SpringBoot集成Jwt

已于 2023-03-16 12:47:02 修改
阅读量248 收藏 2
点赞数
文章标签: json vue.js 前端 Powered by 金山文档
于 2023-03-15 21:33:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51296701/article/details/129569120
版权

JWT 简称 JSON Web Token,通过JSON形式作为Web应用中的令牌,用于各方之间安全地将信息作为JSON对象传输,在数据传输的过程中还可以完成数据加密、签名等相关处

优势所在

在JavaWeb阶段,经常使用session来存储,以方便用来判断用户是否操作等等。但这又恰巧暴露了一个问题,用session存储是需要占用服务器内存的。当用户只有一两个的时候没什么问题,但是当用户成千上万的话,服务器就很难招架得住了。并且session是基于cookie来实现的,因此数据很容易被截获,遭遇CSRF跨域伪造攻击,因此不太安全。这时JWT的优势就突显出来的:

  • 简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快

  • 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库

  • 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。

  • 不需要在服务端保存会话信息,特别适用于分布式微服务。

使用

首先在maven中导入

 <!-- JWT -->
 <dependency>
     <groupId>com.auth0</groupId>
     <artifactId>java-jwt</artifactId>
     <version>3.10.3</version>
 </dependency>

然后在utils包中创建TokenUtils

package com.example.utils;

import cn.hutool.core.date.DateUtil;
import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.example.entity.User;
import com.example.service.UserService;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.annotation.PostConstruct;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.util.Date;

@Component
@Slf4j
public class TokenUtils {
    private static UserService staticUserService;
    @Resource
    private UserService userService;
    @PostConstruct
    public void setUserService() {
        staticUserService = userService;
    }

    /**
     * 生成token
     *
     * @return
     */
    public static String genToken(String userId, String sign) {
        return JWT.create().withAudience(userId) // 将 user id 保存到 token 里面,作为载荷
                .withExpiresAt(DateUtil.offsetHour(new Date(), 2)) // 2小时后token过期
                .sign(Algorithm.HMAC256(sign)); // 以 password 作为 token 的密钥
    }

    /**
     * 获取当前登录的用户信息
     *
     * @return user对象
     */
    public static User getCurrentUser() {
        try {
            HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
            String token = request.getHeader("token");
            if (StrUtil.isNotBlank(token)) {
                String userId = JWT.decode(token).getAudience().get(0);
                return staticUserService.getById(Integer.valueOf(userId));
            }
        } catch (Exception e) {
            return null;
        }
        return null;
    }
}

然后在Crontroller或者ServiceImpl中的返回结果中加上Token

/**
     * 用户登录
     *
     * @param userDto
     * @return
     */
    @PostMapping("/login")
    public Result login(@RequestBody UserDto userDto) {
        User dbUser = userService.checkLoginUserbyUsernameAndPassword(userDto);  //返回的是根据userDto的用户名和密码查询数据库中的用户
        if (dbUser==null){
            return Result.error(Constants.CODE_400,"用户名或密码错误");
        }
        if (!dbUser.isStatus()){
            return Result.error(Constants.CODE_401,"账号状态异常,请联系管理员");
        }
        UserDto tokenUser=new UserDto();
        BeanUtils.copyProperties(dbUser,tokenUser);
        String token = TokenUtils.genToken(dbUser.getId().toString(), dbUser.getPassword());
        tokenUser.setToken(token);

        return Result.success(tokenUser);
    }

此时返回给前端的结果中就有了一串Token

然后在前端封装的request.js中添加条件 ,每次请求都需携带Token

import router from '@/router';
import axios from 'axios'
import ElementUI from 'element-ui';
const request = axios.create({
    baseURL: 'http://localhost:9090',
    timeout: 5000
})

// request 拦截器
// 可以自请求发送前对请求做一些处理
// &&比如统一加token,对请求参数统一加密
request.interceptors.request.use(config => {
    config.headers['Content-Type'] = 'application/json;charset=utf-8';
    let user = localStorage.getItem("user") ? JSON.parse(localStorage.getItem("user")) : null
    if (user) {
        config.headers['token'] = user.token;  // 设置请求头
    }
    return config
}, error => {
    return Promise.reject(error)
});

