Java开发中token 的使用

最新推荐文章于 2024-10-29 17:56:02 发布
最新推荐文章于 2024-10-29 17:56:02 发布
阅读量9.9k 收藏 52
点赞数 2
文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45511144/article/details/119035360
版权
本文详细介绍了如何使用JWT(JSON Web Tokens)进行用户登录验证,并通过拦截器实现请求的权限校验。首先,创建JWT工具类,设置token的过期时间和秘钥,然后在登录接口中生成并返回token。接着,配置拦截器,检查请求头中的token,通过则允许访问,否则返回错误信息。最后,配置拦截器排除部分不需要验证的接口路径。整个过程确保了API的安全性和访问控制。
摘要由CSDN通过智能技术生成

Token

流程: 1.建立token工具类,先编辑token签名sign():设置超时时长、token秘钥。 2.配置拦截器类,拦截器中重写preHandle()方法,对每次请求进行自定义的拦截操作。 3.建立配置类:定义拦截与不拦截的接口信息。

页面请求登录接口→登录成功后,返回登录信息+token秘钥给前端→前端记住密钥信息,并赋予每个接口(例:在每个接口访问时将秘钥信息放置于headers中的参数下)→拦截器接到请求,从headers获取token密钥进行匹配,通过则继续访问,不通过则返回提示信息。

1..建立token工具类,先编辑token签名sign():设置超时时长、token秘钥。

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import lombok.extern.slf4j.Slf4j;
​
import java.io.UnsupportedEncodingException;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
​
@Slf4j
public class JwtUtil {
    /**
     * 过期时间
     */
    private static final long EXPIRE_TIME = 15 * 60 * 1000;
     /**
      * token秘钥
      */
    private static final String TOKEN_SECRET = "c369a1e4-43ee-4e1e-b130-2b952f1ba9ad";
​
    /**
     * 签名方法
     * @Param userName  userName
     * @Param role  role
     * @return String role
     */
    public static String sign(String userName, String role) {
        log.info("sign begin.");
        try {
            // 过期时间
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            // 秘钥和加密算法
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            // headers
            Map<String, Object> herders = new HashMap<>(2);
            herders.put("typ", "JWT");
            herders.put("alg", "HS256");
            log.info("sign end.");
            return JWT.create()
                    .withHeader(herders)
                    .withClaim("userName", userName)
                    .withClaim("role", role)
                    .withExpiresAt(date)
                    .sign(algorithm);
        } catch (UnsupportedEncodingException exception) {
            exception.printStackTrace();
            log.info("sign error.");
            return exception.getMessage();
        }
    }
​
    /**
     * token 校验方法
     * @Param userName  userName
     * @return String role
     */
    public static boolean verify(String token) {
        log.info("verify begin.");
        try {
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            JWTVerifier verifier = JWT.require(algorithm).build();
            verifier.verify(token);
            log.info("verify end.");
            return true;
        } catch (UnsupportedEncodingException exception) {
            log.info("verify error.");
            exception.printStackTrace();
            return false;
        }
    }
}

2.controller层登录操作中设置登录校验及token插入:

/**
 * @program: smartOperationTest
 * @description: 用户操作
 * @author: 作者名字
 * @create: 2021-07-15 10:37
 **/
@Controller
@RequestMapping("/user")
@Api("userActionController")
@CrossOrigin(value = "*", maxAge = 3600)
@Slf4j
public class UserActionController {
​
    @Autowired
    UserInfoServiceImpl userInfoService;
​
    @RequestMapping(value = "/login", method = RequestMethod.GET)
    @ApiOperation(value = "登录", notes = "")
    @ResponseBody
    public CommonResultBO userLogin(@RequestParam() String username, @RequestParam() String password) {
        CommonResultBO resultBO = userInfoService.getUserInfo(username, password);
        Integer statusCode = resultBO.getStatusCode();
        if (statusCode == 200) {// 登录校验通过则插入token信息
            UserInfo userInfo = (UserInfo)resultBO.getData();
            String token = JwtUtil.sign(username, userInfo.getRole());
            resultBO.setData(token);
            return resultBO;
        }
        resultBO.setData("");
        resultBO.setStatusCode(1);
        resultBO.setStatusMessage("token failed");
        return resultBO;
    }
}

