SpringBoot整合JWT(Json Web Token)实战

最新推荐文章于 2024-06-19 10:23:57 发布
最新推荐文章于 2024-06-19 10:23:57 发布
阅读量335 收藏 1
点赞数
文章标签: java jwt spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44898959/article/details/108994584
版权

一、业务场景

前后端分离或者跨系统的用户认证

二、JWT简介

批里批里
JWT认证原理

三、环境搭建

引入依赖即可

 <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>

四、简单的测试一哈

1.生成JWT

使用JWT.create()方法生成JWT,JWT由三部分组成,及头,负载的信息和签名。头部我们使用JWT的默认算法类型,所以不做设置,使用withClaim方法设置负载信息,使用sign设置签名,Algorithm.HMAC256()是最常用的加密算法,签名要自己保存好。

@Test
    public void testJWT()
    {
        Calendar c = Calendar.getInstance();
        c.add(Calendar.SECOND,60);//设置过期时间
        String token = JWT.create().withClaim("userid", 1).
                withClaim("nickname", "张大炮").
                withExpiresAt(c.getTime()).
                sign(Algorithm.HMAC256("xue$li!@#angqwe"));
        System.out.println(token);

    }

得到的token
在这里插入图片描述

2.验证JWT

@Test
    public void testJWTAH()
    {
        //创建验证对象
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("xue$li!@#angqwe")).build();
        //得到解码对象
        DecodedJWT verify = jwtVerifier.verify("eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuaWNrbmFtZSI6IuW8oOWkp-eCriIsImV4cCI6MTYwMjMwNzg1NCwidXNlcmlkIjoxfQ.rrhH_KoWekdqPhJQU2H7FGDiicgVkDcOGmeEBkju-_0");
        //得到负载的信息
        System.out.println(verify.getClaim("nickname").asString());

    }

在这里插入图片描述

五、封装成一个util

带火可以根据自己的喜欢自己封装哈
下面这个是我自己封装的

@Component
public  class JwtUtil {

    //由配置文件得到签名
    private static  String sign;
    
    //从配置中抽取数据注入静态变量
    @Value(value = "${jwt.sign}")
    public void setSign(String Sign)
    {
        sign = Sign;
    }

    指定负载信息获得Token
    public static  String getToken(Map<String,String> payload)
    {
        //创建一个JWTBuilder
        JWTCreator.Builder tokenBuilder = JWT.create();
        payload.forEach((k,v)->{
            tokenBuilder.withClaim(k,v);
        });
        //生成签名后的token
        String token = tokenBuilder.sign(Algorithm.HMAC256(JwtUtil.sign));
        return token;
    }

    public static DecodedJWT verify(String token) throws Exception
    {
        //指定签名。获得解码器
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(sign)).build();
        //得到解码后的对象,如果通过不了验证就会抛出异常
        DecodedJWT verify = jwtVerifier.verify(token);
        return verify;
    }

}

六、编写业务

结合了正在写的项目,可以只关注与JWT有关的
验证方法

@GetMapping("/islogin")
    public R islogin(@RequestHeader("Authorization") String Authorization)
    {
        try {
            //验证通过,验证不通过抛出异常
            DecodedJWT verify = JwtUtil.verify(Authorization);
            String userId = verify.getClaim("userId").asString();
            String nickname = verify.getClaim("nickname").asString();
            Map<String,String> payload = new HashMap<>();
            payload.put("userId",userId);
            payload.put("nickname",nickname);
            //带上我要的负载信息
            return R.ok().put("payload",payload);
        }
         catch (SignatureVerificationException  e)
        {
            //验证失败,直接返回错误信息
            R.error("无效签名");
            e.printStackTrace();
        }
        catch (TokenExpiredException e )
        {
            //验证失败,直接返回错误信息
            R.error("token过期");
            e.printStackTrace();
        }
        catch (AlgorithmMismatchException e)
        {
            //验证失败,直接返回错误信息
            R.error("token算法不一致");
            e.printStackTrace();
        }
        catch (Exception e)
        {
            //验证失败,直接返回错误信息
            R.error("无效token");
            e.printStackTrace();
        }
        return R.error("未知错误");
    }

AOP模块(单项目应该用拦截器实现,也是AOP的思想,分布式的话用网关实现,这里我就顺手把之前的代码改了一点)

