SpringBoot+JWT实现拦截器的实现方式

已于 2023-10-13 17:02:20 修改
阅读量350 收藏 2
点赞数
分类专栏: JWT工具 文章标签: spring boot java 后端
于 2023-09-27 13:23:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47474875/article/details/133339916
版权

踩过的坑

        由于是第一次接触拦截器,所以对拦截器中的配置也不是很懂,导致在这个过程中踩了很多坑,最让我印象深刻的是,在配置拦截器的时候,由于我在项目中使用到了请求前缀,而我的拦截器又是从其他博主的博客中直接拿来用的,导致只要我一打开@Configuration,就会报404错误(尽管放行了登录请求),其原因是在添加拦截请求时,使用的是  /**  ,其会让我的请求前缀也会纳入进去,导致一进入登录请求,就会被拦截到,导致请求误拦截。

拦截器实现的方式

        其实拦截器总的来说就是添加拦截请求和放行请求,但是在实现上也确实有不同的思路,以下是我总结的两种实现方式(本质上大差不差)

方式一  拦截路径和放行路径设置在一起

实现步骤

编写拦截器
import cn.hutool.jwt.Claims;
import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.auth0.jwt.interfaces.Claim;
import com.example.demo.config.MyContext;
import com.example.demo.utils.JwtUtils;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;


//认证拦截器
@Component //添加到容器
public class LoginInterceptor implements HandlerInterceptor {

    @Autowired
    private JwtUtils jwtUtils;
    
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        String login = request.getRequestURI();
        if (login.contains("/login")) {
            return true;
        }
        // //获取请求头中的token
        final String token;
        final String authHeader = request.getHeader("Authorization");
        if (StringUtils.isNotBlank(authHeader) && authHeader.startsWith("Bearer ")) {
            //            截取token
            token = authHeader.substring(7);
        } else {
            if (request.getHeader("token") != null) {
                token = request.getHeader("token");
            } else {
                token = request.getParameter("token");
            }
        }
        Map<String, Object> mp = new HashMap<>();
        try {
            if (token == null) {
                System.out.println("token空");
            }
            jwtUtils.verify(token);//验证token
            return true;  //上一句无异常就 放行
        } catch (SignatureVerificationException e) {
//            e.printStackTrace();
            mp.put("msg", "无效签名");
        } catch (TokenExpiredException e) {
            e.printStackTrace();
            mp.put("msg", "token过期,请重新登录");
        } catch (AlgorithmMismatchException e) {
//            e.printStackTrace();
            mp.put("msg", "算法不匹配");
        } catch (NullPointerException e) {
//            e.printStackTrace();
            mp.put("msg", "token不能为空");
        } catch(RuntimeException e){
            e.printStackTrace();
            mp.put("msg", "token不正确");
        } catch (Exception e) {
//            e.printStackTrace();
            mp.put("msg", "其他异常");
        }
        mp.put("state", false);
        //map转换为json
        String json = new ObjectMapper().writeValueAsString(mp);

        response.setContentType("application/json; charset=UTF-8");

        //返回
        response.getWriter().println(json);
        return false;
    }
}
添加拦截器进配置
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;



@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    // 注入之前设置的拦截器(这里方式不止一种,之前听了一个实习生的描述,感觉他只知道Spring的这种注入。。。可别被限制了,这只是创建对象而已)
    @Autowired
    private LoginInterceptor loginInterceptor;

    //    注入拦截器
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationFilter)
                // 拦截所有请求(这里要十分注意,如果你在yml配置文件中添加了请求前缀,就设置为请求前缀下的路径。例如设置的请求前缀为 /admin ,则需要设置为 /admin/**)
               .addPathPatterns("/**")
                // 设置放行路径

                .addPathPatterns("/workPlan/**")

                .excludePathPatterns("/admin/login");
    }
}

 