// response 拦截器
// 可以在接口响应后统一处理结果
request.interceptors.response.use(
    response => {
        let res = response.data;
        // 如果是返回的文件
        if (response.config.responseType === 'blob') {
            return res
        }
        // 兼容服务端返回的字符串数据
        if (typeof res === 'string') {
            res = res ? JSON.parse(res) : res
        }
        // **当权限验证不通过的时候给出提示
        if (res.code === '401') {
            ElementUI.Message({
                message: res.msg,
                type: 'error',
            });
            //2s后跳转到登录页面
            setTimeout(() => {
                ElementUI.Message({
                    message: '正在为您跳转至登录页面  ! ',
                    type: 'success',
                });
            }, 1000);
            //2s后跳转到登录页面
            setTimeout(() => {
                location.href = 'http://localhost:8081/login';
            }, 2500);
        }
        return res;
    },
    error => {
        console.log('err' + error) // for debug
        return Promise.reject(error)
    }
)


export default request

设置拦截器拦截前端传来的所有请求

package com.example.config;

import com.example.config.interceptor.JwtInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor())
                .addPathPatterns("/**")  // 拦截所有请求,通过判断token是否合法来决定是否需要登录
                .excludePathPatterns("/user/login", "/user/register", "/**/export", "/**/import");  //过滤的请求
    }

    @Bean
    public JwtInterceptor jwtInterceptor() {
        return new JwtInterceptor();
    }

}

对拦截到的请求进行处理 校验token

package com.example.config.interceptor;

import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.example.common.Constants;
import com.example.entity.User;
import com.example.exception.CustomException;
import com.example.service.UserService;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class JwtInterceptor implements HandlerInterceptor {
    @Resource
    private UserService userService;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");
        // 如果不是映射到方法直接通过
        if(!(handler instanceof HandlerMethod)){
            return true;
        }
        // 执行认证
        if (StrUtil.isBlank(token)) {
            throw new CustomException(Constants.CODE_401, "无token,请重新登录");
        }
        // 获取 token 中的 user id
        String userId;
        try {
            userId = JWT.decode(token).getAudience().get(0);
        } catch (JWTDecodeException j) {
            throw new CustomException(Constants.CODE_401, "token验证失败,请重新登录");
        }
        // 根据token中的userid查询数据库
        User user = userService.getById(userId);
        if (user == null) {
            throw new CustomException(Constants.CODE_401, "用户不存在,请重新登录");
        }
        // 用户密码加签验证 token
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
        try {
            jwtVerifier.verify(token); // 验证token
        } catch (JWTVerificationException e) {
            throw new CustomException(Constants.CODE_401, "token验证失败,请重新登录");
        }
        return true;
    }
}

如果登录状态下 密码被篡改 那么token也会改变 退回到登录页面

效果:

原文链接:https://blog.csdn.net/Aqting/article/details/123887303

不想再掉头发了.
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
实战:如何在SpringBoot中整合JWT实现登陆注册
wdjnb的博客
12-31 1486
JWT可以理解为一个加密的字符串,里面由三部分组成:头部(Header)、负载(Payload)、签名(signature) 由base64加密后的header和payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了JWT字符串 往期介绍了JWT相关概念以及基本操作,接下来介绍如何在SpringBoot中整合JWT实现登陆注册 环境搭建# 1、新建一个SpringBoot项目Jwt-Demo,引入项目后面需要用到的jar包 &
springboot集成jwt
01-25
springboot集成jwt的小栗子
Springboot项目整合JWT
qq_51770163的博客
03-19 1770
Springboot框架整合JWT拦截验证
springboot整合JWT
hand2020的博客
05-28 440
springboot整合JWT一、JWT介绍1.JWT的格式2.怎样使用token?3.流程图二、java代码实现1.maven依赖2.配置application.properties3.启动类4.实现代码JwtControllerCreatTokenJwtFilter测试效果1.浏览器发送请求获取token2.将token放入请求头中请求 一、JWT介绍 JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 c
JTW——03,springboot整合JWT
weixin_42858422的博客
04-01 327
Override//获取请求头中的令牌try {map.put("msg", "签名不一致");map.put("msg", "令牌过期");map.put("msg", "算法不匹配");map.put("msg", "失效的payload");map.put("msg", "token无效");//响应到前台: 将map转为json
JWT
m0_46487331的博客
12-14 784
Author:Allen_Huang Version:1.0.0 一. JWT简介 什么是JWTJWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 为什么使用JWT? 随着技术的发展,分布式web应用的普.
SpringBoot集成JWT生成token及校验方法过程解析
08-19
SpringBoot集成JWT生成token及校验方法过程解析 本文主要介绍了SpringBoot集成JWT生成token及校验方法的过程解析,通过示例代码详细介绍了JWT token的生成和校验过程,为读者提供了详细的Reference和学习价值。 一...
SpringBoot集成JWT快速入门Demo
最新发布
04-10
编译器版本:IntelliJ IDEA 2020.3.2 x64 JDK版本:java 1.8.0_111 SpringBoot集成JWT快速入门Demo,演示jwt生成与验证等功能,可以通过swaggler或者Postman进行测试。
SpringBoot集成JWT实现token验证源码.zip
12-20
SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip SpringBoot集成JWT实现token验证源码.zip 【备注】 主要针对计算机相关专业的正在做毕设的学生和需要项目实战的Java学习者。 也可...
springboot集成jwt和shiro实现前后端分离权限demo
04-04
springboot+jwt+shiro实现web权限管理,该资源适用于初学者搭建开发环境
Java专题_01】springboot+Shiro+Jwt整合方案
热门推荐
weixin_40736233的博客
04-02 1万+
Java专题_01】springboot+Shiro+Jwt整合方案
SpringBoot 项目 + JWT 完成用户登录、注册、鉴权
BASK2312的博客
05-11 1808
到此我们已经完成了用户的注册和登录功能。但还有一个问题就是用户鉴权,我们在调用其他接口时如何判断用户是否已登录。完成用户注册与登录有个核心点就是密码的加密与验证,我们目前比较常用的方案是。与数据库查出的用户进行密码比较判断是否验证通过。生成存到数据库里,这里我们采用第二种安全性更高的方式。的逻辑删除及自动填充功能,不太清楚的可以看看我的文章。的所有接口做登录验证,这个大家根据自己项目需求调整。为忽略前端的传值,这里使用我们。,然后入库,用户登录时,根据。查出用户,再把用户传入的。里面,这里需要引入下。
spring boot java jwt,Spring boot中使用jwt(示例代码)
weixin_30039311的博客
03-11 182
spring boot 使用 jwt本文旨在介绍如何在spring boot中使用jwt,不会介绍什么是jwt。一、导入依赖1. spring-boot依赖org.springframework.bootspring-boot-starter-parent2.2.6.RELEASEorg.springframework.bootspring-boot-starter-weborg.projectl...
Spring Boot 优雅集成 Spring Security 5.7(安全框架)与 JWT(双令牌机制)
欲变世界,先变其身
06-15 4388
Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IOC(控制反转),DI(依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringBootspringboot整合jwt
weixin_45618869的博客
07-19 1454
JWTJSON Web Token的缩写,即JSON Web令牌,是一种自包含令牌。是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。JWT最重要的作用就是对 token信息的防伪作用。
springboot集成JWT
m0_47164142的博客
04-10 271
的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。由三个部分组成:公共部分、私有部分、签名部分。最后由这三者组合进行。)是为了在网络应用环境间传递声明而执行的一种基于。
SpringBoot + jwt 详解+使用案例
zkcJava的博客
08-26 9071
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案
Spring Security 超详细整合 JWT,能否拿下看你自己!
08-31 5968
文章目录1.JWT 入门1.1 JWT 概念1.2 JWT 应用场景1.3 为何选择 JWT基于 Session 的传统认证基于 JWT 的认证1.4 JWT 的结构标头(Header)载荷(Payload)签名(Signature)1.5 RBAC (Role-Based Access Control)1.6 JWT 基本使用添加依赖生成 Token解析 Token2.Security 整合 JWT2.1 单独抽离 Security 模块添加相关依赖JWT 工具类JWT 相关配置JWT 登录授权过滤器自定
SpringBoot集成JWT
06-09
好的,我可以为您提供一些关于SpringBoot集成JWT的基本信息。 首先,JWTJSON Web Token)是一种用于身份验证和授权的开放标准。它可以将用户信息编码为一个安全的JSON对象,并使用密钥对其进行签名,以确保其未被...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不想再掉头发了.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值