【实现方案】Springboot整合token的权限管理实现(一)—— 生成并发送 token

最新推荐文章于 2023-10-06 18:29:55 发布
最新推荐文章于 2023-10-06 18:29:55 发布
阅读量2.5k 收藏 18
点赞数 1
分类专栏: Web2 things 文章标签: token cookie springboot 后端 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742184/article/details/103028547
版权

前置说明

最近在写一个 Springboot + vue 的后台管理版面,对相关知识点与实现进行记录。
本文记录前端向后端发送登录请求后,后端生成token,并存放在cookie中,返回到前端的过程。

代码示例

一、Maven依赖
	<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.1.RELEASE</version>
        <relativePath/>
    </parent>
    <modelVersion>4.0.0</modelVersion>
    
    <dependencies>
        <dependency>
            <groupId>xxx.productLib</groupId>
            <artifactId>productLib-comm</artifactId>
            <version>0.0.1-SNAPSHOT</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>
        <!--        token依赖-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.58</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

在IDEA maven依赖引入过程中,可能会遇到JWT依赖无法自动引入的问题。可以在其他环境(另一台电脑)下下载依赖,将其直接放到开发环境的仓库里即可。


二、具体实现
1、TokenUtil

TokenUtil 对生成一个 token 的过程,进行了粗浅的拆分。
在这里我们只需要知道,token = header + payload + signature。其中
header 记录了 token 使用的算法,以及制作 token 的依赖。
payload 存放了 token 的签发者(iss)、签发时间(iat)、过期时间(exp)等以及一些我们需要写进token中的信息。
signature 将 Header 和 Playload 拼接生成一个字符串 str=“eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyaWQiOjB9” ,使用HS256算法和我们提供的密钥(secret,服务器自己提供的一个字符串)对 str 进行加密生成最终的JWT,即我们需要的令牌(token)。
最后我们会发现,token 就是 xxxxx(header).xxxxx(payload).xxxx(signature) 的形式。

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTCreationException;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;
import java.util.Date;

/**
 * @author amber
 */
public class TokenUtil {

    /**
     * 签名算法使用的密钥,可以随机设置,但每个系统必须相同
     * 因为还需要密钥解码。
     */
    private static final String TOKEN_SECRET = "amberpaiosd@%#yq3e1";
    /**
     * 签发人
     */
    private static final String ISSUER = "test_amber";
    /**
     * 加密算法(需要输入密钥)
     */
    private static Algorithm JWTAlgorithm = null;
    /**
     * 验证器
     */
    private static JWTVerifier verifier = null;


    /**
     * 生成Token
     *
     * @return
     */
    public static String createToken() {
        String token = null;
        try {
            //过期时间10min
            Date expiresAt = new Date(System.currentTimeMillis() + 10L * 60L * 1000L);
            //签发日期
            Date issueAt = new Date(System.currentTimeMillis());
            token = JWT.create()
                    .withIssuer(ISSUER)
                    .withExpiresAt(expiresAt)
                    .withNotBefore(issueAt)
                    .withIssuedAt(issueAt)
                    .sign(getJWTAlgorithm());
        } catch (JWTCreationException | IllegalArgumentException e) {
            e.printStackTrace();
        }
        return token;
    }

    /**
     * 解码Token
     *
     * @param token
     * @return
     */
    public static DecodedJWT deToken(String token) {
        return getVerifier().verify(token);
    }

    /**
     * 每次前端请求后,刷新token
     *
     * @param oldToken 请求时携带的token
     * @return new token
     */
    public static String refreshToken(String oldToken) {
        DecodedJWT decodedJWT = deToken(oldToken);
        if (decodedJWT == null) {
            return null;
        }
        //如果还有2min过期
        if (decodedJWT.getExpiresAt().getTime() - System.currentTimeMillis() < 2L * 60L * 1000L) {
            return createToken();
        }
        return oldToken;
    }

    /**
     * 根据密钥生成签名算法
     *
     * @return
     */
    public static Algorithm getJWTAlgorithm() {
        if (JWTAlgorithm == null) {
            JWTAlgorithm = Algorithm.HMAC256(TOKEN_SECRET);
        }
        return JWTAlgorithm;
    }

