JWT的介绍与Spring拦截器的配合使用

已于 2024-07-28 16:13:45 修改
阅读量259 收藏
点赞数
分类专栏: SpringBoot 文章标签: 服务器 java 运维
于 2022-10-10 20:50:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44147535/article/details/127252105
版权

引入

传统方式下,我们登录成功后可以将登录信息存储在session中,然后服务器会将sessionId表示返回给浏览器存储在cookie里然后,浏览器每次访问服务器的时候,都会通过cookie携带sessionId,后端通过sessionId就能取到session中的用户信息了

在这里插入图片描述

这种模型下有个很重要的中间存储就是cookie,但是现在我们的客户端有可能不再是浏览器,而是一个app,它是不支持cookie的,那么这种情况下,服务器如何来完成客户端的身份认定呢?这就需要JWT技术的支持了,下面是它的基本原理图

在这里插入图片描述
JWT简介

  • JWT,全称为JSON Web token,是用于对应用程序上的用户进行身份验证的标记。也就是说,使用JWT的应用程序不再需要保存有关其用户的cookie或session数据

  • 在身份验证过程中, 当用户使用其凭据成功登录时,将返回JWT,客户端会将其保存到本地存储中,而后每次请求都会携带

  • JWT本质上就是一个经过加密处理与校验处理的字符串,它由三部分组成:头信息.有效载荷.签名
    头信息: 一般由两部分组成,令牌类型(即:JWT)和散列算法(HMAC、RSASSA、RSASSA-PSS等)
    有效载荷: 一般里面可以存储自定义的实体的信息
    签名: 用于保证消息在传输过程中不会被篡改
    在这里插入图片描述
    执行流程
    在这里插入图片描述

代码实现

reggie-parent的pom.xml中添加jwt的坐标

<!--Token生成与解析-->
<dependency>
   <groupId>io.jsonwebtoken</groupId>
   <artifactId>jjwt</artifactId>
   <version>0.9.1</version>
</dependency>

reggie-common模块中添加下面类com.itheima.reggie.common.JwtUtil

package com.itheima.reggie.common;

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Map;

//JWT的生成和解析
public class JwtUtil {
    // 创建token
    public static String createToken(Map claims) {
        return Jwts.builder()
                .setClaims(claims) //设置响应数据体
                .signWith(SignatureAlgorithm.HS256, "reggie") //设置加密方法和加密盐
                .compact();
    }

    // 解析token
    public static Map parseToken(String token) {
        try {
            return Jwts.parser().setSigningKey("reggie")
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception ex) {
            ex.printStackTrace();
        }
        return null;
    }
}

reggie-web-app模块中添加下面类com.itheima.reggie.interceptor.LoginCheckInterceptor

import com.alibaba.fastjson.JSON;
import com.itheima.reggie.common.JwtUtil;
import com.itheima.reggie.common.ResultInfo;
import com.itheima.reggie.common.UserHolder;
import com.itheima.reggie.domain.User;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.concurrent.TimeUnit;

@Component
@Slf4j
public class LoginCheckInterceptor implements HandlerInterceptor {
    @Autowired
    private RedisTemplate redisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //1. 从请求头中获取token
        String token = request.getHeader("Authorization");
        token = token.replace("Bearer", "").trim();
        if (StringUtils.isEmpty(token)){
            String json = JSON.toJSONString(ResultInfo.error("NOTLOGIN")); // 前端拦截器收到"NOTLOGIN"进行判断
            response.getWriter().write(json); // 发给浏览器
            return false;//禁止通行
        }

        //2. 解析token
        try {
            JwtUtil.parseToken(token);
        }catch (Exception e){
            String json = JSON.toJSONString(ResultInfo.error("NOTLOGIN")); // 前端拦截器收到"NOTLOGIN"进行判断
            response.getWriter().write(json); // 发给浏览器
            return false;//禁止通行
        }

        //3. 从redis中根据token查询用户信息
        User user = (User) redisTemplate.opsForValue().get("TOKEN_" + token);
        if (user == null){
            String json = JSON.toJSONString(ResultInfo.error("NOTLOGIN")); // 前端拦截器收到"NOTLOGIN"进行判断
            response.getWriter().write(json); // 发给浏览器
            return false;//禁止通行
        }

