JWT加入注解实现权限认证

最新推荐文章于 2024-04-17 09:33:12 发布
最新推荐文章于 2024-04-17 09:33:12 发布
阅读量657 收藏 5
点赞数 1
分类专栏: 工具 mybatis jwt 文章标签: jwt
本文链接:https://blog.csdn.net/weixin_45853881/article/details/117066147
版权
工具 同时被 3 个专栏收录
22 篇文章 0 订阅
订阅专栏
jwt
4 篇文章 0 订阅
订阅专栏
mybatis
3 篇文章 0 订阅
订阅专栏

jwt目录

git仓库地址(代码可以直接下载使用):https://gitee.com/xu-kangyu/jwt-permission-verification

jwt简介:

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

基本流程

1。用户输入账号密码,
2。进行验证返回给用户一个token,
3。用户访问一个接口
4。判断这个接口是否需要登录,不需要登录就直接访问,需要登录,在查看是否需要权限,
5.然后解析用户的token,查看用户是否有权限进行访问

yml还是连接数据库的那一套
建表

CREATE TABLE `user_account` (
  `acc_id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT '账号id',
  `username` varchar(128) COLLATE utf8_unicode_ci NOT NULL COMMENT '账号',
  `password` varchar(128) COLLATE utf8_unicode_ci NOT NULL COMMENT '密码',
  `pwd_key` char(8) COLLATE utf8_unicode_ci NOT NULL COMMENT '随机密码盐',
  `role` char(2) COLLATE utf8_unicode_ci NOT NULL DEFAULT '0' COMMENT '权限',
  `create_time` datetime NOT NULL COMMENT '创建时间',
  PRIMARY KEY (`acc_id`)
)

数据库
在这里插入图片描述

引入依赖

pom.xml

<!--JWT-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

导入工具类

自定义异常抛出类BaseException

package com.ly.jwt.utils;

/**
 * 错误信息
 *
 * @Author: 宇
 * @catalogue: com.example.hotelmanagement.utils
 * @Date: 1999/9/9 9:99
 * @Version: 1.0
 */
public class BaseException extends RuntimeException {

    /**
     * 状态码
     */
    private String code;
    /**
     * 错误信息
     */
    private String errorMessage;


    public BaseException(String errorMessage) {
        super(errorMessage);
        this.code = "500";
        this.errorMessage = errorMessage;
    }

    public BaseException(String code, String errorMessage) {
        super(errorMessage);
        this.code = code;
        this.errorMessage = errorMessage;

    }

    public String getCode() {
        return code;
    }

    public void setCode(String code) {
        this.code = code;
    }

    public String getErrorMessage() {
        return errorMessage;
    }

    public void setErrorMessage(String errorMessage) {
        this.errorMessage = errorMessage;
    }
}

自定义返回类JsonResult

package com.ly.jwt.utils;

/**
 * 返回json调用
 *
 * @Author: 宇
 * @catalogue: com.example.hotelmanagement.utils
 * @Date: 1999/9/9 9:99
 * @Version: 1.0
 */
public class JsonResult<T> {
    /**
     * 返回码
     */
    private String code;
    /**
     * 返回信息
     */
    private String message;
    /**
     * 返回集
     */
    private T data;

    /**
     * 无参构造
     */
    public JsonResult() {
    }

    /**
     * 自定义返回类,查询方法
     *
     * @param data
     */
    public JsonResult(T data) {
        this.code = "200";
        this.message = "操作成功";
        this.data = data;
    }

    /**
     * @param message
     * @param data
     */
    public JsonResult(String message, T data) {
        this.code = "200";
        this.message = message;
        this.data = data;
    }

    /**
     * @param code
     * @param message
     * @param data
     */
    public JsonResult(String code, String message, T data) {
        this.code = code;
        this.message = message;
        this.data = data;
    }

    public String getCode() {
        return code;
    }

    public void setCode(String code) {
        this.code = code;
    }

    public String getMessage() {
        return message;
    }

    public void setMessage(String message) {
        this.message = message;
    }

    public T getData() {
        return data;
    }

    public void setData(T data) {
        this.data = data;
    }
}

jwt生成token验证解析token的地方TokenUtil

package com.ly.jwt.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.ly.jwt.db.entity.UserAccount;
import org.apache.commons.lang3.StringUtils;

import javax.servlet.http.HttpServletRequest;
import java.text.SimpleDateFormat;
import java.util.Date;

