Springboot--整合jwt实现token令牌认证

最新推荐文章于 2023-09-02 22:41:59 发布
最新推荐文章于 2023-09-02 22:41:59 发布
阅读量417 收藏 4
点赞数 1
分类专栏: Springboot运用 文章标签: jwt spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43606226/article/details/103859723
版权

JWT请求的流程:
1.用户输入账号密码登录,前端传输给后端认证
2.认证成功后,后端用jwt创建一个token令牌
3.后端传给前端token令牌,前端把这个令牌保存下来
4.前端每次访问后端资源的时候都要带上之前保存的token令牌给后端认证
5.验证成功后返回资源给前端

JWT组成
JWT有3部分组成:
Header(头部):两部分组成,令牌的元数据,签名和/或加密算法的类型
Payload(载体):JWT中的一些数据比如签发者、过期时间,签发时间之类
Signature(签名):由base64对header部分编码后加上.和base64对Payload编码后组成的字符串,再用一个密钥sercet对组合成的字符串用由头部声明的加密方式加密组成
一个JWT如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIxIiwiZXhwIjoxNTc4MzA0NzI2LCJpYXQiOjE1NzgzMDExMjZ9.Vvh49ThZlFNsoTVj09QA4Wb51s7-Jk1-LyQHPuVpZCA

Springboot中整合JWT
先在 pom.xml 中引入jar包

        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>

然后创建两个注解 PassToken(有此注解的接口不需要验证Token)和UserLoginToken(有此注解的接口需要验证Token)

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
    boolean required() default true;
}

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserLoginToken {
    boolean required() default true;
}

创建一个token工具类,我在后面的token创建中Payload中只放了用户的ID,TOKEN创建时间,有效时间。所以在这个工具类中写了个获取用户ID的方法。
TokenUtil.java

public class TokenUtil {
	//从token中拿到用户的ID
    public static String getTokenUserId() {
        String token = getRequest().getHeader("token");// 从 http 请求头中取出 token
        String userId = JWT.decode(token).getAudience().get(0);
        return userId;
    }

    /**
     * 获取request
     *
     * @return
     */
    public static HttpServletRequest getRequest() {
        ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder
                .getRequestAttributes();
        return requestAttributes == null ? null : requestAttributes.getRequest();
    }
}

创建一个TokenService 来创建Token,也就是颁发Token。
TokenService.java

	@Service
public class TokenService {
	//颁发Token
    public String getToken(User user){
        Date start = new Date();
        long current=System.currentTimeMillis()+60*60*1000;     //1小时有效期
        Date end=new Date(current);

        String token="";
        
        token= JWT.create().withAudience(user.getUserid()).withIssuedAt(start).withExpiresAt(end)
                //这里用了HMAC加密,密钥是用户的密码
                .sign(Algorithm.HMAC256(user.getPassword()));
        return token;
    }
}

然后创建一个拦截器,这个拦截器拦截所有请求,然后判断请求的接口有没有上面自定义的注解@UserLoginToken 注解,有该注解表示需要Token,若是遇到@PassToken 注解 则表示不需要Token,直接放行。
AuthenticationInterceptor.java

public class AuthenticationInterceptor implements HandlerInterceptor {
    @Autowired
    UserService userService;

    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
        String token = httpServletRequest.getHeader("token");

        if (!(object instanceof HandlerMethod)) {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) object;
        Method method = handlerMethod.getMethod();
        //判断是否有注解PassToken
        if (method.isAnnotationPresent(PassToken.class)) {
            PassToken passtoken = method.getAnnotation(PassToken.class);
            if (passtoken.required())
                return true;
        }
		//判断是否有注解UserLoginToken
        if (method.isAnnotationPresent(UserLoginToken.class)) {
            UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class);
			
            if (userLoginToken.required()) {
                if (token == null)
                    throw new RuntimeException("无token,请重新登录");
                String userid;
                try {
                    userid = JWT.decode(token).getAudience().get(0);
                    boolean time= JWT.decode(token).getExpiresAt().before(new Date());
                } catch (JWTDecodeException j) {
                    throw new RuntimeException("401");
                }
                //此处通过用户ID获得用户
                User user = userService.selectByPrimaryKey(userid);
                if (user == null)
                    throw new RuntimeException("用户不存在,请重新登录");
                JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
                try {
                    jwtVerifier.verify(token);
                } catch (Exception j) {
                    throw new RuntimeException("401");
                }
                return true;
            }
        }
        return true;
    }

