使用jwt实现登录功能

已于 2022-09-08 13:59:37 修改
阅读量5.9k 收藏 29
点赞数 5
文章标签: jwt
于 2021-05-26 15:55:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44712778/article/details/117290153
版权

一、什么是jwt

1.什么是session

要想知道什么是jwt,就要先知道什么是session,可以这样理解session,处于安全问题,有一些数据需要保存在服务端,服务端根据客户端的sessionId可以识别到它的session,然后进行数据的处理。
session一般存储一些简单,并且比较重要的信息,例如用户id,用户登录状态,权限等。

在这里插入图片描述

注意,如果用户禁用了cookie,那么session也就无法使用,因为session使用cookie中携带的唯一id才能在服务器中找到

2.什么是jwt?

jwt全程是json web token。是由用户以用户名、密码登录,服务端验证后,会生成一个token,返回给客户端,客户端在下次访问的过程中携带这个token,服务端责每次验证这个token。
在这里插入图片描述

3.为什么使用jwt而不使用session

  1. session是将客户端数据储存在服务器的内存,当客服端的数据过多,服务器的内存开销大;
  2. session的数据储存在某台服务器,在分布式的项目中无法做到共享;
  3. jwt的安全性更好。

总而言之,如果使用了分布式,切只能在session和jwt里面选的时候,就一定要选jwt。

二、jwt原理

1. header 头:

包含令牌的类型和使用的签名算法

{
	"alg":"HS625", // 签名算法
	"type":"JWT" // 令牌类型
}

将请求头进行base64加密就构成了第一部分

2.payload 荷载

荷载就是装载数据的地方,包含声明(有关用户实体和其他数据的声明),使用Base64进行编码,
可以把payload荷载想象成session的数据,session虽然存放在服务器内存,也要防止一些意外,比如有工作人员监守自盗盗取密码,因此,session里面不可以存放敏感信息

{
	"username": "zhangsan",
	"dataAuth": "beijing"
}

3.signature 签名

将header和payload经过base64加密后的数据经过加盐后进行二次加密。
盐值仅仅保存在服务器端,不能泄露,如果泄露容易导致客户端自己签发token,例如:即使没有经过登录步骤,知道用户名username,用自己签发token去访问一些数据权限敏感的数据。

三、使用实现登录

1.引入依赖

implementions('io.jsonwebtoken:jjwt:0.7.0')

2.准备配置

# token私钥,储存在只有签发和解析token的服务端
jwt.secret=123456
# 过期时间,单位为毫秒,这里是24*60*60*1000,24小时内有效
jwt.expire=86400000

3.创建和解析JWT的工具类

@ConfigurationProperties(prefix = "jwt")
@Component
@Data
public class JwtConfig {

	private String secret;

    private long expire;

    /**
     * 签发jwt
     *
     * @param user
     * @return
     */
    public String createJWT(User user) {
        Date date = new Date();
        Date expireDate = new Date(date.getTime() + expire);
        Map<String, Object> claims = new HashMap<>();
        claims.put("name", user.getUsername());
        claims.put("id", user.getId());
        String jwt = Jwts.builder()
                // 设置装载内容
                .setClaims(claims)
                // 签发时间
                .setIssuedAt(date)
                // 过期时间
                .setExpiration(expireDate)
                // jwt主体,用来存放jwt的所有人,可以存用户id或者角色id
                .setSubject(user.getName())
                .compact();
        return jwt;
    }
    
    /**
     * 解析JWT
     *
     * @param jwt
     * @return
     */
    public Claims parseJWT(String jwt) {
        Claims claims = Jwts.parser().setSigningKey(secret).parseClaimsJwt(jwt).getBody();
        return claims;
    }
    
}

4.登录时签发token

    @RequestMapping("login")
    public Map<String, Object> login(@RequestParam(name = "name") String name, @RequestParam(name = "passWord") String passWord) {
        User user = userService.findByUsernameAndPassword(name, passWord);
        if (null == user ) {
            throw new ControllerException("501", "用户名或密码错误");
        }
        String token = jwtConfig.createJWT(user);
        map.put("token", token);
        return map;
    }

5.过滤器及其配置类

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Resource
    private LoginInterceptor loginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginInterceptor).addPathPatterns("/**");
    }
}

@Component
public class LoginInterceptor extends HandlerInterceptorAdapter {
    
    @Resource
    private JwtConfig jwtConfig;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        String url = request.getRequestURI();
        // 如果包含login,则直接去验证用户名密码,不需要去验证token,可以利用这里设置白名单
        if (url.contains("/login")) {
            return true;
        }
        String token = request.getHeader(jwtConfig.getHeader());
        if (StringUtils.isEmpty(token)) {
            token = request.getParameter(jwtConfig.getHeader());
        }
        if (null == token || token.isEmpty()) {
            return false;
        }
        Claims claims = jwtConfig.parseJWT(token);
		String userName = claims.get("name", String.class);
        request.setAttribute("userName", subject);
        return true;
    }


