SpringBoot使用拦截器方式实现Jwt-token鉴权

最新推荐文章于 2024-03-06 10:22:02 发布
最新推荐文章于 2024-03-06 10:22:02 发布
阅读量830 收藏 4
点赞数 2
分类专栏: SpringBoot实战 安全认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44232093/article/details/125018461
版权

文章目录

1. 环境配置

pom.xml

		<!--jwt 依赖-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
        <!--数据库 和 JPA 依赖-->
         <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-jpa</artifactId>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

application.yml

server: 
  port: 9008 # 端口号 (与jwt无关)
spring: 
  application:  
    name: sunmone-user #指定服务名 (与jwt无关)
  datasource:  # 数据库配置(与jwt无关)
    driverClassName: com.mysql.jdbc.Driver
    url: jdbc:mysql://127.0.0.1:3306/数据库名称?useUnicode=true&characterEncoding=utf-8&useSSL=false
    username: root
    password: root
  jpa: # 使用JPA访问数据库(与jwt无关)
    database: MySQL
    show-sql: true
jwt: # jwt 自定义参数
  config:
    key: sunmone # 盐
    ttl: 3600000 # token过期时间 一小时

JWT 工具类

package utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

import java.util.Date;

/**
 * Created by Administrator on 2018/4/11.
 */

@ConfigurationProperties("jwt.config") // 在 application.yml 中取 key 和 ttl的值
public class JwtUtil {

    private String key ; // 盐

    private long ttl ;//一个小时

    public String getKey() {
        return key;
    }

    public void setKey(String key) {
        this.key = key;
    }

    public long getTtl() {
        return ttl;
    }

    public void setTtl(long ttl) {
        this.ttl = ttl;
    }

    /**
     * 生成JWT
     *
     * @param id
     * @param subject
     * @return
     */
    public String createJWT(String id, String subject, String roles) {
        // 获取当前时间毫秒值
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        // 创建 token 令牌
        JwtBuilder builder = Jwts.builder().setId(id)
                .setSubject(subject) // jwt 指定的用户
                .setIssuedAt(now) // jwt 签发时间
                .signWith(SignatureAlgorithm.HS256, key).claim("roles", roles); //jwt 头部 和自定义角色权限
        // 如果 ttl大于0 设置token令牌过期时间
        if (ttl > 0) {
            builder.setExpiration( new Date( nowMillis + ttl));
        }
        // 返回 token 令牌
        return builder.compact();
    }
    /**
     * 解析JWT
     * @param jwtStr
     * @return
     */
    public Claims parseJWT(String jwtStr){
        // 解析令牌
        return  Jwts.parser()
                .setSigningKey(key) // 令牌的 盐
                .parseClaimsJws(jwtStr) // token 值
                .getBody();
    }
}

Application 启动类

@SpringBootApplication
public class UserApplication {

    public static void main(String[] args) {
        SpringApplication.run(UserApplication.class, args);
    }
    // 创建 JWT Utils对象
    @Bean
    public JwtUtil jwtUtil() {
        return new JwtUtil();
    }
}

2. JWT配置

如果我们每个方法都去写一段代码,冗余度太高,不利于维护,那如何做使我们的代码看起来更清爽呢?我们可以将这段代码放入拦截器去实现

拦截器和过滤器放在同一目录下即可

2.1 过滤器

import utils.JwtUtil;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * JWT  拦截器
 * 在preHandle中,可以进行编码、安全控制等处理;前置拦截
 * 在postHandle中,有机会修改ModelAndView; 中间拦截
 * 在afterCompletion中,可以根据ex是否为null判断是否发生了异常,进行日志记录。 异常拦截
 */
@Component // 把拦截器添加到Spring中
public class JwtFilter extends HandlerInterceptorAdapter {

    @Autowired
    private JwtUtil jwtUtil;

    /***
     * 重写 JWT前置拦截器,所有请求都会被拦截 所以要写一个extends WebMvcConfigurationSupport设置拦击规则
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // JWT 前置拦截器
        System.out.println("经过JwtFilter");

        // 前后端约定:前端请求服务时需要添加头信息Authorization ,内容为Bearer+空格+token
        // 获取 token 令牌
        String Authorization = request.getHeader("Authorization");
        // 如果 请求头不为空
        if (Authorization != null) {
            // 如果 参数中以 Bearer空格为开头
            if (Authorization.startsWith("Bearer ")) {
                // 取 token数据
                if (Authorization.length() > 8){
                    String token = Authorization.substring(7);
                    // 解析令牌获取 Claims对象
                    Claims claims = jwtUtil.parseJWT(token);//获取载荷
                    // 如果Claims不为空
                    if (claims != null) {
                        // 判断权限 加入到请求参数中
                        if (claims.get("roles").equals("admin")) {//管理员身份
                            request.setAttribute("admin_claims", claims);
                        }
                        // 判断权限 加入到请求参数中
                        if (claims.get("roles").equals("user")) {//普通用户
                            request.setAttribute("user_claims", claims);
                        }
                    }
                }
            }
        }
        // 始终放行 由具体资源来决定结果
        return true;
    }
}

