SpringBoot+SpringSecurity+SpringCloudOauth2密码模式使用(三)整合JWT格式的Token

最新推荐文章于 2024-05-17 15:07:28 发布
最新推荐文章于 2024-05-17 15:07:28 发布
阅读量725 收藏 1
点赞数 2
分类专栏: springboot springcloud 文章标签: java spring spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43947145/article/details/117752523
版权

Jwt介绍

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT的构成

  • 第一部分我们称它为头部(header),通过base64加密
  • 第二部分我们称其为载荷(payload,类似于飞机上承载的物品),通过base64加密
  • 第三部分是签证(signature)

header

token的类型(“JWT”)和算法名称(比如:HMAC SHA256或者RSA等等)。例如:

{
  'typ': 'JWT',
  'alg': 'HS256'
}

payload

  • Payload JWT的第二部分是payload,它包含声明(要求)。
  • 声明是关于实体(通常是用户)和其他数据的声明。声明有三种类型: registered, public 和 private。
  • Registered claims :这里有一组预定义的声明,它们不是强制的,但是推荐。比如:iss (issuer), exp (expiration time), sub (subject), aud (audience)等。
  • Public claims : 可以随意定义。 Private claims :用于在同意使用它们的各方之间共享信息,并且不是注册的或公开的声明。 下面是一个例子
{
    "sub": '1234567890',
    "name": 'john',
    "admin":true
}

注意,不要在JWT的payload或header中放置敏感信息,除非它们是加密的。

signature

Header 和 Payload 编码后的字符串拼接后再用HS256签名算法(Header中alg指明的算法)加密,在加密的过程中还需加上secret(密钥),最后得到签名

如何生成JWT密钥

jwt官网上有相关的依赖,也可以通过在官网上验证密钥的信息,相关依赖如下

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

/**
 * 生成Jwt
 */
@Test
public void testJwt() {
    long date = System.currentTimeMillis() + 60 * 1000;// 当前时间(毫秒)增加60秒
    Date date1=new Date(date); // 获得时间
    String rose = Jwts.builder()
            .setId("888") // 设置JWTId
            .setSubject("Rose") // 设置标题
            .setExpiration(date1)// 设置当前token过期时间
            .setIssuedAt(new Date())// 设置当前token创建时间
            .claim("name","jack") // 自定义参数设置
            .claim("logo","img.jpg")// 自定义参数设置
            .signWith(SignatureAlgorithm.HS256, "112233").compact();// 设置密钥和密钥的加密方式
    System.out.println("rose = " + rose);
}

/**
* 解析token,解析token时需要之前设置的singKey密钥才能进行解析
*/
@Test
public  void ParseToken(){
        String token="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiJSb3NlIiwiZXhwIjoxNjIyNTM4MDY5LCJpYXQiOjE2MjI1MzgwMDksIm5hbWUiOiJqYWNrIiwibG9nbyI6ImltZy5qcGcifQ.VAzLBSShT1kxET67QCrxdrwqQ5Eyz42mBsY4Vb1HuCY";
        Claims claims = (Claims) Jwts.parser().setSigningKey("112233").parse(token).getBody();
        String id = claims.getId();
        System.out.println("id = " + id);
        String subject = claims.getSubject();
        System.out.println("subject = " + subject);
        Date issuedAt = claims.getIssuedAt();
        System.out.println("issuedAt = " + issuedAt);
    }

相关的JWT工具类可以查看JAVA——JWT帮助类

在密码模式中整合JWT使用

本篇文章使用到了上一章的代码SpringBoot+SpringSecurity+SpringCloudOauth2密码模式使用(二),可以参考上一章是如何实现密码模式的,创建一个MyJwtTokenStore配置类

@Configuration
public class MyJwtTokenStore {
    /**
     * 储存token的Store
     * @return
     */
    @Bean
    public TokenStore jwtTokenStore(){
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    /**
     * 这个bean将自动生成的token字符转为jwt格式的token
     * @return
     */
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        JwtAccessTokenConverter jwtAccessTokenConverter=new JwtAccessTokenConverter();
        // 设置当前Jwt的密钥
        jwtAccessTokenConverter.setSigningKey("test_key");
        return jwtAccessTokenConverter;
    }
}

在授权服务器里加入之前注入好前Bean

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Lazy
    @Autowired
    private PasswordEncoder passwordEncoder;

    @Autowired
    private AuthenticationManager authenticationManager;
    @Lazy
    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;

    @Lazy
    @Autowired
    private UserService userService;

    @Lazy
    @Autowired
    private TokenStore jwtTokenStore;