/**
 * token生成
 *
 * @Author: 宇
 * @catalogue: com.example.hotelmanagement.utils
 * @Date: 1999/9/9 9:99
 * @Version: 1.0
 */
public class TokenUtil {
    /*
        过期时间为24小时,毫秒计时的---毫秒--》秒--》分--》小时--》天
        private static final long EXPIRE_TIME= 60 * 24 * 60 * 1000;
     */
    private static final long EXPIRE_TIME = 60 * 1000 * 60 * 24;

    /**
     * 密钥,注意这里如果真实用到,应当设置到复杂点,相当于私钥的存在。如果被人拿到,相当于它可以自己制造token了。
     */
    private static final String TOKEN_SECRET = "token-ly";  //密钥盐

    /**
     * 签名生成
     *
     * @param userAccount
     * @return
     */
    public static String sign(UserAccount userAccount) {
        String token = null;
        try {
            Date expiresAt = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            token = JWT.create()
                    //存入token中,accId账号id,username用户名,role权限
                    .withClaim("accId", userAccount.getAccId())
                    .withClaim("username", userAccount.getUsername())
                    .withClaim("role", userAccount.getRole())
                    .withExpiresAt(expiresAt)
                    // 使用了HMAC256加密算法。
                    .sign(Algorithm.HMAC256(TOKEN_SECRET));
        } catch (Exception e) {
            e.printStackTrace();
        }
        return token;
    }

    /**
     * 签名验证
     *
     * @param token
     * @return
     */
    public static boolean verify(String token) {
        if (StringUtils.isBlank(token)) {
            throw new BaseException("token为空");
        }
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(TOKEN_SECRET)).build();//自定义的
            DecodedJWT jwt = verifier.verify(token);
            System.out.println("认证通过:");
            System.out.println("accId: " + jwt.getClaim("accId").asLong());
            System.out.println("username: " + jwt.getClaim("username").asString());
            System.out.println("role: " + jwt.getClaim("role").asString());
            SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
            System.out.println("过期时间:" + sdf.format(jwt.getExpiresAt()));
            return true;
        } catch (Exception e) {
            return false;
        }
    }

    /**
     * <p> 获得accId,操作人 </p>
     *
     * @param request
     * @return int
     * @Description getIdByToken
     * @date 1999/9/9 9:99
     */
    public static Long getIdByToken(HttpServletRequest request) {
        String token = request.getHeader("token");
        DecodedJWT jwt = JWT.decode(token);
        return jwt.getClaim("accId").asLong();
    }

    /**
     * <p> 获得用户名 </p>
     *
     * @param request
     * @return java.lang.String
     * @Description getUserNameByToken
     * @date 1999/9/9 9:99
     */
    public static String getUserNameByToken(HttpServletRequest request) {
        String token = request.getHeader("token");
        DecodedJWT jwt = JWT.decode(token);
        return jwt.getClaim("username").asString();
    }

    /**
     * <p> 获得权限 </p>
     *
     * @param request
     * @return java.lang.String
     * @Description getRoleByToken
     * @date 1999/9/9 9:99
     */
    public static String getRoleByToken(HttpServletRequest request) {
        String token = request.getHeader("token");
        DecodedJWT jwt = JWT.decode(token);
        return jwt.getClaim("role").asString();
    }
}

jwt配置类

验证token,进行拦截访问的TokenInterceptor

package com.ly.jwt.config;

import com.alibaba.fastjson.JSONObject;
import com.ly.jwt.utils.BaseException;
import com.ly.jwt.utils.TokenUtil;
import org.apache.commons.lang3.StringUtils;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.lang.reflect.Method;

