62.java项目-activiti实战项目(8)--Token(JWT)

最新推荐文章于 2024-03-07 14:57:53 发布
最新推荐文章于 2024-03-07 14:57:53 发布
阅读量536 收藏
点赞数 1
分类专栏: ihrm项目 javaEE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45449911/article/details/105925941
版权

本文逻辑
在这里插入图片描述

一.什么是Token?什么是JWT?

token的特点:
1.token和cookie一样,把用户认证的和授权的数据保存在客户端
2.token和cookie不一样的是,token避免了cookie的跨域问题.所以可以实现跨域.
3.token是实现的无状态服务器,也就是服务端不保存用户数据
4.Token 可以避免 CSRF 攻击(http://dwz.cn/7joLzx)

二.token的流程

  1. 客户端使用用户名跟密码请求登录
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  4. 客户端收到 Token 以后可以把它存储起来,比如放在header 里或者 Local Storage 里
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

具体详情参考:
https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc

三.代码实现

1.添加jwt的依赖

		<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.6.0</version>
        </dependency>

2.创建JWT的工具类,用于创建token和解析token

package com.ihrm.common.utils;


import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import lombok.Getter;
import lombok.Setter;
import org.springframework.boot.context.properties.ConfigurationProperties;

import java.util.Date;
import java.util.Map;

@Getter
@Setter
@ConfigurationProperties("jwt.config")
public class JwtUtils {
    //签名私钥
    private String key;
    //签名的失效时间
    private Long ttl;

    /**
     * 设置认证token
     *      id:登录用户id
     *      subject:登录用户名
     *
     */
    public String createJwt(String id, String name, Map<String,Object> map) {
        //1.设置失效时间
        long now = System.currentTimeMillis();//当前毫秒
        long exp = now + ttl;
        //2.创建jwtBuilder
        JwtBuilder jwtBuilder = Jwts.builder().setId(id).setSubject(name)
                .setIssuedAt(new Date())
                .signWith(SignatureAlgorithm.HS256, key);
        //3.根据map设置claims
        for(Map.Entry<String,Object> entry : map.entrySet()) {
            jwtBuilder.claim(entry.getKey(),entry.getValue());
        }
        jwtBuilder.setExpiration(new Date(exp));
        //4.创建token
        String token = jwtBuilder.compact();
        return token;
    }


    /**
     * 解析token字符串获取clamis
     */
    public Claims parseJwt(String token) {
        Claims claims = Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();
        return claims;
    }

}

3.用户登陆认证
用户登陆的时候获取用户数据存入token中,生成token返回可客户端

/**
     * 用户登录
     *  1.通过service根据mobile查询用户
     *  2.比较password
     *  3.生成jwt信息
     *
     */
    @RequestMapping(value="/login",method = RequestMethod.POST)
 public Result login(@RequestBody Map<String,String> loginMap) {
        String mobile = loginMap.get("mobile");
        String password = loginMap.get("password");
 		User user = userService.findByMobile(mobile);
        //登录失败
        if(user == null || !user.getPassword().equals(password)) {
            return new Result(ResultCode.MOBILEORPASSWORDERROR);
        }else {
            //登录成功
            //api权限字符串
            StringBuilder sb = new StringBuilder();
            //获取到所有的可访问API权限
            for (Role role : user.getRoles()) {
                for (Permission perm : role.getPermissions()) {
                    if(perm.getType() == PermissionConstants.PERMISSION_API) {
                        sb.append(perm.getCode()).append(",");
                    }
                }
            }
            Map<String,Object> map = new HashMap<>();
            map.put("apis",sb.toString());//可访问的api权限字符串
            map.put("companyId",user.getCompanyId());
            map.put("companyName",user.getCompanyName());
            String token = jwtUtils.createJwt(user.getId(), user.getUsername(), map);
            return new Result(ResultCode.SUCCESS,token);
     }

4.鉴权
用户访问api时,会有鉴权

 		//获取请求头Authorization中的数据
        String token = WebUtils.toHttp(request).getHeader("Authorization");
        if(StringUtils.isEmpty(id)) {
            //如果没有携带,生成新的sessionId
            return super.getSessionId(request,response);
        }else{
            //请求头信息样式:bearer sessionid
            token = token.replaceAll("Bearer ","");
            //返回sessionId;
            Claims claims = jwtUtils.parseJwt(token);
            String userid = claims.getId();
            //获取用户信息
            User user = userService.findById(userid);

5.拦截器,多所有的访问拦截,检查是否有token

/**
 * 自定义拦截器
 *      继承HandlerInterceptorAdapter
 *
 *      preHandle:进入到控制器方法之前执行的内容
 *          boolean:
 *              true:可以继续执行控制器方法
 *              false:拦截
 *      posthandler:执行控制器方法之后执行的内容
 *      afterCompletion:响应结束之前执行的内容
 *
 * 1.简化获取token数据的代码编写
 *      统一的用户权限校验(是否登录)
 * 2.判断用户是否具有当前访问接口的权限
 *
 */
@Component
public class JwtInterceptor extends HandlerInterceptorAdapter {