3.设置拦截器

import com.alibaba.fastjson.JSONObject;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
​
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
​
/**
 * @program: smartOperationTest
 * @description: 拦截器
 * @author: 作者名字
 * @create: 2021-07-15 16:20
 **/
@Component
@Slf4j
public class TokenInterceptor implements HandlerInterceptor {
​
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws IOException {
        log.info("preHandle begin.");
        response.setCharacterEncoding("utf-8");
        String token = request.getHeader("accessToken");
        log.info("preHandle begin TOKEN: {}." + token);
        // token通过验证 返回true 继续访问
        if (null != token) {
            boolean result = JwtUtil.verify(token) ;
            if (result) {
                log.info("preHandle end.");
                return true;
            }
        }
        // token验证不通过 返回失败提示
        CommonResultBO commonResultBO = CommonResultBO.init(null, -1, "failed", "token invalid");
        response.getWriter().write(JSONObject.toJSONString(commonResultBO));
        log.info("preHandle end.");
         return false;
    }
}

4.建立配置类,明确拦截与不拦截的接口:/*拦截一层路径,/**拦截/后全布路径。

import com.hawk.smartoperationtest.common.TokenInterceptor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.*;
​
/**
 * @program: smartOperationTest
 * @description: 自定义拦截器配置
 * @author: 作者名字
 * @create: 2021-07-15 16:48
 **/
@Configuration
@Slf4j
public class MvcConfig extends WebMvcConfigurationSupport {
​
    @Autowired
    TokenInterceptor tokenInterceptor;
​
    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        //添加自定义拦截器
        log.info("addInterceptors begin.");
        InterceptorRegistration patterns = registry.addInterceptor(tokenInterceptor).addPathPatterns("/mary/**")    //指定拦截的url地址
                .excludePathPatterns("/user/**", "/swagger-resources/**", "/v2/**");
        log.info("addInterceptors :" + patterns.toString());
    }
​
    /**
     * 发现如果继承了WebMvcConfigurationSupport,则在yml中配置的相关内容会失效。
     * 配置拦截器后swagger访问会被拦截 按如下配置可保持swagger访问
     * 需要重新指定静态资源
     * @param registry
     */
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
//        registry.addResourceHandler("/**").addResourceLocations("classpath:/static/");
        registry.addResourceHandler("swagger-ui.html")
                .addResourceLocations("classpath:/META-INF/resources/");
        registry.addResourceHandler("/webjars/**")
                .addResourceLocations("classpath:/META-INF/resources/webjars/");
//        super.addResourceHandlers(registry);
    }
}

登录验证通过后,再次进行接口访问时,header中就要携带token信息进行校验。例:

