JWT token权限验证

最新推荐文章于 2024-06-29 15:15:38 发布
最新推荐文章于 2024-06-29 15:15:38 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: 后端技术 spring 文章标签: jwttoken jwttoken权限验证 前后端分离 JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43031215/article/details/89050247
版权
本文介绍了JWT(JSON Web Token)的基本概念、优点和缺点,并讨论了其在权限验证中的应用。通过Java代码示例展示了如何配置拦截器进行token权限验证,以及在实际操作中的注意事项,如JWT的安全性和失效处理。最后提供了相关demo的下载链接。
摘要由CSDN通过智能技术生成

demo下载demo下载
1丶基本需求
2,实现token权限验证
3,项目目录结构
在这里插入图片描述
三、生成Token

什么是JSON Web Token?
JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。

为什么使用JWT?
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。

JWT的优点:
体积小,因而传输速度更快
多样化的传输方式,可以通过URL传输、POST传输、请求头Header传输(常用)
简单方便,服务端拿到jwt后无需再次查询数据库校验token可用性,也无需进行redis缓存校验
在分布式系统中,很好地解决了单点登录问题很方便的解决了跨域授权问题,因为跨域无法共享cookie

JWT的缺点:
因为JWT是无状态的,因此服务端无法控制已经生成的Token失效,是不可控的,这一点对于是否使用jwt是需要重点考量的
获取到jwt也就拥有了登录权限,因此jwt是不可泄露的,网站最好使用https,防止中间攻击偷取jwt
在退出登录 / 修改密码时怎样实现JWT Token失效https://segmentfault.com/q/1010000010043871

对于JWT安全性:
JWT被确实存在被窃取的问题,但是如果能得到别人的token,其实也就相当于能窃取别人的密码,这其实已经不是JWT安全性的问题。网络是存在多种不安全性的,对于传统的session登录的方式,如果别人能窃取登录后的sessionID,也就能模拟登录状态,这和JWT是类似的。为了安全,https加密非常有必要,对于JWT有效时间最好设置短一点。

使用JWT部分后端代码:

<dependency>
 <groupId>io.jsonwebtoken</groupId>
 <artifactId>jjwt</artifactId>
 <version>0.9.0</version>
</dependency>

Java代码:

package util;
 
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;
 
import java.util.Date;
 
/**
 * Created by Administrator on 2018/4/11.
 */
@ConfigurationProperties("jwt.config")
public class JwtUtil {
 
    private String key ;
 
    private long ttl ;//一个小时
 
    public String getKey() {
        return key;
    }
 
    public void setKey(String key) {
        this.key = key;
    }
 
    public long getTtl() {
        return ttl;
    }
 
    public void setTtl(long ttl) {
        this.ttl = ttl;
    }
 
    /**
     * 生成JWT
     *
     * @param id
     * @param subject
     * @return
     */
    public String createJWT(String id, String subject, String roles) {
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        System.out.print("===="+key);
        System.out.print("===="+ttl);
        JwtBuilder builder = Jwts.builder().setId(id)
                .setSubject(subject)
                .setIssuedAt(now)
                .signWith(SignatureAlgorithm.HS256, key).claim("roles", roles);
        if (ttl > 0) {
            builder.setExpiration( new Date( nowMillis + ttl));
        }
        return builder.compact();
    }
 
    /**
     * 解析JWT
     * @param jwtStr
     * @return
     */
    public Claims parseJWT(String jwtStr){
        return  Jwts.parser()
                .setSigningKey(key)
                .parseClaimsJws(jwtStr)
                .getBody();
    }
 
}

拦截器配置代码

package com.tensquare.user.interceptor;
 
import io.jsonwebtoken.Claims;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import util.JwtUtil;
 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
 
/**
 * Created by pc-20171123 on 2019/4/3.
 */
 
@Component
public class Jwtinterceptor implements HandlerInterceptor {
 
    @Autowired
    private JwtUtil jwtUtil;
 
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("经过了拦截器");
        //无论如何都放行。具体能不能操作还是在具体的操作中去判断。
        //拦截器只是负责把头请求头中包含token的令牌进行一个解析验证。
        String header = request.getHeader("Authorization");
 
        if(header!=null && !"".equals(header)){
            //如果有包含有Authorization头信息,就对其进行解析
            if(header.startsWith("Bearer ")){
                //得到token
                String token = header.substring(7);
                //对令牌进行验证
                try {
                    Claims claims = jwtUtil.parseJWT(token);
                    String roles = (String) claims.get("roles");
                    if(roles!=null && roles.equals("admin")){
                        request.setAttribute("claims_admin", token);
                    }
                    if(roles!=null && roles.equals("user")){
                        request.setAttribute("claims_user", token);
                    }
                }catch (Exception e){
                    throw new RuntimeException("令牌不正确!");
                }
            }
        }
        return true;
    }
}

业务请求处理token权限验证

/**
 * 删除
 * @param id
 */
public void deleteById(String id) {
   String  token= (String) request.getAttribute("claims_admin");
   if (token==null ||"".equals(token)){
      throw  new RuntimeException("权限不足");
   }
   userDao.deleteById(id);
}

