项目实训——jwt实现token认证

最新推荐文章于 2022-06-21 17:55:02 发布
最新推荐文章于 2022-06-21 17:55:02 发布
阅读量181 收藏
点赞数
分类专栏: 项目实训 文章标签: jwt java cookie
原文链接:https://blog.csdn.net/KKKun_Joe/article/details/81878231
版权

       随着互联网的不断发展,技术的迭代也非常之快。我们的用户认证也从刚开始的用户名密码转变到基于cookie的session认证,然而到了今天,这种认证已经不能满足与我们的业务需求了(分布式,微服务)。我们采用了另外一种认证方式:基于token的认证。

一、与cookie相比较的优势:

1、支持跨域访问,将token置于请求头中,而cookie是不支持跨域访问的;

2、无状态化,服务端无需存储token,只需要验证token信息是否正确即可,而session需要在服务端存储,一般是通过cookie中的sessionID在服务端查找对应的session;

3、无需绑定到一个特殊的身份验证方案(传统的用户名密码登陆),只需要生成的token是符合我们预期设定的即可;

4、更适用于移动端(Android,iOS,小程序等等),像这种原生平台不支持cookie,比如说微信小程序,每一次请求都是一次会话,当然我们可以每次去手动为他添加cookie,详情请查看博主另一篇博客;

5、避免CSRF跨站伪造攻击,还是因为不依赖cookie;

6、非常适用于RESTful API,这样可以轻易与各种后端(java,.net,python......)相结合,去耦合

还有一些优势这里就不一一列举了。

二、基于JWT的token认证实现

JWT:JSON  Web  Token,其实token就是一段字符串,由三部分组成:Header,Payload,Signature。详细情况请自行百度,现在,上代码。

1、引入依赖,这里选用java-jwt,选择其他的依赖也可以

2、实现签名方法

设置15分钟过期也是出于安全考虑,防止token被窃取,不过一般选择基于token认证,传输方式我们都应该选择https,这样别人无法抓取到我们的请求信息。这个私钥是非常重要的,加密解密都需要用到它,要设置的足够复杂并且不能被盗取,我这里选用的是一串uuid,加密方式是HMAC256。

3、认证

我这里演示的还是以传统的用户名密码验证,验证通过发放token。

4、配置拦截器

实现HandleInterceptor,重写preHandle方法,该方法是在每个请求之前触发执行,从request的头里面取出token,这里我们统一了存放token的键为accessToken,验证通过,放行,验证不通过,返回认证失败信息。

