springboot整合JWT实现鉴权实现栗子控制访问权限和按钮操作权限

最新推荐文章于 2022-05-25 21:25:03 发布
最新推荐文章于 2022-05-25 21:25:03 发布
阅读量271 收藏
点赞数
分类专栏: java springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48027232/article/details/119531653
版权

JWT SpringBoot 认证授权 拦截器 全局异常处理
关键词由CSDN通过智能技术生成

文章目录

一、JWT是什么?

JWT全称是:json web token。它将用户信息加密到 token 里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证 token 的正确性,只要正确即通过验证。
优点

1.简介:可以通过 URL POST 参数或者在 HTTP header 发送,因为数据量小,传输速度也很快;

2.自包含:负载中可以包含用户所需要的信息,避免了多次查询数据库;

3.因为 Token 是以 JSON 加密的形式保存在客户端的,所以 JWT 是跨语言的,原则上任何 web 形式都支持;

4.不需要再服务端保存会话信息,特别适用于分布式微服务;

缺点

1.无法作废已经发布的令牌;

2.不易应对数据过期;

二、集成JWT实例

1.引入依赖

    <dependencies>

        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.0.1</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.34</version>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus</artifactId>
            <version>3.2.0</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <!-- alibaba durid 数据库连接池-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.10</version>
        </dependency>
        <dependency>
            <groupId>commons-lang</groupId>
            <artifactId>commons-lang</artifactId>
            <version>2.6</version>
        </dependency>
        <!-- fastjson -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.72</version>
        </dependency>
        <!-- JWT 鉴权依赖 -->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.8.1</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
            <version>5.4.6</version>
        </dependency>
        <dependency>
            <groupId>commons-codec</groupId>
            <artifactId>commons-codec</artifactId>
            <version>1.15</version>
        </dependency>

    </dependencies>

2.编写认证工具类jwtUtil

代码如下:

package com.demo.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.sbm.productionmodelmap.Exception.JwtException;

import java.util.Date;

/**
 * <p>Description:
 * Jwt 认证授权方式用于生成签名校验和通过签名获取用户信息
 *
 * </p>
 *
 * @author Editor MartinZac
 * @date 2021年08月03日 9:27
 */
public class JwtUtils {

    /**
     * 设置过期时间24小时
     */
    private static final long EXPIRE_TIME =24 * 60 * 60 * 1000;

    /**
     * jwt 秘钥
     */
    private static final String SECRET = "jwt_secret";

    /**
     * 生成token签名设置过期时间
     *
     * @param userId 用户id
     * @return
     */
    public static String sign(String userId) {
        try {
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            return JWT.create()
                    //将userid 保存到token
                    .withAudience(userId)
                    //设置token过期时间
                    .withExpiresAt(date)
                    //token秘钥
                    .sign(algorithm);
        } catch (Exception e) {
            return null;
        }
    }

    /**
     * 根据token 秘钥解密取出userID
     * @param token
     * @return
     */
    public static String getUserId(String token) {
        try {
            //从JWT获取userID
            String userId = JWT.decode(token).getAudience().get(0);
            return userId;
        } catch (Exception e) {
            return null;
        }
    }

    /**
     * 校验token
     * @param token
     * @return
     */
    public static boolean checkSign(String token){
        try {
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            JWTVerifier verifier = JWT.require(algorithm)
                    .build();
            DecodedJWT jwt = verifier.verify(token);
            return true;
        }catch (JWTVerificationException exception){
            throw new JwtException(401,"token 无效,请重新获取");
        }
    }
}

3.自定义注解@JwtAuth

代码如下:

package com.demo.target;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 定义需要登录才能访问的接口
 * jwt 
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface JwtAuth{
    boolean required() default true;
}

4.编写拦截器拦截声明的@JwtAuth注解接口

代码如下:

package com.demo.interceptor;

import com.sbm.productionmodelmap.Exception.JwtException;
import com.sbm.productionmodelmap.entity.SysUser;
import com.sbm.productionmodelmap.service.UserService;
import com.sbm.productionmodelmap.target.AppPermissions;
import com.sbm.productionmodelmap.target.JwtToken;
import com.sbm.productionmodelmap.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.annotation.Annotation;
import java.lang.reflect.Method;
import java.util.Objects;