    /**
     * 根据签名算法与签发人,生成验证器
     *
     * @return
     */
    public static JWTVerifier getVerifier() {
        if (verifier == null) {
            verifier = JWT.require(getJWTAlgorithm())
                    .withIssuer(ISSUER)
                    .build();
        }
        return verifier;
    }
2、TokenController

将工具类中的 create 暴露在 controller 上,以便测试。
其实非常简单,将 cookie 放到 response 里返回就好了。可以理解为,cookie里面就是放了一个键值对。

@RequestMapping(value = "/getToken", method = RequestMethod.POST)
    @ResponseBody
    public Object getTokenTest(@Valid User user, HttpServletRequest request, HttpServletResponse response) {
    
        String token = TokenUtil.createToken();
        Cookie cookie = new Cookie("token", token);
        //设置cookie失效时间
        cookie.setMaxAge(10 * 60);
        /**
          * 正常来说,cookie只能被创建它的应用调用,
  		  * 但setpath(根目录)后,可以在根目录以下的目录共享。
  		  * 此处设置就是在本次开发的系统内可以共享。
          */
        cookie.setPath("/");
        response.addCookie(cookie);
       
       return MyResponse.success("get Token!");
    }

amber_0515
关注
  • 1
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springBoot集成token认证
zhendeC1的博客
04-04 579
面试题文档来啦,内容很多,485页!由于笔记的内容太多,没办法全部展示出来,下面只截取部分内容展示。面试题文档来啦,内容很多,485页!由于笔记的内容太多,没办法全部展示出来,下面只截取部分内容展示。
springboot整合token实现代码
08-25
在本文中,我们将详细介绍Spring Boot整合Token实现代码,包括 TokenUtil.java 的实现token 生成和解析、Redis 的使用等。下面是相关知识点的总结: 1. Token 的概念: Token 是一种用于身份验证的机制,在 ...
SpringBoot项目Token生成与解析
a12hhhe的博客
08-21 7340
有的时候我们需要传给后端一个值,只能通过前端的 token获取这个值,然后传给后端 后端生成Token 的方法 private String jwtToken(String userId, String username, String role) { return JWT.create() .withClaim("userId", userId) .withClaim("username", usernam.
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 6962
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证。
springboot整合jwt实现token,简明笔记
学习,是熵减的最有效途径。
06-21 2507
一篇搞定springboot整合jwt实现token
【JWT】SpringBoot+微信小程序根据指定参数生成Token、更新Token、判断Token是否已经过期、封装wx.request请求更新Token并判断Token是否过期
番茄Salad
10-05 2264
封装了wx的request请求,每次发起请求的时候都走一遍更新Token的接口/user/updateTokenTime,如果接口返回offline则代表已经过期,则跳转到登录页面,否则就是没有过期,则更新缓存userInfo中的token。如果你想有一些接口不要经过这个request封装,就比如用户没有登录是可以进入到首页等页面的,开放一些允许用户没有登录状态可以访问的接口。我们可以再封装一个request,专门开放接口不经过Token验证。微信小程序点击登录按钮调用该方法。
Spring Boot项目之用户登陆-利用用户令牌Token的方式实现
pikcacho_pkq的博客
10-18 2549
用户登陆最主要的目的就是为了完成两件事情:身份验证和登陆状态的保持。一种比较常见的方案时利用Cookie和Session,将用户的信息存放其中,这样就可以通过读取Cookie或者Session中的数据获取用户的登录信息,从而达到验证用户,记录状态的目的。这里就不具体介绍这两种方案。另一种就是通过生成用户令牌Token的形式进行用户验证和状态保持,Token是通过一些无状态的数据生成的字符串并不包含用户信息,所以相对来说更加安全。这里就主要介绍一下该方式实现用户登陆。登陆流程大致如下图所示: 由于是一个登陆d