5、设置拦截器

这里使用的是Spring的xml配置拦截器,放过认证接口。

6、token解码方法

7、测试

访问携带token,请求成功。

未携带token或者token错误,过期,返回认证失败信息。

8、获取token里携带的信息

我们可以将一些常用的信息放入token中,比如用户登陆信息,可以方便我们的使用

至此,一个简单的基于token认证就实现了,下次我将shiro与JWT整合到一起。

git地址:https://github.com/qiaokun-sh/spring-token

虾泥泥泥泥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT身份认证机制实现
qq_43781887的博客
10-14 1622
复制这个token再发起一个get请求,在header中添加authorization属性和值,值就是token,但是要注意前面必须加上Bearer。下面这个unless是用来指定哪些接口不需要访问权限,比如下面这个就是以/api开头的就不需要访问权限,可以直接进入。JWT的全称是JSON Web Token,是目前最流行的跨域认证解决方案。(3)JWT的工作原理(重要!(7)Express中JWT的使用。(5)JWT各个组成部分的含义。(4)JWT的组成部分。(6)JWT的使用方式。
Django+JWT实现Token认证实现方法
09-19
主要介绍了Django+JWT实现Token认证实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
JWT认证实现
qq_36636312的博客
12-07 4100
1,jwt认证流程图 2,token组成 Header+Playload+Signature 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 头部存储认证类型和加密算法,将此json使用Base64编码可得到如下个格式的字符串: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 有效载荷(Playload): { "role": [], "iss": "baidu", "exp": 1638841050,
使用JWT实现Token认证
qq_16159433的博客
10-26 426
为什么使用JWT 随着技术的发展,分布式web应用的普及,通过session管理用户状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去redis中的缓存中获取用户信息,随着之后JWT的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单,这里还有一个在线的JWT生成器 什么时候应该用JSON Web Tokens 下列场景中使用JSON Web Token是很有用的: Authori
基于JWT实现简单的用户登陆验证(超详细)
weixin_47025166的博客
06-20 7603
基于JWT实现简单的用户登陆验证
JWT 快速入门,并实现登录认证
m0_56966142的博客
03-10 3979
一、JWT 简介 jwt(JSON Web Tokens),是一种开发的行业标准RFC 7519 ,用于安全的表示双方之间的声明。目前,jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目。 1.1 Jwt认证流程 前端用户填写好用户名和密码,点击登录 后端对提交的用户名和密码进行校验,校验通过则发送token给前端 前端将token保存在cookie中,并在每一次请求时都将cookie一并发送给后端 后端对用户发送过来的token进行校验,并通过token识别是哪个用户。 1.2 sessio
koa+jwt实现token验证与刷新功能
01-01
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 本文只讲Koa2 + jwt的使用,不了解...
SpringSecurity之JWT实现token认证和授权.zip
08-09
在Web应用开发中,安全一直是非常重要的一个方面。Spring Security基于Spring 框架,提供了一套Web应用安全性的完整解决方案。
java开发jwt认证 令牌,jwt.jar包 jwt 实现token认证,支持jdk1.7版本 java令牌
最新发布
06-30
jwt.jar包 jwt所需jar包集合 使用commons-codec.jar + java-jwt.jar进行token认证,支持jdk1.7及以上版本,目前大多数jwt支持至少需要1.8及以上,资源不好找,且行且珍惜。 如果需要源码以及功能实现方式,请联系...
spring boot+jwt实现api的token认证详解
08-26
主要给大家介绍了关于spring boot+jwt实现api的token认证的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一学习学习吧
cookie中的JWT身份验证
08-16
使用Postgresql+EF,.Net Core webapi中实现Cookie 中验证JWT,并且附有自定义权限策略
springsecurity-oauth2令牌 access_token验证
clonetx的博客
06-21 3961
springsecurity oauth2 令牌access_token验证源码分析
基于JWTToken认证机制实现
yfy的博客
01-13 1776
一、基于JWTToken认证机制实现 1.什么是JWT JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 2.JWT组成 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header)头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JS...
基于JWT的权限验证及实战演练
小糖豆
09-21 1万+
前言: 大部分系统,除了大部分金融类的系统需要严格的安全框架(如shiro),一般的系统安全性要求都不是很高,只需要简单的权限验证(比如登录验证)即可,下面将简单介绍JWT用法及登录验证的实现方式(注解方式) jwt分析(原理啊什么的废话就不说了,只说用法) header(头部),头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。(所以算法一样,头部也是一样的,下面例子可以...
Java实现Token登录验证(基于JWTtoken认证实现)
javaeEEse的博客
02-28 2万+
文章目录一、JWT是什么?二、使用步骤1.项目结构2.相关依赖3.数据库3.相关代码三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中
java使用jwt实现移动端api接口token认证
Forward
05-22 4090
首先在pom文件中添加: <!--jwt--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version&g...
JWT认证原理
热门推荐
houmenghu的博客
08-11 3万+
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和明码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上口令,并将得出的结果字符串再用Base64算法编码。 例如 用户名是Aladdin、口令是open s...
基于Token的WEB后台认证机制
weixin_30845171的博客
06-22 4253
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采...
JWT实现用户认证原理与实现(golang)
idwtwt的专栏
06-30 7911
1 JWT标准规范JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT由三部分组成,头部、载荷与签名。头部:用于说明签名的加密算法等,下面类型的json经过base64编码后得到JWT头部{ "typ": "JWT", "alg": "HS256" }载荷:包含生成Token时间,过期时间,以及一些身份标识,...
SpringBoot集成jwt实现token认证
05-28