    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        // 设置相关
        endpoints.authenticationManager(authenticationManager)
                .userDetailsService(userService)
                .tokenStore(jwtTokenStore)// 储存Token的Store
                .accessTokenConverter(jwtAccessTokenConverter)// 将token转为Jwt格式
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                // 授权服务的名字
                .withClient("clients")
                // 授权码
                .secret(passwordEncoder.encode("112233"))
                // 重定向位置
                .redirectUris("http://www.baidu.com")
                // 授权范围
                .scopes("all")
                /**
                 * authorization_code 授权码模式
                 * password 密码模式
                 *
                 */
                .authorizedGrantTypes("authorization_code","password");
    }
}

启动项目

这里也是使用postMan进行测试,观察以下获取到的·access_token字符串,将他拿到jwt官网上进行测试观察

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE2MjMyMjc0ODQsInN5cyI6InpwaiIsImF1dGhvcml0aWVzIjpbImFkbWluIl0sImp0aSI6IjFmOWRmYzkxLWExZmUtNGRmZi05Zjk2LTY5Y2QwODFlOGQ2YiIsImNsaWVudF9pZCI6ImNsaWVudHMifQ.ZMfbt3kvn1A2wdHIbRyGlnE_f9I_cDh1RytxY9Ce_sA

在这里插入图片描述

从官网的对比来看是没有问题的,接下来就可以通过对比当前token是否有效来判断有没有访问当前资源的权利了

在这里插入图片描述

通过判断请求头上是否带有token并且token正确

@RestController
@RequestMapping("/user")
public class UserController {

    @GetMapping("/getCurrentUser")
    public Object getCurrentUser(Authentication authentication, HttpServletRequest request){
        String header = request.getHeader("Authorization");
        String token = header.substring(header.lastIndexOf("bearer") + 7);
        return Jwts.parser().setSigningKey("test_key".getBytes(StandardCharsets.UTF_8))
                .parse(token).getBody();