    @Override
        public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
    }
}

最后需要把我们刚才创建的拦截器进行注册。
InterceptorConfig.java

@Configuration
public class InterceptorConfig  implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**");    // 拦截所有请求,通过判断是否有 @UserLoginToken注解 决定是否需要登录
    }
    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();// 自己写的拦截器
    }
}

至此,Springboot整合jwt实现token的过程完成。
接下来要进行测试,创建一个测试用的User Bean
User.java

public class User {

    private String userid;


    private String account;


    private String password;
	//省略get和set
}

controller层创建测试api
TestController.java

@Controller
public class TestController {
    @Autowired
    TokenService tokenService;

    @RequestMapping(value = "/login/{account}/{password}" ,method = RequestMethod.GET)
    @ResponseBody
    public String login(HttpServletResponse response, @PathVariable String account, @PathVariable String password){
        User userForBase = new User();
        userForBase.setUserid("1");
        userForBase.setPassword("123");
        userForBase.setAccount("qwe");

        if (!userForBase.getPassword().equals(password)) {
            return "登录失败,密码错误";
        } else {
            String token = tokenService.getToken(userForBase);
            //创建一个名为token的cookie,供前端调用
            Cookie cookie = new Cookie("token", token);
            cookie.setPath("/");
            response.addCookie(cookie);
            return token;
        }
    }

    @UserLoginToken
    @RequestMapping("/verify")
    @ResponseBody
    public String verify() {
        // 取出token中带的用户id 进行操作
        System.out.println(TokenUtil.getTokenUserId());
        return "你已通过验证";
    }
}

使用postmen来测试
在这里插入图片描述
下面返回的内容就是Token
这是返回的cookie
在这里插入图片描述
然后请求 localhost:8080/verify 接口 带上前面返回的token参数
在这里插入图片描述
在这里插入图片描述
如上图 表示带上的token验证通过,且在控制台输出了用户的ID