@Component
public class TokenInterceptor implements HandlerInterceptor {
    /**
     * 没有封装那么多,只是类上可以写不需要登录。方法上就不用写了
     * 方法上也可以写不需要登录,权限什么的在方法上面写,类上暂时没有写
     *
     * @param request
     * @param response
     * @param handler
     * @return boolean
     * @Description preHandle
     * @date 1999/9/9 9:99
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws IOException {
        //判断状态
        if (request.getMethod().equals("OPTIONS")) {
            response.setStatus(HttpServletResponse.SC_OK);
            return true;
        }
        //设置编码
        response.setCharacterEncoding("utf-8");
        response.setContentType("application/json; charset=utf-8");
        // 从 http 请求头中取出 token
        String token = request.getHeader("token");
        //实例化
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        //返回此处理程序方法的方法,也就是取得接口的方法
        Method method = handlerMethod.getMethod();
        //查看类是否存在注释
        if (method.getDeclaringClass().getAnnotation(RolePermission.class) != null) {
            //取得类注释
            RolePermission a = method.getDeclaringClass().getAnnotation(RolePermission.class);
            //获取login的访问权限,是登录完访问,还是不登录就可以访问,false是不需要登录就可以访问
            if (!a.login()) {
                return true;
            }
        }
        //查看接口是否存在注释
        if (method.isAnnotationPresent(RolePermission.class)) {
            //取得接口的注解
            RolePermission annotation = method.getAnnotation(RolePermission.class);
            //获取login的访问权限,是登录完访问,还是不登录就可以访问
            //不需要登陆就可以访问
            if (!annotation.login()) {
                return true;
            }
        }
        //if必须分开,避免方法没有注解,也需要进行普通的拦截
        //判断token不为空,也可以不判断,因为验证的时候就进行了判断
        if (!StringUtils.isBlank(token)) {
            //获取token的权限
            String role = TokenUtil.getRoleByToken(request);
            //查看接口是否存在注释
            if (method.isAnnotationPresent(RolePermission.class)) {
                //取得接口的注解
                RolePermission annotation = method.getAnnotation(RolePermission.class);
                //获取接口需要的权限
                String roleRolePermission = annotation.role();
                if (StringUtils.isBlank(roleRolePermission)) {
                    throw new BaseException("接口权限获取失败");
                }
                //使用indexOf方法从头开始检索是否存在role,存在就返回位置,不存在就返回-1
                int i = roleRolePermission.indexOf(role);
                if (i == -1) {
                    throw new BaseException("用户权限不足");
                }
            }
            //判断是否通过验证
            boolean result = TokenUtil.verify(token);
            //通过拦截器
            if (result) {
                return true;
            }
        }
        throw new BaseException("认证失败,未通过拦截器");
//        try {
//            json.put("code", "50000");
//            json.put("message", "认证失败,未通过拦截器");
//            json.put("data", "false");
//            response.getWriter().append(json.toJSONString());
//        } catch (Exception e) {
//            e.printStackTrace();
//            response.sendError(500);
//            return false;
//        }
//        return false;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }

}

配置拦截的IntercepterConfig

package com.ly.jwt.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import java.util.ArrayList;
import java.util.List;

/**
 * 拦截器配置
 */
@Configuration
public class IntercepterConfig implements WebMvcConfigurer {

    private TokenInterceptor tokenInterceptor;

    /**
     * @param tokenInterceptor
     * @return
     * @introduction: 构造方法
     * @date 2021/5/19 21:41
     */
    public IntercepterConfig(TokenInterceptor tokenInterceptor) {
        this.tokenInterceptor = tokenInterceptor;
    }

    /**
     * @param registry
     * @return void
     * @introduction: 设置拦截路径
     * @date 2021/5/19 21:41
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        List<String> excludePath = new ArrayList<>();
        //放开权限
        excludePath.add("/user/login"); //登录
        excludePath.add("/user/insertSelective"); //注册
        excludePath.add("/static/**");  //静态资源

        //注入拦截器
        registry.addInterceptor(tokenInterceptor)
                .addPathPatterns("/**") // 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录
//                .excludePathPatterns("/user")//不拦截的
                .excludePathPatterns(excludePath);
        WebMvcConfigurer.super.addInterceptors(registry);

    }

    /**
     * @param registry
     * @return void
     * @introduction: 跨域支持
     * @date 2021/5/19 21:44
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOriginPatterns("*")
                .allowCredentials(true)
                .allowedMethods("GET", "POST", "DELETE", "PUT", "PATCH", "OPTIONS", "HEAD")
                .maxAge(3600 * 24);
    }

}

接收全局异常抛出类GlobalExceptionHandler

package com.ly.jwt.config;

import com.ly.jwt.utils.BaseException;
import com.ly.jwt.utils.JsonResult;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestControllerAdvice;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.http.HttpServletRequest;

