软件工程应用与实践(13)——JWT

最新推荐文章于 2022-02-10 23:13:12 发布
最新推荐文章于 2022-02-10 23:13:12 发布
阅读量291 收藏
点赞数
分类专栏: 其它 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46841376/article/details/121921705
版权

2021SC@SDUSC

文章目录

一、内容概述

在老年健康管理系统中,权限验证是个很重要的内容。在本项目中,使用了JWT的方式进行认证服务。经过小组成员讨论交流后,决定由我进行JWT内容源码的分析。

本篇博客我会首先从JWT的配置,引入开始,接着详细说明与JWT相关的工具类,最后对Controller接口调用的的相关方法进行分析。

本项目中将对以下几个类进行源码分析
在这里插入图片描述
在开始分析代码之前,我们需要首先了解JWT是什么。

JWT的全称是Json web token,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
在这里插入图片描述
通过上面这张解释JWT原理的图,我们可以知道,JWT在应用时,需要前后端的交互,发送相应的请求及响应。

JWT在前端中的应用较为广泛,而在本篇博客中,我主要关注项目后端使用java的jwt对登录和管理权限等进行验证的源码。

二、源码分析

2.1 JWT配置

在本项目中,由于需要多次使用JWT中的某些属性,因此在对应的.yml文件中配置JWT的相关信息。在这个配置中,规定了expire为token过期时间,并且指定了RSA加密算法的私钥。

# 自定义Jwt认证服务
jwt:
  token-header: Authorization
  expire: 14400
  rsa-secret: xxxxxxxxxxx

这些写在配置文件中的属性,之后会在其他类中使用@Value注解引入,在随后讲解其他类时我们会用到。

在这里,加密使用了RSA算法,这里略微提一下RSA加密算法,RSA算法是非对称加密算法,使用公钥加密,私钥解密。

在KeyConfiguration类中,我们可以看到注入了这个属性。

import lombok.Data;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Configuration;

@Configuration
@Data
public class KeyConfiguration {
    @Value("${jwt.rsa-secret}")
    private String userSecret;
    private byte[] userPubKey;
    private byte[] userPriKey;
}

2.2 JwtAuthenticationRequest类

JwtAuthenticationRequest类中封装了Jwt权限请求的相关方法,首先我们看到类引入的包,以及类的定义

import java.io.Serializable;

public class JwtAuthenticationRequest implements Serializable{

}

可以看到,这个类引入了Serializable接口,实现了Serializable接口,在下面的属性中,我们可以看到,这个类指定了一个序列号serialVersionUID

//指定序列号
private static final long serialVersionUID = -8442365848912354778L;

把对象转换为字节序列的过程称为对象的序列化,把字节序列恢复为对象的过程称为对象的反序列化。

通过查阅资料,我们知道,对象的序列化主要有两种用途

  • 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中
  • 在网络上传送对象的字节序列。

我个人认为,在项目中,序列化的作用是,便于在网络上传输对象的字节序列。

接下来我们看到这个类的剩下几个属性

//用户名
private String username;
//密码
private String password;
//有效码
private String verCode;
//唯一标识符
private String uuid;

值得一提的是UUID,UUID是全局唯一标识符,是在一定的范围内(从特定的名字空间到全球)唯一的机器生成的标识符。

接下来我们看到构造方法和一些对属性的set和get方法。构造方法有两个,一个是空的构造方法,另一个是可传入全部参数的构造方法。

public JwtAuthenticationRequest(String username, String password, String verCode, String uuid) {
    this.username = username;
    this.password = password;
    this.verCode = verCode;
    this.uuid = uuid;
}

public JwtAuthenticationRequest() {
}

public String getPassword() {
    return password;
}

public void setPassword(String password) {
    this.password = password;
}

public String getUsername() {
    return username;
}

public void setUsername(String username) {
    this.username = username;
}

public String getVerCode() {
    return verCode;
}

public void setVerCode(String verCode) {
    this.verCode = verCode;
}

public String getUuid() {
    return uuid;
}

public void setUuid(String uuid) {
    this.uuid = uuid;
}

2.3 JwtAuthenticationResponse类

这个类与上面的JWT请求类类似,只不过这个类用于处理JWT的响应数据.

可以看到,这个类与上面的类同样实现了Serializable接口,并自定义了一个serialVersionUID。这个类中的属性只有一个String类型的token,这个token用于前后端交互时的验证。

import java.io.Serializable;

public class JwtAuthenticationResponse implements Serializable {
    private static final long serialVersionUID = 1250234508123483573L;

    private final String token;

    public JwtAuthenticationResponse(String token) {
        this.token = token;
    }

    public String getToken() {
        return this.token;
    }
}

2.4 JwtTokenUtil类

这个类的主要作用是,对JWT验证时的token做一些简单的处理

在这个类中,首先通过属性注入的方式获取了token的失效时间,为int类型。之后使用generateToken方法获取对应的Token,getInfoFromToken用于获取传入token的具体信息。在这个类中还调用了其他几个类的方法,比如KeyConfiguration类,IJWTInfo类,JWTHelper类。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

