一文学会JWT登录验证操作。

最新推荐文章于 2024-04-17 16:22:30 发布
最新推荐文章于 2024-04-17 16:22:30 发布
阅读量163 收藏
点赞数
文章标签: java spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59519801/article/details/127793217
版权

首先是基于springboot,来操作的简单的创建项目跳过直接上正文

1.创建一个项目

我们先创建一个项目,

实现实体类,dao,service,controller

先实现登录业务,

@PostMapping("login.do")
public String login(String username, String password){return "登录"}

导入依赖实现swagger

<!--导入swagger -->
<dependency>
    <groupId>io.springfox</groupId>
    <artifactId>springfox-swagger2</artifactId>
    <version>2.9.2</version>
    <exclusions>
        <exclusion>
            <groupId>io.swagger</groupId>
            <artifactId>swagger-models</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>io.swagger</groupId>
    <artifactId>swagger-models</artifactId>
    <version>1.5.21</version>
</dependency>
<dependency>
    <groupId>io.springfox</groupId>
    <artifactId>springfox-swagger-ui</artifactId>
    <version>2.9.2</version>
</dependency>
<dependency>
    <groupId>com.github.xiaoymin</groupId>
    <artifactId>swagger-bootstrap-ui</artifactId>
    <version>1.9.6</version>
</dependency>
​

配置文件

@Configuration
//激活swagger配置
@EnableSwagger2
public class SwaggerConfig {
    //创建RestApi文档生成
    @Bean
    public Docket createRestApi() {
        return new Docket(DocumentationType.SWAGGER_2)
                .apiInfo(apiInfo())
                .select()
//指定扫描包的路径(必须)
                .apis(RequestHandlerSelectors.basePackage("xxx.controller"))//com.java2205.logindemo.controller扫描到controller
                .paths(PathSelectors.any())
                .build();
    }
    //api相关的信息说明
    private ApiInfo apiInfo() {
        return new ApiInfoBuilder()
                .title("Spring Boot中使用Swagger2构建RESTful API")
                .description("rest api 文档构建利器")
                .version("1.0")
                .build();
    }
}

创建返回的Vo

package com.java2205.logindemo.vo;
​
import lombok.Getter;
import lombok.Setter;
​
/**
​
 */
@Setter
@Getter
public class ResultVo {
    public static final int SUCCESS = 20000;
    public static final int FAIL = 40000;
    int code;
    String message;
    Object data;
​
    public static ResultVo success(String message,Object data){
        ResultVo rd = new ResultVo();
        rd.setData(data);
        rd.setMessage(message);
        rd.setCode(SUCCESS);
        return rd;
    }
​
    public static ResultVo fail(String message,Object data){
        ResultVo rd = new ResultVo();
        rd.setCode(FAIL);
        rd.setData(data);
        rd.setMessage(message);
        return rd;
    }
}

更新登录

@PostMapping("login.do")
public ResultVo login(String username, String password){
    TUser loginUser = userService.login(username,password);
   
​
    return ResultVo.success("登录成功", "");
}

当我们登录成功以后要利用token拿去用户,所有要用JWT来实现

2.登录需要产生token来验证,

引入JWT来实现。

先导入依赖

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.76</version>
</dependency>
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>

导入两个依赖来实现JWT的功能

创建一个JWTutli

public class JWTUtil {
    //定义密钥
    public static final String SECRET = "XASDAS";
    //定义token的有效时间
    public static final int EXPIRED  = 10*1000;
    //最大过期时间
    public static final long EXPIREDMAX  = 40*1000;
    public static final String ACCOUNT ="account";
​
    //创建toke,暂时弃用
    public static String createToken(String account){
        try {
            //根据密码创建算法,secret是密钥,可以自定义
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            //创建token,Issuer是token的拥有人,可以自定义
            String token = JWT.create()
                    .withClaim(ACCOUNT,account)
                    .withExpiresAt(new Date(System.currentTimeMillis()+EXPIRED))
                    .sign(algorithm);
            return token;
        } catch (JWTCreationException exception){
            exception.printStackTrace();
            throw exception;
        }
    }
    
    
    