/**
 * 本文只是没有系统的处理异常,一般应用系统中,我们都会定义多个异常类,来处理不同的异常情况。
 * 然后通过异常处理类,处理不同种类的异常。
 */
@RestControllerAdvice
public class GlobalExceptionHandler {

    private Logger logger = LoggerFactory.getLogger(getClass());

    /**
     * Spring的@ExceptionHandler可以用来统一处理方法抛出的异常,
     * 给这个方法加上@ExceptionHandler注解,这个方法就会处理类中其他方法(被@RequestMapping注解)抛出的异常。
     *
     * @ExceptionHandler注解中可以添加参数,参数是某个异常类的class,代表这个方法专门处理该类异常 有些情况下我们会给标识了@RequestMapping的方法添加@ResponseBody,比如使用Ajax的场景,直接返回字符串,
     * 异常处理类也可以如此操作,添加@ResponseBody注解后,可以直接返回字符串,
     * @ExceptionHandler()
     * @ResponseBody
     */
    //运行异常
    @ExceptionHandler(value = {RuntimeException.class})
    public JsonResult<?> RuntimeException(HttpServletRequest request, Exception e) {
        logger.error("400",e);
        return new JsonResult<>("400", e.getMessage(),"null");
    }
    //空指针异常
    @ExceptionHandler(value = {NullPointerException.class})
    public JsonResult<?> NullPointerException(HttpServletRequest request, Exception e) {
        logger.error("404",e);
        return new JsonResult<>("404", e.getMessage(),"null");
    }
    //好像是全局异常
    @ExceptionHandler(value = {Exception.class})
    public JsonResult<?> Exception(HttpServletRequest request, Exception e) {
        logger.error("500", e);
        return new JsonResult<>("500", e.getMessage(),"null");
    }
}

自定义权限注解

自定义权限注解RolePermission

1、RetentionPolicy.SOURCE:注解只保留在源文件,当Java文件编译成class文件的时候,注解被遗弃;
2、RetentionPolicy.CLASS:注解被保留到class文件,但jvm加载class文件时候被遗弃,这是默认的生命周期;
3、RetentionPolicy.RUNTIME:注解不仅被保存到class文件中,jvm加载class文件之后,仍然存在

@Target 说明了Annotation所修饰的对象范围:(指定下面的注解能修饰什么) Annotation可被用于 packages、types(类、接口、枚举、Annotation类型)、类型成员(方法、构造方法、成员变量、枚举值)、方法参数和本地变量(如循环变量、catch参数)。在Annotation类型的声明中使用了target可更加明晰其修饰的目标。
1.CONSTRUCTOR:用于描述构造器
2.FIELD:用于描述域
3.LOCAL_VARIABLE:用于描述局部变量
4.METHOD:用于描述方法
5.PACKAGE:用于描述包
6.PARAMETER:用于描述参数
7.TYPE:用于描述类、接口(包括注解类型) 或enum声明

package com.example.hotelmanagement.entity.model;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;


/**
 * 权限注解
 */
@Retention(RetentionPolicy.RUNTIME)
//适用类、接口(包括注解类型)或枚举,适用方法
@Target({ElementType.TYPE, ElementType.METHOD})
//@interface自定义注解
public @interface RolePermission {
    /**
     * @return boolean
     * @introduction: 登录权限
     * @date 2021/5/19 22:23
     */
    boolean login() default true;


    /**
     * @return java.lang.String
     * @introduction: 角色权限
     * @date 2021/5/19 22:24
     */
    String role() default "";
}

权限组

自定义权限组AuthorityUtils

package com.ly.jwt.utils;

/**
 * 权限包
 *
 * @Author: 宇
 * @catalogue: com.example.hotelmanagement.utils
 * @Date: 1999/9/9 9:99
 * @Version: 1.0
 */
public class AuthorityUtils {
    /**
     * 权限可以自定义,因为有最高权限,所以其他的人也可以进行访问
     * 也可以定义其他的权限互不干扰,例如管理人的就不能管理器材
     */
    //最高权限,管理的
    public static final String ADMIN1 = "1";
    //下级权限2,管理人得
    public static final String USER2 = "1,2";
    //下级权限3,管理器材的
    public static final String USER3 = "1,3";

}

书写代码

controller,登录访问测试接口

package com.ly.jwt.controller;


import com.ly.jwt.config.RolePermission;
import com.ly.jwt.db.entity.UserAccount;
import com.ly.jwt.service.UserAccountService;
import com.ly.jwt.utils.AuthorityUtils;
import com.ly.jwt.utils.JsonResult;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;

import javax.servlet.http.HttpServletRequest;
import java.util.List;