方式二  放行路径单独(或多个)的JWT设置

编写拦截器

创建拦截器,在拦截器中添加放行路径以及登录校验

import com.xinxun.wxsecondheadmark.util.ContextHolder;
import com.xinxun.wxsecondheadmark.util.JwtUtil;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;
import java.util.List;
import java.util.Map;

@Component
public class LoginInterceptor implements HandlerInterceptor {
    /**
     * 请求头
     */
    private static final String HEADER_AUTH = "Authorization";

    /**
     * 安全的url,不需要令牌
     */
    private static final List<String> SAFE_URL_LIST = Arrays.asList("/wx/admin/login", "/wx/admin/register");

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        response.setContentType("application/json; charset=utf-8");

        String prop = request.getRequestURI().substring(request.getContextPath().length());
        String url = "/wx"+prop;
        // 登录和注册等请求不需要令牌
        // todo 由于上述集合中的安全URL是具体的,因为有新的需求,要求将以client开头的前缀给放行,因此使用了字符串的contains方法来模糊匹配
        if (prop.contains("/client/")||prop.contains("/order/")||prop.contains("/goods/")||SAFE_URL_LIST.contains(url)) {
            return true;
        }
        System.out.println("***********没有被放行的请求*************");
        System.out.println(url);
        // 从请求头里面读取token
        String token = request.getHeader(HEADER_AUTH);
        if (token == null) {
            throw new RuntimeException("请求失败,令牌为空");
        }
        System.out.println(token);
        // 解析令牌
        Map<String, Object> map = JwtUtil.resolveToken(token);
        Long userId = Long.parseLong(map.get("id").toString());
        ContextHolder.setUserId(userId);
        return true;
    }

}
添加拦截器配置
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import javax.annotation.Resource;

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Resource
    private LoginInterceptor loginInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //注册LoginInterceptor拦截器
        registry.addInterceptor(loginInterceptor);
    }

}
 封装的JWT工具
import cn.hutool.core.date.DateUtil;
import io.jsonwebtoken.*;
import lombok.extern.slf4j.Slf4j;

import java.util.Date;
import java.util.Map;


@Slf4j
public class JwtUtil {
    /**
     * 令牌密码 不少于32位
     */
    private static final String SECRET = "token_secret";

    /**
     * 令牌前缀
     */
    private static final String TOKEN_PREFIX = "Bearer";

    /**
     * 令牌过期时间
     */
    private static final Integer EXPIRE_SECONDS = 60 * 60 * 24 * 7;


    /**
     * 生成令牌
     */
    public static String generateToken(Map<String, Object> map) {
        String jwt = Jwts.builder()
                .setSubject("user info").setClaims(map)
                .signWith(SignatureAlgorithm.HS512, SECRET)
                .setExpiration(DateUtil.offsetSecond(new Date(), EXPIRE_SECONDS))
                .compact();
        return TOKEN_PREFIX + "_" + jwt;
    }

    /**
     * 验证令牌
     */
    public static Map<String, Object> resolveToken(String token) {
        if (token == null) {
            throw new RuntimeException("令牌为空");
        }
        try {
            return Jwts.parser()
                    .setSigningKey(SECRET)
                    .parseClaimsJws(token.replaceFirst(TOKEN_PREFIX + "_", ""))
                    .getBody();
        } catch (ExpiredJwtException e) {
            log.error("JWT过期:", e);
            throw new RuntimeException("JWT过期");
        } catch (UnsupportedJwtException e) {
            log.error("不支持的JWT:", e);
            throw new RuntimeException("不支持的JWT");
        } catch (MalformedJwtException e) {
            log.error("JWT格式错误:", e);
            throw new RuntimeException("JWT格式错误");
        } catch (SignatureException e) {
            log.error("签名异常:", e);
            throw new RuntimeException("签名异常");
        } catch (IllegalArgumentException e) {
            log.error("非法请求:", e);
            throw new RuntimeException("非法请求");
        } catch (Exception e) {
            log.error("解析异常:", e);
            throw new RuntimeException("解析异常");
        }
    }

