jwt作登入认证

最新推荐文章于 2024-07-17 23:15:51 发布
最新推荐文章于 2024-07-17 23:15:51 发布
阅读量487 收藏 1
点赞数
文章标签: java jwt javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ws54ws54/article/details/110729831
版权

1 Jwt组成
一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。
在这里插入图片描述
2.1 头部(Header)
头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以
被表示成一个JSON对象。

{“typ”:“JWT”,“alg”:“HS256”}

在头部指明了签名算法是HS256算法。 我们进行BASE64编
码http://base64.xpcha.com/,编码后的字符串如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

Base64是一种基于64个可打印字符来表示二进制数据的表示方法。由于2

的6次方等于64,所以每6个比特为一个单元,对应某个可打印字符。三个字节有24

个比特,对应于4个Base64单元,即3个字节需要用4个可打印字符来表示。JDK 中

提供了非常方便的 BASE64EncoderBASE64Decoder,用它们可以非常方便的
完成基于 BASE64 的编码和解码

2.2 载荷(playload)
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分
(1)标准中注册的声明(建议但不强制使用)

(2)公共的声明
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.
但不建议添加敏感信息,因为该部分在客户端可解密.

(3)私有的声明
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64
是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload:

{"sub":"1234567890","name":"John Doe","admin":true}

然后将其进行base64编码,得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

2.3 签证(signature)
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

header (base64后的)
payload (base64后的)
secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符
串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第
三部分。

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6I
kpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7Hg
Q

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用
来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流
露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

3 token工具类

<dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>3.8.2</version>
</dependency>

编写token工具java代码

public class TokenUtils {

    //设置过期时间
    private static final long EXPIRE_DATE=30*60*100000;
    //token秘钥
    private static final String TOKEN_SECRET = "qianggezainaliwyywyasdaDQWCWQ%5ASAACACAssda";

    /**
     * 生成token
     * @param username
     * @param name
     * @param phone
     * @param url
     * @param address
     * @return
     */
    public static String token (String name,String phone,String image){

        String token = "";
        try {
            //过期时间
            Date date = new Date(System.currentTimeMillis()+EXPIRE_DATE);
            //秘钥及加密算法
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            //设置头部信息
            Map<String,Object> header = new HashMap<>();
            header.put("typ","JWT");
            header.put("alg","HS256");
            //携带username,password信息,生成签名
            token = JWT.create()
                    .withHeader(header)
                    .withClaim("name",name)
                    .withClaim("phone",phone)
                    .withClaim("image",image)
                    .withExpiresAt(date)
                    .sign(algorithm);
        }catch (Exception e){
            e.printStackTrace();
            return  null;
        }
        return token;
    }

    /**
     * 校验
     * @param token
     * @return
     */
    public static boolean verify(String token){
        /**
         * @desc   验证token,通过返回true
         * @params [token]需要校验的串
         **/
        try {
            Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
            JWTVerifier verifier = JWT.require(algorithm).build();
            DecodedJWT jwt = verifier.verify(token);
            return true;
        }catch (Exception e){
            e.printStackTrace();
            return  false;
        }
    }



    public static void main(String[] args) {

        String token = token("wyy","110","12321");
        //System.out.println(token);
        //eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpbWFnZSI6IjEyMzIxIiwicGhvbmUiOiIxMTAiLCJuYW1lIjoid3l5IiwiZXhwIjoxNjA3MjI3MDcyfQ.hsw2M6tHUAJXKWv0xNNB9iOK-_sLnanfcGYP29NoS_4


        boolean b = verify("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpbWFnZSI6IjEyMzIxIiwicGhvbmUiOiIxMTAiLCJuYW1lIjoid3l5IiwiZXhwIjoxNjA3MjI3MDcyfQ.hsw2M6tHUAJXKWv0xNNB9iOK-_sLnanfcGYP29NoS_4");
        System.out.println(b);
    }

