Springboot整合JWT实现鉴权

最新推荐文章于 2024-03-15 11:05:50 发布
最新推荐文章于 2024-03-15 11:05:50 发布
阅读量362 收藏 3
点赞数
文章标签: java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45325332/article/details/103895606
版权

前言

在实现Springboot集成JWT之前,我们需要先明确JWT是如何实现身份鉴别的:

    JWT鉴别身份的流程大概为:用户登录成功后Api服务器将会生成一串包含用户信息的token,将token发送至客户端机器,由客户端进行保存,当客户端机器每次访问JWT所保护的API时都需要进行验证,服务器端便会获取JWT信息,在通过服务器对JWT中Payload部分的信息进行加密,对比实际加密出来的结果是否一致,如果一致,则通过验证。

    1.生成token:

        用户登录——>成功(如果失败,则返回登录)——>生成token——>将某些用户属性进行加密存放在token中——>通过http响应response将token返回给客户端进行保存

    2.身份鉴别:

        访问JWT保护的URL——>获取请求头中携带的Authorization属性值——>进行token有效验证(失效则重新登录)——>成功访问资源
    
        < 因为每次访问资源都需要进行鉴别,所以每次请求中都需要携带Authorization属性 >

功能实现

1.定义注解

@AdminLoginToken

admin登录认证注解,如果URL含有@AdminLoginToken,则受到@AdminLoginToken保护,需要进行JWT验证

/**
 * admin登录检查注解
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface AdminLoginToken {
    boolean required() default true;
}

@PassToken

跳过检查注解,如果URL含有@PassToken,则跳过,不需要执行认证

/**
 * 跳过认证注解
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
    boolean required() default true;
}

2.创建实体类

创建用于认证的实体Admin,属性包括adminId,adminName,adminPassword

@Data
public class Admin implements Serializable {

    private static final long serialVersionUID = 1L;

    private Integer id;

    private String username;

    private String password;

    public Integer getId() {
        return id;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }
}

3.实现拦截

InterceptorConfig类

用于拦截所有的客户端请求,将拦截下的请求转至AuthenticationInterceptor类,进行下一步鉴别,查看请求是否公开,或是受到JWT保护。

/**
 * 拦截配置
 */
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**");    // 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录
    }
    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }
}

AuthenticationInterceptor类

用于鉴别API是否受JWT保护,如果不受则释放对应API的拦截,如果受保护则执行JWT验证,验证通过则释放API,验证不通过则返回401。

/**
 * 身份验证拦截
 */
public class AuthenticationInterceptor implements HandlerInterceptor {

    @Autowired
    IAdminService adminService;

    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
        String token = httpServletRequest.getHeader("token");// 从 http 请求头中取出 token
        // 如果不是映射到方法直接通过
        if(!(object instanceof HandlerMethod)){
            return true;
        }
        HandlerMethod handlerMethod=(HandlerMethod)object;
        Method method=handlerMethod.getMethod();
        //检查是否有passtoken注释,有则跳过认证
        if (method.isAnnotationPresent(PassToken.class)) {
            PassToken passToken = method.getAnnotation(PassToken.class);
            if (passToken.required()) {
                return true;
            }
        }
        //检查有没有需要用户权限的注解
        if (method.isAnnotationPresent(AdminLoginToken.class)) {
            AdminLoginToken adminLoginToken = method.getAnnotation(AdminLoginToken.class);
            if (adminLoginToken.required()) {
                // 执行认证
                if (token == null) {
                    throw new RuntimeException("无token,请重新登录");
                }
                // 获取 token 中的 adminId
                String adminId;
                try {
                    adminId = JWT.decode(token).getAudience().get(0);
                } catch (JWTDecodeException j) {
                    throw new RuntimeException("401");
                }
                QueryWrapper<Admin> queryWrapper=new QueryWrapper<>();
                queryWrapper.eq("adminId",adminId);
                Admin admin = adminService.getOne(queryWrapper);
                if (admin == null) {
                    throw new RuntimeException("用户不存在,请重新登录");
                }
                // 验证 token
                JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(admin.getPassWord())).build();
                try {
                    jwtVerifier.verify(token);
                } catch (JWTVerificationException e) {
                    throw new RuntimeException("401");
                }
                return true;
            }
        }
        return true;
    }
}