SpringBoot框架集成token实现登录校验功能
08-25
5. 实现token生成和验证:使用jjwt生成token,并将其存储在数据库中,用户每次访问接口时,检查token的合法性,如果token正确,则让其访问接口,如果token错误,则让其登录。 使用token实现登录校验功能可以提高...
SpringBoot(51) 整合Sa-Token实现权限认证
08-17
SpringBoot(51) 整合Sa-Token实现权限认证
SpringBoot使用token简单鉴权的具体实现方法
08-25
SpringBoot 使用 Token 简单鉴权的具体实现方法 本文主要介绍了使用 SpringBoot 实现 token 简单鉴权的具体实现方法,通过示例代码详细介绍了相关内容,对大家的学习或者工作具有一定的参考学习价值。 一、简介 ...
基于springboot+jwt实现刷新token过程解析
08-19
基于SpringBoot+JWT实现刷新Token过程解析 标题解析 本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于...
kubernetes API 访问控制之:认证
看,未来的博客
06-02 2036
可以使用kubectl、客户端库方式对REST API的访问,Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理,其中包含认证、授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiserver,是不会进行认证授权的。所以说,可以这么设置,在集群内部组件间通信使用HTTP,集群外部就使用HTTPS,这样既增加
【保姆级教程】Spring Boot单元测试(Controller层的Header处有Token验证的详细示例代码),文末介绍Postman 的基本使用
热门推荐
小名同学
01-10 5万+
文章目录一、 单元测试的概念二、单元测试的作用三、Spring Boot引入的MockMvc的概念四、Service层的单元测试五、Controller层的单元测试六、断言的概念七、新断言assertThat使用八、Postman与Spring Boot 单元测试的区别九、Postman基本用法 一、 单元测试的概念 概念: 单元测试(unit testing),是指对软件中的最小可测试单元进行检查和验证。在Java中单元测试的最小单元是类。 单元测试是开发者编写的一小段代码,用于检验被测代码的一个很小的
Springboot实现登录功能(token、redis、登录拦截器、全局异常处理)
最新发布
qq_64680177的博客
10-06 3400
1、前端调用登录接口,往接口里传入账号,密码2、根据账号判断是否有这个用户,如果有则继续判断密码是否正确3、验证成功后,则是根据账号,登录时间生成token(用JWT)4、将token存入Redis当中,用于token过期策略5、将token和用户信息返回给前端6、此后调用后端任何接口都会先判断发来请求里token是否存在、有效(拦截器实现)7、然后继续接下来的正常调用。
SpringBoot 整合 JWT 实现 Token 验证
zhang33565417的博客
05-16 2144
一. JWT简介 1. 什么是JWT? JWT(JSONWeb Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 2. 为什么使用JWT? 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此.
「解决方案SpringBoot项目中如何解决并发导致的重复提交问题
程序员闪充宝
01-18 3210
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达作者:软件编程指南来源:http://suo.im/66liCE本文前篇是对场景的分析,后篇会有解决方案,读完本篇你将可以仅仅...
java不同项目加token访问_干掉服务状态!从 Session 到 Token
weixin_39898854的博客
11-19 386
来自公众号:会点代码的大叔在讲Token之前,先简单说说什么是 Session 和 Cookie。首先要知道 HTTP 请求是无状态的;无状态的意思就是:每一次请求都是独立的;每一次请求不会受到前面请求的影响,也不会影响后面的请求;比如我们登录一个系统的时候,验证用户名密码之后,打开系统各个页面的时候就不需要再进行登录操作了,直到我们主动退出登录或超时退出登录;为了让服务器有“记忆功能”...
项目实战四:用户登录及token访问验证(reids+jwt)
qq_28326501的博客
07-03 599
1、使用nacos
uniapp 简单封装请求带上 token 请求头
半亩方糖
01-20 1万+
uniapp 简单封装请求带上 token 请求头
SpringBoot整合token实现登录认证完整代码
06-13
// 生成token并返回 String token = TokenUtil.generateToken(user.getUsername()); return Result.success(token); } else { return Result.failure("用户名或密码错误"); } } } ``` BookController.java:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值