1 ,下面来请求测试,登录
在这里插入图片描述
2,返回结果
在这里插入图片描述
3,获取令牌删除数据用postean测试,如果不填会提示权限不足
在这里插入图片描述
4,如果登录令牌和登录获取的令牌不一致的话提示令牌不正确
在这里插入图片描述
5,下面来删除数据
在这里插入图片描述
demo下载地址

weixin_43031215
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于jwttoken验证
weixin_34266504的博客
06-06 1038
一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该t...
springboot基于aop redis token实现token验证权限验证
woshicainiaogiao的博客
07-29 976
springboot 基于token,拦截器,aop自定义注解,reds来实现登录验证权限验证
Jwt(Json web token)——使用token权限验证方法 & 用户+角色+权限表设计 & SpringBoot项目应用
Arya的博客,专注后端领域
08-08 1664
1.认证鉴权服务,注册中心,认证中心,鉴权中心; 2.用户,角色,权限表设计,数据库视图的使用; 3.项目中的应用,使用自定义注解+拦截器; 4.枚举类型的json化, @JsonFormat(shape = JsonFormat.Shape.OBJECT) @Getter
JWT权限验证
最新发布
weixin_53216033的博客
06-29 980
JWT,全称JSON Web Tokens,是一种开放标准(RFC 7519)定义的方式,用于在双方之间安全地传输信息。这些信息可以包括用户的身份信息、角色、权限等。JWT通过编码、签名等方式保证传输的信息的安全性和可验证性。JWT不是一种只能做权限验证的工具,而是一种标准化的数据传输规范,所以只要是在系统之间进行简短而又需要一定安全保护的数据传输都可以使用JWT规范来传输。而规范是不受平台限制的,所以JWT是可以跨平台使用的。在JWT中,Claim(生称)的用途主要是存储和传递用户身份信息和其他相关数据。
Jwt(Json web token)——使用token权限验证方法 &amp; 用户+角色
2401_84267735的博客
04-17 1108
PrivsCheck.java文件/*** 定义注解*/
token结合路由完成权限验证
xiangxiang的博客
03-25 310
token结合路由完成权限验证
JWT Token生成及验证
07-16
在C#中实现JWT Token的生成和验证,主要涉及到以下几个关键知识点: 1. **JWT结构**:每个JWT由三个部分组成,用`.`分隔,分别是Header(头部)、Payload(载荷)和Signature(签名)。头部通常包含令牌类型(`typ`...
web api JWT token认证
04-24
"JWTToken.sln"可能是一个Visual Studio解决方案文件,包含了整个项目的配置和依赖。"packages"文件夹可能包含了项目所需的NuGet包,比如JWT相关的库。"Web"可能是Web API项目的主要源代码,其中可能有Startup.cs...
springboot+jwt实现token登陆权限认证的实现
08-19
Spring Boot + JWT 实现 Token 登录权限认证 在本文中,我们将介绍如何使用 Spring Boot 和 JWT 实现 ...通过使用 Spring Boot 和 JWT,我们可以实现 Token 登录权限认证,提供一种简洁、安全的方式来验证用户身份。
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
5. **权限控制**:JWT的Payload中可以包含用户的权限信息,服务器在处理请求时会检查这些信息,以决定用户是否有权访问特定资源。 在"Webapi_JWT_Authentication-master"项目中,开发者可能已经实现了以上步骤,...
springboot + VUE实现后台管理系统(集成JWT接口权限验证) #资源达人分享计划#
08-07
在本项目中,"springboot + VUE实现后台管理系统(集成JWT接口权限验证)"是一个典型的企业级应用开发实例,它结合了Spring Boot后端框架与Vue.js前端框架,旨在为开发者提供一个完整的、具备接口权限验证功能的后台...
怎么使用Token?进行权限校验
weixin_35753291的博客
12-16 930
在进行权限校验时,通常使用 Token 来进行身份验证。 具体来说,首先,你需要在认证服务器上创建一个 Token。这通常是通过用户名和密码进行身份验证,然后在认证成功后生成一个 Token。这个 Token 通常是一个字符串,由认证服务器生成并返回给客户端。 然后,客户端可以在发出请求时将 Token 作为 HTTP 头的一部分发送给服务器。服务器会收到这个请求,并根据 Token 中包含的信息...
前后端分离实现用户登录Token权限验证
Silence_dhy的博客
09-29 6430
Springboot+Vue前后端分离实现用户登录Token权限验证以及登录Token状态保存
Token详解及安全验证
qq_53058639的博客
03-08 1766
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Token验证——JWT方法(明白了!好文章!!)
热门推荐
HD243608836的博客
04-15 2万+
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户
Token验证--JWT
qingxiao1999的博客
09-06 3339
Token的本质是将有意义的数据进行加密处理后的结果,各服务器都只需要具有解析这个加密数据的功能即可获取到其中的信息含义,理论上**不占用内存资源,更适合用于集群和分布式系统,但是,存在一定的被解密的风险(概率极低)。
Token验证实现思路
qq_34991010的博客
09-01 2272
简介 Token 是一个临时、唯一、保证不重复的令牌 Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 使用Token的目的:
基于jwttoken验证、原理及流程
z_ssyy的博客
05-31 6549
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JWT Token验证技术介绍
03-03
JWT(JSON Web Token)是一种用于在网络应用程序之间安全传输信息的开放标准。它以 JSON 为基础并使用数字签名或消息认证码(MAC)来验证信息的完整性和真实性。 JWT 由三个部分组成:头部、载荷和签名。 头部包含 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值