any3321
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot-JWT-Token:JWT令牌Spring-Security
03-22
SpringBoot-JWT-Token:JWT令牌Spring-Security
SpringBoot 整合 JWT 实现 Token 验证
qq_37634156的博客
06-20 2746
业务实现 1、创建Jwt生成验证token工具类 2、创建/oauth/token接口获取token 这里是我的生产环境上的获取token接口,主要功能就是根据传递过来的参数使用Jwt工具类创建token,再组合成规定的返回格式返回给对方。 基于HandlerInterceptor的实现类,对接口进行拦截,然后获取接口传递过来的token,用Jwt工具类进行解密,如果token验证通过则返回true并放行接口,验证不通过则返回错误信息。 5、测试获取token接口 至此功能实现
SpringBoot深入浅出系列】SpringBoot之集成JWT实现token验证
邓邓子的博客
02-23 1838
文章目录一、JWT 是什么?二、为什么使用 JWT?1.支持跨域访问2.无状态3.更适用CDN4.更适用于移动端5.无需考虑CSRF三、何时使用 JWT?1.授权2.信息交换四、JWT 结构1.标头(header)2.有效载荷(payload)3.签名(Signature)五、创建项目集成 JWT 实现 token 验证1.项目说明2.创建 Spring Initializr 项目 jwt(1).添加依赖(2).添加配置(3).新建实体类 User(4).新建 JWT 工具类 JwtUtils(5).新建控
JWT组成的部分
qq_44194174的博客
11-25 1万+
JWT jwt底层组成部分 头部: Payload 装载的数据; 验证签名; jwttoken最大的区别: token(在用户登录后会返回一个tokenid,key:tokenid,value:username)依赖于redis查询数据信息,token存放value数据比较安全,jwt不需要依赖于服务器端,将数据信息内容直接存放在客户端(浏览器) JWT组成的部分 1.Header(头) 作用:记录令牌类型、签名算法等 例如:{“alg":"HS256","type","JWT} 2.Paylo
userToken
Richard_666的博客
12-17 7281
它的职责是保护用户的用户名及密码多次提交,以防密码泄露。 如果接口需要用户登录,其访问流程如下: 1、用户提交“用户名”和“密码”,实现登录(条件允许,这一步最好走https); 2、登录成功后,服务端返回一个 user_token,生成规则参考如下: 服务端用数据表维护user_token的状态,表设计如下: 字段名 字段类型 注释 user_id int ...
JWT详解
qq_52030824的博客
03-17 3304
JWT是一种基于数字签名的方式,以JSON格式为数据载体的开发标准。可以在不同的服务终端之安全的传输信息
JWT 实战教程
weixin_43145539的博客
03-30 346
JWT 实战教程 注:资料整理自b站up主,编程不良人 1.什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted bec
jwt的构成部分
jiang2360的博客
08-05 637
一、 JWT 组成结构JSON Web Tokenv由三部分组成,它们之间用点连接。完整 JWT 结构如下:1. Header"JWT""HS256"最后,用 Base64URL 对这个 JSON 对象编码就得到 JWT 的第一部分。2. PayloadPayload 部分用来存放。JWT 规定了7个官方字段,供选用。除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。注意,JWT 默认是不加密的,任何人都可以读到,所以不要把敏感信息(密码,手机号等)放在这个部分。
springboot-oauth2-jwt-example:通过JWT令牌学习Oauth2
05-03
springboot-oauth2-jwt-example 通过JWT令牌学习Oauth2
springboot-react-jwt:JSON Web令牌React Spring Boot示例
02-05
JSON Web令牌JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。 可以使用秘密(使用HMAC...
springboot-jwt-demo:这是一个使用了springboot+springSecurity+jwt实现的基于token的权限管理的一个demo
05-07
springboot-jwt-demo 简介 这是一个使用了springboot+springSecurity+jwt实现的基于token的权限管理的一个demo 具体说明可以看 使用 更改一下application.properites的数据库的一些配置信息,然后就可以运行了 首先...
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
jwt的组成部分
JavaBoy的博客
01-04 1万+
什么是JWT jwt是信息加密的一种方式,一个JWT由三个部分组成:header,payload,signature。分别保存了不同的信息。三个部分在JWT中分别对应英文句号分割出来的三个串: header header部分由以下的json结构生成: typ用来标识整个token是一个jwt字符串,alg代表签名和摘要算法,一般签发JWT的时候,只要typ和alg就够了,生成方式是将heade...
什么是JWT
youbo_sun的专栏
03-27 1533
JWT 是什么? JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方法,用于在各方之间安全地将信息作为JSON对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公用/专用密钥对对JWT进行签名。 尽管可以对JWT进行加密以在各方之间提供保密性,但我们将重点关注已签名的令牌。...
JWT由三部分组成:头部,载荷和签名
最新发布
alan_den的博客
09-02 1271
头部(Header)部分指定了JWT的类型(typ)以及所使用的签名算法(alg)。// 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的。在这个例子中,载荷包含三个声明:sub(主题,通常表示用户唯一的标识符),name(用户名),和 admin(表示用户是否具有管理员权限)。头部(Header): 头部包含两部分信息,描述令牌的类型(在 JWT 中,类型是 "JWT")和所使用的签名算法。
user token的设计
buyue
03-11 734
方案一: 双token: access_token 和 refresh_token CREATE TABLE `user_token` ( `id` bigint(20) UNSIGNED NOT NULL AUTO_INCREMENT, `user_id` bigint(20) NOT NULL, `access_token` bigint(20) UNSIGNED NOT NULL, `access_token_expired` datetime NOT NULL, `refre
SpringBoot+过滤器filter+Redis实现最简单的token登录令牌
qq_46628483的博客
11-11 1783
SpringBoot+过滤器filter+Redis实现最简单的token登录令牌
SpringBoot项目整合token令牌代码,生成令牌及解析令牌
yufei1094819765的博客
03-17 531
springboot项目整合token令牌全代码
Springboot+RabbitMq整合使用(含配置详解等)
热门推荐
weixin_43606226的博客
03-04 1万+
1、引入springboot整合amqp的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-amqp</artifactId> </dependency> 2、application.yml 配置 server: port: 8111 spring: rabbitmq:
SpringBoot集成jwt实现token认证
05-28
Spring Boot中,可以使用以下步骤将JWT集成到应用程序中以实现token认证: 1. 添加依赖项 在pom.xml文件中添加以下依赖项: ``` <groupId>io.jsonwebtoken <artifactId>jjwt <version>0.9.1 ``` 2. 创建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值