 @Pointcut("@annotation(com.zhangxueliang.common.annotation.LoginJudge)")
    public void pointcut()
    {

    }

    //验证Token信息
    @Around("pointcut()")
    public R isLogin(ProceedingJoinPoint joinPoint) throws Throwable {


        Object target = joinPoint.getTarget().getClass().getName();
        Object[] args = joinPoint.getArgs();
        //约定带有LoginJudge切点的目标方法 第一个参数为token:Authorization,第二个参数为负载信息Payload
        String Authorization = args[0].toString();
        R res = authFeign.islogin(Authorization);
        if (!res.get("code").equals(0))
        {
            return R.error("未登录");
        }
        else {
            //获得JWT负载信息
            System.out.println(res);
            HashMap<String,String> payload =(HashMap) res.get("payload");
            System.out.println(payload);
            args[1] = payload;
            Object object = joinPoint.proceed(args);
            return (R)object;
        }
    }

业务模块

@RequestMapping("/save")
    @LoginJudge
    public R save(@RequestHeader("Authorization") String authorization,
                  Map<String,String> payload, @RequestBody OrderEntity order){
        System.out.printf(payload.get("userId"));
        System.out.println(payload.get("nickname"));

        R res = productFegin.updateStatus(order.getSku_id());//尝试修商品状态
        if (res.get("code") .equals(0) ) {
            order.setOrderSn(IdWorker.getTimeId());//生成订单号
            order.setCreateTime(new Date());//生成创建时间
            order.setStatus(0);
            boolean success = orderService.save(order);//创建订单
            if (success) {
                //放入死信队列
                rabbitTemplate.convertAndSend("order-event-exchange", "order.create.order", order);
                return R.ok();
            } else {
                //TODO 通知修改商品状态
                return R.error("未知原因,创建订单失败");
            }
        }
        else if(res.get("code").equals(404101)) return R.error("商品不可被拍下");
        else return R.error("商品信息已改变");



