Springboot使用JWT做用户权限区分

最新推荐文章于 2024-09-05 17:59:05 发布
最新推荐文章于 2024-09-05 17:59:05 发布
阅读量598 收藏 3
点赞数 2
分类专栏: 笔记 文章标签: spring boot java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45645105/article/details/121041612
版权

** 简介:**对除了登录注册之外的接口做访问拦截,登录之后传递token值,之后每次前端访问接口都携带token,并在后端做一个公共类可以获取当前访问的用户信息。
目录总览
在这里插入图片描述

1.拦截器 /config

package com.ming.seatMonitoring.config;

import com.ming.seatMonitoring.interceptor.JWTInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @author Tcm
 *
 */
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                //不放行的接口;通常所有不放行
                .addPathPatterns("/**")
                //放行,
                .excludePathPatterns("/user/login");
    }

    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/img/**")
                .addResourceLocations("file:C:/temp-seat/");
    }

}

2.登录、解析token接口

package com.ming.seatMonitoring.controller;

import com.auth0.jwt.interfaces.DecodedJWT;
import com.ming.seatMonitoring.pojo.DO.UserInfoDO;
import com.ming.seatMonitoring.pojo.entity.ResultBody;
import com.ming.seatMonitoring.service.LoginService;
import com.ming.seatMonitoring.util.JWTUtil;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.util.HashMap;

/**
 * @author 小明
 * @date 2021/10/19
 * @description
 */
@RestController
@RequestMapping("/user")
public class LoginController {

    @Resource
    private LoginService loginService;

    @RequestMapping("/login")
    public ResultBody login(@RequestParam String userId,@RequestParam String passWord) {

        UserInfoDO login = loginService.login(userId,passWord);
        if (login!=null){
            HashMap<String, Object> map = new HashMap<>();
            try {
                //登录Service
                HashMap<String, String> payload = new HashMap<>();
                payload.put("userId",login.getUserId());
                payload.put("userName",login.getUserName());
                payload.put("email",login.getEmail());

                //生成JWT令牌
                String token = JWTUtil.getToken(payload);
                map.put("state",true);
                map.put("msg","认证成功");
                //响应token
                map.put("token",token);
            } catch (Exception e) {
                map.put("state",false);
                map.put("msg",e.getMessage());
            }
            System.out.println(map);
            return ResultBody.ok().data("token",map);
        }
        return ResultBody.error().message("登录失败,账号或密码错误!");
    }

    /**
     * 通过当前携带的token获取当前用户信息
     * @param request
     * @return
     */
    @RequestMapping("/explain")
    public ResultBody test(HttpServletRequest request) {
        HashMap<String, Object> map = new HashMap<>();
        //token=xx.xx.xx的头信息
        String token = request.getHeader("token");
        DecodedJWT verify = JWTUtil.verify(token);
        //通过k-v中的键取出(k不可以重复)
        String userId = verify.getClaim("userId").asString();
        String userName = verify.getClaim("userName").asString();
        String email = verify.getClaim("email").asString();
        System.out.println(userId);
        System.out.println(userName);
        System.out.println(email);

        map.put("userId",userId);
        map.put("userName",userName);
        map.put("email",email);

        return ResultBody.ok().data("info",map);
    }
}

3.token验证

package com.ming.seatMonitoring.interceptor;

import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.ming.seatMonitoring.pojo.DO.UserInfoDO;
import com.ming.seatMonitoring.util.JWTUtil;
import com.ming.seatMonitoring.util.LocalUser;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;

/**
 * @author Tcm
 */
public class JWTInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        HashMap<String, Object> map = new HashMap<>();
        //获取请求头中的令牌
        String token = request.getHeader("token");
        try {
            //验证令牌
            JWTUtil.verify(token);
            UserInfoDO user = JWTUtil.getUser(token);
            LocalUser.USER.set(user);
            //放行请求
            return true;
        }catch (SignatureVerificationException e){
            e.printStackTrace();
            map.put("msg","无效签名");
        }catch (TokenExpiredException e){
            e.printStackTrace();
            map.put("msg","token过期");
        }catch (Exception e){
            e.printStackTrace();
            map.put("msg","token无效");
        }
        //设置状态
        map.put("state",false);
        //将map 转为json jackson 返回信息
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(json);
        return false;
    }