@Component
public class JwtTokenUtil {

    @Value("${jwt.expire}")
    private int expire;
    @Autowired
    private KeyConfiguration keyConfiguration;

    public String generateToken(IJWTInfo jwtInfo) throws Exception {
        return JWTHelper.generateToken(jwtInfo, keyConfiguration.getUserPriKey(),expire);
    }

    public IJWTInfo getInfoFromToken(String token) throws Exception {
        return JWTHelper.getInfoFromToken(token, keyConfiguration.getUserPubKey());
    }
}

在keyConfiguration类中,有三个变量,主要保存了RSA加密所用的公钥和私钥。用于对Token进行加密。

@Configuration
@Data
public class KeyConfiguration {
    @Value("${jwt.rsa-secret}")
    private String userSecret;
    private byte[] userPubKey;
    private byte[] userPriKey;
}

2.5 UserAuthRestInterceptor类

本类的目的是对用户的请求进行拦截,并判断权限,输出对应的日志

首先我们看到这个类的引入

import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

从这个类的引入可以看出,本类主要利用了日志类,HttpServletRequst类进行拦截和相应的操作

接下来我们关注对应的属性和对应的方法

  • 在属性中,自动注入了我们上面分析过的JwtTokenUtil类,并且使用preHendle函数,对用户的请求进行了拦截
  • 通过request.getHeader,获取请求头,通过传入参数获取token,如果token为空,则从cookie中获取对应的token(使用for-each循环)
  • 在afterCompletion函数中,调用super.afterCompletion函数,处理完拦截后继续传递下去(避免被持续拦截,卡在拦截器中)
public class UserAuthRestInterceptor extends HandlerInterceptorAdapter {
    private Logger logger = LoggerFactory.getLogger(UserAuthRestInterceptor.class);
    @Autowired
    private JwtTokenUtil jwtTokenUtil;
    @Autowired
    private UserConfiguration userConfiguration;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 配置该注解,说明不进行用户拦截
        String token = request.getHeader(userConfiguration.getUserTokenHeader());
        if (StringUtils.isEmpty(token)) {
            if (request.getCookies() != null) {
                for (Cookie cookie : request.getCookies()) {
                    if (cookie.getName().equals(userConfiguration.getUserTokenHeader())) {
                        token = cookie.getValue();
                    }
                }
            }
        }
        IJWTInfo infoFromToken = jwtTokenUtil.getInfoFromToken(token);
        BaseContextHandler.setUsername(infoFromToken.getUniqueName());
        BaseContextHandler.setName(infoFromToken.getName());
        BaseContextHandler.setUserID(infoFromToken.getId());
        return super.preHandle(request, response, handler);
    }
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        BaseContextHandler.remove();
        super.afterCompletion(request, response, handler, ex);
    }
}

三、总结

在本次的代码分析中,我主要针对本项目中JWT相关的内容进行了相关分析。总的来说,通过本次分析,我获得了不少知识,并在这个过程中,通过小组讨论与查阅资料,解决了很多问题。希望在未来的项目实训中,我也能吸收这个项目的优点,争取用在项目中。