}

保存用户ID,方便以后食用(线程安全) 

public abstract class ContextHolder {

    public static ThreadLocal<Long> context = new ThreadLocal<>();

    public static void setUserId(Long userId) {
        context.set(userId);
    }

    public static Long getUserId() {
        return context.get();
    }

    public static void shutdown() {
        context.remove();
    }

}

FAlienDug
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot_springsecurity_jwt_demo:源码主要用于学习SpringBoot + Spring Security JWT基于数据库的自定义用户详细信息服务实现Spring安全认证,内容包括自定义JWT拦截器,在请求到达目标之前对令牌进行校验,在请求超过的时候,解析请求头中的令牌,重新解析令牌以获得用户信息,再存入SecurityContextHolder中,以及使用BCryptPasswordEncoder方法对密码进行加密与密码匹配,以及AuthenticationEntr
03-23
springboot_springsecurity_jwt_demo
过滤器与拦截器 - 登录校验与登录认证(JWT令牌技术)
weixin_51351637的博客
05-17 1931
会话:用户打开浏览器,访问web服务器资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。比如我们打开浏览器与Web服务器建立连接。首先访问login接口,再访问depts接口,最后访问emps接口。只要浏览器和服务器都没有关闭,那么这三次请求都是在一次会话中完成的。关闭服务器,所有的会话都会关闭关闭当前浏览器,当前会话结束会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。
SpringBoot配置JWT拦截器
Kristabo的博客
03-24 479
JWT在之前文章提到过,JWT(JSON Web Token)是一种用于身份验证和授权的开放标准(RFC 7519),它允许在网络中安全地传输声明(claims)作为 JSON 对象。JWT 可以通过数字签名或加密来验证数据的完整性和真实性,从而保证数据在传输过程中不被篡改。工作流程用户通过用户名和密码等方式进行身份验证。服务器验证用户身份,并生成一个 JWT。服务器将 JWT 发送给客户端。客户端将 JWT 存储起来,通常是在本地存储或者内存中。
gradle+springboot+mybaits+shiro+......
10-30
1后台gradle构建,2springboot,3,系统架构,4.模板引擎---thymeleaf或者json返回,集成fastjson,5.自动生成接口API,6.数据访问jdbc和mybaits,7.定时任务8.统一异常处理9.整合redis10.配置连接池11.热部署12.身份认证,整合Apache Shiro和自定义拦截器两种方式13.发送邮件14.消息队列,集成RabbitMQ15.生成token 集成jwt1后台gradle构建,2springboot,3,系统架构,4.模板引擎---thymeleaf或者json返回,集成fastjson,5.自动生成接口API,6.数据访问jdbc和mybaits,7.定时任务8.统一异常处理9.整合redis10.配置连接池11.热部署12.身份认证,整合Apache Shiro和自定义拦截器两种方式13.发送邮件14.消息队列,集成RabbitMQ15.生成token 集成jwt
登录认证校验(JWT令牌,过滤器Filter,拦截器lnterceptor,异常处理)
qq_61338849的博客
08-16 847
setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))//设置有效期为1h。Result.success():Result.error("用户名或者密码错误");会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。System.out.println("Demo 拦截到了请求...放行后逻辑");后续每个请求,都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理。
SpringBoot集成Jwt(详细步骤+图解)
wenjiangwang的专栏
12-21 851
https://blog.csdn.net/weixin_67958017/article/details/128856282
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 4747
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt拦截器实现token权限验证。
使用JWT验证登陆(拦截器实现)
