SpringBoot项目基于JWT网络信息传输标准实现单点登录案例以及与传统Session认证的优缺点分析

最新推荐文章于 2022-06-06 17:33:47 发布
置顶 最新推荐文章于 2022-06-06 17:33:47 发布
阅读量298 收藏 2
点赞数 1
分类专栏: SpringBoot JWT 文章标签: java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45973634/article/details/105573395
版权 
               ***SpringBoot项目中基于JWT实现单点登录案例***
  1. JWT是什么?
    Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。具体文字叙述请参考相关博文,此篇注重于应用。
  2. 为什么使用JWT,它与传统的Session认证有什么区别?
    我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。但是这种基于session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来.
    基于session认证所显露的问题,Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。CSRF: 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。
  3. 基于token的鉴权机制
    基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。
    流程上是这样的:
    a.用户使用用户名密码来请求服务器。
    b.服务器进行验证用户的信息。
    c.服务器通过验证发送给用户一个token。
    d.客户端存储token,并在每次请求时附送上这个token值。
    e.服务端验证token值,并返回数据。
    这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 另外,服务端要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了。
  4. 实例:
    1、导入POM文件
 <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.7.0</version>
        </dependency>
        <dependency>
            <groupId>commons-codec</groupId>
            <artifactId>commons-codec</artifactId>

        </dependency>
        <!--JWT-->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>

2、封装JWT工具类

package com.ss.jwt.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * @version V1.0
 * @Package com.ss.jwt.utils
 * @author: Liu
 * @Date: 14:59
 */
public class JwtUtils {
    /*设置密钥*/
    static final String SECRET = "ThisIsASecret";

    /*生成Token方法
     * */
    public static String generateToken(String username) {
        HashMap<String, Object> map = new HashMap<>();
        map.put("username", username);
        /*设置令牌的有效时间
         * 令牌的加密*/
        String jwt = Jwts.builder()
                .setClaims(map)/*声明JWT*/
                /*JWT的第二部分payload,其中包含claims。claims是关于实体(常用的是用户信息)和其他数据的声明,
                claims有三种类型: registered, public, and private claims。*/
                .setExpiration(new Date(System.currentTimeMillis() + 3600_000_000L))/*设置过期时间为当前时间+10小时*/
                .signWith(SignatureAlgorithm.HS512, SECRET)/*设置签约算法*/
                .compact();
                System.out.println(jwt+"生成的");
        return "Bearer" + jwt;/*Bearer代表Authorization头定义的schema.官方规范*/
    }

    /*验证JWT中Token值
     * */
    public static void validateToken(String token) {
        try {
            Map<String, Object> body = Jwts.parser()/*JWTs底层方法,用来分析解构JWT*/
                    .setSigningKey(SECRET)/*配对密钥,parser接口的方法*/
                    .parseClaimsJws(token.replace("Bearer", ""))/*先替换掉Token中头部的Bearer,再解构TOKEN中声明实体的信息*/
                    .getBody();/*取出*/

        } catch (Exception e) {
            throw new IllegalStateException("Invalid Token. " + e.getMessage());
        }


    }

}

3、做一个拦截器,用来拦截请求,验证令牌。

package com.ss.jwt.config;

import com.ss.jwt.utils.JwtUtils;
import org.apache.catalina.connector.Request;
import org.springframework.util.AntPathMatcher;
import org.springframework.util.PathMatcher;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @version V1.0
 * @Package com.ss.jwt.config
 * @author: Liu
 * @Date: 15:26
 */
/*拦截过滤器、当客户端发起请求,需要拦截处理请求信息,验证是否有授权信息的请求,验证授权信息的合法性*/
public class JwtAuthenticationFilter extends OncePerRequestFilter {
        /*创建一个预期路径适配器*/
    private static final PathMatcher pathMatcher = new AntPathMatcher();/*预期路径*/