    //判断是token
    public static boolean createTokens(String token){
        return  createTokens.containsKey(token);
    }
    //创建map缓存
    public static Map<String,Object> createTokens=new HashMap<>();
    //保持token和时间到map缓存中
    public static void saveToken(String token,long time){
        createTokens.put(token, time);
    }
    //更具token获取map缓存中的时间
    public static Object getToken(String token){
         return createTokens.get(token);
    }
    //获取当前时间
    public static long currentTime(){
        return System.currentTimeMillis();
    }
    //移除map缓存中的token
    public static void remove(String token){
        createTokens.remove(token);
    }
    
    
    //创建token实际运用版本
    public static String createToken(String account,long currentTime){//传入账号和创建时间
        try {
            //根据密码创建算法,secret是密钥,可以自定义
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            //创建token,Issuer是token的拥有人,可以自定义
            String token = JWT.create()
                    .withClaim(ACCOUNT,account)
                    .withExpiresAt(new Date(currentTime+EXPIRED))//token的有效期,
                    .sign(algorithm);
            return token;
        } catch (JWTCreationException exception){
            exception.printStackTrace();
            throw exception;
        }
    }
​
    //验证token
    public static boolean verify(String token){
        try {
            Algorithm algorithm = Algorithm.HMAC256(SECRET);
            JWTVerifier verifier = JWT.require(algorithm)
                    .build(); //Reusable verifier instance
            DecodedJWT jwt = verifier.verify(token);
            return true;
        } catch (JWTVerificationException exception){
            //Invalid signature/claims
            exception.printStackTrace();
            throw exception;
        }
      //  return false;
    }
//解析
    public static String getAccount(String token){
        try {
            DecodedJWT jwt = JWT.decode(token);
            //获取自定义参数
            String account =  jwt.getClaim(ACCOUNT).asString();
            return account;
        } catch (JWTDecodeException exception){
            //Invalid token
            exception.printStackTrace();
            throw exception;
        }
    }
}

然后跟新登录

@RestController
public class LoginController {
    @Autowired
    TUserServiceImpl userService;
    @PostMapping("login.do")
    public ResultVo login(String username, String password){
        TUser loginUser = userService.login(username,password);
        //生成token并且返回
        
        //生成token并且返回
        long times=JWTUtil.currentTime();
        String token =  JWTUtil.createToken(loginUser.getUname(),times);
        JWTUtil.saveToken(token,times);
        //用来在swagger中能看见map中的token,
       Map<String,Object> map = new HashMap<>();
        map.put("token",token);
​
        return ResultVo.success("登录成功", map);
    }
}

创建一个新的操作

@RestController
@RequestMapping("tUser")
public class TUserController {
    @Autowired
    TUserService userService;
    @ApiOperation(value = "获取当前登录用户的信息")
    @GetMapping("info")
    public ResultVo info(){
        //获取token
        TUser loginUser = MyContextHolder.get();
        return ResultVo.success("查看",loginUser);
    }
​
}

登录以后,我们能进行其他操作,比如能通过info获取用户,通过验证token是否失效来获取。

将token存在ThreadLocal中

public class MyContextHolder {
    static ThreadLocal<TUser> userHolder = new ThreadLocal<>();
​
    public static void set(TUser user){
        userHolder.set(user);
    }
    public static TUser get(){
        return userHolder.get();
    }
}