4.异常处理

由于token验证不通过,拦截后是抛出对应异常,为了防止程序crash,所以需要进行异常处理

/**
 * 全局异常处理类
 */
@ControllerAdvice
public class GloablExceptionHandler {
    @ResponseBody
    @ExceptionHandler(Exception.class)
    public Object handleException(Exception e) {
        String msg = e.getMessage();
        if (msg == null || msg.equals("")) {
            msg = "服务器出错";
        }
        ObjectRestResponse object = new ObjectRestResponse();
        object.data(msg);
        return object;
    }
}

5.生成token

TokenService类

用于生成以adminPassword作为密钥的token

@Service("TokenService")
public class TokenService {
    public String getToken(Admin admin) {
        String token="";
        token= JWT.create().withAudience(admin.getAdminName())// 将 adminId 保存到 token 里面
                .sign(Algorithm.HMAC256(admin.getAdminPassword()));// 以 adminPassword 作为 token 的密钥
        return token;
    }
}

6.控制层

AdminController类

编写AdminController,实现admin登录,以及admin身份验证

@RestController
@RequestMapping("/admin")
public class AdminController {

    @Autowired
    IAdminService adminService;
    @Autowired
    TokenService tokenService;

    @PostMapping("/login")
    public ObjectRestResponse login(String username, String password){
        QueryWrapper<Admin> queryWrapper=new QueryWrapper<>();
        queryWrapper.eq("username",username);
        Admin admin=adminService.getOne(queryWrapper);
        if (admin==null){
            return new ObjectRestResponse().error("用户不存在");
        }
        if (admin.getUsername().equals(username)||admin.getPassword().equals(password)){
            String token = tokenService.getToken(admin);
            return new ObjectRestResponse().data(token);
        }
        return new ObjectRestResponse().error("登陆失败");
    }

    /**
     * 添加了AdminLogin注解,只有登录成功后才能获取成功
     * @return
     */
    @AdminLoginToken
    @GetMapping("/getMessage")
    public String getMessage(){
        return "获取成功";
    }
}

7.前端

前端在登录成功后接收到服务器发送的token数据,需将token添加至每次请求的请求头中,可以存放至cookies中用于每次请求时调用。

总结

JWT其实还有很多优点,因为有了payload部分,所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。