         /*判断头部请求API是否合法,Login不需要身份验证*/
    private boolean isProtectedUrl(HttpServletRequest request) {
        /*请求路径是否与预期路径一致*/
        boolean matches = pathMatcher.match("/api/**", request.getServletPath());
        return matches;
    }
    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
        /*验证JWT令牌token是否合法或者过期,不合法直接抛出异常返回。*/
        try {
            if (isProtectedUrl(httpServletRequest)) {
                /*取出请求体中头部中授权签证信息,即基于JWt规范的Token*/
                String token = httpServletRequest.getHeader("Authorization");
                System.out.println(token);
               /*通过JWT工具类中验证Token信息*/
                JwtUtils.validateToken(token);
            }
        } catch (Exception e) {
            /*抛出未经授权请求的异常*/
            httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED, e.getMessage());
        }
        /*验证合法的JWT令牌,就将request传递给后面的RestFul API,继续执行任务*/
        filterChain.doFilter(httpServletRequest, httpServletResponse);
    }
}

4、Controller层登陆业务

  @PostMapping("/login")
    public Object login(HttpServletResponse httpServletResponse, @RequestBody final User user) throws IOException {
        if (isValidUser(user)) {
            /*如果登陆用户信息 合法,用当前用户信息生成JWt规范的token*/
            String jwt = JwtUtils.generateToken(user.getUsername());
            /*  System.out.println("测试成功");*/
            //将生成的token返回客户端
            return new HashMap<String, String>() {{
                put("token", jwt);
            }};
        } else {
            /*如果用户信息不合法,返回自定义异常:用户信息错误状态码*/
            throw new StudentException(Renum.USER_NOT_EXIST);
        }
    }
     /*模拟判断登陆用户信息合法性*/
    private boolean isValidUser(User user) {
        boolean b = "admin".equals(user.getUsername()) && "admin".equals(user.getPassword());
        return b;
    }

5、controller测试接口

 /*模拟登陆后测试*/
    @GetMapping("/api/protected")
    public @ResponseBody
    Object hellWorld() {
        return "Hello World! This is a   api";
    }

6、用来测试的登陆页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>JWT Spring Security Demo</title>

    <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/css/bootstrap.min.css">

    <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/css/bootstrap-theme.min.css">
    <script src="https://code.jquery.com/jquery-2.2.2.js"></script>





    <script>
        $.ajaxSetup({
            contentType: "application/json; charset=utf-8"
        });
        var token = "";
        $(document).ready(function(){
            $("#btn-login").click(function(){
                var data = {username: $("#username").val(), password: $("#password").val()};
                $.ajax({
                    url: '/login',
                    method: 'POST',
                    data:JSON.stringify(data)
                }).always(function(data, status, xhr) {
                    if(status == "success"){
                        token = data.token;
                        $("#login").hide();
                        $("#logout").show();
                        $("#notLoggedIn").hide();
                        $("#loggedIn").show();
                    }else{
                        $("#response").text(JSON.stringify(data, null, 4));
                    }
                });
            });


            $("#btn-logout").click(function(){
                token = "";
                $("#login").show();
                $("#logout").hide();
                $("#notLoggedIn").show();
                $("#loggedIn").hide();
            });

            $("#exampleServiceBtn").click(function(){
                $.ajax({
                    url: '/api/protected',
                    headers: {'Authorization': token},
                    method: 'GET'
                }).always(function(data, status, xhr) {
                    if(data.responseJSON)
                        $("#response").text(JSON.stringify(data.responseJSON, null, 4));
                    else
                        $("#response").text(JSON.stringify(data));
                });
            });
            $("#exampleServiceBtn1").click(function(){
                $.ajax({
                    url: '/api/findById',
                    headers: {'Authorization': token},
                    method: 'GET'
                }).always(function(data, status, xhr) {
                    if(data.responseJSON)
                        $("#response1").text(JSON.stringify(data.responseJSON, null, 4));
                    else
                        $("#response1").text(JSON.stringify(data));
                });
            });
        });

    </script>
</head>
<body>
<div class="container">
    <h1>Spring Boot JWT Demo</h1>

    <div class="alert alert-danger" style="display:visible" id="notLoggedIn">Not logged in!</div>

    <div class="alert alert-info" style="display:none" id="loggedIn">Logged in</div>

    <div class="row">
        <div class="col-md-6">
            <div class="panel panel-default" id="login">
                <div class="panel-heading">
                    <h3 class="panel-title">Login</h3>
                </div>
                <div class="panel-body">
                    <input type="text" class="form-control" id="username" value="admin"
                           required>
                    <input type="password" class="form-control" id="password" value="admin"
                           required>
                    <button id="btn-login" class="btn btn-default">login</button>
                </div>
            </div>
        </div>