/**
 * <p>Description:
 * jwt 拦截器类拦截所有带注解请求
 * </p>
 *
 * @author Editor MartinZac
 * @date 2021年08月03日 10:41
 */
@Slf4j
public class JwtInterceptor implements HandlerInterceptor {

    @Resource
    private UserService userService;

    /**
     * 在请求前执行验证
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        //解决跨域
        if("OPTIONS".equals(request.getMethod().toUpperCase())) {
            return true;
        }

        //从http 请求头取出token
        String token = request.getHeader("token");
        //校验不是映射方法通过请求
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();

        //定义userId
        String userId = "";

        if (method.isAnnotationPresent(JwtToken.class)) {
            JwtToken jwtToken = method.getAnnotation(JwtToken.class);
            if (jwtToken.required()) {
                //执行认证
                if (token == null) {
                    throw new JwtException(401, "您还没有授权请先登录");
                }

                //获取token中的 userId
                 userId = JwtUtils.getUserId(token);
                log.info("当前token:-->:" + token + "<----->userID为:" + userId);

                //验证token
                JwtUtils.checkSign(token);
            }
        }
       
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

5.注册拦截器

代码如下:

package com.demo.config;

import com.sbm.productionmodelmap.interceptor.JwtInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * <p>Description:
 * 注册拦截器类将jwt 拦截器注入
 * </p>
 *
 * @author Editor MartinZac
 * @date 2021年08月03日 11:15
 */
@Configuration
public class WebConfig implements WebMvcConfigurer {
    /**
     * 注册拦截器
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor())
                .addPathPatterns("/**");
    }
    @Bean
    public JwtInterceptor jwtInterceptor() {
        return new JwtInterceptor();
    }
}

6.全局异常处理

代码如下:

@RestControllerAdvice
public class GlobalExceptionHandler {
    @ResponseBody
    @ExceptionHandler(Exception.class)
    public Object handleException(Exception e) {
        String msg = e.getMessage();
        if (msg == null || msg.equals("")) {
            msg = "服务器出错";
        }
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("message", msg);
        return jsonObject;
    }
}

7.编写接口

代码如下:

   /**
     * 登录并获取token
     * @param userName
     * @param passWord
     * @return
     */
    @PostMapping("/login")
    public Object login( String userName, String passWord){
        JSONObject jsonObject=new JSONObject();
        // 检验用户是否存在(为了简单,这里假设用户存在,并制造一个uuid假设为用户id)
        String userId = UUID.randomUUID().toString();
        // 生成签名
        String token= JwtUtil.sign(userId);
        Map<String, String> userInfo = new HashMap<>();
        userInfo.put("userId", userId);
        userInfo.put("userName", userName);
        userInfo.put("passWord", passWord);
        jsonObject.put("token", token);
        jsonObject.put("user", userInfo);
        return jsonObject;
    }

    /**
     * 该接口需要带签名才能访问
     * @return
     */
    @JwtToken
    @GetMapping("/getMessage")
    public String getMessage(){
        return "你已通过验证";
    }
}