    /**
     * 简化获取token数据的代码编写(判断是否登录)
     *  1.通过request获取请求token信息
     *  2.从token中解析获取claims
     *  3.将claims绑定到request域中
     */

    @Autowired
    private JwtUtils jwtUtils;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 1.通过request获取请求token信息
        String authorization = request.getHeader("Authorization");
        //判断请求头信息是否为空,或者是否已Bearer开头
        if(!StringUtils.isEmpty(authorization) && authorization.startsWith("Bearer")) {
            //获取token数据
            String token = authorization.replace("Bearer ","");
            //解析token获取claims
            Claims claims = jwtUtils.parseJwt(token);
            if(claims != null) {
                //通过claims获取到当前用户的可访问API权限字符串
                String apis = (String) claims.get("apis");  //api-user-delete,api-user-update
                //通过handler
                HandlerMethod h = (HandlerMethod) handler;
                //获取接口上的reqeustmapping注解
                RequestMapping annotation = h.getMethodAnnotation(RequestMapping.class);
                //获取当前请求接口中的name属性
                String name = annotation.name();
                //判断当前用户是否具有响应的请求权限
                if(apis.contains(name)) {
                    request.setAttribute("user_claims",claims);
                    return true;
                }else {
                    throw new CommonException(ResultCode.UNAUTHORISE);
                }
            }
        }
        throw new CommonException(ResultCode.UNAUTHENTICATED);
    }
}