叶卡捷琳堡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring安全框架——jwt的集成(服务器端)
12-21
新建用户表——users,并完成数据库增删查改 一、新建表 二、持久化映射,建立模型类,添加主键生成器 //指定生成器名称 @GeneratedValue(generator = "uuid2" ) @GenericGenerator(name = "uuid2", strategy = ...
springboot拦截器,拦截完后,传送继续传递
选择大于努力吗?
07-18 1万+
springboot在添加拦截器的时候,拦截完参数后,发现进入方法里面参数为空,后经百度后,发现有很多人遇到了和我一样的问题,现做写个博客,记录和分享解决方法。 1.springboot添加拦截器继承HandlerInterceptorAdapter类,重写preHandle方法,这里我主要是获取requestBody里面和request里面的userId,但是在get和post请求进入方法的时...
Django JWT身份验证
Hi~ o(* ̄▽ ̄*)ブ
07-10 1108
0X00 安装及基础使用 Django JWT是基于Django的auth模块和user model的,所以如果不使用Django的model那么是无法使用Django JWT的。其视图的实现方法是基于Django restframework的APIView和serializers。修正一下,准确的来说Django restframework JWT默认是基于auth模块和user model的...
jwt使用详解
u013029883的博客
08-10 1753
认证机制介绍 1.1HTTP Basic Auth HTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password 这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。 例如,提供的用户名是 bill 、口令是 123456 ,则拼接后的结果就是 bill:123456 ,然后再将其用Base64编码,得到 YmlsbD
jetty之ContextHandler
fjs的专栏
10-21 2466
这篇文章要分析的类型是非常重要的一个类型... ContextHandler,从名字上来看就是上下文的handler... 这里普及一下知识:每一个WebApp都对应相应一个context,那么也就对应一个contextHandler当servlet容器收到外部的http请求之后,会根据其请求的path信息来找到相应的webapplication来处理,也就是要找到对应的contextHand
Spring Security + JWT 实现认证和授权
修理男爵的博客
11-10 1846
数据库表 Spring Security JWT JwtToken @Data public class JwtToken { private String token; private String username; private Long expireTime; } JwtTokenProvider @Slf4j @Component public class JwtTokenProvider { public JwtToken cre..
koa+jwt实现token验证与刷新功能
10-16
主要介绍了koa+jwt实现token验证与刷新功能,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
ASP.NET Core 3.1 JWT token实现与应用
04-25
Core 3.1 JWT token实现与应用
深入了解java-jwt生成与校验
10-16
主要介绍了深入了解java-jwt生成与校验,Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)...
Shiro + JWT + SpringBoot应用示例代码详解
08-19
主要介绍了Shiro (Shiro + JWT + SpringBoot应用),本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
OAuth2与 JWT 做认证授权服务(四)
weixin_44400390的博客
07-31 807
OAuth2与 JWT 做认证授权服务 为了保证服务对外的安全性,往往都会在服务接口采用权限校验机制,为了防止客户端在发起请求中途被篡改数据等安全方面的考虑,还会有一些签名校验的机制。 在分布式微服务架构的系统中,我们把原本复杂的系统业务拆分成了若干个独立的微服务应用,我们不得不在每个微服务中都实现这样一套校验逻辑,这样就会有很多的代码和功能冗余,随着服务的扩大和业务需求的复杂度不断变化,修改校验...
@EnableAuthorizationServer 源码讲解(上半部分) 全分析 BY:ZhangHe
qq_26934393的博客
11-30 1万+
在上一次我讲解了@EnableOauth2SSO的全过程,这次我将讲解spring security oauth2 搭建授权服务器的全过程。 首先,你得记录官方的文档网址:https://docs.spring.io/spring-security-oauth2-boot/docs/2.2.0.RELEASE/reference/html5/ 在开始的地方会让你参阅这个文档,我们进去看看 我们先...
SPRING CLOUD的错误提示记录
tan_yh的专栏
08-07 6473
2019-07-28 06:43:22.466 ERROR 7844 --- [ restartedMain] o.s.c.a.nacos.NacosConfigProperties : create config service error!properties=NacosConfigProperties{serverAddr='null', encode='null', grou...
spring boot 启动报错:No qualifying bean of type org.springframework.security.oauth2.provider.token.Toke
lzf2284466的博客
06-18 1万+
spring boot启动报错: Exception encountered during context initialization - cancelling refresh attempt: org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name ‘authorizationServerConfig’: Unsatisfied dependency expressed
后端架构token授权认证机制:spring security JSON Web Token(JWT)简例
Zhang Phil
02-10 6702
spring security JSON Web Token(JWT)简单例子实现 在基于token的客户端-服务器端认证授权以前,前端到服务器端的认证-授权通常是基于session,自从token机制出现并流行起来后,基于token的客户端-服务器端认证-授权访问机制变得越来越主要,token机制从某种意义上讲是过去session会话机制的另外一种解决方案,并尤其适用于当前的大规模集群和分布式体系架构。 客户端(浏览器web前端、app移动端等)与后端服务基于token的认证-授权访问流程一般情况是这
第5.1.4 SpringCloud JWT
warrah 南极狼
09-18 1046
JWT遵循RFC 7519,详细协议描述参见rfc7519.txt.pdf,当然有人并不看好它,比如讲真,别再使用JWT了! 先暂且搁置这个问题,毕竟我不是黑客专家,不知道安全这道门到底有多深。先看看如何利用JWT来实现单点登录。我在第4.1.2章 WEB系统最佳实践 单点登录介绍过cas的原理。简单来说有两方面:1、token认证,token的生命周期(生产、流转、销毁等环节)2、重定向,如果t...
jwt生成token配置类
无歆可行的专栏
06-05 1650
import io.jsonwebtoken.Claims; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; import java.util.Date; /*.
JWT Token验证Authorization 失败原因记录
热门推荐
weixin_42157982的博客
12-21 1万+
项目环境:djangorestframework + apache + mod_wsgi 主要使用token进行身份验证 # rest_framework 配置 REST_FRAMEWORK = { # JWT Token认证 'DEFAULT_AUTHENTICATION_CLASSES': ( # drf的这一阶段主要是做验证,middleware的auth...
【微服务调用-token】
weixin_40580722的博客
11-04 1073
用户登录模块集成统一身份认证(auth2)jwt生成token 集成统一身份认证(auth2) 通过用户输入的账号或者密码,调用统一身份认证接口获取code,通过code获取token,解析token获取对应登录账号,根据账号获取登录人员对应权限信息。(未获取到code走注册流程) jwt生成token 根据获取的人员ID,姓名等等通过jwtTokenUtil生成对应token ...
springboot应用jwt的例子
最新发布
05-25
以下是一个简单的使用Spring Boot和JWT的示例: 首先,添加以下依赖项到你的pom.xml文件中: ```xml <groupId>io.jsonwebtoken ...这样,你就可以在你的Spring Boot应用中使用JWT进行身份验证了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值