【Web开发技术】JWT令牌技术(信息安全)

已于 2023-06-02 10:09:29 修改
阅读量294 收藏
点赞数 1
分类专栏: Web项目开发 文章标签: 前端 java 开发语言
于 2023-05-24 21:26:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48916759/article/details/130853794
版权
文章介绍了JWT作为提升跨域安全性的解决方案,详细阐述了JWT的依赖、配置、生成与解析过程,并展示了如何在Java环境中使用JWT,包括创建拦截器进行令牌校验,以及在实际的Controller层和前端Vue应用中的应用。
摘要由CSDN通过智能技术生成

文章目录

一、描述

说到JWT令牌技术,就需要提到cookie和session两种技术。这两种技术在跨域问题(计算机网络的知识,百度可以搜到,就回归重点)上存在一定的局限性,跟不上流行框架和新编程思想的脚步,自然而然就需要迎来进步。JWT令牌提升了用户信息在跨域上的安全性和独立性。
如果进行接口测试,建议是提前关闭令牌,这样就方便白盒测试,避免不必要的时间消耗。

在这里插入图片描述

二、依赖

<!-- jwt包 -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>${jjwt}</version>
</dependency>
<!-- 简化代码 -->
<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
</dependency>

三、配置

关于application.yml全局配置文件

# xpq是我的名字缩写,你可以改成你自己的。但得注意下面的文件中都得改
xpq:
  jwt:
    # 设置jwt签名加密时使用的秘钥
    admin-secret-key: itcast
    # 设置jwt过期时间
    admin-ttl: 7200000
    # 设置前端传递过来的令牌名称
    admin-token-name: token

四、java文件中的准备

令牌特性,用于标识令牌绑定的属性,可以是用户ID,也可以是手机号码。
作用:返回令牌知道ID,保证了用户ID的安全性

public class JwtClaimsConstant {

    public static final String EMP_ID = "empId";
    public static final String USER_ID = "userId";
    public static final String PHONE = "phone";
    public static final String USERNAME = "username";
    public static final String NAME = "name";

}

创建一个JwtProperties.java,用于配置文件Bean属性定义绑定

import lombok.Data;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

@Component
@ConfigurationProperties(prefix = "xpq.jwt")
@Data
public class JwtProperties {

    /**
     * 管理端员工生成jwt令牌相关配置
     */
    private String adminSecretKey;
    private long adminTtl;
    private String adminTokenName;

    /**
     * 用户端微信用户生成jwt令牌相关配置
     */
    private String userSecretKey;
    private long userTtl;
    private String userTokenName;

}

创建一个公共属性JwtUtil.java

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.nio.charset.StandardCharsets;
import java.util.Date;
import java.util.Map;

public class JwtUtil {

    /**
     * 生成jwt
     * 使用Hs256算法, 私匙使用固定秘钥
     *
     * @param secretKey jwt秘钥
     * @param ttlMillis jwt过期时间(毫秒)
     * @param claims    设置的信息
     * @return
     */
    public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {
        // 指定签名的时候使用的签名算法,也就是header那部分
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        // 生成JWT的时间
        long expMillis = System.currentTimeMillis() + ttlMillis;
        Date exp = new Date(expMillis);

        // 设置jwt的body
        JwtBuilder builder = Jwts.builder()
                // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setClaims(claims)
                // 设置签名使用的签名算法和签名使用的秘钥
                .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置过期时间
                .setExpiration(exp);

        return builder.compact();
    }

    /**
     * Token解密
     * @param secretKey jwt秘钥 此秘钥一定要保留好在服务端, 不能暴露出去, 否则sign就可以被伪造, 如果对接多个客户端建议改造成多个
     * @param token     加密后的token
     * @return
     */
    public static Claims parseJWT(String secretKey, String token) {
        // 得到DefaultJwtParser
        Claims claims = Jwts.parser()
                // 设置签名的秘钥
                .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims;
    }