        //4. 代码能运行到这里,代表token没有任何问题
        //4-1 续期
        redisTemplate.opsForValue().set("TOKEN_" + token, user, 1, TimeUnit.DAYS);
        //4-2 将用户信息保存到ThreadLocal中
        UserHolder.set(user);
        //4-3 放行
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 将用户信息从ThreadLocal中移除
        UserHolder.remove();
    }
}
程序员iteng
关注
专栏目录
SpringBoot】46、SpringBoot中整合JWT实现Token验证(拦截器篇)
Asurplus
02-28 21万+
前言 上篇文章我们已经实现了使用自定义注解验证 token 信息,这样我们就会发现,当我们需要验证的接口较多时,我们需要每个方法上面都加上 @JwtToken 这个注解,也是非常麻烦, 本片文章,我们继续使用拦截器来实现 token 信息的验证 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证(整合篇) 如果对自定义注解验证 token 信息感兴趣的朋友,可以看看我的这篇博客:【SpringBoot】四十五、Spr
拦截器+JWT使用
m0_73777375的博客
07-19 167
第三步:创建一个拦截器类并且继承HandlerInterceptor接口且重写里面的preHandle放大(快捷键ctrl + O)。第四步:创建一个配置类继承WebMvcConfigurer接口并重写里面的addInterceptors方法。第二步:创建一个JWT令牌的工具类。完结:有用请给个赞吧!第一步:导入JWT令牌的坐标
Spring Security(7) jwt整合
愤怒的菜鸟博客
03-28 2133
jwt 基本介绍 jwt 全称是jsonWebToken, 简单的说就是一种能够携带信息的token。 在传统的web环境中,浏览器和后端通过记录在浏览器的cookie 和存储在服务端的session 来实现登录状态,而cookie session的方式在多分布式环境下可能带来session复制,跨域访问,单点登录等问题; 直接使用后端生成token的方式,服务端也需要存储生成的token信息,因为token是无意义的。而使用jwt ,能够携带一些必要得信息比如用户id 和用户名称等; 后端就不需要对生成的
JWTSpring 上的实践
weixin_34297704的博客
10-26 97
为什么80%的码农都做不了架构师?>>> ...
SpringJWT
最新发布
玉汝于成
05-22 334
JWT(JSON Web Token)是一种开放标准(RFC 7519)的方法,用于在双方之间安全地传输信息。这些信息可以是验证、授权、信息交换等。JWT 通常被用于在客户端和服务器之间传递用户信息,特别是在无状态的 RESTful API 架构中。Header(头部):描述了 JWT 的元数据,比如其类型(通常是 JWT)以及签名所用的算法(如 HMAC SHA256、RSA 等)。这个 JSON 对象会被 Base64Url 编码,形成 JWT 的第一部分。Payload(负载。
使用JWT保护你的Spring Boot应用 - Spring Security实战
weixin_34099526的博客
06-07 146
作者 freewolf 原创文章转载请标明出处 关键词 Spring Boot、OAuth 2.0、JWTSpring Security、SSO、UAA 写在前面 最近安静下来,重新学习一些东西,最近一年几乎没写过代码。整天疲于奔命的日子终于结束了。坐下来,弄杯咖啡,思考一些问题,挺好。这几天有人问我Spring Boot结...
浅谈springJWT鉴权
qq_42480555的博客
07-07 186
1.JWT鉴权是什么? ①针对于浏览器而言 传统方式下,我们登录成功后可以将登录信息存储在session中,然后服务器会将sessionId标识返回给浏览器存储在cookie里,然后浏览器每次访问服务器的时候,都会通过cookie携带sessionId,后端通过sessionId就能取到session中的用户信息了 ②针对于app/小程序而言 一个App,它是不支持cookie的;那么这种情况下,服务器如何来完成客户端的身份认定呢?这就需要JWT技术的支持了 JWT(令牌),全称为JSON Web
jwt如何与springboot拦截器配合使用
06-08
Spring Boot 提供了一种简单的方式来实现 JWT 的认证和授权,可以与 Spring Boot 的拦截器配合使用。 以下是使用 JWTSpring Boot 拦截器实现认证和授权的基本步骤: 1. 添加依赖 在 pom.xml 文件中添加以下...
springboot + jwt + websocket + 拦截
09-02