写一个过滤器,当访问其他页面的时候判断是否登录实现,验证token

package com.java2205.logindemo.filter;
​
​
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.java2205.logindemo.common.MyContextHolder;
import com.java2205.logindemo.entity.TUser;
import com.java2205.logindemo.service.TUserService;
import com.java2205.logindemo.util.JWTUtil;
import com.java2205.logindemo.util.ResponseUtil;
import com.java2205.logindemo.vo.ResultVo;
​
import org.springframework.beans.factory.annotation.Autowired;
​
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
​
/**
 * 
 */
@WebFilter("/tUser/*")
public class JWTAuthFilter implements Filter {
    @Autowired
    TUserService userService;
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        //从请求头中获取token
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
        String token = httpServletRequest.getHeader("Authorization");
        try{
            if(JWTUtil.verify(token)) {
                //成功了,从token中获取用户的信息
                String account = JWTUtil.getAccount(token);
                TUser loginuser = userService.getOne(new QueryWrapper<TUser>().eq("uname", account));
                MyContextHolder.set(loginuser);
​
                filterChain.doFilter(servletRequest,servletResponse);
            }else{
                ResponseUtil.writeJson(httpServletResponse,ResultVo.fail("用户没有登录,请先登录",null));
            }
        }catch (Exception e){
            if(e instanceof TokenExpiredException){
                //过期了
                String account = JWTUtil.getAccount(token);
                if(JWTUtil.createTokens(token)) {
                    Long time = (Long) JWTUtil.getToken(token);
​
​
                    if ((time + JWTUtil.EXPIREDMAX)-(System.currentTimeMillis()  ) >= 0) {
                        //换新的token,先清除老token
                        JWTUtil.remove(token);
                        String newToken = JWTUtil.createToken(account);
                        //新的时间
                        JWTUtil.saveToken(newToken, JWTUtil.currentTime());
                        //将新的token放入到头部中
                        httpServletResponse.setHeader("token", newToken);
                        //成功了,从token中获取用户的信息
                        TUser loginuser = userService.getOne(new QueryWrapper<TUser>().eq("uname", account));
                        MyContextHolder.set(loginuser);
                        //放行
                        filterChain.doFilter(servletRequest, servletResponse);
                    }else {
                        ResponseUtil.writeJson(httpServletResponse,ResultVo.fail("token过期,请重新登录",null));
                    }
                }else {
                    ResponseUtil.writeJson(httpServletResponse,ResultVo.fail("token过期",null));
                }
​
​
                
​
            }else{
                ResponseUtil.writeJson(httpServletResponse,ResultVo.fail("无效token,请重新登录",null));
            }
        }
​
    }
}

写一个返回josn格式

package com.java2205.logindemo.util;
​
import com.alibaba.fastjson.JSONObject;
​
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
​
/**
 *
 */
public class ResponseUtil {
​
    public static void writeJson(HttpServletResponse response,Object data){
        response.setCharacterEncoding("utf-8");
        response.setContentType("application/json");
        try {
            response.getWriter().write(JSONObject.toJSONString(data));
        } catch (IOException e) {
            e.printStackTrace();
        }
​
    }
}

写一个异常处理

@RestControllerAdvice
public class MyExceptionHandler {
    @ExceptionHandler(RuntimeException.class)
    public ResultVo handler(RuntimeException e){
        return ResultVo.fail(e.getMessage(),null);
    }
}

启动类加入

@SpringBootApplication
@ServletComponentScan("com.java2205.logindemo")
public class LogindemoApplication {
​
    public static void main(String[] args) {
        SpringApplication.run(LogindemoApplication.class, args);
    }
​
}

完全目录

 