/**
 * 账号的
 */
@RestController
@RequestMapping("/user")
public class UserAccountController {
    @Autowired
    UserAccountService userAccountService;

    @PostMapping(value = "/login")
    public JsonResult<?> login(@RequestBody UserAccount userAccount) {
        return userAccountService.login(userAccount);
    }

    @PostMapping(value = "/insertSelective")
    public JsonResult<?> insertSelective(@RequestBody UserAccount userAccount) {
        return userAccountService.insertSelective(userAccount);
    }

    @RolePermission(login = false)
    @PostMapping(value = "/selectAll")
    public JsonResult<?> selectAll(HttpServletRequest request) {
        List<UserAccount> userAccounts = userAccountService.selectAll();
        return new JsonResult<>(userAccounts);
    }

    @PostMapping(value = "/selectAll1")
    public JsonResult<?> selectAll1(HttpServletRequest request) {
        List<UserAccount> userAccounts = userAccountService.selectAll();
        return new JsonResult<>(userAccounts);
    }

    @RolePermission(role = AuthorityUtils.USER2)
    @PostMapping(value = "/selectAll2")
    public JsonResult<?> selectAll2(HttpServletRequest request) {
        List<UserAccount> userAccounts = userAccountService.selectAll();
        return new JsonResult<>(userAccounts);
    }

}

实体类entity

package com.ly.jwt.db.entity;

import java.util.Date;


public class UserAccount {
    /**
     * 账号id
     */
    private Long accId;

    /**
     * 账号
     */
    private String username;

    /**
     * 密码
     */
    private String password;

    /**
     * 随机密码盐
     */
    private String pwdKey;

    /**
     * 权限
     */
    private String role;

    /**
     * 创建时间
     */
    private Date createTime;

    //省略set,get方法
}

service

package com.ly.jwt.service;

import com.ly.jwt.db.entity.UserAccount;
import com.ly.jwt.utils.JsonResult;

import java.util.List;

public interface UserAccountService {
    //登录
    JsonResult<?> login(UserAccount userAccount);

    //查询全部
    List<UserAccount> selectAll();

    //添加账号
    JsonResult<?> insertSelective(UserAccount userAccount);
}

serviceImpl

package com.ly.jwt.service.impl;

import cn.hutool.core.util.ObjectUtil;
import com.ly.jwt.db.entity.UserAccount;
import com.ly.jwt.db.mapper.UserAccountMapper;
import com.ly.jwt.service.UserAccountService;
import com.ly.jwt.utils.BaseException;
import com.ly.jwt.utils.JsonResult;
import com.ly.jwt.utils.PwdTool;
import com.ly.jwt.utils.TokenUtil;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.Date;
import java.util.List;

@Service
public class UserAccountServiceImpl implements UserAccountService {

    @Autowired
    private UserAccountMapper userAccountMapper;

    //登录
    @Override
    public JsonResult<?> login(UserAccount userAccount) {
        //传入对象
        if (userAccount == null) {
            throw new NullPointerException("传入对象为空");
        }
        //账号
        String username = userAccount.getUsername();
        if (StringUtils.isBlank(username)) {
            throw new NullPointerException("账号为空");
        }
        //根据用户名查询信息==>密码盐
        UserAccount userAccount1 = userAccountMapper.selectByUsername(username);
        //密码
        String password = userAccount.getPassword();
        if (StringUtils.isBlank(password)) {
            throw new NullPointerException("密码为空");
        }
        //用户输入密码,和根据输入用户名从数据库进行寻找密码盐
        String password1 = PwdTool.getHMAC(password, userAccount1.getPwdKey());
        //赋值根据密码盐加密后的密码
        userAccount.setPassword(password1);
        //高根据用户名和密码进行数据库比对查询
        UserAccount userAccount2 = userAccountMapper.login(userAccount);
        //如果不为空就生成token
        if (ObjectUtil.isEmpty(userAccount2)) {
            throw new BaseException("用户名或密码错误");
        }
        //生成token
        String token = TokenUtil.sign(userAccount1);
        if (StringUtils.isBlank(token)) {
            throw new BaseException("token生成失败");
        }
        return new JsonResult<>(token);
    }