    /**
     * 关闭当前线程
     * @param request
     * @param response
     * @param handler
     * @param modelAndView
     * @throws Exception
     */
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        LocalUser.USER.remove();
    }
}

4.返回封装类,可以用自己的

package com.ming.seatMonitoring.pojo.entity;



import lombok.Data;
import org.springframework.beans.BeanUtils;

import java.util.HashMap;
import java.util.Map;
/**
 * @author 小明
 * @date 2021/10/19
 * @description
 */
@Data
public class ResultBody {
    //是否成功
    private Boolean success;

    //返回码
    private Integer code;

    //返回信息
    private String message;

    //返回数据
    private Map<String,Object> data = new HashMap<>();

    //附带说明
    private Map<String,String> expound = new HashMap();

    private ResultBody(){}

    /**
     * 请求成功
     * @return
     */
    public static ResultBody ok(){
        ResultBody r =new ResultBody();
        r.setSuccess(true);
        r.setCode(200);
        r.setMessage("成功");
        return r;
    }

    /**
     * 请求失败
     * @return
     */
    public static ResultBody error(){
        ResultBody resultBody = new ResultBody();
        resultBody.setSuccess(false);
        resultBody.setCode(100);
        resultBody.setMessage("失败");
        return resultBody;
    }

    /**
     * 设置返回信息
     * @param message
     * @return
     */
    public ResultBody message(String message){
        this.setMessage(message);
        return this;
    }

    /**
     * 设置返回code
     * @param code
     * @return
     */
    public ResultBody code(Integer code){
        this.setCode(code);
        return this;
    }

    /**
     * 设置返回数据
     * @param key
     * @param value
     * @return
     */
    public ResultBody data(String key,Object value){
        this.data.put(key,value);
        return this;
    }

    /**
     * 设置返回类型
     * <br/> 基本引用类型、列表类型都不能使用该方法 <br/> 对map集合、对象兼容 <br/> <strong>使用时考虑清楚</strong>
     * @param data
     * @return
     */
//    @Deprecated
    public ResultBody data(Object data){
        BeanUtils.copyProperties(data,this.data);
        return this;
    }

}

5、登录实体类

package com.ming.seatMonitoring.pojo.DO;

import com.baomidou.mybatisplus.annotation.TableField;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

import java.time.LocalDateTime;
import java.util.Date;

/**
 * @author 小明
 * @date 2021/10/19
 * @description
 */
@Data
@AllArgsConstructor
@NoArgsConstructor
public class UserInfoDO {
    private int id;
    private String userId;
    private String userName;
    private String passWord;
    private String email;
    @TableField(value = "createTime")
    private Date createTime;
    @TableField(value = "updateTime")
    private Date updateTime;
    @TableField(value = "deleteTime")
    private Date deleteTime;
}

6、JWT工具类

package com.ming.seatMonitoring.util;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.ming.seatMonitoring.pojo.DO.UserInfoDO;

import java.util.Calendar;
import java.util.Map;

/**
 * @author Tcm
 */
//抑制警告
@SuppressWarnings("all")
public class JWTUtil {
    //签名,自己设置一串复杂的字符串
    private static final String SING = "!Q@W#E$R%t";

    /**
     * 生成token
     * @param map 用户信息(userId,2019211715)
     * @return
     */
    public static String getToken(Map<String,String> map) {
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.DATE,7);//默认7天过期


        //创建jwt builder
        JWTCreator.Builder builder = JWT.create();
        //payload
        map.forEach((k,v)->{
            builder.withClaim(k,v);
        });
        //指定令牌过期时间
        String token = builder.withExpiresAt(instance.getTime())
                .sign(Algorithm.HMAC256(SING));//sign
        return token;
    }
    /**
     * 解析token
     * @param token
     * @return
     */
    public static DecodedJWT verify(String token){
        return JWT.require(Algorithm.HMAC256(SING)).build().verify(token);
    }

    public static UserInfoDO getUser(String token){
        final UserInfoDO userInfoDO = new UserInfoDO();
        DecodedJWT verify = JWTUtil.verify(token);
        String userId = verify.getClaim("userId").asString();
        String userName = verify.getClaim("userName").asString();
        String email = verify.getClaim("email").asString();

        userInfoDO.setUserId(verify.getClaim("userId").asString());
        userInfoDO.setUserName(verify.getClaim("userName").asString());
        userInfoDO.setEmail(verify.getClaim("email").asString());
        return userInfoDO;
    }
}

