springBoot整合jwt实现token令牌认证

已于 2023-12-12 21:31:16 修改
阅读量770 收藏 2
点赞数
文章标签: spring boot spring
于 2023-12-12 21:29:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61779644/article/details/134958922
版权

目录

1. 什么token

2. jwt是什么

3. jwt的依赖坐标

4. springboot整合token

1. 什么token

作为计算机术语时,是“令牌”的意思。Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

使用token机制的身份验证方法,在服务器端不需要存储用户的登录记录。

大概的流程:

1   客户端使用用户名和密码请求登录。

2   服务端收到请求,验证用户名和密码。

3   验证成功后,服务端会生成一个token,然后把这个token发送给客户端。

4   客户端收到token后把它存储起来,可以放在cookie或者Local Storage(本地存储)里。

5   客户端每次向服务端发送请求的时候都需要带上服务端发给的token。

6    服务端收到请求,然后去验证客户端请求里面带着token,如果验证成功,就向客户端返回请求的数据

2. jwt是什么

实施 Token 验证的方法挺多的,还有一些标准方法,比如 JWT,读作:jot ,表示:JSON Web Tokens 。JWT 标准的 Token 有三个部分:


1. header(头部),头部信息主要包括(参数的类型--JWT,签名的算法--HS256)
2. poyload(负荷),负荷基本就是自己想要存放的信息(因为信息会暴露,不应该在载荷里面加入任      何敏感的数据)
3. sign(签名),签名的作用就是为了防止恶意篡改数据,

例如:中间用点分隔开,并且都会使用 Base64 编码,所以真正的 Token 看起来像这样:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.//头部
eyJpZCI6IjIiLCJleHAiOjE3MDI0NDE3MDcsInVzZXJuYW1lIjoiYWRtaW4ifQ.//负载
k8F9h5GQB1-rTVi-8hs9jOWnfpJALSk2Y08xeZb7YlE//签名

3. jwt的依赖坐标

springboot引入jwt:

<dependency>
     <groupId>com.auth0</groupId>
     <artifactId>java-jwt</artifactId>
     <version>3.4.1</version>
</dependency>

4. springboot整合token

在这里只是给大家一个演示,
首先要知道如何生成一个token 那就是上面讲到的请求头+负载+签名

package com.hyh.util;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.hyh.domain.User;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
import java.util.Calendar;
import java.util.Date;

public class JwtUtil {
    // 生成token
    // Algorithm.HMAC256():使用HS256生成token,密钥则是用户的密码
    private static final String SING = "MusicProject";

    public String getToken(User user) {
        //System.out.println(String.valueOf(user.getId()));
        // 设置token过期时间
        Calendar instance= Calendar.getInstance();
        instance.add(Calendar.DATE,7);
        String token="";
        token= JWT.create()
                .withClaim("id",String.valueOf(user.getId())) //设置载荷
                .withClaim("username",user.getUsername())
                .withExpiresAt(instance.getTime()) //设置令牌过期的时间
                .sign(Algorithm.HMAC256(SING));

        return token;
    }
    /**,
     * 验证token  合法性
     */
    public static DecodedJWT verify(String token) {
        return JWT.require(Algorithm.HMAC256(SING)).build().verify(token);
    }
}

我把生成token的方法和验证方法弄成了一个工具类 
在这里我定义的签名是静态变量 可以根据自己需求来定义 这里的id是从数据库里面拿到的 这里的验证token符合的话就放行,否则就抛异常。

接下来就需要配置一个拦截器 对于拦截请求资源

public class AuthenticationInterceptor implements HandlerInterceptor {
    @Autowired
    UserService userService;

    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
        String token = httpServletRequest.getHeader("token");// 从 http 请求头中取出 token
        // 如果不是映射到方法直接通过
        if (!(object instanceof HandlerMethod)) {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) object;
        Method method = handlerMethod.getMethod();

        //检查有没有需要用户权限的注解
        if (method.isAnnotationPresent(TokenRequired.class)) {
            TokenRequired userLoginToken = method.getAnnotation(TokenRequired.class);
            if (userLoginToken.required()) {

                Map<String,Object> map = new HashMap<>();
                // 获取请求头中令牌
                System.out.println(token);
                try {
                    // 验证令牌
                    JwtUtil.verify(token);
                    return true;  // 放行请求
                } catch (SignatureVerificationException e) {
                    e.printStackTrace();
                    map.put("msg","无效签名!");
                }catch (TokenExpiredException e){
                    e.printStackTrace();
                    map.put("msg","token过期");
                }catch (AlgorithmMismatchException e){
                    e.printStackTrace();
                    map.put("msg","算法不一致");
                }catch (Exception e){
                    e.printStackTrace();
                    map.put("msg","token无效!");
                }
                map.put("state",false);  //设置状态
                // 将map以json的形式响应到前台  map --> json  (jackson)
                String json = new ObjectMapper().writeValueAsString(map);
                httpServletResponse.setContentType("application/json;charset=UTF-8");
                httpServletResponse.getWriter().println(json);
                return false;