3. **拦截WebSocket连接**:为了增强安全性,可以使用Spring的WebSocket消息拦截器(WebSocketMessageBrokerConfigurer)来拦截WebSocket连接请求,对JWT进行验证,只有当JWT有效时才允许建立WebSocket连接。...
基于jwt的权限控制框架,支持与Spring Boot配合使用,支持Spring MVC与WebFlux
05-23
Light Security是一个基于jwt的权限控制框架,支持与Spring Boot配合使用,支持Spring MVC与WebFlux;开箱即用,轻量级,代码精简,不到500行代码;功能实用,市面上安全框架常见能力与套路均已具备:支持 RESTful ...
JWT(JsonWebToken)+SpringMVC项目demo
09-21
JSON Web Token(JWT)是一个非常轻巧的规范。现在免费给大家分享一个JWT(JsonWebToken)+SpringMVC项目的demo!
SpringBoot整合JWT
Tang_IT的博客
11-07 1800
JWT简介 JWT是用于微服务之间传递用户信息的一段加密字符串,该字符串是一个JSON格式,各个微服务可以根据该JSON字符串识别用户的身份信息,这个JSON字符串可以封装用户的身份信息 JWT的构成 头部(Header) 头部用于描述JWT的基本信息,指定了令牌类型和加密算法 载荷(Payload) 载荷是存放有效信息的地方 标准注册中的声明 iss: jwt签发者 sub: 当前令牌的描述说明 aud: 接收jwt的一方 exp: jw
Spring Boot整合JWT实现用户认证
05-03 1852
Spring Boot整合JWT实现用户认证[toc] 初探JWT 什么是JWT JWT(Json Web Token),是一种工具,格式为XXXX.XXXX.XXXX的字符串,JWT以一种安全的方式在用户和服务器之间传递存放在JWT中的不敏感信息。 为什么要用JWT 设想这样一个场景,在我们登录一个网站之后,再把网页或者浏览器关闭,下一次打开网页的时候可能显示的还是登录的状态,不需要再次进行登录...
JWT介绍以及在spring boot中使用总结
kunlyy的专栏
05-14 845
1 JWT 介绍 1.1 JWT组成 JWT 是JSON Web Token的缩写。是由3部分组成的,他们之间使用英文句号.分割。 大概长得下面这样子: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1ODkzODE5Mzg4MTAsInBheWxvYWQiOiJcImFiY1wiIn0.EZNHd_YcnXqhEd0Ol-ilPaY_c2c8115DRGJJIUCDrAA 3部分分别是: header(头部) payload(负载...
JWT spring boot JAVA 使用步骤 spring boot2.0
cuandeqin2083的博客
03-25 248
前言 JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 (1)JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。 (2)JWT 不加密的情况下,不能将秘密数据写入 JWT。 (3)JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JW...
Jwt整合springboot
L1ak的博客
02-02 214
JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案! https://www.bilibili.com/video/BV1i54y1m7cP?p=1
第5.1.4 SpringCloud JWT
warrah 南极狼
09-18 1061
JWT遵循RFC 7519,详细协议描述参见rfc7519.txt.pdf,当然有人并不看好它,比如讲真,别再使用JWT了! 先暂且搁置这个问题,毕竟我不是黑客专家,不知道安全这道门到底有多深。先看看如何利用JWT来实现单点登录。我在第4.1.2章 WEB系统最佳实践 单点登录介绍过cas的原理。简单来说有两方面:1、token认证,token的生命周期(生产、流转、销毁等环节)2、重定向,如果t...
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
热门推荐
小威的博客
04-22 2万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
JWT最详细教程以及整合SpringBoot的使用(简洁易上手)
weixin_45131680的博客
10-07 1731
RFC 7519HMACRSAorECDSAJSON Web Token (JWT)是一种开放标准(RFC 7519),它定义了一种紧凑和自包含的方式,用于作为JSON对象在各方之间安全地传输信息。这个信息可以被验证和信任,因为它是数字签名的。JWTs可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。通俗的解释JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值