weixin_72979483的博客
06-12 869
本文主要是使用jwt进行登陆验证的代码。JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的
JWT实现拦截器和token认证
AsFarmer的博客
07-28 3185
Jwt实现拦截器
jwt设置token登录拦截器
m0_58467275的博客
03-08 1928
springboot项目,搭配jwt设置判断token放行工具,控制页面登录之后才可以访问的页面
JWT登录认证(3拦截器
m0_71088505的博客
11-17 417
使用拦截器统一验证令牌。登录和注册接口需要放行。:(在config配置项中配置拦截器):(注册一个拦截器
springboot +安全+ jwt +复述,实现微信小程序登录及令牌权限鉴定
01-27
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定 tips:这是实战篇,默认各位看官具备相应的基础(文中使用了Lombok插件,如果使用源码请先安装插件) @[TOC] 项目配置 依赖 <groupId>org.spring...
基于springboot+vue的物流管理系统
最新发布
04-27
基于springboot+vue的物流管理系统 含 : 源码,数据库,答辩ppt 数据库:MySql5.7,redis 后端框架:SpringBoot,Mybatis 数据建模:PowerDesigner ...权限拦截:JWT拦截器,路由守卫 日志写入:aop切面
基于 Spring Boot 博客系统开发(三)
呆萌很的博客
04-23 1101
在Thymeleaf中,如果你想要抽取公共页面(例如,头部、底部、导航栏等),可以通过定义和使用片段(fragments)和包含(includes)来实现。首页head部分的公共代码抽取成碎片,使用 thymeleaf 的标签 th:fragment 和 th:include。然后,在你的主页面(比如index.html)中,使用Thymeleaf的th:include来复用这段代码。将需要抽取的代码放到include fragment中,需要用到这些代码的地方使用th:include引用。
spring boot的项目+nginx,怎么预防点击劫持(clicekJacking)
keyboard专栏
04-23 478
通过这些措施,你可以在Spring Boot和Nginx层面有效防御点击劫持攻击。综合使用这些技术能够确保你的应用不仅安全,还能适应各种不同的部署环境和安全需求。这样的配置不仅增加了安全性,也提高了应用的健壮性。
Spring Boot 中Mybatis使用Like的使用方式和注意点
程序人生
04-19 798
使用Springboot简单配置一下Mybatis,然后进行说明。Springboot集成Mybatis这里就不做介绍了,这里我们主要介绍一下在mybatis配置文件中怎么使用模糊查询。
Spring Boot集成Mybatis Plus快速入门Demo
HBLOG
04-22 778
1.什么事Mybatis Plus?MyBatis-Plus(opens new window)(简称 MP)是一个MyBatis(opens new window)的增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生。特性无侵入:只做增强不做改变,引入它不会对现有工程产生影响,如丝般顺滑损耗小:启动即会自动注入基本 CURD,性能基本无损耗,直接面向对象操作强...
Spring Boot 实现定时任务
wenxuankeji的博客
04-16 1299
Spring Boot 实现定时任务
springboot + jwt
09-07
Spring Boot 是一个开源的 Java 开发框架,它简化了 Spring 应用程序的配置和部署。它通过提供一个约定大于配置的方式,使得开发者能够快速构建独立运行的、生产级别的 Spring 应用程序。 JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它使用 JSON 对象来传递被加密的安全声明,以便在客户端和服务器之间进行安全的数据传输。JWT 通常由三个部分组成:头部(Header),载荷(Payload)和签名(Signature)。头部包含了加密算法和类型信息,载荷包含了需要传输的数据,签名用于验证数据的完整性。 在 Spring Boot 中使用 JWT 可以实现无状态的身份验证和授权。用户在登录成功后将获得一个 JWT,之后每次请求都需要在请求头中携带该令牌。服务器可以根据 JWT 验证用户身份并授权访问相应资源。 要在 Spring Boot 中使用 JWT,你可以使用一些第三方库,如 jjwt、Nimbus JOSE + JWT 等。这些库提供了一些便捷的方法来生成、解析和验证 JWT。 你可以在 Spring Boot 中配置一个拦截器或过滤器来验证请求中的 JWT,并根据验证结果决定是否允许访问资源。同时,你也可以使用 Spring Security 来集成 JWT实现更复杂的权限控制和角色管理。 希望这个回答能够解决你对 Spring BootJWT 的疑问!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值