7、获取当前线程

package com.ming.seatMonitoring.util;

import com.ming.seatMonitoring.pojo.DO.UserInfoDO;
import org.springframework.stereotype.Component;

/**
 * @author 小明
 * @date 2021/10/27
 * @description
 */
@Component
public class LocalUser {
    public static ThreadLocal<UserInfoDO> USER = new ThreadLocal<>();
}
小明晚安 了
关注
专栏目录
SpringBoot集成shiro+redis+jwt多realm实现登录(支持密码、免密校验、多用户表校验)
liangshitian的博客
09-11 3894
本篇文章主要介绍 Shiro多realm,根据不同的登录类型指定不同的 realm。由于项目上需要支持原有的sys_user系统用户登录验证,又要加上现在需要微信端sys_wx_user的用户验证。实现的思路就是需要前端在请求头里加一个loginType字段来区分当前登录使用那个realm去认证。而且这个多realm还可以密码和免密校验。 1、目前需要两个Realm,第一个是默认的系统认证(DefaultUserRealm.java) 这里和正常的shiro认证逻辑一致,主要是验证sys_us.
springboot + springsecurity后台管理员权限分级
weixin_45535665的博客
04-02 3428
springboot + springsecurity后台管理员权限分级,密码擦除,thymeleaf-extras-springsecurity5,个人心得
JWT用户区分
weixin_45645105的博客
08-10 495
JsonWebToken(jwt)简介: 客户端发送参数(username=123,password=123)到服务器,服务器接收请求,将需要的参数通过算法处理生成一个字符串,将此字符串放在响应头中返回,之后客户端发送请求都会携带上token的请求头,服务器再将token用相同的算法解析出来就可以拿到对应的参数。 使用步骤: 1.添加maven依赖 <dependency> <groupId>com.auth0</groupId> <artifactId
Springboot整合JWT实现权限校验
最新发布
qq_40694396的博客
09-05 1060
springboot整合jwt实现权限验证
jwt 权限校验分配
噗嗤
04-25 543
springboot整合jwt,实现token验证(入门) 简述 看这一篇文章需要结合我上一篇文章来看,这里代码实现我不会再全部粘上,这一篇没有的上一篇都有。这一篇是上一篇功能的升级版。 实现流程 定义角色分配的参数(role),存放到数据库中。 登录的时候,从数据库中取出定义的权限参数,生成到token当中。 从token中解析出role字段值。用于区分权限。(在这里我自定义了个注解) 解析token中的role和我注解分配的值比对。 代码实现 1、自定义注解 @Target({ElementT
Shiro&JWT实现用户登录和权限管理
qq_40585384的博客
04-06 4258
Shiro&JWT&权限管理开始之前我们先了解两个概念认证(authentication)授权(authorization)shiro和jwt的简单介绍实现认证和授权的整体思路数据库表设计代码实现登录JWT生成token(附带验证的一些工具类)过滤器自定义MyRealmMyRealm的解释Shiro注解代码测试登录登入获取token未携带token访问资源未携带token访问资源携...
用户管理——认证功能JWT和Session
BlueProtocolBlog
02-17 1119
基于session和基于JWT的方式的主要区别就是用户的状态保存的位置,session是保存在服务端的,而JWT是保存在客户端的
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
热门推荐
qq_44709990的博客
02-23 4万+
登录和用户认证是一个网站最基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Spring Security + JWT实现登录及用户认证
SpringBoot整合jwt
luochengcs000的博客
08-05 414
简介 对于一些需要使用权限才能访问的接口,我们可以使用jwt签名生成相应的token,客户端在请求数据的时候传递token,然后jwt校验用户是否有权限访问我们的资源;极大的简化了我们的开发,也避免自己编写的加密算法不严谨的问题。 操作步骤 1、pom.xml引入jwt依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifact
SpringBoot通过Jwt验证登陆用户的身份
anron的专栏
04-13 1058