在Spring Boot中,可以使用以下步骤将JWT集成到应用程序中以实现token认证: 1. 添加依赖项 在pom.xml文件中添加以下依赖项: ``` <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 创建Token工具类 创建一个JwtTokenUtil工具类,该类将用于生成和验证JWT令牌。以下是一个基本的JwtTokenUtil类: ```java public class JwtTokenUtil { private static final String SECRET_KEY = "secret"; public static String generateToken(String username) { Date now = new Date(); Date expiryDate = new Date(now.getTime() + 3600000); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expiryDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public static String getUsernameFromToken(String token) { return Jwts.parser() .setSigningKey(SECRET_KEY) .parseClaimsJws(token) .getBody() .getSubject(); } public static boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (SignatureException ex) { System.out.println("Invalid JWT signature"); } catch (MalformedJwtException ex) { System.out.println("Invalid JWT token"); } catch (ExpiredJwtException ex) { System.out.println("Expired JWT token"); } catch (UnsupportedJwtException ex) { System.out.println("Unsupported JWT token"); } catch (IllegalArgumentException ex) { System.out.println("JWT claims string is empty."); } return false; } } ``` 3. 创建安全配置类 创建一个SecurityConfig类,该类将用于配置Spring Security以使用JWT进行认证。以下是一个基本的SecurityConfig类: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Autowired private JwtUserDetailsService jwtUserDetailsService; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(jwtUserDetailsService).passwordEncoder(passwordEncoder()); } @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests().antMatchers("/authenticate").permitAll() .anyRequest().authenticated().and() .exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } } ``` 4. 创建用户详细信息服务类 创建一个JwtUserDetailsService类,该类将用于从数据库或其他存储中获取用户信息以进行身份验证。以下是一个基本的JwtUserDetailsService类: ```java @Service public class JwtUserDetailsService implements UserDetailsService { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 在这里获取用户信息并返回UserDetails对象 return null; } } ``` 5. 创建身份验证过滤器 创建一个JwtAuthenticationFilter类,该类将用于拦截所有请求,并进行JWT身份验证。以下是一个基本的JwtAuthenticationFilter类: ```java public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtUserDetailsService jwtUserDetailsService; @Autowired private JwtTokenUtil jwtTokenUtil; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { final String requestTokenHeader = request.getHeader("Authorization"); String username = null; String jwtToken = null; // JWT Token is in the form "Bearer token". Remove Bearer word and get only the Token if (requestTokenHeader != null && requestTokenHeader.startsWith("Bearer ")) { jwtToken = requestTokenHeader.substring(7); try { username = jwtTokenUtil.getUsernameFromToken(jwtToken); } catch (IllegalArgumentException e) { System.out.println("Unable to get JWT Token"); } catch (ExpiredJwtException e) { System.out.println("JWT Token has expired"); } } else { logger.warn("JWT Token does not begin with Bearer String"); } // Once we get the token validate it. if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = this.jwtUserDetailsService.loadUserByUsername(username); // if token is valid configure Spring Security to manually set authentication if (jwtTokenUtil.validateToken(jwtToken)) { UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); usernamePasswordAuthenticationToken .setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); // After setting the Authentication in the context, we specify // that the current user is authenticated. So it passes the // Spring Security Configurations successfully. SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); } } chain.doFilter(request, response); } } ``` 6. 创建身份验证控制器 创建一个JwtAuthenticationController类,该类将用于处理身份验证请求,生成JWT令牌并返回给客户端。以下是一个基本的JwtAuthenticationController类: ```java @RestController public class JwtAuthenticationController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtTokenUtil jwtTokenUtil; @Autowired private JwtUserDetailsService jwtUserDetailsService; @RequestMapping(value = "/authenticate", method = RequestMethod.POST) public ResponseEntity<?> createAuthenticationToken(@RequestBody JwtRequest authenticationRequest) throws Exception { authenticate(authenticationRequest.getUsername(), authenticationRequest.getPassword()); final UserDetails userDetails = jwtUserDetailsService .loadUserByUsername(authenticationRequest.getUsername()); final String token = jwtTokenUtil.generateToken(userDetails.getUsername()); return ResponseEntity.ok(new JwtResponse(token)); } private void authenticate(String username, String password) throws Exception { try { authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password)); } catch (DisabledException e) { throw new Exception("USER_DISABLED", e); } catch (BadCredentialsException e) { throw new Exception("INVALID_CREDENTIALS", e); } } } ``` 现在,您的Spring Boot应用程序已经集成了JWT以进行身份验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值