}

定义一个JWT令牌校验的拦截器(JwtTokenAdminInterceptor.java)用于拦截指定Controller

@Component
@Slf4j
public class JwtTokenAdminInterceptor implements HandlerInterceptor {

    @Autowired
    private JwtProperties jwtProperties;

    /**
     * 校验jwt
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //判断当前拦截到的是Controller的方法还是其他资源
        if (!(handler instanceof HandlerMethod)) {
            //当前拦截到的不是动态方法,直接放行
            return true;
        }

        //1、从请求头中获取令牌
        String token = request.getHeader(jwtProperties.getAdminTokenName());

        //2、校验令牌
        try {
            log.info("jwt令牌校验:{}", token);
            Claims claims = JwtUtil.parseJWT(jwtProperties.getAdminSecretKey(), token);
            Long empId = Long.valueOf(claims.get(JwtClaimsConstant.EMP_ID).toString());
            log.info("当前用户id:{}", empId);
            // 放入ThreadLoad中
            BaseContext.setCurrentId(empId);
            //3、通过,放行
            return true;
        } catch (Exception ex) {
            //4、不通过,响应401状态码
            response.setStatus(401);
            return false;
        }
    }
}

注册自定义的拦截器组件(WebMvcConfiguration.java)

@Configuration
@Slf4j
public class WebMvcConfiguration extends WebMvcConfigurationSupport {

    @Resource
    private JwtTokenAdminInterceptor jwtTokenAdminInterceptor;

	/**
     * 注册自定义拦截器
     * @param registry
     */
    protected void addInterceptors(InterceptorRegistry registry) {
        log.info("开始注册自定义拦截器...");
        registry.addInterceptor(jwtTokenAdminInterceptor)
                .addPathPatterns("/xpq/**")
                // 开放以下接口,不需要进行jwt令牌验证
                // 所以就需要在这些接口下向用户提供jwt令牌
                // 普通登录
                .excludePathPatterns("/xpq/user/login")
                // 二维码登录
                .excludePathPatterns("/xpq/qr/*");
    }
	
}

五、开始使用

Controller层。 用户之后的所有同Controller or 同根访问路径操作都需要此token令牌才能进行。确保了用户的数据安全性独立性,也保证了服务器资源的合理利用。

@RestController
@RequestMapping("/xpq/user")
@Slf4j
public class UserController {

    @Resource
    private JwtProperties jwtProperties;

	@PostMapping("/login")
    @ApiOperation("用户登录")
    public Result<UserLoginVO> login(User user) {
        log.info("用户登录(邮箱):{}", user.getEmail());

		// 登录逻辑 throw new Exception("多种错误")
        // User u = userService.login(user);

        // 登录成功后,生成jwt令牌
        Map<String, Object> claims = new HashMap<>();
        claims.put(JwtClaimsConstant.EMP_ID, u.getId());
        String token = JwtUtil.createJWT(
                jwtProperties.getAdminSecretKey(),
                jwtProperties.getAdminTtl(),
                claims);
        log.info("jwt令牌:{}", token);

		// 返回给用户的数据,token密匙
        UserLoginVO userLoginVO = UserLoginVO.builder()
                .token(token)
                .build();

        return Result.success(userLoginVO);
    }
}

用户端得到如下数据

在这里插入图片描述

服务器返回如下

在这里插入图片描述

前端配置(基于Vue框架axios方法的使用)

  • 1、普通用法

挂起axios全局操作,需要配置main.js

import { createApp } from 'vue'
import App from './App.vue'
import router from './router'
import store from './store'
import axios from 'axios'

const app = createApp(App)

app.config.globalProperties.$http = axios
app.use(store).use(router)
app.mount('#app')

接收到jwt令牌

// 存储jwt令牌
sessionStorage.setItem('jwt', res.token)

具体连接下再定义headers

// 使用令牌,最好是在App.vue这种最上层的Vue里使用,之后就无需配置
this.$http.defaults.headers.common['token'] = sessionStorage.getItem('jwt')
  • 2、api.js全局访问文件

