关于JWT登录拦截验证token方式一

已于 2023-04-01 14:26:47 修改
阅读量1.8k 收藏 6
点赞数
文章标签: spring boot 后端 java
于 2023-03-31 20:49:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46098310/article/details/129803147
版权

一.关于JWT的概念

JWT可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名,于在各方之间作为JSON对象安全地传输信息。

简单理解为就是:将登录当前用户信息进行加密变成一个令牌,用户就可以通过这个令牌在不同的地方进行访问,不需要再次登录。

2.JWT的结构

 

主要结构由三部分组成:

JWT共由三部分组成,分别是数据头(Header)、Payload(数据体)、验证签名(Verify Signature)组成。其中,Header中的内容为加密信息以及Token的类别,Payload为用户数据、Verify Signature为校验数据。

数据头(Header)
alg:"RS256" ,声明加密的算法
"typ":"JWT"  声明类型
通过Base64进行加密,就可以得到我们token的前一部分签名
Payload(数据体)
 sub:""  可以保存用户信息或者用户id都可以
 iat:" " 设置token的过期时间  比如4个小时等  防止被篡改

verify signature(验证签名)

这个意思很明显,就是查看你的token是否被篡改等.

二.JWT的执行流程

1.当用户发起登录请求的时候,验证通过,然后让JWT生成token然后给前端

2.前端获取到token信息的时候,可以放在请求头,当用户需要访问其他接口的时候,每次访问需要携带JWT token。

3.当服务端通过对token的拦截,进行对token的校验以及解析,发现没有没有问题,就开始执行业务逻辑把数据返回给前端,前端在显示给用户

三.开始搭建项目简单使用JWT   SpringBoot+Mybatis-plus+Mysql+JWT(实测可用)

下载地址在:

整体架构图

1.引入Mybatis和JWT的依赖

 <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.2.10</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.20</version>
        </dependency>
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.4.3.1</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>2.0.10</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.11.0</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

2.配置yml的Mybatis,我的数据库名称为test

server.port=8081
spring.datasource.url=jdbc:mysql://localhost:3306/tset?characterEncoding=utf8&serverTimezone=UTC
spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.type=com.alibaba.druid.pool.DruidDataSource


mybatis-plus.configuration.map-underscore-to-camel-case=true
mybatis-plus.mapper-locations=classpath*:mapper/*.xml
mybatis-plus.type-aliases-package=com.example.entity
mybatis-plus.configuration.cache-enabled=false
mybatis-plus.global-config.db-config.id-type=auto
//注意修改数据库名称以及数据库密码

3.在数据库中添加一张用户

 

4.在entity下创建实体类

 

 5.在mapper包下创建

6.在resources下的mapper文件创建

<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">

<mapper namespace="com.example.mapper.SysUserMapper"> //与上面的mapper路径一致


</mapper>

 7.在utils下封装工具类

//封装工具类
@Component
public class JWTUtils {
    private static String TOKEN ="token"; //自己随便写  但注意保密
    /**
     * 生成token
     * map //传入用户的id和其他信息都可以
     */
    public static String getToken(SysUser user){
        Calendar calendar = Calendar.getInstance();
        calendar.add(Calendar.HOUR,12);
        String token= JWT.create()
                .withExpiresAt(calendar.getTime()) //token有效期
                .withSubject(user.getId().toString()) //保存用户id
                .sign(Algorithm.HMAC256(TOKEN));//TOKEN加密密钥自己设置,
        return token;
    }

    /**
     * 验证token
     * @param token
     */
    public static void verify(String token){
        JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);
    }

    /**
     * 通过token获取用户的id
     * @param token
     * @return
     */
    public static Long getToken(String token){
        JWTVerifier verifier = JWT.require(Algorithm.HMAC256(TOKEN)).build();
        DecodedJWT jwt = verifier.verify(token);
        String jwtSubject = jwt.getSubject();
        return Long.valueOf(jwtSubject);
    }

}

 8在config包下创建一个校验类和拦截器的类

校验类的作用就是,获取到token,然后对token进行验证是否正确,如果过期或者被篡改过,那就需要重新认证登录

拦截器的作用就是 当用户开始发起请求的时候,不会直接访问请求接口返回数据,而是先会token进行拦截,然后去认证,认证通过就让用户正常的访问

public class JWTInterceptor implements HandlerInterceptor { //校验类
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Map<Object, Object> map = new HashMap<>();
        String token = request.getHeader("token");//获取请求头中的令牌
        try {
            JWTUtils.verify(token); //验证令牌
            Long userId = JWTUtils.getToken(token);
            return true; //放行请求
        }catch (SignatureVerificationException e){
            e.printStackTrace();
            map.put("msg","无效签名");
        }catch (TokenExpiredException e){
            e.printStackTrace();
            map.put("msg","token过期");
        }catch (AlgorithmMismatchException e){
            e.printStackTrace();
            map.put("msg","token算法不一致");
        }catch (Exception e){
            e.printStackTrace();
            map.put("msg","token无效");
        }
        map.put("state",false);
        String value = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().println(value);
        return false;
    }