且便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。

以及它不需要在服务端保存会话信息, 所以有效的减小服务端的压力。

附API工程鉴权设计图纸

在这里插入图片描述

清梦社社长
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
springboot 整合security jwt 身份鉴权
01-03
SpringBoot整合Security与JWT身份鉴权是现代Web应用中常用的身份验证和授权方式Spring Security是一个强大且高度可定制的身份验证和访问控制框架,而JSON Web Token(JWT)则是一种轻量级的身份验证机制,常用于...
springboot + jwt + websocket + 拦截
09-02
在IT行业中,Spring Boot、JWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统中实现的一种中间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
SpringBoot项目的 4 种鉴权方案
程序员闪充宝
10-22 3048
大家好,我是宝哥!‍最近在重构公司以前产品的前端代码,摈弃了以前的session-cookie鉴权方式,采用token鉴权,忙里偷闲觉得有必要对几种常见的鉴权方式整理一下。目前我们常用的鉴权有四种:HTTP Basic Authenticationsession-cookieToken 验证OAuth(开放授权)一.HTTP Basic Authentication这种授权方式是浏览器遵守http...
springboot项目jwt认证鉴权(企业级实现方案)
最新发布
qq_45443475的博客
03-15 552
Resource@Override// 从 http 请求头中取出 token// 如果不是映射到方法直接通过if(!//检查是否有passtoken注释,有则跳过认证logger.info("=====pass token 跳过token 拦截=====");// 执行认证logger.info("请求路径:" + httpServletRequest.getRequestURI());
springboot拦截器鉴权
weixin_38977651的博客
05-29 424
实现处理器预处理,请求会先到这里,当这个方法返回值是true的时候表示处理器可以正常往下执行,返回false,则不会继续执行处理器的代码,一般用来身份验证和鉴权。在springboot中可以通过实现HandlerInterceptor接口实现拦截器,这里主要介绍通过预处理做身份鉴权的方法。拦截器:作用类似于Servlet中的Filter,用于对处理器进行预处理和后处理。在视图渲染完毕时候调用,一般用来进行统一的异常处理,日志处理。是后处理回调方法,也就是控制器完成后执行。
SpringBoot 项目 + JWT 完成用户登录、注册、鉴权
BASK2312的博客
05-11 1834
到此我们已经完成了用户的注册和登录功能。但还有一个问题就是用户鉴权,我们在调用其他接口时如何判断用户是否已登录。完成用户注册与登录有个核心点就是密码的加密与验证,我们目前比较常用的方案是。与数据库查出的用户进行密码比较判断是否验证通过。生成存到数据库里,这里我们采用第二种安全性更高的方式。的逻辑删除及自动填充功能,不太清楚的可以看看我的文章。的所有接口做登录验证,这个大家根据自己项目需求调整。为忽略前端的传值,这里使用我们。,然后入库,用户登录时,根据。查出用户,再把用户传入的。里面,这里需要引入下。
鉴权管理系统(JWT技术架构)——SpringBoot2+Vue2(一定惊喜满满,万字长文)
IT小辉同学
05-18 2824
愿梦想不被辜负,终将温柔回报!!!
springboot+security+mybatis+redis+jwt鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
SpringBoot整合OAuth2和Gateway实现网关登录授权验证是一个复杂而关键的过程,它涉及到现代微服务架构中的安全性设计。OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为...
SpringBoot集成SpringSecurity和JWT做登陆鉴权实现
08-19
主要介绍了SpringBoot集成SpringSecurity和JWT做登陆鉴权实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
08-19
主要介绍了SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot-shiro用户登录鉴权
weixin_47681367的博客
12-11 635
springboot-shiro用户登录鉴权;重定向login.jsp
Springboot使用JWT+Redis实现一个简单的登录鉴权
rgrhiea的博客
08-07 5624
这是一个JWT+Redis实现登录鉴权的简单demo,通过它包括了springbootjwt和RedisTemplate的简单使用
SpringBoot集成JWT登录鉴权
♾️
04-13 1992
什么是JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。 因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 JWT请求流程 JWT的应用场景 身份认证在这种场景下,...
Spring Boot 鉴权之—— JWT 鉴权
weixin_34208283的博客
09-10 369
第一:什么是JWT鉴权 1. JWT即JSON Web Tokens,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519),他可以用来安全的传递信息,因为传递的信息是经过加密算法加密过得。 2.JWT常用的加密算法有:HMAC算法或者是RSA的公私秘钥对进行签名,也可以使用公钥/私钥的非对称算法 3.JWT的使用场景...
springboot整合jwt授权认证
qq_40052237的博客
04-21 238
引入jwt 在pom.xml中引入jwt <dependencies> <!-- 引入JWT --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version>
Spring Boot 访问安全之认证和鉴权
热门推荐
布道
07-04 1万+
在web应用中有大量场景需要对用户进行安全校,一般人的做法就是硬编码的方式直接埋到到业务代码中,但可曾想过这样做法会导致代码不够简洁(大量重复代码)、有个性化时难维护(每个业务逻辑访问控制策略都不相同甚至差异很大)、容易发生安全泄露(有些业务可能不需要当前登录信息,但被访问的数据可能是敏感数据由于遗忘而没有受到保护)。为了更安全、更方便的进行访问安全控制,我们可以想到的就是使用springmvc的...
SpringBoot系列: Web应用鉴权思路
weixin_34004576的博客
10-31 656
==============================web 项目鉴权============================== 主要的鉴权方式有:1. 用户名/密码鉴权, 然后通过 Session/Cookie 保存鉴权结果. 2. 用户名/密码鉴权, 通过 Basic authentication 方式, 每次请求都要将 appId/appSecret 加到 HTTP [Authori...
springboot整合JWT
09-05
SpringBoot整合JWT是一种常用的实现权限验证功能的方式JWT(Json Web Token)是一种基于JSON的开放标准,用于在网络应用环境中传递声明。在SpringBoot项目中整合JWT,可以实现用户身份验证和访问控制的功能。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

清梦社社长

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值