以上就是token的流程

leokk111
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
entfrm-boot可视化开发平台-其他
06-12
9、拓展插件10、分布式与微服务开发环境:开发工具IntelliJ IDEA、Navicat Premium后端技术Springboot2.x、SpringSecurity、Oauth2、JWT、mybatis-plus、activiti、Flutter、Mysql等前端技术Node.js 10+、Vue.js 2.6...
loan-application-system
03-29
7. **验证码与身份验证**:为防止恶意攻击,系统可能包含验证码机制,并通过OAuth2或JWT(JSON Web Token)进行用户身份验证。 8. **工作流引擎**:复杂的贷款审批流程可能需要工作流引擎,如Activiti或Flowable,...
Activity实战
qq_40194724的博客
08-09 677
安卓Activity实战
Android实战--小DEMO(JAVA关键字学习)一
张亚运的专栏
05-16 2114
学习技术最好的方式就是实战,看书看不到的东西太多了,实际操作时会碰到各种书本里提不到的问题,解决这些问题会迅速提升你的能力,你是一个solider,最好成长的方式就是实战。下面我们介绍一下个人做的一个小DEMO:JAVA关键字学习,这可以简单的理解成一本电子书,却也用到了一些技术,有助于初学者提升自己的能力。 进入程序的第一个图用于介绍作用:
Activiti工作流与业务整合实战
大摩羯先生
12-07 6374
Activiti工作流与业务整合进行实践,技术调研对比JBPM与Activiti工作流的特性,结合实际业务和技术背景对Activiti进行改造和融合,通过Aop切面抽离工作流业务,通过Spel进行形参实参绑定及复杂数据结构传参,通过合理的流程设计、架构设计实现Activiti与业务逻辑整合
Activiti介绍
TomCosin的博客
01-28 275
前言 之前项目中需要流程控制时,完全使用数据库表的状态字段来控制。 虽然开发定制起来方便,但是项目人员变动时带来了很大的不便;在新的流程出现开发一套也及其复杂。 什么时工作流 工作流(Workflow),就是通过计算机对业务流程自动化执行管理。它主要解决的是“使在多个参与者之间按照某种预定义的规则自动进行传递文档、信息或任务的过程,从而实现某个预期的业务目标,或者促使此目标的实现”。 activi...
activiti实战学习-笔记
waldenj的博客
02-02 172
修改默认数据库设置h2为mysql报错 解决:jdbc url转义符,修改activiti-custom-context.xml,重启tomcat https://blog.csdn.net/lb19921223/article/details/54616018 ----------------------------------...
java毕设:办公自动化系统。springboot+vue+element-ui 前后端分离.zip
02-24
例如,JWT(JSON Web Token)可以用于安全的身份验证,而Activiti或Flowable等开源工作流引擎可以帮助实现复杂的业务流程自动化。 总的来说,这个办公自动化系统利用SpringBoot、Vue.js和Element-UI的组合,构建了...
renren-fast开发文档3.0最新版
05-22
7. **JWT(JSON Web Token)**:作为身份验证机制,JWT的生成、验证和使用流程会在文档中进行说明,让开发者理解如何在renren-fast中实现无状态的身份验证。 8. **Redis缓存**:文档将涵盖如何使用Redis存储session...
oschina-git-osc-android-master_android源码_
10-03
“后端采用Spring Boot、Spring Security、activiti7、Redis & Jwt”这部分描述了项目的后端技术栈。Spring Boot简化了基于Spring的应用开发,通过预配置的 starter 包,可以快速启动项目。Spring Security是Spring...
activitiDemo+项目实战
03-20
根据传智播客activiti视频 整理的Demo+ 以及activiti项目实战完整版+excel笔记
activiti实战之初探(一)
做对一件事很重要
08-03 915
写在前面: 本专栏将参考《疯狂工作流讲义 基于Activiti 6.x的应用开发》编写activiti实战相关博文。读者有兴趣可以阅读此书更容易学习activiti流程引擎。 本文环境:java ,tomcat 1.运行官方例子 war包地址:链接: https://pan.baidu.com/s/1jtsiXNaAZ-IpZiZXSZCpJg 提取码: 6666 1.1 将三个war包(在源...
Activiti个人总结
王晓华
11-20 405
1,工作流(Workflow),就是“业务过程的部分或整体在计算机应用环境下的自动化”,它主要解决的是“使在多个参与者之间按照某种预定义的规则传递文档、信息或任务的过程自动进行,从而实现某个预期的业务目标,或者促使此目标的实现”。 工作流管理系统(Workflow Management System, WfMS)是一个软件系统,它完成工作量的定义和管理,并按照在系统中预先定义好的工作流规则进行工作...
spring boot2与activiti7完美结合(踩坑)
qq_18537055的博客
01-19 5937
前言 Activiti项目是一项新的基于Apache许可的开源BPM平台,从基础开始构建,旨在提供支持新的BPMN 2.0标准,包括支持对象管理组(OMG),面对新技术...
61.java项目-activiti实战项目(7)--权限控制RBAC模型
weixin_45449911的博客
05-04 1032
本文的架构如图 权限控制-RBAC模型 一.什么是RBAC模型 RBAC(全称:Role-Based Access Control)基于角色的权限访问控制,作为传统访问控制(自主访问,强制访 问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些 角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责 ...
activiti 工作流_activiti-boot快速开发工作流框架
weixin_39988930的博客
11-27 109
activiti-boot是一个快速开发的工作流框架,采用流行的框架springBoot+mybatis+shiro+redis开发,实现了权限管理(菜单权限、数据权限),activiti工作流程引擎,完善的代码生成器。项目功能:权限管理:采用Shiro实现功能权限和机构部门的数据控件权限,可控件菜单权限、按钮权限、机构部门权限(数据权限)工作流程引擎:采用主流的activiti流程引擎,在原基础...
一个前后端分离的Java快速开发平台,基于SpringBoot2.1.2、Mybatis-Plus3.1.0、Activiti6、RabbitMQ、提供ELK日志分析解决方案。...
chijianluo6901的博客
03-14 449
一个前后端分离的Java快速开发平台,基于SpringBoot2.X、Mybatis-Plus3.X。支持 Oracle、MySQL、DB2、Postgre、MariaDB、H2、HSQL、SQLite、SQLServer2005、SQLServer 等多种数据库。 技术交流 - 66502...
activiti7 工作流中的方法
最新发布
xwh041213的博客
03-07 416
首先获取申请表,用于启动流程(如果前端回传值是ID可忽略)
java中使用activiti(工作流)
热门推荐
Jxq_IT的博客
12-24 1万+
Activiti简介: Activiti5是由Alfresco软件在2010年5月17日发布的业务流程管理(BPM)框架,它是覆盖了业务流程管理、工作流、服务协作等领域的一个开源的、灵活的、易扩展的可执行流程语言框架。Activiti基于Apache许可的开源BPM平台,创始人Tom Baeyens是JBoss jBPM的项目架构师,它特色是提供了eclipse插件,开发人员可以通过插件直接绘画...
Could not find artifact org.jeecgframework.boot:jeecg-module-activiti:pom:3.1.0 in aliyun
10-08
您在阿里云上找不到org.jeecgframework.boot:jeecg-module-activiti:3.1.0的构件,可能是因为该版本尚未在阿里云仓库中发布。 有几种方法可以解决这个问题: 1. 检查您的仓库配置:请确保您的项目的pom.xml文件中添了阿里云仓库的配置,并且仓库的地址和凭据是正确的。例如: ```xml <repositories> <repository> <id>aliyun</id> <url>https://maven.aliyun.com/repository/public</url> </repository> </repositories> ``` 2. 更新仓库索引:如果您已经添了阿里云仓库的配置,请尝试更新Maven或Gradle的仓库索引以获取最新的构件信息。可以使用以下命令: - 对于Maven:`mvn clean install -U` - 对于Gradle:`./gradlew clean build --refresh-dependencies` 3. 检查构件版本:确认一下 `org.jeecgframework.boot:jeecg-module-activiti` 是否有其他可用的版本。您可以访问官方网站或仓库,查看是否有其他版本可供使用。 如果上述方法都无效,可能需要考虑其他选择来解决依赖问题,例如使用其他可用的构建版本或从其他可靠来源获取所需的构件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值