妖雅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT验证
weixin_48530729的博客
12-13 3785
什么是JWT JWT用于分布式系统的单点登录SSO场景,主要用来做用户身份鉴别或者资源接口安全性的技术 身份鉴别 资源接口安全性检验,保护服务器资源不被泄露 1.认证流程 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载)、将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成
jwt-verifier
05-04
用法 使用此中间件,您可以使用自省端点针对oidc提供程序验证访问令牌,并从oidc提供程序注销话。 此外,该中间件还设置了x-userinfo -header,其中包含来自自省端点的一些信息,并使用base64对其进行了编码。 有关设置了哪些字段的更多信息,请参见src/server.js:70 要求 特拉菲克 外部验证服务器: : 安装 traefik中间件 http : middlewares : jwt-verifier : forwardAuth : address : " http://jwt-verifier:8080/ " authResponseHeadersRegex : " ^X- " trustForwardHeader : true 在您的traefik路由器中的external-au
SpringBootJWT令牌校验
最新发布
qq_73918355的博客
04-17 3314
您首先定义了一个JWT字符串,模拟了用户传递过来的token。
Java web】JWTtoken登录校验
zhangshuo的博客
05-05 2119
JWT (Json Web Token) 是为了网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT可以校验用户的身份,传递用户的身份信息,一般用在用户登录上。 JWT token的组成 头部(header) { "alg": "HS256", "typ": "JWT" } alg : 加密类型 typ : JWT token的类型 alg 算法 ...
JWTJWTVerifier
mingzq123的博客
03-27 723
verify(Algorithm algorithm):使用指定的算法验证JWT的签名是否有效。withAudience(String... audience):指定JWT的受众(audience),以确保该JWT只能被特定的受众使用。withSubject(String subject):指定JWT的主题(subject),以确保该JWT只能用于特定的目的或场景。withIssuer(String issuer):指定JWT的发行者(issuer),以确保该JWT只能由特定的发行者签发。
vue+egg+jwt实现登录验证的示例代码
10-16
主要介绍了vue+egg+jwt实现登录验证的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
jwt登录验证器工具类
03-24
jwt登录验证器工具类
SpringBoot使用JWT实现登录验证的方法示例
08-25
主要介绍了SpringBoot使用JWT实现登录验证的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
微信小程序登录对接Django后端实现JWT方式验证登录详解
10-16
主要介绍了微信小程序登录对接Django后端实现JWT方式验证登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
签发JWT,验证JWT,解析JWT字符串
07-06
签发JWT,验证JWT,解析JWT字符串
JWT(java web token)
LC的博客
12-08 655
JWT(java web token) JWT包含三部分: Header 头部 Payload 负载 Signature 签名 其结构看起来是这样的 Header.Payload.Signature。 #JWT的组成 ##Header 在header中通常包含了两部分:token类型和采用的加密算法。{ “alg”: “HS256”, “typ”: “JWT”} 接下来对这部分内容使用 Base64Url 编码组成了JWT结构的第一部分。 ##Payload 它包含了claim, Claim是一些实体(通常
JWT凭证生成及验证
qq_44606649的博客
12-05 591
引入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> JWT工具类 public class JWTUtil { //签名 private static final Strin.
JWT(JSON Web Token)
Sweet77
12-29 247
什么是JSON Web令牌? JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 1.JWT能做什么? 授权:这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,从而允许用户访问该令牌允许的路由,服务和资源。单一登录是当今广泛使用JWT的一项功能,因为它的开销
JWT认证实现
qq_36636312的博客
12-07 4109
1,jwt认证流程图 2,token组成 Header+Playload+Signature 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 头部存储认证类型和加密算法,将此json使用Base64编码可得到如下个格式的字符串: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 有效载荷(Playload): { "role": [], "iss": "baidu", "exp": 1638841050,
使用JWT实现接口token验证机制
ai15134626825的博客
04-01 7150
项目软件要对外提供部分定制接口,为了保证软件数据的安全性,决定要设置token令牌来校验请求方是否合法。考虑诸多种方案后,决定使用比较流行的JWT来实现。 实现思路:客户端每次访问接口的时候,要在header中携带token令牌,然后在项目的拦截器中使用相应的策略配置拦截这些对外接口的请求(例如这一类接口的url统一配置为/api/开头),拦截到请求后从header中得到token进行校验,校验...
JWT 学习记录
baidu_21073889的博客
08-13 671
参考博客: JWT全面解读、使用步骤 初步理解JWT并实践使用 JWT的应用场景 身份认证在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所有目前在单点登录(SSO)中比较广泛的使用了该技术。 信息交换在通信的双方之间使用JWT对数据进行编码是一种非常...
中间件学习-jwt登录验证
weixin_43596589的博客
07-30 894
中间件学习-jwt登录验证 jwt json web token 简要说明 前端传验证信息到后端,后端验证通过,返回一个对象,只不过这个对象是被加密的,这样后端就可以为无状态的,每次请求的时候,请求头带上token ,里面封装了对象的信息,我们只需要用拦截器进行拦截,解析token,后端就可以知道是谁登录了界面,可以设置相应的超时时间,超时时间不应太长或者太短,根据实际情况而定,超时用户就需要从新登录 优点: 减少服务器的压力,不用向以前一样将对象保存在session里面,或者是利用redis保存信息,因为
springbootjwt实现token验证
lorogy的博客
01-08 931
什么是jwt Json web token (JWT),用于进行身份验证,开销小,适用于单点登录。优点是token是以json加密的形式保存在客户端的,跨语言;能将用户需要的所有信息都加密到token里,不用多次查询数据库;不用在服务端保存话信息,适用于分布式微服务。 用户使用账密发送post请求 服务器使用私钥创建jwt(生成签名) 服务器返回这个jwt给浏览器 浏览器将该jwt加在之后所有请求的请求头中 服务器拦截请求验证jwt(校验token) 验证通过则返回响应信息给浏览器 jwt构成: 头
jwt登录验证云开发
01-27
在云开发中,使用JWT进行登录验证可以提供更安全和可靠的身份验证机制。 以下是使用JWT进行登录验证的步骤: 1. 配置Dex服务器:首先,您需要将Dex服务器配置为发布。Dex是一个开源的身份提供者,可以用于管理用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值