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        return true;
    }
}
哇~是小菜呀
关注
  • 5
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
StringCloud_JWT(鉴权)
qq_44509920的博客
08-27 571
文章目录1. 为什么要学习JWT?1.1.简介1.2.数据格式1.3. JWT详解1.3.1 base64编码原理(了解)1.3.2 jwt测试-JwtUtil的使用1.4. JWT交互流程1.5.结合Zuul的鉴权流程2. 项目整体架构3. 搭建父工程jwt-parent3.1 创建项目3.2 pom4. 搭建Eureka注册中心4.1 创建项目4.2 pom4.3 yml配置4.4 开启EuerkaServer注解4.5 测试5.准备工作5.1 创建jwt-common模块5.1.1 创建项目5.1.2
基于JWT实现单点登录
Lyh_ok的博客
05-15 1万+
单点登录概述: 多系统共存下,用户在一处地方登录,得到其他所有系统的信任,无需再次登录。 自己的理解:在进行用户登录的时候,jwt生成一个token,用户带着这个token去其他页面进行验证。(token设置过期时间) 这里介绍一些jwt基本概念 JWT:1.认证流程 a.首先,前端通过web表单将自己的用户民和密码发送到后端的接口,这一过程一般是一个HTTP,POST请求。建议的方式是通过SSL 加密的方式传输(https协议),从而避免敏感信息被嗅探。 b.后端核对用户名和密码成功后,将用户的id
SpringBoot集成JWT实现Token登录验证
weixin_42672802的博客
12-18 3078
SpringBoot集成JWT实现Token登录验证
使用JWT实现登录认证
progammer10086的博客
05-23 1831
session:存储再服务端,无法引用与分布式场景,并且需要占用服务端的资源cookie:存储再客户端,适用于分布式场景,但是存在安全问题,不支持垮域访问token:存储在localstorage中,更加灵活。
jwt 实现用户登录完整java
最新发布
qq_62383709的博客
06-02 886
保护所有受保护的接口增加jwt合法性逻辑 custom.interceptor.AuthenticationInterceptor。我们约定,前端登录后,后续请求都将JWT,放置于HTTP请求的Header中,其Header的key为。登录接口需要为登录成功的用户创建并返回JWT,本项目使用开源的JWT工具。创建JWT和工具类 common.utils.JwtUtil。用户登录的校验逻辑分为三个主要步骤,分别是。,配置如下,具体内容可参考。controller逻辑。编写mapper逻辑。
使用JWT、Redis + token实现用户登录的两种方式。
Demo的博客
04-16 964
使用JWT实现登录功能 功能实现流程: 1.用户发起登录请求。 2.使用JwtBuilder生成令牌并返回。 3.写一个拦截器,拦截初登录之外的请求。拦截到请求后解析令牌,若正常放行,并将当前用户id存在当前线程。若出异常则返回登陆失败。
JWT 实现登录
Dailyblue的专栏
06-24 8192
jwt 全称是 json web token。是由用户以用户名、密码登录,服务端验证后,会生成一个 token,返回给客户端,客户端在下次访问的过程中携带这个 token,服务端责每次验证这个token。
用户登录 JWT原理剖析 JWT与单点登录实例解释
看花容易绣花难
05-01 3101
首先从用户的登录原理和实现讲起,然后引申出JWT登录方式,在详细的讲解了JWT的原理之后我们会通过案例讲解JWT是如何保存用户信息。
基于JWT实现简单的用户登陆验证(超详细)
weixin_47025166的博客
06-20 9190
基于JWT实现简单的用户登陆验证
详解使用JWT实现单点登录(完全跨域方案)
10-16
如果需要保护信息的隐私,可以使用JWT的加密功能。此外,JWT的过期时间管理也很关键,合理设置过期时间能防止令牌长时间有效带来的安全风险。 总之,JWT是现代Web应用中实现安全身份验证和授权的有效工具,尤其在...
java基于springBoot和jwt实现用户登录功能
06-07
Java基于Spring Boot和JWT实现用户登录功能 知识点1:Spring Boot框架 Spring Boot是一个基于Java的框架,旨在简化Spring应用程序的创建和开发过程。它提供了一个快速、灵活、可靠的方式来构建生产级别的应用程序...
koa+jwt实现token验证与刷新功能
01-01
使用koa2+jwt需要先有个koa的空环境,搭环境比较麻烦,我直接使用koa起手式,这是我使用koa+typescript搭建的空环境,如果你也经常用koa写写小demo,可以点个star,方便~ 安装koa-jwt koa-jwt主要作用是控制哪些...
Django项目中使用JWT实现代码
09-18
- 运行`python manage.py runserver`启动开发服务器,然后访问对应的URL测试JWT功能。 在实际应用中,你还需要实现用户登录和注册接口,以获取和验证JWT。通常,当用户成功登录后,服务器会返回一个JWT,客户端...
spring-boot系列,使用JWT实现登录认证、完整的前后台交互的系统设计案例
03-09
在本项目中,我们主要探讨的是如何利用Spring Boot框架构建一个使用JWT(JSON Web Token)进行登录认证,并结合Redis进行权限管理的完整前后台交互系统。这个案例将展示如何运用现代Web开发技术来创建高效、安全且...
JWT单点登录
weixin_45427945的博客
06-09 1650
JWT单点登录
使用JWT实现无状态登录验证
sean的博客
02-21 930
使用JSON Web Token(JWT实现登录认证是一种常见的无状态身份验证机制,它允许服务器在一次登录后向客户端发送一个签名的令牌,客户端随后可以在每次请求中携带这个令牌以证明其身份。以下是JWT实现登录认证的一种方式(使用手机+验证码登录例子)。
JWT有状态登陆与无状态登陆
程序员小明1024
11-23 1979
单点登录JWT JWT全称:Json Web Token 。作用:JWT 的作用是用户授权(Authorization),而不是用户的身份认证(Authentication)。用户认证指的是使用用户名、密码来验证当前用户的身份,即用户登录。用户授权指用户登录成功后,当前用户有足够的权限访问特定的资源。 传统的Session登录: 用户登录后,服务器会保存登录的Sess...
厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecurity 在 Spring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
JWT实现单点登录(SSO)
拾信
04-25 6538
相关技术名词: SSO、JWT、Redis、AOP、RSA、MD5 - salt
Java代码 使用 jwt 实现登录功能