直接配置api文件,只要在此文件下定义访问方法,可以一劳永逸。

import axios from 'axios'
import axiosExtra from 'axios-extra'

// 服务器端口
const baseUrl = 'http://localhost:8010'

const http = axios.create({
    baseURL: baseUrl,
    // 配置令牌
    headers: { 'token': sessionStorage.getItem('jwt') }
})

const httpExtra = axiosExtra.create({
    maxConcurrent: 5, //并发为1
    queueOptions: {
        retry: 3, //请求失败时,最多会重试3次
        retryIsJump: false //是否立即重试, 否则将在请求队列尾部插入重试请求
    }
})

http.interceptors.response.use(response => {
    return response.data
})

/**
 * 获取用户文件信息
 * @param {*} url 
 * @returns 
 */
const queryFileInfo = (url) => {
    return http.post('/xpq/file/page', url)
}

export {
    queryFileInfo,
    httpExtra
}
云端new守夜人
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT令牌认证技术.zip
11-29
总的来说,JWT令牌认证技术在现代Web开发中广泛应用,尤其在前后端分离和单点登录场景中,它的安全性和便捷性得到了广大开发者认可。通过理解JWT的原理和在SpringBoot中的实践,开发者可以构建更加安全和高效的认证...
web api JWT token认证
04-24
JWT令牌通常包含一个过期时间(exp claim),超过这个时间后,令牌将被视为无效。此外,还可以设置刷新令牌(Refresh Token)机制,当JWT过期时,客户端可以用刷新令牌获取新的JWT,而无需重新登录。 6. **安全性...
springBoot整合jwt生成解析token
2301_76710291的博客
11-28 232
【代码】springBoot整合jwt生成解析token。
springboot项目中,将在拦截器中解析token得到的信息传给Service层
m0_64590755的博客
07-22 1065
就可以在拦截器中将从token获取到的用户id存放到ThreadLocal中去,然后在service层拿出id,然后将这个id添加到数据库中。ThreadLocal为每个线程单独提供一份存储空间,具有线程隔离的效果,只有在线程内才能获取到对应的值,线程外则不能访问。在拦截器中将解析后的token载荷中的用户id存放在ThreadLocal中,然后在service中取出。可以看到,发起的每一个请求都是一个单独的线程 ,满足每个线程都是单独的一份存储空间。封装ThreadLocal便于代码的维护。
ThreadLocal
m0_63949203的博客
07-27 217
为了便于使用常常将其封装成一个单独的工具类。设置更新员工者id和创建者员工者id。
JWT令牌技术快速入门
2301_79024228的博客
07-12 1689
JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割) - 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{"alg":"HS256","type":"JWT"} - 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{"id":"1","username":"Tom"} - 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。
苍穹外卖-day02
weixin_73933655的博客
05-04 3204
ThreadLocal 并不是一个Thread,而是Thread的局部变量。ThreadLocal为每个线程提供单独一份存储空间,具有线程隔离的效果,只有在线程内才能获取到对应的值,线程外则不能访问。
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
在.NET6平台上开发WebAPI应用时,为了实现安全的用户身份...这对于学习和实践Web API的安全开发具有很高的参考价值。开发者可以根据这个模板进行扩展,添加自定义的权限控制、角色管理等功能,以满足更复杂的应用场景。
.NET Core 生成JWT令牌源码
04-27
它是一种轻量级的安全令牌,用于在不同的应用程序或服务之间传递身份验证信息。 JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部包含了令牌的类型和加密算法等信息,载荷包含了一些...