    }
今天有没有写代码
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot整合JWT
10-09
详细解说并进行代码实例,运用springBoot结合JWT来进行认证。
基于SpringBootJSON Web Token(JWT)Token认证机制实现
qq_16183731的博客
03-06 369
Token Auth的优点 JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输. 无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登...
SpringBoot整合JWT(JSON Web Token)生成token与验证
最新发布
小hui的博客
06-19 2508
JWTJSON Web Token)是是目前最流行的跨域认证解决方案。它通常被用于对用户进行身份验证和授权。这篇文章是springbootjwt整合实例
如何在SpringBoot中集成JWT(JSON Web Token)鉴权
weixin_34112208的博客
03-18 234
这篇博客主要是简单介绍了一下什么是JWT,以及如何在Spring Boot项目中使用JWT(JSON Web Token)。 1.关于JWT 1.1 什么是JWT 老生常谈的开头,我们要用这样一种工具,首先得知道以下几个问题。 这个工具是什么,这个工具解决了什么问题 是否适用于当前我们所处得业务场景 用了之后是否会带来任何其他问题 怎么用才是最佳实践 那什么是JWT呢?以下是我对jwt官网上对...
SpringBoot集成JWT
Lee_SmallNorth的博客
07-08 156
pom.xml <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</ve
springboot整和jwt、shiro、redis实现token自动刷新
08-19
下面将详细介绍如何在Spring Boot中整合JWT、Shiro和Redis实现Token自动刷新。 JWT是一种轻量级的身份验证机制,它通过在客户端存储一个包含用户信息的令牌,每次请求时都将这个令牌发送到服务器进行验证。JWT由三...
JWT认证原理、流程整合springboot实战应用
01-18
JSON Web TokenJWT)是一种轻量级的身份验证和授权机制,广泛应用于现代Web应用程序和API。Spring Boot是Java开发人员常用的快速构建微服务框架。在本实战应用中,我们将探讨如何将JWTSpring Boot整合,实现安全...
Shiro基于SpringBoot +JWT搭建简单的restful服务.zip
04-08
标题中的"Shiro基于SpringBoot +JWT搭建简单的restful服务.zip"揭示了这个项目的核心技术栈,主要包括Apache Shiro、Spring Boot以及JSON Web TokenJWT)。这三个组件在现代Web开发中有着广泛的应用,特别是对于...
基于springboot的毕设-医院急诊系统(源码+配置说明).zip
06-24
5. JWTJSON Web Token):实现用户身份验证,提供安全的身份认证机制。 四、系统架构 本系统采用MVC设计模式,分为前端展示层、业务逻辑层和数据访问层。前端使用HTML/CSS/JavaScript,后端使用SpringBoot为核心...
基于springboot的毕业设计成绩管理系统源码数据库.zip
03-11
4. JWTJSON Web Token)认证:实现用户身份验证,提高安全性。 5. 异步处理:使用SpringBoot的Async注解,实现异步任务,提高系统响应速度。 五、学习价值 该系统源码对于初学者而言,是理解SpringBoot集成SSM、...
深入SpringBootJWT的集成与使用
Hello World
04-05 2395
JSON Web TokenJWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,该token也可直接被用于认证,也可被加密。是目前最流行的跨域认证解决方案。
springboot整合jwt验证token
06-28
### 回答1: Spring Boot 集成 JWT 验证 Token 的步骤如下: 1. 引入相关依赖包 2. 实现自定义 JWT 验证过滤器 3. 在 Security 配置中配置 JWT 验证过滤器 4. 在需要验证的接口上添加 @PreAuthorize 注解 5. 处理 Token 相关操作(生成、刷新、验证等) 请注意,以上步骤仅是大致流程,具体实现可能会有所不同。如需细节请参考Spring Boot 官方文档或搜索相关教程。 ### 回答2: Spring Boot是一款非常方便的框架,可以快速搭建应用程序。同样的,JWTJSON Web Token)也是一种非常流行的身份验证机制,使用标准的JSON格式,并且使用了数字签名方式验证身份。本文将介绍Spring Boot整合JWT验证Token。 首先,通过pom.xml文件引入相关依赖包: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 接下来创建JWTUtils类来处理Token的创建与验证: ``` @Component public class JWTUtils { // 密钥 private static final String SECRET = "mySecret"; // 过期时间毫秒 private static final long EXPIRATION_TIME = 1800000; // 创建token public static String createToken(String username, String role) { return Jwts.builder() .setSubject(username) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) .claim("roles", role) .signWith(SignatureAlgorithm.HS512, SECRET) .compact(); } // 验证token public static boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token); return true; } catch (SignatureException | ExpiredJwtException e) { return false; } } // 获取用户名 public static String getUsernameFromToken(String token) { return Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody().getSubject(); } // 获取角色 public static String getRoleFromToken(String token) { return Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody().get("roles").toString(); } } ``` 其中,createToken方法用于创建Token,validateToken方法用于验证Token,getUsernameFromToken和getRoleFromToken用于获取Token中的信息。 接下来,在Spring Boot中配置WebSecurityConfig: ``` @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and() .authorizeRequests() .antMatchers(HttpMethod.OPTIONS, "/**").permitAll() // 跨域请求会先进行一次options请求 .antMatchers("/auth/**").permitAll() // 登录注册接口放行 .anyRequest().authenticated() .and() .addFilter(new JWTAuthenticationFilter(authenticationManager())) .addFilter(new JWTAuthorizationFilter(authenticationManager())) .headers().cacheControl(); } @Override public void configure(WebSecurity web) { web.ignoring().antMatchers( "/error", "/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**", "/swagger-ui.html", "/webjars/**"); } @Autowired public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception { authenticationManagerBuilder.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } } ``` 其中,configure方法配置了安全规则,addFilter方法添加了JWT的过滤器,configureAuthentication方法配置用户认证方式。 