权机制之详解
hyqhyqhyqq的博客
03-07 422
声明算法的字段名为alg,同时还有一个typ的字段,默认JWT即可。JWT(JSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息。在分布式系统中,每个子系统都要获取到秘钥,那么这个子系统根据该秘钥可以发布和验证令牌,但有些服务器只需要。一旦前面两部分数据被篡改,只要服务器加密用的密钥没有泄露,得到的签名肯定和之前的签名不一致。签名是对头部和载荷内容进行签名,一般情况,设置一个。载荷即消息体,这里会存放实际的内容,也就是。的数据声明,例如用户的。
.net 6 webapi 鉴权
06-06
在 .NET 6 中,实现 WebAPI 鉴权可以使用多种方式,这里简单介绍两种。 第一种方式是使用 .NET 6 提供的框架级别的鉴权方式,即基于策略的授权(Policy-based Authorization)。这种方式可以在 Startup.cs 文件中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值