WebApiDemo(net6+swagger+jwt)
05-31
总的来说,WebApiDemo项目展示了如何使用.NET 6框架构建一个安全、可测试的Web API服务,Swagger用于方便的接口管理和测试,JWT实现用户身份验证,而这一切都在Visual Studio 2022的强大支持下进行。这个项目的代码...
外卖小程序02
agjnhga的博客
04-01 219
数据库索引,B+Tree数据结构,ThreadLocal线程局部变量,全局异常处理,日期类型格式化
vue3前端开发-小兔鲜项目-人气推荐栏目的前端渲染
最新发布
yrldjsbk的博客
07-18 350
除了必要的import导入之外,剩余的就是直接调用了,赋值了。经历过上一次的,新鲜好物的栏目渲染之后,我们已经熟练了,vue3的接口调用,数据渲染到页面中的整体流程。如图,我们已经做好了,列表的渲染赋值。里面可以看见,顶部是脚本,中间是模板,底部是样式。在首页面,内容里面,会看见很多内容,上期内容我们已经完成了新鲜好物的渲染操作。1:打开接口文档,查询:人气推荐栏目的接口地址信息和参数,返回值对象信息等。以上内容就是,已经写好的,HomeHot的模板代码了。如图,地址信息和调用的方式已经清楚了。
Web前端-Web开发CSS基础6-弹性盒子
a15735748145a的博客
07-16 1294
10. stretch,这意味着弹性盒子在布局的时候,不论是一行一行地布局,还是一列一列地布局,垂直方向上的各元素都将会自动扩展,以填满父元素的高度。11. stretch,这意味着弹性盒子在布局的时候,不论是一行一行地布局,还是一列一列地布局,垂直方向上的各元素都将会自动扩展,以填满父元素的高度。12. stretch,这意味着弹性盒子在布局的时候,不论是一行一行地布局,还是一列一列地布局,垂直方向上的各元素都将会自动扩展,以填满父元素的高度。
前端JavaScript入门及实战6-10
weixin_45980065的博客
07-17 569
如果使用Number表示的数字超过了最大值,则会返回一个Infinity,表示正无穷,typeof是number。NaN是一个特殊的数字,不是数字:not a number,是一个字面量,typeof是number。但是注意,null和undefined这两个值没有toString()方法,如果调用会报错。它会将null直接转换为"null",将undefined直接转换为"undefined"当声明一个变量,但是并不给变量赋值时,它的值就算undefined。该方法不会影响原变量,它会将转换的结果返回。
【Vue】 style中的scoped
DX390609的博客
07-15 168
在vue文件中的style标签上,有一个特殊的属性:scoped。当一个style标签拥有scoped属性时,它的CSS样式就只能作用于当前的组件,通过该属性,可以使得组件之间的样式不互相污染。
cookies,sessionStorage和localStorage都有什么区别
qq_51856496的博客
07-17 302
cookies,sessionStorage和localStorage都有什么区别 cookies在请求数据传输的时候会携带至后台,sessionStorage,localStorage是纯客户端缓存 cookies有过期机制,sessionStorage是会话级缓存,窗口关闭后会销毁,localStorage是本地持久缓存手动才会清除 cookies只能存储4KB并且不推荐前端用js直接操作,sessionStorage,localStorage存储有5MB
ReactRouter v6升级的步骤
feixin369的博客
07-14 429
React Router v6 引入了一个 Routes组件,它有点像Switch,但功能要强大得多。与Switch相比,RoutesReact.lazy。
(三)js前端开发中设计模式之工厂模式
峰会路转的博客
07-17 255
工厂模式是一种创建型设计模式,它可以帮助我们根据需求创建对象。
使用 Vue3、Node.js、MySQL、Electron 和 Express 实现用户登录、文章管理和截屏功能
liyananweb的博客
07-15 659
通过本文,我们详细介绍了如何使用 Vue3、Node.js、MySQL、Electron 和 Express 实现一个完整的用户登录、文章管理和截屏功能的应用。希望这篇文章能为你提供有价值的参考,帮助你更好地理解和实现前后端分离的应用开发。如果你有任何问题或建议,欢迎在评论区留言讨论。
用户授权流程与JWT令牌在信息技术中的应用
1. 当生成JWT令牌时,会将用户的权限信息写入令牌,如`course_find_list`和`course_pic_list`等。 2. 在资源服务的方法上,使用Spring Security的`@PreAuthorize`注解来指定所需权限。例如,只有拥有`course_find_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云端new守夜人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值