        <div class="col-md-6">
            <button type="button" class="btn btn-default" id="exampleServiceBtn" style="margin-bottom: 16px;">
                call example service
            </button>
            <div class="panel panel-default">
                <div class="panel-heading">
                    <h3 class="panel-title">Response:</h3>
                </div>
                <div class="panel-body">
                    <pre id="response"></pre>
                </div>
            </div>
        </div>
        <div class="col-md-7">
            <button type="button" class="btn btn-default" id="exampleServiceBtn1" style="margin-bottom: 16px;">
                call example service
            </button>
            <div class="panel panel-default">
                <div class="panel-heading">
                    <h3 class="panel-title">Response:</h3>
                </div>
                <div class="panel-body">
                    <pre id="response1"></pre>
                </div>
            </div>
        </div>

        <div class="col-md-6">
        </div>

        <div class="col-md-6">
            <div id="logout" style="display:none">
                <div class="panel panel-default">
                    <div class="panel-heading">
                        <h3 class="panel-title">Authenticated user</h3>
                    </div>
                    <div class="panel-body">
                        <div id="userInfoBody"></div>
                        <button id="btn-logout" type="button" class="btn btn-default">logout</button>
                    </div>
                </div>
            </div>
        </div>
    </div>
</div>
</body>
</html>