09-03
### 回答1: 以下是使用 JWT 实现登录功能的 Java 代码示例: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import javax.crypto.spec.SecretKeySpec; import java.security.Key; import java.util.Date; public class JwtUtil { // 设置JWT过期时间,这里设置为1小时 private static final long EXPIRATION_TIME = 3600000; // JWT密码 private static final String SECRET = "mySecretKey"; // Token前缀 private static final String TOKEN_PREFIX = "Bearer"; // 存放Token的Header Key private static final String HEADER_STRING = "Authorization"; // 生成JWT Token public static String generateToken(String username) { // 生成JWT的时间 long nowMillis = System.currentTimeMillis(); Date now = new Date(nowMillis); // 设置JWT过期时间 Date expirationDate = new Date(nowMillis + EXPIRATION_TIME); // 设置JWT的Header SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; byte[] apiKeySecretBytes = SECRET.getBytes(); Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName()); // 设置JWT的Payload Claims claims = Jwts.claims().setSubject(username); // 生成JWT Token String token = Jwts.builder() .setClaims(claims) .setIssuedAt(now) .setExpiration(expirationDate) .signWith(signingKey, signatureAlgorithm) .compact(); return token; } // 验证JWT Token public static boolean validateToken(String token) { try { // 验证JWT Token是否合法 Jwts.parser().setSigningKey(SECRET.getBytes()).parseClaimsJws(token); return true; } catch (Exception e) { return false; } } // 从JWT Token中获取用户名 public static String getUsernameFromToken(String token) { Claims claims = Jwts.parser() .setSigningKey(SECRET.getBytes()) .parseClaimsJws(token) .getBody(); return claims.getSubject(); } } ``` 在登录接口中调用 `generateToken` 方法生成 JWT Token,然后将生成的 Token 返回给客户端,客户端将 Token 保存在本地。在后续的请求中,客户端需要在请求的 Header 中携带 Token,服务端从 Header 中获取 Token,调用 `validateToken` 方法验证 Token 的合法性,然后从 Token 中获取用户名,进而完成登录认证。 ### 回答2: Java代码使用JWT实现登录功能的步骤如下: 1. 首先,需要导入相关的依赖包。可以使用Maven或Gradle构建工具来管理依赖项。需要导入的依赖包有:jjwt、javax.servlet-api等。 2. 创建一个JWTUtil类,该类用于生成和验证JWT。其中,生成JWT的方法如下: ```java import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public class JWTUtil { private static final String SECRET_KEY = "密钥"; private static final long EXPIRATION_TIME = 1800000; // 过期时间为30分钟 public static String generateToken(String username) { return Jwts.builder() .setSubject(username) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } } ``` 3. 创建一个LoginController类,用于处理登录请求。在该类中,可以使用JWTUtil的generateToken方法生成JWT,并将其返回给前端。 ```java import javax.servlet.http.HttpServletRequest; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RestController; @RestController public class LoginController { @PostMapping("/login") public String login(@RequestBody User user, HttpServletRequest request) { // 根据用户名和密码验证用户信息 if (user.getUsername().equals("admin") && user.getPassword().equals("admin")) { String token = JWTUtil.generateToken(user.getUsername()); return token; } else { return "登录失败"; } } } ``` 在这个示例中,假设用户对象User中包含了用户名和密码字段。 4. 前端登录请求发送到后台时,会调用LoginController的login方法。如果用户名和密码验证成功,将生成JWT并返回给前端。前端可以将该JWT存储起来,并在后续的请求中通过HTTP头或其他方式发送给服务端进行验证。 需要注意的是,JWT中包含了用户信息,因此在收到JWT后,服务端可以通过解析JWT获取用户信息,而无需再次查询数据库验证用户信息。 以上就是用Java代码使用JWT实现登录功能的简要说明。当然,实际应用中可能还需要完成其他的操作,比如JWT的验证等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值