}
@Configuration
public class JWTConfig implements WebMvcConfigurer { //配置拦截器  那些需要token  那些不需要
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JWTInterceptor())
                .addPathPatterns("/**")  //上面表示需要有token的验证/user/info就需要token
                .excludePathPatterns("/user/login"); //对路径user下面的路径不需要token验证  不需要拦截,就是对controller里面的路径进行拦截或者不拦截
    }
}

9.在service下进行登录逻辑代码

@Service
public class SysUserService {
    @Autowired
    private SysUserMapper userMapper;

    public String login(String username){
        SysUser user =  userMapper.selectOne(new QueryWrapper<SysUser>().eq("user_name",username));
       // SysUser user = userMapper.selectById(id);
        if (user ==null)return new RuntimeException("该用户未注册").toString();
        String token = JWTUtils.getToken(user);
        return token;
    }
    public SysUser getById(Long id){
        return userMapper.selectById(id);
    }


}

10.controller层


@RestController
@RequestMapping("/user")
public class SysUserController {
    @Autowired
    private SysUserService userService;

    @GetMapping("/login")
    public Map<String,String> login(LoginDto dto){ //这里是JWT登录成功把token返回给前端
        String token = userService.login(dto.getUsername());
        Map<String, String> map = new HashMap<>();
        map.put("token",token);
        return map;
    }
    @GetMapping("/info")
    public SysUser info(HttpServletRequest request){
        Long userId = JWTUtils.getToken(request.getHeader("token"));//通过token获取用户id去查用户信息
        SysUser user = userService.getById(userId);
        return user;
    }
/*
    @GetMapping("/code")
    public Map<String,String> code(Long  id){ //这里是JWT登录成功把token返回给前端
        String token = userService.login(id);
        Map<String, String> map = new HashMap<>();
        map.put("token",token);
        return map;
    }*/
}

11.postman进行测试

 

 