    //查询全部
    @Override
    public List<UserAccount> selectAll() {
        return userAccountMapper.selectAll();
    }

    //添加账号
    @Override
    public JsonResult<?> insertSelective(UserAccount userAccount) {
        //传入对象
        if (ObjectUtil.isEmpty(userAccount)) {
            throw new BaseException("未获取到参数");
        }
        //账号
        String username = userAccount.getUsername();
        if (ObjectUtil.isEmpty(username)) {
            throw new BaseException("未获取到username");
        }
        //根据用户名进行查询,不允许重复
        UserAccount userAccount1 = userAccountMapper.selectByUsername(username);
        if (!ObjectUtil.isEmpty(userAccount1)) {
            throw new BaseException("用户名重复");
        }
        //密码
        String password = userAccount.getPassword();
        if (ObjectUtil.isEmpty(password)) {
            throw new BaseException("未获取到password");
        }
        //密码盐==>调用工具类进行获取
        String pwdKey = PwdTool.getRandomSalt();
        userAccount.setPwdKey(pwdKey);
        //使用密码盐加密后的密码
        String password1 = PwdTool.getHMAC(password, pwdKey);
        //赋值新密码
        userAccount.setPassword(password1);
        //创建时间
        userAccount.setCreateTime(new Date());
        int i = userAccountMapper.insertSelective(userAccount);
        if (i != 1) {
            throw new BaseException("添加失败");
        }
        return new JsonResult<>("添加成功");
    }
}

mapper

package com.ly.jwt.db.mapper;

import com.ly.jwt.db.entity.UserAccount;

import java.util.List;

public interface UserAccountMapper {
    //注册
    int insertSelective(UserAccount record);

    //登录
    UserAccount login(UserAccount userAccount);

    //查询全部
    List<UserAccount> selectAll();

    //根据用户名查询
    UserAccount selectByUsername(String username);
}

xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.example.hotelmanagement.mapper.UserMapper">
  <resultMap id="BaseResultMap" type="com.example.hotelmanagement.entity.User">
    <id column="id" jdbcType="BIGINT" property="id" />
    <result column="username" jdbcType="VARCHAR" property="username" />
    <result column="password" jdbcType="VARCHAR" property="password" />
    <result column="role" jdbcType="VARCHAR" property="role" />
    <result column="status" jdbcType="INTEGER" property="status" />
  </resultMap>
  <sql id="Base_Column_List">
    acc_id, username, password, pwd_key, role, create_time
  </sql>

<insert id="insertSelective" parameterType="com.ly.jwt.db.entity.UserAccount">
    insert into user_account
    <trim prefix="(" suffix=")" suffixOverrides=",">
      <if test="accId != null">
        acc_id,
      </if>
      <if test="username != null">
        username,
      </if>
      <if test="password != null">
        password,
      </if>
      <if test="pwdKey != null">
        pwd_key,
      </if>
      <if test="role != null">
        role,
      </if>
      <if test="createTime != null">
        create_time,
      </if>
    </trim>
    <trim prefix="values (" suffix=")" suffixOverrides=",">
      <if test="accId != null">
        #{accId,jdbcType=BIGINT},
      </if>
      <if test="username != null">
        #{username,jdbcType=VARCHAR},
      </if>
      <if test="password != null">
        #{password,jdbcType=VARCHAR},
      </if>
      <if test="pwdKey != null">
        #{pwdKey,jdbcType=CHAR},
      </if>
      <if test="role != null">
        #{role,jdbcType=CHAR},
      </if>
      <if test="createTime != null">
        #{createTime,jdbcType=TIMESTAMP},
      </if>
    </trim>
  </insert>
<!--  查询全部-->
  <select id="selectAll" resultMap="BaseResultMap">
    select
    <include refid="Base_Column_List" />
    from user_account
  </select>

  <!--  根据用户名查询-->
  <select id="selectByUsername" parameterType="string" resultMap="BaseResultMap">
    select
    <include refid="Base_Column_List" />
    from user_account
    where username=#{username}
  </select>

  <!--  登录-->
  <select id="login" resultMap="BaseResultMap">
    select * from user_account
    where username=#{username}
    and password = #{password}
  </select>
  </mapper>

postman简单测试

1。不登陆直接访问,只能访问没有权限的
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
2.登录没有权限的进行访问,会提示权限不足
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
3。登录有权限的全都可以访问
在这里插入图片描述