最后,在Controller中使用接口进行调用: ``` @RestController public class UserController { @Autowired private UserService userService; @PostMapping("/auth/register") public String register(@RequestBody UserDTO userDTO) { if (userService.register(userDTO)) { return "注册成功"; } else { return "注册失败"; } } @PostMapping("/auth/login") public ResponseEntity<TokenDTO> login(@RequestParam String username, @RequestParam String password) { String role = "ROLE_USER"; // 这里演示只有ROLE_USER角色 String token = JWTUtils.createToken(username, role); return ResponseEntity.ok(new TokenDTO(token)); } @GetMapping("/user/info") public String userInfo(Authentication authentication) { String username = authentication.getName(); String role = JWTUtils.getRoleFromToken(((JwtUserDetails) authentication.getPrincipal()).getToken()); return username + "-" + role; } } ``` 其中,login方法用于登录获取Token,userInfo方法用于获取当前用户信息。这里使用了Spring Security提供的authentication对象来获取用户信息。 综上,Spring Boot整合JWT验证Token并不复杂,通过相关依赖包、JWTUtils、WebSecurityConfig和Controller的配置,即可完成Token身份验证,保证接口的安全性。 ### 回答3: Spring Boot是一个Java开发框架,它可以减少Web应用程序的开发时间和复杂性。在开发Web应用程序时,安全性是一个关键问题,可以使用JWT(Json Web Token)来提高应用程序的安全性。 JWT是一种基于JSON的安全令牌,可以在用户与应用程序之间传递信息。JWT包含了许多有用的信息,例如用户的ID、角色、权限等等。在Spring Boot中,我们可以使用jwt.io上的库来生成和解码JWT令牌。 首先,在pom.xml文件中添加jwt库的依赖项,如下所示: ``` <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.2</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.2</version> <scope>runtime</scope> </dependency> ``` 接下来,我们需要创建一个JWTUtils工具类。该类将用于编码、解码和验证JWT令牌。实现代码如下: ``` import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.beans.factory.annotation.Value; import org.springframework.stereotype.Component; import java.util.Date; @Component public class JWTUtils { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private Long expiration; public String generateToken(String username) { Date now = new Date(); Date expiryDate = new Date(now.getTime() + expiration * 1000); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(expiryDate) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } public String getUsernameFromToken(String token) { Claims claims = Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody(); return claims.getSubject(); } public boolean validateToken(String token, UserDetails userDetails) { String username = getUsernameFromToken(token); return (username.equals(userDetails.getUsername()) && !isTokenExpired(token)); } private boolean isTokenExpired(String token) { Date expiryDate = Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody() .getExpiration(); return expiryDate.before(new Date()); } } ``` 在上面的代码中,我们使用@Value注释从application.properties文件中读取秘密和过期时间。generateToken方法是用于生成JWT令牌的方法。setSubject()定义了JWT令牌的主题,setIssuedAt()是JWT生成时间,setExpiration()是JWT令牌的超时时间。最后,我们使用signWith()进行签名和压缩。 getUsernameFromToken()方法获取JWT令牌中的用户名。validateToken()用于验证JWT令牌是否有效。isTokenExpired()方法检查JWT令牌是否已过期。 为了让Spring Boot知道我们在哪里可以找到JWTUtils类,我们需要在Application.java类中添加@ComponentScan注解,如下所示: ``` @SpringBootApplication @ComponentScan({"com.example.jwt"}) public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 最后,我们在Spring Boot中创建一个Controller类。该类有一个login()方法,该方法接收用户名和密码并验证该用户是否存在。如果用户存在,则生成JWT令牌并将其返回给客户端。如下所示: ``` import org.springframework.beans.factory.annotation.Autowired; import org.springframework.http.ResponseEntity; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.AuthenticationException; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import org.springframework.web.bind.annotation.*; import com.example.jwt.JWTUtils; @RestController @RequestMapping("/api/auth") public class AuthController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JWTUtils jwtUtils; @Autowired private UserDetailsService userDetailsService; @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) throws AuthenticationException { try { authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())); } catch (UsernameNotFoundException e) { throw new RuntimeException("User not found"); } final UserDetails userDetails = userDetailsService.loadUserByUsername(loginRequest.getUsername()); final String token = jwtUtils.generateToken(userDetails.getUsername()); return ResponseEntity.ok(new AuthResponse(token)); } } ``` 在上面的代码中,我们使用@Autowired注释从其他类中获取所需的依赖项。login()方法中,我们使用authenticationManager.authenticate()方法验证用户是否存在。如果该用户不存在,则会抛出一个异常。然后,我们使用userDetailsService.loadUserByUsername()方法加载用户详细信息。最后,我们调用JWTUtils.generateToken()方法生成JWT令牌。 在上面的代码中,我们还创建了一个名为AuthResponse的简单类,该类是返回的响应对象,包含JWT令牌。 ``` public class AuthResponse { private String token; public AuthResponse(String token) { this.token = token; } public String getToken() { return token; } public void setToken(String token) { this.token = token; } } ``` 以上就是Spring Boot整合JWT验证token的简单代码示例。该代码示例可以让开发者更加容易地理解Spring Boot如何使用JWT来增强应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值