一、概述 用户身份验证主要有传统的Session认证和基于Token的认证 1.1 传统的Session认证 服务端根据用户的SessionID去Session中读取用户是否登陆的信息。 用户在登陆时向我们的服务器发送用户名和密码,通过验证后,服务器需要记录用户已经登陆的信息,以便用户继续请求其他接口时通过验证,用户已经登陆的信息是保存在服务器的Session中,随着登陆用户的增多,服务端...
Laravel 5.2 使用 JWT 完成多用户认证
wangjinbao5566的博客
12-07 5519
Json Web Token# JWT代表Json Web Token.JWT能有效地进行身份验证并连接前后端。 降地耦合性,取代session,进一步实现前后端分离减少服务器的压力可以很简单的实现单点登录 我在实现这个功能的时候查到了这个扩展“tymon/jwt-auth”,最新稳定版是0.5.9。OK照着wiki撸起来,第一步我们先实现API 安装扩展# composer r
SpringBoot 并发登录人数控制的实现方法
08-25
主要介绍了SpringBoot 并发登录人数控制的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Java权限管理|基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
qq_38200425的博客
12-09 3588
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证 1. 项目说明 主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限; 2.
SpringBootSecurity学习(13)前后端分离版之JWT
Blues的专栏
10-04 1696
JWT 使用 前面简单介绍了把默认的页面登录改为前后端分离的接口异步登录的方法,可以帮我们实现基本的前后端分离登录功能。但是这种基本的登录和前面的页面登录还有一个一样的地方,就是使用session和cookie来维护登录状态,这种方法的问题在于,扩展性不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。 一种解...
权限基本操作:api介绍和基本service与controller
Leon_Jinhai_Sun的博客
12-29 480
package com.learn.system.controller; import com.learn.common.entity.PageResult; import com.learn.common.entity.Result; import com.learn.common.entity.ResultCode; import com.learn.domain.system.Permi...
(B站云e办)SpringBoot开发项目实战记录(三)(用户角色判断、url判断角色、职位管理crud)
Seven597的博客
01-12 868
SpringBoot开发项目实战记录(三)一、 根据请求的url判断角色1.1 业务层Service1.2 mapper层1. 查询的xml2. 返回格式map (MenusWithRole)3. url匹配权限过滤器 一、 根据请求的url判断角色 1.1 业务层Service 首先要拿到每个菜单对应的角色 /** * 根据角色查菜单 * @return */ @Override public List<Menu> getMenusWithR
springboot给方法参数加注解判断当前登录用户
qq_41358574的博客
10-05 714
自定义注解:LoginUser。
Springboot集成JWT登录拦截
lxj673011332的博客
08-18 8287
为什么需要JWT 在传统的 session 验证中,服务端必须保存 session ID,用于与用户传过来的 cookie 验证。而在一开始保存 session ID 时, 只会保存在一台服务器上,所以只能由一个 server 应答,就算其他服务器有空闲也无法应答,因此也利用不到分布式服务器的优点。 而 JWT 依赖的是在客户端本地保存验证信息,不需要利用服务器保存的信息来验证,所以...
SpringBoot + SpringSecurity+jwt 实现验证
南归客的博客
09-17 1万+
SpringBoot + SpringSecurity+jwt 实现验证 记录一下使用springSecurity实现jwt的授权方法,这方法可以实现权限的基本认证。当然这个案例还有许多的问题,不过还是先记录一下。其他功能以后在补充。 建议工程创建流程 创建 JwtTokenUtils 创建 jwtAccessDeniedHandler 和 JwtAuthenticationEntryPoint 创建 UserDetailsServiceImpl 创建 JwtAuthenticationFilter
后端分离的springboot vue 项目怎么区分用户角色,需要用到session吗
05-26
在前后端分离的项目中,通常采用基于token的认证方式来进行用户身份的区分,而不是使用传统的session方式。具体来说,用户在登录后,服务端会生成一个token并返回给客户端,客户端在后续的请求中需要携带该token,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值