总结:JWT是当下分布式大趋势实现单点登录很好的方案。注释尽量多,底层方法我都有看过写的注释。欢迎指正交流。觉得还行,谢谢点赞哈

NotFoundObject.
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
bootstrap-routes-jwt-boilerplate:引导私有和受保护路线的样板
05-01
特征 健康检查 jwt认证 动态路由配置 api的swagger文档 跑步 安装并运行mongo npm安装 npm开始 或者 安装泊坞窗 在根目录中运行以下命令: 码头工人组成 要查看api文档-转到
用户认证:基于jwtsession的区别和优缺点
weixin_30319097的博客
12-09 1167
背景知识: Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当...
java jwt 单点登录_springboot基于jwt完成服务的单点登录简单实例
weixin_29887801的博客
02-27 108
项目描述基于SpringBoot jwt完成服务的单点登录问题运行环境jdk8+IntelliJ IDEA+maven项目技术(必填)SpringBoot+Jwt+html5+jquery数据库文件无jar包文件Maven运行
JWT】初识与集成,及优缺点
路远不知归
09-04 459
个人学习笔记分享,当前能力有限,请勿贬低,菜鸟互学,大佬绕道 如有勘误,欢迎指出和讨论,本文后期也会进行修正和补充 前言 随着分布式的普及,session的成本正变得越来越高,因而一种不需要session,而直接将身份信息放在token中的方案应运而生–JWT 请留意,本文主要整理相关思路,为方便理解,示例代码并不完整,更谈不上严谨 若需要实际使用的demo,请直接查看整理后的代码,完整demo会传到github或码云 1.介绍 1.1.什么是JWT JWT全程为Json web token,是一.
第八节:常见安全隐患和传统的基于Session和Token的安全校验
sinolover的专栏
02-15 707
一. 常见的安全隐患 1. SQL注入 常见的案例: String query = "SELECT * FROM T_User WHERE userID='" + Request["userID"] + "'; 这个时候,只需要在传递过来的userID后面加上个: or 1=1,即可以获取T_User表中的所有数据了。 解决方案:参数化查询。 2. 跨站脚本攻击(Cross-Si...
spring boot如何基于JWT实现单点登录详解
08-25
主要介绍了spring boot如何基于JWT实现单点登录详解,用户只需登录一次就能够在这两个系统中进行操作。很明显这就是单点登录(Single Sign-On)达到的效果,需要的朋友可以参考下
基于JWT实现SSO单点登录流程图解
08-18
基于JWT实现SSO单点登录流程图解 基于JWT实现SSO单点登录流程图解是指使用JSON Web Token(JWT)来实现单点登录(SSO)的机制。在这种机制中,用户只需要登录一次,就可以访问多个应用服务器上的资源,而不需要再次...
Spring Security基于JWT实现SSO单点登录详解
08-25
Spring Security 基于 JWT 实现 SSO 单点登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
SpringBoot+JWT实现单点登录解决方案
最新发布
07-26
在IT行业中,单点登录(Single Sign-On,简称SSO)是一种常见的身份验证机制,它允许用户在一个系统中登录...通过分析和学习这些代码,可以深入了解Spring Boot和JWT在SSO中的应用,为构建自己的单点登录系统提供基础。
SpringBoot+Vue+Redis实现单点登录(一处登录另一处退出登录)
08-25
在本文中,我们将探讨如何使用SpringBoot、Vue.js和Redis来实现单点登录(Single Sign-On,SSO)系统。单点登录允许用户在一个应用程序中登录后,可以在多个相互关联的应用程序中自动登录,而无需再次输入凭证。当...
spring-boot系列,使用JWT实现登录认证、完整的前后台交互的系统设计案例
03-09
spring-boo框架,基于JWT、redis鉴权设计,使用restful风格设计开发,前台使用layui、bootstrap等
JWT优缺点及应用介绍
码农的日常收集
06-06 1778
JWT,全称是JSON Web Token,是一种规范化的 token,能解决分布式部署会话问题。 JWT是一个很长的字符串,字符之间通过"."分隔符分为三个子串:JWT头,有效载荷,签名。 默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。有效载荷这个JSON对象也使用Base64 URL算法转换为字符串保存。...
SpringBoot集成JWT实现token验证
m0_37732829的博客
05-26 842
最近在做用户登录认证,不想使用传统session认证机制,改用jwt认证实现单点登录功能,下面的参考资料是我无意间找到了,写的很详细,通俗易懂,膜拜一下,不过需要有Spring、反射、注解等基础知识,没事可以了解一下,哇咔咔 SpringBoot集成JWT实现token验证 ...
springboot+jwt+jpa+mysql+bootstrap 前后分离,token
呼吸吐纳的博客
08-17 1282
springboot+jwt+jpa+mysql+bootstrap 前后分离,token 闲着没事做了个小活,想看的,去码云,代码已托管, https://gitee.com/zl2017/demo 多多关注,更多精彩代码。设计前后端,分布式,主流框架,分布式事务,分布式秒杀等核心业务场景,期待吧。。。...
JWT 完整使用详解
曾沂宏的博客
05-29 9515
JWT全称JSON Web Tokens,是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。它的两大使用场景是:认证和数据交换。 一、安装之前 资料 先摆出几个参考资料,可以把连接都打开,方便查阅: 项目 Wiki 公众号 coding01,JWT 安装及简单例子 官方安装指导文档 JWT 的介绍 二、安装及基础配置 Larave...
Bootstrap 控制移动端和网页端的元素隐藏和显示
小浩子的博客
10-11 2万+
先看效果 PC,显示3张图片移动端,只显示一张 解决思路,用Bootstrap的网格系统。 visible-md-block 表示在早中型设备台式电脑(≥992px)可显示 visible-lg-block 表示在大型设备台式电脑(≥1200px)可显示 visible-xs-block 表示在超小设备手机(<768px)可显示 代码: <div class="container">
三、后台实战——用户登录JWT
热门推荐
jackcheng的博客
09-26 4万+
三、后台实战——用户登录JWT
SpringBoot整合SpringSecurity+JWT实现单点登录
摸鱼佬的博客
12-13 4379
SpringBoot整合SpringSecurity+JWT实现单点的登录 一、JSON Web Token(JWT) 官方解释:JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私...
JWT+SpringSecurity实现基于Token的单点登录(二):认证和授权
qq_37771475的博客
03-10 9684
前言 本章是基于上一章“JWT+SpringSecurity实现基于Token的单点登录(一):前期准备”的基础上进行开发的,如果前期准备还没有做好的,可点击链接至上一章。 代码地址:gitee 一、JWT工具类 这里我们使用jjwt来构建我们的Token。首先导入jjwt的依赖包。 <!--JWT--> <dependency&g...
springboot+jwt前后端分离如何实现单点登录
06-08
实现Spring Boot和JWT前后端分离的单点登录,您需要按照以下步骤进行: 1. 在后端实现JWT认证和授权 在后端,您需要使用Spring Security和JWT实现认证和授权。当用户登录成功时,使用JWT生成一个token并将其返回...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

NotFoundObject.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值