2.2 拦截器

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;

/**
 * 拦截器配置
 */
@Configuration // 配置类 继承 extends WebMvcConfigurationSupport
public class ApplicationConfig extends WebMvcConfigurationSupport {

    // 加载 jwt拦截器
    @Autowired
    private JwtFilter jwtFilter;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 加载过滤器 除了login方法其余全部拦截
        registry.addInterceptor(jwtFilter)
                .addPathPatterns("/**")
                .excludePathPatterns("/**/login");
    }
}

3. Controller层鉴权

我们使用了前置拦截器,所有请求经过都会被拦截,除了login请求,那么只需要在Controller层把参数获取,判断用户就可以进行权限鉴定了

@RestController
@CrossOrigin
@RequestMapping("/user")
public class UserController {

    @Autowired
    private UserService userService;

    @Autowired
    private HttpServletRequest request;

    @Autowired
    private JwtUtil jwtUtil;
    
     /**
     * 删除
     *
     * @param id
     */
    @RequestMapping(value = "/{id}", method = RequestMethod.DELETE)
    public Result delete(@PathVariable String id) {
        // 有前置拦截器 只需要获取 token参数即可
        Claims claims = (Claims) request.getAttribute("admin_claims");
        if (claims == null){
            return new Result(false, StatusCode.ACCESSERROR, "权限不足");
        }
        userService.deleteById(id);
        return new Result(true, StatusCode.OK, "删除成功");
    }
}
叫我三胖哥哥
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
react-jwt-refresh-token:使用 Axios 拦截器构建 React JWT 刷新令牌示例 - React.js 中的刷新令牌,Axios 静默刷新 JWT 令牌示例
08-04
使用 JWT 和 Axios 拦截器示例React刷新令牌 欲知更多详情,请访问: 全栈(JWT 身份验证和授权示例): 这个项目是用引导的。 设置端口 .env PORT=8081 笔记: 打开src/services/api.js并修改config.headers以获取适当的后端(在教程中找到)。 instance . interceptors . request . use ( ( config ) => { const token = TokenService . getLocalAccessToken ( ) ; if ( token ) { // config.headers["Authorization"] = 'Bearer ' + token; // for Spring Boot back-end config
SpringBoot使用token简单鉴权的具体实现方法
08-25
主要介绍了SpringBoot使用token简单鉴权的具体实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
vue搭配element获取token登录校验
weixin_45631430的博客
01-06 2488
Vue项目登录页面获取token验证 实现思路 1、第一次登录的时候,前端调后端的登陆接口,发送用户名和密码 2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token 3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面 4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页...
Spring Boot 如何集成JWT实现Token验证
最新发布
weixin_44837153的博客
03-06 612
它定义了一种紧凑的,自包含的方式,用于通信双方之间以JSON对象的形式安全传递信息。JWT使用HMAC算法或者是RSA的公私秘钥的数字签名技术,所以这些信息是可被验证和信任的。近年来,随着前后端分离、微服务等架构的兴起,传统的cookie+session身份验证模式已经逐渐被基于Token的身份验证模式取代。然后,调用http://localhost:8080/testToken 验证token是否有效。JWT(Java版)的github地址:https://github.com/jwtk/jjwt
简单的鉴权登录-java后端实现部分(JWT令牌+拦截器Interceptor)
WWX19990724的博客
04-11 2665
拦截器的主要是基于Java的反射机制,属于面向切面编程(AOP)的一种运用,就是在Service或者一个方法前调用一个方法,或者在方法后调用一个方法,甚至在抛出异常的时候做业务逻辑的操作。拦截器的作用类似于Servlet中的Filter,都可以用于对处理器进行预处理和后处理。在Spring MVC 与Spring Boot 中使用拦截器一般是实现接口。拦截器的作用:拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码。
使用拦截器JWT实现Java后端接口的权限访问控制
woshihedayu的博客
01-30 4462
最近发现,后端接口的权限访问控制通过使用springmvc里面的拦截器,就能够实现,方法比较简单,这里做一些总结。 1、在登录接口查询数据库中的用户信息和权限信息,得到当前用户相关的权限,然后把权限信息添加到JWT的字符串里面,经过加密以后生成token,将token作为响应数据,传递给前端。 2、定义一个拦截器,从请求头当中取出token,对token进行解密,得到里面的权限信息,然后获取当前访问接口的名称,与token中的权限信息进行比对,如果用户拥有当前接口的权限,就允许访问,否则就抛异常,代码如下
springboot 整合 JWT 和请求拦截,实现利用 token 做请求安全拦截校验,且实现阻止并发登录
Johnson_7的博客
09-15 2926