accessToken:xxxtoken加密信息xxxx

verify()也可以用于任意地方进行token校验

解析token:例

DecodedJWT verify = verifier.verify(token);
String role = verify.getClaim("role").asString();
乔纳森乔碧萝
关注
javatoken原理及生成使用机制
weixin_57176230的博客
05-21 7378
常用认证机制介绍 1、HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth 这种认证方法的优点是简单,容易理解。 缺点有: 不安全:认证身份信
java token使用_token简单的使用
weixin_39548972的博客
02-15 1309
这里对token的简单的使用进行测试和描述其原理就不在这里描述了!具体测试流程:用户在前端请求登录——>在后台验证通过后根据用户ID生成token——>请求返回时将token带给前端并存在前端——>以后前端再次请求时需要带上token——>后台接受到token并验证,如果验证通过,返回true,否则false(实际情况下就是验证通过,这次请求成功,否则这次请求无效)1、数据...
java创建token单例模式
Megamind_HL的博客
04-25 1289
public class TokenProccessor { /* *单例设计模式(保证类的对象在内存只有一个) *1、把类的构造函数私有 *2、自己创建一个类的对象 *3、对外提供一个公共的方法,返回类的对象 */ private TokenProccessor(){} private static ...
全网超细--Java实现Token登录验证步骤实现
欢迎来到快乐懒洋洋的博客
05-08 3773
2、后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串。5、后端检查前端传过来的JWT Token,验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等。6、验证通过后,后端解析出JWT Token包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果。
token用法(生成和验证)
weixin_45582252的博客
09-27 1163
首先我们先来看一下图显示的token,相信很多朋友都听说过token这种东西,但是没有深入了解过这些东西,下面让我浅显的介绍一下。首先,Token(令牌)是一个广泛使用的概念,尤其在计算机科学和网络安全领域。它的具体含义和用途可能会根据上下文有所不同。
JavaToken
m0_65732083的博客
06-12 1788
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。基于 Token 的身份验证使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程是这样的:客户端使用用户名跟密码请求登录服务端收到请求,去验证用户名与密码验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端。
Java实现基于token认证
热门推荐
程序员阿坤的博客
08-20 6万+
随着互联网的不断发展,技术的迭代也非常之快。我们的用户认证也从刚开始的用户名密码转变到基于cookie的session认证,然而到了今天,这种认证已经不能满足与我们的业务需求了(分布式,微服务)。我们采用了另外一种认证方式:基于token的认证。 一、与cookie相比较的优势: 1、支持跨域访问,将token置于请求头,而cookie是不支持跨域访问的; 2、无状态化,服务...
JAVAToken
Guan_shijie的博客
09-06 2万+
JAVAToken 基于Token的身份验证 来源:转载   最近在做项目开始,涉及到服务器与安卓之间的接口开发,在此开发过程发现了安卓与一般浏览器不同,安卓在每次发送请求的时候并不会带上上一次请求的SessionId,导致服务器每次接收安卓发送的请求访问时都新建一个Session进行处理,无法通过传统的绑定Session来进行保持登录状态和通讯状态。   基于传统方法无法判断安卓的
Java Token 是什么,有哪些用途
u013749113的博客
05-19 3490
Token 是一种身份验证机制,通常由服务器生成并返回给客户端,客户端在后续的请求携带 Token,以证明自己的身份。在 Java Token 的应用场景非常广泛,例如用户登录、API 认证、OAuth 授权等等。在用户登录的场景,服务器通常会在用户登录成功后生成一个 Token,并将 Token 返回给客户端。客户端在后续的请求携带 Token,以证明自己的身份。服务器会验证 Token 的有效性,并根据 Token 来识别当前登录的用户。
Java微信公众平台开发(6) 微信开发token获取
08-30
主要为大家详细介绍了Java微信公众平台开发第六步,微信开发token获取,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
JAVA maven项目使用钉钉SDK获取token、用户
08-19
通过上述步骤,我们可以在JAVA Maven项目使用钉钉SDK完成获取token、部门信息、用户信息等操作。需要注意的是,实际开发应妥善管理`appKey`和`appSecret`,避免泄露给不信任的第三方,以保证应用和数据的安全。...
JWT(java web Token)
01-22
token 去访问实现了jwt认证的web服务器。 token 可保存自定义信息,如用户基本信息, web服务器用解析token,解决跨域授权的问题
获得tokenjava代码片段
07-07
获得tokenjava代码片段,网上大部分是PHP代码,这是Java代码在action里定义token值,写一个doget方法传给微信。
JAVAToken 基于Token的身份验证实例
08-24
主要介绍了JAVAToken 基于Token的身份验证实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
java token验证和注解方式放行
08-28
总的来说,这个主题涵盖了身份验证、权限控制和Spring Security的使用,这些都是Java Web开发的核心安全实践。理解并正确实施这些机制对于构建安全的Web服务至关重要。如果你在使用过程遇到任何问题,社区的支持...
使用java代码获取新浪微博应用的access token代码实例
08-26
在本文,我们将深入探讨如何使用Java代码获取新浪微博应用的Access Token。Access Token是OAuth授权框架下用于访问受保护资源的密钥,它允许应用程序代表用户执行特定操作,如发布微博、读取用户信息等。在Java...
Java使用JWT实现Token认证机制
最新发布
pan_junbiao的博客
10-29 934
JWT(JSON Web Token)是一种用于在网络上安全地传输信息的简洁的、URL 安全的表示方法,它定义了一个紧凑且自包含的方式,用于不同实体之间安全地传输信息(JSON格式)。JWT 通常由三部分组成,分别是 Header(头部)、Payload(有效载荷)和 Signature(签名)。JWT是一种简单、安全、便捷的身份验证和授权机制,在现代Web应用程序得到广泛应用。然而,在使用JWT时也需要注意其安全性问题,并采取相应的措施来确保JWT的安全性和完整性。
token是什么意思java_javaToken验证用法 什么是Token
weixin_39925813的博客
02-16 697
突然发现这篇 java博文的浏览器已经破三千了,我觉得还是有必要提一下,在实际的工作项目,如果采用这种方法的话,可能代码量会比较多,很繁琐,但优点是对于新人可能是更好的去理解吧(至少我最初是这么认为的)。这里我推荐一篇博文吧,很简便:Spring MVC拦截器+注解方式实现防止表单重复提交—–tag—–什么是Token:它是一个令牌,随机不可预测的。为什么需要使用Token: 1,防止表单的重复...
javaToken验证
waeceo的专栏
07-31 3234
突然发现这篇博文的浏览器已经破三千了,我觉得还是有必要提一下,在实际的工作项目,如果采用这种方法的话, 可能代码量会比较多,很繁琐,但优点是对于新人可能是更好的去理解吧(至少我最初是这么认为的)。 这里我推荐一篇博文吧,很简便:Spring MVC拦截器+注解方式实现防止表单重复提交 -----tag----- 什么是Token:它是一个令牌,随机不可预测的。 为什
解析XMLTokener.javaToken故事
在实现上,XMLTokener可能使用一个字符输入流(InputStream)作为输入源,然后逐步解析输入流的字符。该类需要处理特殊字符(如", ">", "&", "\"", "'"等)以及它们在XML的特殊意义,例如"<"代表",">...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值