}

4 .登录业务代码
service登入业务代码

@Override
    public String login(HttpServletRequest request, String phone, String code) throws CustomerException {

        if( request.getSession().getAttribute("employee")!=null){
            throw new CustomerException("用户已经登录!");
        }

        Employee employee=employeeDao.findEmployeeByPhone(phone);
        if (employee==null) {
            throw new CustomerException("账户信息不存在!");
        }

        //比对验证码
       String serverCode= (String) request.getSession().getAttribute("code");
        if(serverCode==null){
            throw new CustomerException("验证码失效!");
        }
        if(!serverCode.equals(code)){
            throw new CustomerException("验证码输入错误!");
        }

        //服务器生成jwt令牌   重点在这!!!
     
>   String token = TokenUtils.token(employee.getName(),
> employee.getPhone(), employee.getImage());
> 
> 
>         return token;

    }
}

controller层处理登入的代码

//处理登录
    private void to(HttpServletRequest req, HttpServletResponse resp) {
        Result result=null;
        try {
            String code = req.getParameter("code");
            String phone = req.getParameter("phone");
            //TODO 校验
            
            //重点部分!!!!
          

>   String token = employeeService.login(req, phone, code);
>             result = new Result(0, "", null, token);

        }
       catch (CustomerException e){
                result = new Result(500002, e.getMessage(), null, null);
        }catch (Exception e){
                result = new Result(50000, "系统开小差了 !", null, null);
        }
        ResponseUtils.responseJson(JsonUtils.objectToJson(result), resp);
    }

5 认证代码
在这里插入图片描述

编写当前线程的工具类

public class UserThreadLocal {

    private static ThreadLocal<Map> tl=new ThreadLocal<Map>();

    /**
     * 绑定用户信息到当前线程
     * @param map
     */
    public static void setUser(Map map){
        tl.set(map);
    }

    /**
     * 获取当前线程绑定的用户信息
     * @return
     */
    public static Map getUser(){
       return tl.get();
    }

    /**
     * 移除当前线程绑定的用户信息
     */
    public static void removeUser(){
        tl.remove();
    }

}

过滤器代码

@WebFilter(filterName="loginFilter",value = "/*")
public class LoginFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

        HttpServletRequest request= (HttpServletRequest) req;
        HttpServletResponse response= (HttpServletResponse) res;

        //登录相关接口放行

        //获取客户端请求的资源路径
        String uri = request.getRequestURI();

        System.out.println(uri+"-------------");

        //不拦截的资源
        if(uri.contains("/crm/login")){

            //直接访问 放行
            chain.doFilter(request,response);

            return;
        }

       //!!!!!!!!!!   重点   jwt认证代码

>  //必须要认证的资源
>         //先从请求参数获取token
>         String token=request.getParameter("token");
>         if(token==null||token.trim().equals("")){
>             token=request.getHeader("token");
>             if(token==null||token.trim().equals("")) {
>                 Result result = new Result(50003, "用户没有登录,不允许访问!", null, null);
>                 ResponseUtils.responseJson(JsonUtils.objectToJson(result), response);
>                 return;
>             }
>         }
> 
>         //校验jwt令牌是否合法,是否过期
>         if(!TokenUtils.verify(token)){
>             //token不合法
>             Result result = new Result(50003, "用户没有登录,不允许访问!", null, null);
>             ResponseUtils.responseJson(JsonUtils.objectToJson(result), response);
>             return;
>         }
> 
> 
>         //后面在servlet的业务代码中需要获取当前用户的登录信息?
>         //解密载荷的信息
>         DecodedJWT jwt = JWT.decode(token);
>         Map<String, Claim> claims = jwt.getClaims();//获取载荷信息  用户登录的信息
> 
>         //绑定到当前线程
>         UserThreadLocal.setUser(claims);
> 
> 
>         //放行
>         chain.doFilter(request,response);
> 
> 
>         //移除当前线程绑定的用户信息
>         UserThreadLocal.removeUser();