            }
        }
        return true;
    }

在这里面 useservice是我自己的实现类,里面可以查到用户id

把拦截器注册:

@Configuration  // 配置类
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new AuthenticationInterceptor())
                .addPathPatterns("/api/**")  // 拦截所有请求
                .excludePathPatterns("/api/login","/api/register");  // 放行登录 注册
    }
}

这里因为拦截了所有请求 但是我们可以自己定义一个注解来判断当我们请求资源的时候需不需呀token验证。

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface TokenRequired {
    boolean required() default true;
}

当我们在某个资源上加上了这个注解 说明这个资源需要token验证

这是我写的一个登录接口 集成了验证码功能

/*
     * @description: 用户的登录
     * @param: User user
     * @return:result
     * @author
     * @date: 2023/9/28 10:03
     */
    @PostMapping("/login")
    public Result login(@RequestBody User user,HttpSession httpSession,HttpServletResponse response){
        String checkCode = (String) httpSession.getAttribute("checkCode");
        System.out.println(checkCode);
        if (user.getCheCode() == null || !user.getCheCode().equalsIgnoreCase(checkCode)) {
            return new Result(Code.Err, null, "验证码错误");
        }

        boolean flag = userService.selectUsernamePwd(user);
        boolean is_exist = userService.selectByName(user.getUsername());
        if (flag) {
            JwtUtil jwtUtil = new JwtUtil();
            User user1 = userService.selectByNameToken(user.getUsername());
            String token = jwtUtil.getToken(user1);
            user.setToken(token);
            Cookie cookie = new Cookie("username",user.getUsername());
            cookie.setMaxAge(60*60*24*7);
            cookie.setPath("/");
            response.addCookie(cookie);
            httpSession.setAttribute("username", user.getUsername());
            return new Result(Code.Ok,user,"登录成功");
        }else if(!is_exist){
            return new Result(Code.Err,user,"登录失败 用户不存在");
        }else{
            return new Result(Code.Err,user,"登录失败");
        }
    }

这个资源是需要token验证访问的资源 加了注解 @TokenRequired

   @GetMapping
    @TokenRequired
    public Result selectAllSingers(HttpServletRequest request) {
        List<Singer> singers = songService.selectSingerAll();
        Integer code = singers != null ? Code.Ok : Code.Err;
        String msg = singers != null ? "" : "数据查询失败 请重试";
        return new Result(code, singers, msg);
    }

当我们没有token的时候正常访问一下:

可以看到是无法访问的 

我们可以先登录获取token 在进行访问试一下

因为我把token封装在user里面 所以返回了token 现在把token放到刚刚无法访问的url的请求头里,再次访问一下:

现在访问有数据了 这些数据都是我自己封装好的,你自己可以随便写写字符串返回来进行测试。

这些就是我在学习token遇到的一些问题和感受,希望对您有用!