8.测试,先访问登录接口,获取返回中的token,在将token加到jwt/getMessage接口请求头即可正常访问

原理即使用拦截器拦截请求获取请求头进行校验

总结

当前为springboot整合JWT的实例,还可以根据项目复杂度通过自定义注解的方式进行权限校验,拦截请求校验权限参数

Martin_Zac
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT实现鉴权
柠檬树
03-10 8849
一、前言 JWT全称JSON Web Token,是一种基于JSON的,用于在网络上声明某种主张的令牌(Token)。JWT通常由三部分组成:头信息(header)、消息体(payload)、签名(signature)。 头信息(Header)指定了该JWT使用的签名算法: header = '{"alg":"HS256","typ":"...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
以下是实现Spring Boot + Spring Security + JWT登录和权限认证的主要步骤: 1. **项目初始化**:创建一个新的Spring Boot项目,添加`spring-boot-starter-web`、`spring-boot-starter-security`、`spring-security...
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 760
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
jwt鉴权
weixin_46146313的博客
04-17 1218
总体思路 token两个作用 1鉴权(鉴定是否有这个权限) 2.进行简单的数据交互 客户端登录—> 成功(服务器接收数据) —>服务器根据密钥生成token(2出明文和一处密钥)像一个门票—>发送客户端 token —>客户端储存; 客户端再次登录时获取到储存的token —> 请求头部携带token —>发送到服务器 服务端—> 验证通过—> 返回...
springboot 按钮权限验证_springboot+spring security 权限验证
weixin_42132325的博客
12-24 672
ps:度娘是万能的,还是做下笔记springboot进坑请移步大神博客胡小海丶基于springboot做security权限验证org.springframework.bootspring-boot-starter-parent1.4.5.RELEASE1.不多说先导包:pom.xmlorg.springframework.bootspring-boot-starter-securityorg.s...
springboot+jwt实现token登陆权限认证的实现
08-19
在本文中,我们将介绍如何使用 Spring BootJWT 实现 Token 登录权限认证。JWT(JSON Web Token)是一种基于 token 的身份验证机制,能够提供一种简洁、安全的方式来验证用户身份。 什么是 JWT JWT 是一种基于 ...
基于springboot+jwt实现刷新token过程解析
08-19
本文主要介绍了基于SpringBootJWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于SpringBoot+JWT实现刷新Token的过程,旨在为读者提供...
springboot 整合security jwt 身份鉴权
01-03
SpringBoot整合Security与JWT身份鉴权是现代Web应用中常用的身份验证和授权方式。Spring Security是一个强大且高度可定制的身份验证和访问控制框架,而JSON Web Token(JWT)则是一种轻量级的身份验证机制,常用于...
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
08-19
在本文中,我们将深入探讨如何在SpringBoot应用中集成Spring Security并使用JWT(Json Web Token)来实现用户登录和鉴权。首先,我们先理解JWT的基本概念。 **1. JWT概念** JWT是一种开放标准(RFC 7519),用于在...
springboot权限控制系统
09-21
项目基于jdk1.8整合springboot+mvc+mybatis(通用mapper)+druid+jsp+bootstrap等技术,springboot+Listener(监听器),Filter(过滤器),Interceptor(拦截器),Servlet,springmvc静态资源,文件上传下载,多数据源切换,缓存,quartz定时任务(没有具体业务实现)等技术点都在项目中实现了,可谓是麻雀虽小五脏俱全!项目也整合了redis做缓存,把pom.xml中spring-boot-starter-data-redis和com.xe.demo.common.support.redis包下的注释去掉,即可开启redis支持.
SpringBoot 权限控制(菜单控制,页面元素控制,url控制
04-13
基于RBAC思想的权限控制,可先建立完整的库,也可以使用使用代码生成,包中提供两种方式, 代码先后顺序 菜单控制----》元素控制-------》url控制
Spring Boot权限管理(最终)
08-17
Spring Boot权限管理
springboot--全注解式的权限管理系统源码
08-30
spring security 全注解式的权限管理/动态配置权限,角色和资源,权限控制按钮粒度/采用token进行权限校验,禁用session,未登录返回401,权限不足返回403 /采用redis存储token及权限信息
SpringBoot_SpringSecurity_JWT_RBAC:前后端分离,基于 JWT、RBAC 的登录拦截设计
05-01
SpringBoot_SpringSecurity_JWT_RBAC
SpringBoot权限管理-按钮级别权限
普通人一枚
04-27 3135
0.需要按钮具备权限标识 1.存储数据库列表 . 2.自定义注解,使其在按钮执行之前执行这个注解,是否有权CRUD /** * 写一个自定义注解 使其在按钮执行之前执行这个注解,是否有权CRUD */ @Retention(RetentionPolicy.SOURCE) @Target(ElementType.METHOD) public @interface HasPerm { String perm() default ""; } ...
JWT认证 鉴权
GY的的专栏
11-01 1769
JWT认证 鉴权
第一章 Shiro简介——《跟我学Shiro》
jinnianshilongnian的专栏
02-19 3410
  扫一扫,关注我的公众号    我的新书 购买地址   目录贴: 跟我学Shiro目录贴   1.1  简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的...
JWT鉴权
liu4461431的博客
05-25 4352
JWT鉴权知识点总结
springboot shiro jwt实现权限控制
最新发布
07-29
要在 Spring Boot 中使用 Shiro 和 JWT 实现权限控制,可以按照以下步骤进行操作: 1. 添加依赖:在 Maven 或 Gradle 文件中添加 Spring Boot、Shiro 和 JWT 的依赖项。 2. 配置 Shiro:创建一个 Shiro 的配置类,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值