明天我就退休
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JwtPermission:基于token验证的Java Web权限控制框架,使用jjwt,支持redis和db多种存储方式,可用于前后端分离项目,功能完善、使用简单、易于扩展
05-10
JwtPermission 更新日志 2020-01-14 (v3.1.1) 使用RedisTokenStore不需要jdbc相关的包及配置 增加支持统一身份认证(单点登录)功能 对于排除拦截的接口也提供获取当前用户信息的方法 2019-12-16 (v3.0.0) 增加refresh_token机制 增加@Ignore注解(用于忽略验证) 增加url自动匹配权限机制(自带RESTful模式模式和简化模式) 增加自定义查询权限和角色的sql配置 1、简介 基于token验证的Java Web权限控制框架,使用jjwt,支持redis和db多种存储方式,可用于前后端分离项目,功能完善、使用简单、易于扩展。   2、使用 2.1、SpringBoot集成 2.1.1、导入 <dependency> <groupId>com.github.whvcse</groupId> <artifa
Spring 通过注解配置
sky的博客
12-23 535
一、Spring 在classpath下自动扫描组件 •Spring 能够从classpath下自动扫描,侦测和实例化具有特定注解的组件.  •特定组件包括: –@Component: 基本注解,标识了一个受Spring管理的组件 –@Respository:标识持久层组件 –@Service: 标识服务层(业务层)组件 –@Controller: 标识表现层组件 •对于扫描到的
springBoot的@SpringBootApplication注解上的exclude和excludeName属性问题
tlingdx的博客
11-12 2836
exclude和excludeName 只能排除auto-configuration类型的类,没法去排除自定义的类
Spring Boot 拦截器之验证登录
我只是一个简单的Coder,为了兴趣和理想奋斗在生活的道路上
09-12 3324
添加jar包,这个jar包不是必须的,只是在拦截器里用到了,如果不用的话,完全可以不引入 [java] view plain copy                org.apache.commons               commons-lang3               3.5              springboot
java jwt token reids_GitHub - whvcse/JwtPermission: 基于token验证的Java Web权限控制框架,使用jjwt,支持redis和db多种存储方式...
weixin_42552315的博客
02-24 547
JwtPermission更新日志2020-01-14 (v3.1.1)使用RedisTokenStore不需要jdbc相关的包及配置增加支持统一身份认证(单点登录)功能对于排除拦截的接口也提供获取当前用户信息的方法2019-12-16 (v3.0.0)增加refresh_token机制增加@Ignore注解(用于忽略验证)增加url自动匹配权限机制(自带RESTful模式模式和简化模式)增加自定...
03-方法授权-jwt令牌包含权限
minihuabei的博客
08-27 373
2.2 jwt令牌包含权限 修改认证服务的UserDetailServiceImpl类,下边的代码中 permissionList列表中存放了用户的权限, 并且将权限标识按照中间使用逗号分隔的语法组成一个字符串,最终提供给Spring security。 ...... //指定用户的权限,这里暂时硬编码 List<String> permissionList = new ArrayList<>(); permissionList.add("course_get_baseinfo");
权限管理与jwt鉴权
我从不打没有准备的仗!
10-14 989
权限管理与jwt鉴权
Express-JWT-Permissions: 精细化权限管理的Node.js中间件
最新发布
gitblog_00004的博客
04-17 346
Express-JWT-Permissions: 精细化权限管理的Node.js中间件 项目地址:https://gitcode.com/MichielDeMey/express-jwt-permissions Express-JWT-Permissions 是一个高效的Node.js中间件,用于在基于JWT(JSON Web Tokens)的身份验证系统中实现精细的权限控制。它使开发者能够轻松地...
SpringBoot+拦截器+自定义注解实现权限控制
多味花生的博客
09-21 1481
一、创建自定义注解 package com.shenlan.common.annotation; import java.lang.annotation.*; /** * @author : xukun * @date : 2020/9/17 */ @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Documented @Inherited public @interface RequestAuthority {
jwt配合自定义权限注解实现精确到每个接口的权限限制
qq_37740982的博客
11-13 1022
使用框架Spring Boot+jwt实现一个类似shiro的权限注解 首先登陆时缓存用户权限字符串,Cache是我自己封装的map缓存,可以自行替换redis或者别的 Set<String> menus = new HashSet<String>(); menus = menuService.selectPermsByUserId(user.getUserId()); ...