springboot 整合 JWT 和请求拦截,实现利用 token 做请求安全拦截校验,且实现阻止并发登录
SpringBoot项目使用JWT+拦截器实现token验证
热门推荐
weixin_44320429的博客
10-18 1万+
上述流程当中token的具体实现方式JWT,其全称是,官网地址:https://jwt.io/就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。
【应用】SpringBoot -- JWT 实现 token 验证
情绪瓜皮皮丶的学习之路
10-07 3350
SpringBoot使用 JWT 实现 token 验证
grpc-demo:java版grpc 示例,使用拦截器实现token认证
05-16
grpc-demojava版grpc 示例,使用拦截器实现token认证
通俗易懂的详细介绍Springboot如何集成/整合JWT
01-18
文章大体结构如下,若对你有启发,请点赞支持一下!谢谢 1.定义 ...(4)拦截器拦截token实现TOKEN认证类) (5)注册拦截器实现WebMvcConfigurer接口 (6)使用token 5.2前端设置 携带token访问
spring-token:整合JWT,spring,springMVC,实现基于token验证
05-11
因为这篇博客讲的是基于JWT和spring,springMVC的整合,所以如果有小伙伴想整合JWT和spring-boot,只需要将spring基于xml文件的拦截器配置方式转换成 spring-boot的配置方式就ok了。 欢迎大家讨论,分享!
springboot +安全+ jwt +复述,实现微信小程序登录及令牌权限鉴定
01-27
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定 tips:这是实战篇,默认各位看官具备相应的基础(文中使用了Lombok插件,如果使用源码请先安装插件) @[TOC] 项目配置 依赖 <groupId>org.spring...
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 4969
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt拦截器实现token权限验证。
Jwt + SpringBoot 拦截器+权限认证
ringBey的博客
06-30 689
Jwt + SpringBoot 拦截器+权限认证
Spring Boot 创建 token 拦截器
cmy_top的博客
08-16 460
Spring Boot 创建 token 拦截器
Spring使用自定义注解和拦截器实现鉴权
跟心爱的人一起浪迹天涯
11-16 962
自定义注解类 Target 注解可使用位置 类和方法 Retention 生命周期 在运行过程中仍然使用 import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Target({ElementType.TYPE, ElementType.ME
springboot自定义拦截器,校验token
一起coding,一起嗨。
01-29 4523
一、自定义拦截器 package com.example.demo.test; import cn.hutool.core.util.StrUtil; import com.alibaba.fastjson.JSON; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet
SpringMVC学习(五):SpringMVC中的异常处理和拦截器
骑着蜗牛行天下
11-12 406
七、SpringMVC中的异常处理 (1)异常处理的思路 ​ 系统中异常包括两类:预期异常和运行时异常 RuntimeException,前者通过捕获异常从而获取异常信息,后者主要通过规范代码开发、测试通过手段减少运行时异常的发生。 ​ 系统的 dao、service、controller 出现都通过 throws Exception 向上抛出,最后由 springmvc 前端控制器交由异常处理器进行异常处理,如下图: (2)实现步骤 1、编写异常类和错误页面 //自定义异常类 public clas
前端如何与后端springboot拦截器进行JWTtoken校验,代码的具体实现
06-07
前端可以通过发送HTTP请求时在请求头中携带JWT Token,后端Spring Boot的拦截器可以拦截请求并进行JWT Token校验。 具体实现步骤如下: 1. 前端需要在发送请求的时候,在请求头中添加Authorization字段,并将JWT Token作为值传递。 2. 后端需要编写一个拦截器来拦截请求并进行JWT Token校验。在拦截器中,可以使用Java JWT库来解析JWT Token,并校验Token的有效性。 3. 如果JWT Token校验成功,则将请求交给下一个拦截器或处理器处理。如果JWT Token校验失败,则可以返回一个错误响应。 下面是一个简单的JWT Token校验拦截器的示例代码: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class JwtInterceptor implements HandlerInterceptor { private static final String SECRET_KEY = "your_secret_key"; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String token = request.getHeader("Authorization"); if (token != null && token.startsWith("Bearer ")) { token = token.substring(7); try { Claims claims = Jwts.parser().setSigningKey(SECRET_KEY.getBytes()).parseClaimsJws(token).getBody(); // TODO: 根据需要进行校验 return true; } catch (Exception e) { // Token校验失败,返回错误响应 response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); return false; } } else { // 请求头中没有Authorization字段,返回错误响应 response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); return false; } } } ``` 在上面的代码中,我们使用了Java JWT库来解析JWT Token,并校验Token的有效性。我们可以根据需要进行更详细的校验,比如校验Token中的用户信息等。如果JWT Token校验失败,我们返回一个401 Unauthorized的错误响应,表示请求未经授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叫我三胖哥哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值