小白写代码hh
关注
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
java jwt刷新_基于springboot+jwt实现刷新token过程解析
weixin_35448535的博客
02-27 2296
前一段时间讲过了springboot+jwt整合,但是因为一些原因(个人比较懒)并没有更新关于token的刷新问题,今天跟别人闲聊,聊到了关于业务中token的刷新方式,所以在这里我把我知道的一些点记录一下,也希望能帮到一些有需要的朋友,同时也希望给我一些建议,话不多说,上代码!1:这种方式为在线刷新,比方说设定的token有效期为30min,那么每次访问资源时,都会在拦截器中去判断一下toke...
Spring Boot整合JWT
陈宝子的博客
04-01 4285
文章目录1、概述2、优势所在3、结构组成3.1、标头(Header)3.2、有效负载(Payload)3.3、签名(Signature)4、Spring boot整合JWT 1、概述 JWT 简称 JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于各方之间安全地将信息作为JSON对象传输,在数据传输的过程中还可以完成数据加密、签名等相关处理。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qCis1aXN-1648743017357)(C:/Us
springboot 整合jwt
04-09 448
关于jwt实现原理,可以自行查找资料。我们只关注如何实现。 一:首先引入依赖。目前有两个库实现jwt的功能。 两个库都实现jwt功能,只不过使用的api不太相同。使用其中任何一个都可以。通过查看maven官网,jjwt好久没有更新了。而java-jwt一直有更新。为了以后少点麻烦还是使用java-jwt. 二:创建jwt帮助类,实现三个功能, 1.创建token 最关键需要两个变量,一个是到期时间,一个是秘钥 private static final long EXPIRE_T.
SpringBoot使用JWT详解
最新发布
qq_41765777的博客
08-13 1272
son web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准.该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。
SpringBoot集成Jwt(详细步骤+图解)
热门推荐
撸码社区的博客
04-16 3万+
SpringBoot集成Jwt(详细步骤+图解) Jwt简介 JSON Web Token是目前最流行的跨域认证解决方案,,适合前后端分离项目通过Restful API进行数据交互时进行身份认证 Jwt构成(.隔开) eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MTkxNjQ4NjEsInVzZXJuYW1lIjoiYWRtaW4ifQ.fo5a-H_C7XG3fSnNdCEMzM2QmrF5c7yypzoSxGzgJOo Header(头部):放有签名
手把手教你,使用JWT实现单点登录,一起来揭开它神秘的面纱
weixin_47083537的博客
05-15 847
JSON Web TokenJWT)是目前最流行的跨域身份验证解决方案之一,今天我们一起来揭开它神秘的面纱! 一、故事起源 说起 JWT,我们先来谈一谈基于传统session认证的方案以及瓶颈。 传统session交互流程,如下图: 当浏览器向服务器发送登录请求时,验证通过之后,会将用户信息存入seesion中,然后服务器会生成一个sessionId放入cookie中,随后返回给浏览器。 当浏览器再次发送请求时,会在请求头部的cookie中放入sessionId,将请求数据一并发送给服务器。 服务器就
SpringBoot整合JWT
weixin_45782384的博客
12-29 154
新建一个SpringBoot项目 导入 Maven 坐标 <!--引入 jwt--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 配置application.properties文件 server.po
基于SpringBoot使用JWT实现Token认证
Leopard锋的博客
03-11 1万+
目录 一、JWT的介绍 1、什么是JWT 2、、基于token的鉴权机制 3、JWT的构成 二、简单实战 1、新建一个简单的springboot项目 2、自定义登录异常处理 3、全局异常拦截处理输出 4、创建工具类 5、token的生成和拦截 三、参考文献 一、JWT的介绍 1、什么是JWT Json web tokenJWT)是为了网络应用环境间传递声明而执...
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 1万+
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证。
springboot 集成JWT
weixin_55384994的博客
03-13 267
jwt的请求流程 用户使用账号和面发出post请求; 服务器使用私钥创建一个jwt; 服务器返回这个jwt给浏览器; 浏览器将该jwt串在请求头中像服务器发送请求; 服务器验证该jwt; 返回响应的资源给浏览器。 优点 简洁(Compact):可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快 自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库 因为Token是以JSON加密的形式保存在客户端的,所以J..
Spring Boot 集成 JWT
欲变世界,先变其身
09-24 562
JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私钥对进行签名。
SpringBoot 整合 JWT 实现 Token 登录验证的简单实现
weixin_46410481的博客
11-19 1608
SpringBoot 整合 JWT 实现 Token 登录验证的实现实现案例之前,要先去理解 JWT 的概念 以及 它与传统方式的区别和优点。 1、什么是 JWT? JSON WEB TOKENJWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519),该 TOKEN 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其他
Springboot--整合jwt实现token令牌认证
weixin_43606226的博客
01-07 438
JWT请求的流程: 1.用户输入账号密码登录,前端传输给后端认证 2.认证成功后,后端用jwt创建一个token令牌 3.后端传给前端token令牌,前端把这个令牌保存下来 4.前端每次访问后端资源的时候都要带上之前保存的token令牌给后端认证 5.验证成功后返回资源给前端 JWT组成 JWT有3部分组成: Header(头部):两部分组成,令牌的元数据,签名和/或加密算法的类型 Payloa...
SpringBoot集成JWT实现token令牌验证
ChuaWi98的博客
05-26 776
JWT,英文全称JSON Web Token:JSON网络令牌。为了在网络应用环境间传递声明而制定的一种基于JSON的开放标准(RFC 7519)。这个规范允许我们使用JWT在客户端和服务端之间传递安全可靠的信息。 JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑自包含的方式,用于通信双方之间作为 JSON 对象安全地传递信息。此信息可以通过数字签名进行验证和信任。 紧凑:这个字符串简洁,数据量小,传输速度快,能通过URL参数、HTTP请求提交的数据以及HTTP Header的方式进行传递。 自包含
SpringBoot 整合 JWT 实现 Token 验证
zhang33565417的博客
05-16 2211
一. JWT简介 1. 什么是JWTJWT(JSONWeb Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 2. 为什么使用JWT? 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此.
SpringBoot 集成 JWT
wguo-up-site
03-30 1931
1. Jwt消息构成 1.1 组成 一个token 分为3 部分 头部(header) 载荷 (payload) 签证 (signature) 三部分之间用 . 号作为分隔 如: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
springboot整合jwt
letterss的博客
01-18 576
简介 Jwt全称是:json web token。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 优点 简洁: 可以通过URL、POST参数或者在HTTP header发送,因为数据量小,传输速度也很快; 自包含:负载中可以包含用户所需要的信息,避免了多次查询数据库; 因为Token是以JSON加密的形式保存...
JWT工具类
xiaoyixiao_的博客
05-09 758
JWT JWT介绍 JWT(Json Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上 JWT最重要的作用就是对 token信息的防伪作用。 JWT的原理, 一个JWT由三个部分组成:公共部分、私有部分、签名部分。最后由这三者组合进行base64编码得到JWT。 1、 公共部分 主要是该JWT的相关配置参数,比如签名的加密算法、格式类型、过期时间等
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值