jwt与自定义注解做简单的权限校验
weixin_44601103的博客
02-26 555
@Retention按生命周期来划分可分为3类: 1、RetentionPolicy.SOURCE:注解只保留在源文件,当Java文件编译成class文件的时候,注解被遗弃; 2、RetentionPolicy.CLASS:注解被保留到class文件,但jvm加载class文件时候被遗弃,这是默认的生命周期; 3、RetentionPolicy.RUNTIME:注解不仅被保存到class文件中,...
使用拦截器和JWT实现Java后端接口的权限访问控制
woshihedayu的博客
01-30 4581
最近发现,后端接口的权限访问控制通过使用springmvc里面的拦截器,就能够实现,方法比较简单,这里做一些总结。 1、在登录接口查询数据库中的用户信息和权限信息,得到当前用户相关的权限,然后把权限信息添加到JWT的字符串里面,经过加密以后生成token,将token作为响应数据,传递给前端。 2、定义一个拦截器,从请求头当中取出token,对token进行解密,得到里面的权限信息,然后获取当前访问接口的名称,与token中的权限信息进行比对,如果用户拥有当前接口的权限,就允许访问,否则就抛异常,代码如下
Springboot -Shiro整合JWT注解形式)
冷雨清的博客
10-31 665
Springboot -Shiro整合JWT注解形式) 在这里只展示核心代码,具体的请访问github 参考timo 依赖导入 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId>
Jwt复杂策略认证 注意项
u012511100的博客
11-15 520
public static void AddAuthorizationSetup(this IServiceCollection services) { if (services == null) { throw new ArgumentNullException(nameof(services)); } var permissionRequirement = n.
java如何利用JWT注解,自定义参数的方式优雅实现小程序用户Id管理
猪大肠的博客
08-22 1958
在我们的开发项目中,经常需要用到用户ID,比如在小程序商城系统中,我们将商品加入购物车,这时前端就需要发送请求,携带上用户的ID。基本上很多种请求操作都需要携带用户ID,如果每个请求都需要我们往data中添加id的话,那样需要写很多重复代码,并且代码也不美观;所以我们可以利用JWT注解的方式来实现; 一、编写token管理器 1.1、导入jwt包 在maven中加入该依赖 <dependency> <groupId>com.auth0<
JWT的介绍与应用
CONSOLE11的博客
12-30 3557
目录 2.JWT的应用场景 3.JWT的应用详解 4.为什么要用JWT 2.1 传统Session认证的弊端 2.2 JWT认证的优势 5.JWT结构 1.Header 2.Payload 3.Signature 6.JWT的种类 JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT
SpringBoot+Shiro+JWT实现权限管理
热门推荐
qq_42109746的博客
07-24 1万+
1.为什么使用JWT? 1.简洁(Compact):可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快。 2.自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库。 3.安全(security): 与简单的JSON相比,XML和XML数字签名会引入复杂的安全漏洞。 2.认证原理 1.用户登陆之后,使用密码...
jwt配置 restful_GitHub - JiangnanVL/easyweb-jwt: 基于 SpringBoot、jwtJwtPermission实现的前后端分离开发框架,接口遵循RESTf...
weixin_33098963的博客
01-14 225
easyweb-jwt简介基于 SpringBoot、jwtJwtPermission实现的前后端分离开发框架,接口遵循RESTful风格,相比SpringSecurity和oAuth2.0框架更加轻量级。在线演示:http://oauth.easyweb.vip/, 账号:admin,密码:admin。使用技术描述框架核心框架Spring、Spring Boot、Spring MVC持久层My...
JWT与自定义注解
silk_java的专栏
03-15 307
JWT JWTUtil package com.example.util; import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.Claim; import com.auth0.jwt.interfaces.DecodedJWT; import org.springframework.stereotype.Service; import java.util.
JWT权限验证
不积跬步,无以至千里,不积小流,无以成江海
08-07 2275
一.首先说一下 表 1.用户表 2.用户角色表 3.角色表 4.角色权限表 5.权限表(包含菜单表) 二.整个逻辑如下: 1.一个后台可能多个用户 (用户表) 用户角色表连接 1 - 2 2.每一个用户可能用户多个角色,例如,AA用户 既是超级管理员 又是客服管理 (角色表) 角色权限表 连接 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值