~渊
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SpringBoot】46、SpringBoot中整合JWT实现Token验证拦截器篇)
Asurplus
02-28 21万+
前言 上篇文章我们已经实现了使用自定义注解验证 token 信息,这样我们就会发现,当我们需要验证的接口较多时,我们需要每个方法上面都加上 @JwtToken 这个注解,也是非常麻烦, 本片文章,我们继续使用拦截器来实现 token 信息的验证 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证(整合篇) 如果对自定义注解验证 token 信息感兴趣的朋友,可以看看我的这篇博客:【SpringBoot】四十五、Spr
SpringBoot】45、SpringBoot中整合JWT实现Token验证(注解篇)
热门推荐
Asurplus
02-28 21万+
前言 上篇文章,我们已经在 SpringBoot 中整合了 JWT 并实现了 Token 验证,那我们在实际应用中就会发现,如果每个 视图层(controller)都手动验证 token,代码就会显得特别臃肿,本篇文章主要为了解决该问题。 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证 自定义注解 1、创建自定义注解 package com.asurplus.common.annotation; import
JWT,这一篇就够了
qq_18841277的博客
09-05 646
比如客户端传入 Header(A)、Payload(B)、Signature(C),我们需要通过A、B和密钥通过Base64编码后的值和C进行对比,如果值相同则正确。包含两个部分:令牌的类型和所使用的签名算法.标头使用的是Base64编码,注意Base64编码不是一种加密的过程,可以被解码为初始值。签名是将编码后的(标头、有效载荷和我们提供的一个密钥)和我们Header中指定的签名算法进行编码。有效载荷存放的是用户的数据信息,通过Base64进行加密,不要在Payload中存放重要的值。
JWT令牌、过滤器Filter、拦截器Interceptor
m0_46702681的博客
06-16 1217
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 8192
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt拦截器实现token权限验证
JWT自定义拦截token验证(搭配shiro)
KY_11的博客
12-20 487
JWT自定义拦截token验证(搭配shiro) 1.实现配置拦截器,并限制拦截的接口 /** * 配置拦截器 */ @Configuration public class AppletInterceptorConfig implements WebMvcConfigurer { @Autowired @SuppressWarnings("all") private RedisTemplate<String, String> redisTemplate;
关于AOP思想登录拦截验证token方式
weixin_46098310的博客
03-31 605
通过aop思想完成对token验证
SpringBoot项目使用JWT+拦截器实现token验证
weixin_44320429的博客
10-18 1万+
上述流程当中token的具体实现方式JWT,其全称是,官网地址:https://jwt.io/就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。
基于Token登录验证与统一拦截(一个JWT的Demo)
诺浅的专栏
12-14 1251
为什么要采用Token登录验证 上一篇文章我们讲述了基于session+cookie的登录逻辑怎么做,这种模式在服务端为单体应用的且客户端为PC端浏览器是没有问题的,但是如果服务端做集群部署的话就需要考虑的session的统一存储,且这种模式不适用与APP端,毕竟APP端不会像浏览器那样自己管理cookie.此时采用JWT就是一个很好的选择,服务端无需存储token,也就更加适用于集群部署的情况,这也就是所说的无状态。 一个JWT的Demo 引入jwt依赖包 <dependency>
jwt 如何防止token拦截_SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题
weixin_42501373的博客
02-26 409
一、传统Session认证1、认证过程1、用户向服务器发送用户名和密码。2、服务器验证后在当前对话(session)保存相关数据。3、服务器向返回sessionId,写入客户端 Cookie。4、客户端每次请求,需要通过 Cookie,将 sessionId 回传服务器。5、服务器收到 sessionId,验证客户端。2、存在问题1、session保存在服务端,客户端访问高并发时,服务端压力大。2...
koa+jwt实现token验证与刷新功能
10-16
这通常涉及到两个JWT:一个访问令牌(Access Token)用于短期认证,另一个刷新令牌(Refresh Token)用于长期存储,当访问令牌过期时,用户可以使用刷新令牌获取新的访问令牌,而无需重新登录。 ```javascript app....
spring boot+jwt实现api的token认证详解
08-26
验证Token的有效性是通过检查其签名、过期时间和其它自定义信息来完成的。以下是一个简单的Token验证方法: ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.ExpiredJwtException; import io....
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
SpringBoot使用JWT实现登录验证的方法示例
08-25
JSON Web TokenJWT)是一种广泛使用的身份验证机制,它允许客户端和服务器之间安全地传递信息。JWT通过在令牌中携带用户认证数据,并使用签名确保数据的完整性和不可篡改性。在SpringBoot应用中,我们可以利用JWT...
基于springboot+jwt实现刷新token过程解析
08-19
拦截器中,我们使用JwtUtil.verify()方法来验证Token的有效期,如果 Token 已经过期,则重新登录。 优点和缺点 在线刷新Token方式可以实时刷新Token,提高了系统的安全性。但是,这种方式需要频繁地访问Redis,...
Spring Boot 应用中的事务管理与 Feign 调用问题分析及解决
weixin_42564451的博客
08-02 483
在微服务架构下,遇到这样的场景:一个服务需要调用另一个服务的接口来进行一系列操作,而这些操作又需要保证事务的一致性。
Spring Boot
hai40587的博客
08-02 844
在处理 Spring Boot 应用中的循环依赖问题时,重要的是要保持清晰的头脑和耐心。首先,要仔细分析问题的成因和上下文环境;其次,要尝试多种解决方案并评估其优缺点;最后,要关注应用的性能和稳定性,确保所采取的解决方案不会对应用产生负面影响。通过不断地学习和实践,我们可以逐渐掌握处理循环依赖的技巧和方法,为构建高性能、稳定的 Spring Boot 应用打下坚实的基础。
基于Spring boot + Vue的灾难救援系统
最新发布
NPCS_JQ的博客
08-02 214
以脚手架项目为基础完成的1.主页:echarts展示的图表2.系统管理:用户管理,角色管理,字典管理,菜单管理,日志管理3.文件管理:生成文件4.文章管理:集合富文本写文章5.公告管理:公告的管理6.轮播图管理:前台首页的轮播图7.灾难类型管理8.灾难记录9..资源调度10.预案管理11.科普信息。
jwttoken拦截
09-05
JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全方法。在使用JWT时,可以使用拦截器来拦截每个请求,验证和解析JWT,并进行相应的处理。 实现JWT Token拦截器的步骤如下: 1. 创建一个拦截器类,例如"JwtTokenInterceptor"。 2. 在拦截器类中实现Interceptor接口,并重写preHandle()方法,在该方法中进行JWT验证和解析操作。 3. 在preHandle()方法中,通过获取请求头中的Authorization字段,获取到JWT Token。 4. 使用JWT库对Token进行验证和解析,验证Token的签名是否正确,并获取其中的用户信息。 5. 根据验证结果进行相应的处理,例如通过验证则允许请求继续执行,否则返回相关错误信息或进行相应的操作(例如重定向、返回错误码等)。 6. 在Spring Boot中,可以使用注解方式拦截器类添加到拦截器链中,例如使用@WebFilter注解或在配置类中进行配置。 需要注意的是,JWT Token拦截器只是一种验证和解析JWT Token方式,具体的逻辑和处理方式需要根据实际业务需求进行定制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

~渊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值