    }
}

bearer后面必须要有空格,博主使用的是正规一点的token设置方式,可以不用和我一样,如果一样就打一个空格,这样就可以获取到相关的资源了

在这里插入图片描述

麦片王子
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring cloud Oauth2的密码模式使用JWT方式实现登录验证授权
12-10
Spring cloud Oauth2的密码模式使用JWT方式实现登录验证授权
Spring Security OAuth2整合JWT
qq_1149513559的博客
05-28 2577
文章目录         
SpringCloud整合GateWay+Sa-Token做登录验证(干货)
最新发布
m0_73625251的博客
05-17 1715
等一系列权限相关问题,在这里我就不详细介绍了,想要了解的同学可以去查看官方文档 https://sa-token.cc/doc.html。
SpringBoot教程()——集成Spring Security OAuth2 JWT
zlx
03-18 3881
前言 关于Oauth2的名词概念说明和可以移步理解OAuth 2.0 - 阮一峰,这是一篇对于oauth2很好的科普文章。本文主要实现SpeingBoot2.x+Outh2+JWT对微服务进行认证授权、权限校验。本文仅涉及password模式,因为公司项目不涉及第方登录,其他模式逻辑相似,可自行完善。源码已上传github,可留言获取。 一、核心依赖 <!-- spring security --> <dependency> <groupId>or...
SpringBoot集成SpringSecurity5和OAuth2 — 5、OAuth2集成JWT
Mr_XiMu的博客
06-08 2764
SpringBoot集成SpringSecurity5和OAuth2 — 5、OAuth2集成JWT
jwttoken自动续约_SpringSecurity Jwt Token 自动刷新的实现
weixin_39954569的博客
12-21 1669
功能需求最近项目中有这么一个功能,用户登录系统后,需要给 用户 颁发一个 token ,后续访问系统的请求都需要带上这个 token ,如果请求没有带上这个 token 或者 token 过期了,那么禁止访问系统。如果用户一直访问系统,那么还需要自动延长 token 的过期时间。功能分析1、token 的生成使用现在比较流行的 jwt 来生成。2、token 的自动延长要实现 token 的自动延...
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
SpringBoot+SpringSecurity+jwt整合详解 SpringBoot是当前最流行的Java框架之一,它提供了便捷的方式来构建基于Web的应用程序。然而,在构建Web应用程序时,安全性是不可忽视的重要方面。因此,本文将详细介绍如何...
基于springboot+springSecurity+jwt实现的基于token的权限管理
02-24
这个基于"springboot+springSecurity+jwt实现的基于token的权限管理"的示例项目,旨在帮助开发者理解和实践这些技术。 首先,Spring BootSpring框架的简化版,它提供了快速构建和部署应用程序的能力。通过自动...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
Spring Boot结合Spring SecurityJWT(JSON Web Token)提供了一种高效且灵活的解决方案。本文将深入探讨如何使用这些技术来构建用户登录和权限认证系统。 首先,让我们了解这个关键组件: 1. **Spring Boot**...
springboot+springSecurity+jwt实现的基于token的权限管理的一个demo
02-16
这个“springboot+springSecurity+jwt实现的基于token的权限管理的一个demo”旨在演示如何在Spring Boot应用中集成这些技术,以创建一个安全的、基于令牌的身份验证系统。 首先,Spring BootJava领域的一个快速...
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
Spring Boot+Spring Security+JWT 刷新Token之实现 RESTful Api 认证(二)
https://gitee.com/micai-code
07-09 771
Spring Boot+Spring Security+JWT 实现 RESTful Api 认证(二) 摘要 上一篇https://zhaoxinguo.blog.csdn.net/article/details/77965226我们已经实现了基本的登录和token认证接口,但是这里有个问题,对于那些活跃用户来说如果token的过期时间设置的太短,那么就会使用户频繁的登录,这样用户体验不好,所以我们需要根据一种机制来判断什么时候应该主动刷新token,并且对于活跃用户来说应该是无感知的才行,那么我这里提供
5分钟springboot极速整合JWT生成Token,一篇文章带你快速了解原理并使用
yw99999的博客
07-08 5114
SpringBoot整合jwt登录功能的实现实现原理Session、Cookie、Token使用状况实践测试生成Token给客户端pojoJwtUtilController解决跨域问题Vue验证客户端存储Tokenrouter.jsError.vueJwtUtil.javaUserController.java运行效果专业解读 登录功能的实现 登陆页面输入用户名和密码进行登录 服务器验证用户生成该用户Token返回客户端 客户端存储该Token 后续客户端的所有请求携带该Token
仅需四步,整合SpringSecurity+JWT实现登录认证 !
macrozheng的专栏
12-11 1921
学习过我的mall项目的应该知道,mall-admin模块是使用SpringSecurity+JWT来实现登录认证的,而mall-portal模块是使用SpringSecurity基于...
SpringBoot - JWT实现登录刷新token
起风
09-27 4884
1. 什么是JWT Json web token (JWT) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。简答理解就是一个身份凭证,用于服务识别。 JWT本身是无状态的,这点有别于传统的session,不在服务端存储凭证。这种特性使其在分布式场景,更便于扩展使用。 2. JWT组成部分 JWT部分组成,头部(header),载荷(payload),是签名(signature)。 头部 头部主要声明了类型(jwt),以及使用的加密算法( HMAC SHA256) 载荷 载荷就是存放
SpringBoot使用OAuth2密码模式+JWT搭建认证服务器
Fisher3652的博客
05-13 598
目录1. 引入依赖2. 配置文件3. 创建配置类4. 启动类5. 启动服务 1. 引入依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/
SpringBoot+SpringSecurity+JWT+Redis实现认证授权 整体思路: 基于汇客CRM项目
isiywang的博客
08-01 1267
前端提交用户名和密码后端接口方法中,被springsecurity拦截,需要进行用户认证,首先将用户名和密码通过AuthenticationManager接口中的authenticate方法封装成一个Authentication对象但是Authentication是一个接口,要用Authentication的实现类UsernamePasswordAuthenticationToken传入用户名和密码参数封装成Authentication对象。............
SpringBoot SpringSecurity JWT+Redis+RSA授权登录登出 验证码 前后端分离 分布式
qq_50909707的博客
10-08 3897
对于微服务来说,私钥放在认证服务上,其他服务只需要存公钥即可。因为其他服务只做校验,不加密JWT。私钥加密,公钥解密。公钥和私钥放到服务器上,私钥用于授权服务器授权token时加密,其他服务器仅需要通过公钥便可对加密内容进行解析了。服务器通过用户输入的验证码结果和redis中的缓存进行比较得出是否验证码正确。只要安装了JDK,就有这个工具。携带错误的token测试:可以看到错误的token会被服务器警告。退出登录后,redis中缓存的用户信息将被删除。这里我们便实现了登录逻辑。复制文本,重命名文件。
Spring Boot+Spring Security + JWT + Redis实现登录验证
qq_41158525的博客
07-15 2339
springboot版本:2.4.3 创建项目啥的我就不说了,大家都看这个了,相信创建项目都轻而易举了,直接进入正题; 1:添加JWTSpring Security依赖,多添加一个validation校验和lombok <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> &
Springboot+SpringSecurity+oauth2+Jwt
05-16
Spring Boot应用程序中,可以使用Spring SecurityOAuth2来实现基于JWT的身份认证和授权。具体步骤如下: 1. 集成Spring SecurityOAuth2依赖。 2. 配置Spring SecurityOAuth2。 3. 实现自定义的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

麦片王子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值