    }

    @Override
    public void destroy() {

    }
}

如何在业务中获取当前的登录信息?

public class JobServiceImpl implements JobService {

    private JobDao jobDao=new JobDaoImpl();

    @Override
    public QueryResult findJobByPage(QueryInfo queryInfo) {
        
        //!!!!重点   获取当前线程的代码
       

>  Map user = UserThreadLocal.getUser();
>         System.out.println(user+"------------------");

        return jobDao.findJobByPage(queryInfo.getStartIndex(),queryInfo.getLimit());
    }
 }

6 前端登录处理
前端登录成功后把token设置到sessionStorage
// 进行登录操作

 form.on('submit(login)', function (data) {
        data = data.field;

        $.ajax({
            type: "POST",
            url: "http://www.j236.com/crm/login?method=to",
            data: data ,
            success: function(res){

                if(res.code==0){

                    //前端登录成功后把token设置到sessionStorage
                    sessionStorage.setItem("token",res.data)

                    layer.msg('登录成功', function () {
                        window.location = '../index.html';
                    });
                }else{
                    layer.msg(res.msg);
                }
            }
        });

        return false;
    });

前端在除了登录外的所有ajax请求都携带token给后端

$.ajax({
                type: "POST",
                url: "http://www.j236.com/crm/job?method=add",
                data: filed ,
                beforeSend: function (XMLHttpRequest) {
                    //前端携带的token信息
                    XMLHttpRequest.setRequestHeader("token", sessionStorage.token);
                },
                success: function(obj){

}
     });
星有林夕
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
Spring boot整合JWT实现登入认证
qq_43900677的博客
02-02 381
有一项技能可能改变你一生 之前分享了使用shiro实现登入认证,我们也可以使用jwt来实现这一功能 springboot整合jwt pom.xml添加依赖 <dependencies> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <
JWT 登录认证
国内某知名游戏公司小菜鸡工程师
07-04 5158
分布式跨域认证的解决新方案
SpringSecurity + JWT 实现登录认证
最新发布
xaiobit_hl的博客
07-17 1516
Component@Override// 1.获取 JWT 令牌if (!// 2.判断 JWT 令牌正确性// 3.获取用户信息,存储 Security 中= null= null) {// 4.创建用户对象null,// 绑定 request 对象。
jwt用户登录认证
happy_leizi的博客
03-18 3463
使用jwt登录认证有一个明显的好处就是不用再服务器端保存token,它只是在服务器端生成token和验证token,减轻了服务器端数据库的压力,而且较比传统的session认证也安全一些! 使用步骤: 一 在项目的settings中进行配置 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest...
使用JWT实现登录认证
progammer10086的博客
05-23 1935
session:存储再服务端,无法引用与分布式场景,并且需要占用服务端的资源cookie:存储再客户端,适用于分布式场景,但是存在安全问题,不支持垮域访问token:存储在localstorage中,更加灵活。
JWT实现登陆认证(web-tokens)
qq_37351282的博客
04-27 330
jwt实现web-token
python jwt token登入 介绍及生成
qq_60954460的博客
09-29 1546
python是我们常见的以及最简单的编程语言之一,它拥有很多的三方模块,下面介绍jwt token的应用。
Django中的JWT登陆认证机制
m0_65862716的博客
06-10 656
慢慢努力着~
jwt解决需要登入才能调用接口的方案
zxl8899的博客
07-16 1156
jwt解决登入才有权限访问的问题 第一步 引入依赖 <!-- JWT --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.8.3</version> </dependency> 第二步 编写jwt工具类 package com.mysteel.a
JWT认证及登录功能实现,退出登录
pink_Pig___的博客
07-12 1985
JWT认证及登录功能的实现
JWT 快速入门,并实现登录认证
m0_56966142的博客
03-10 4073
一、JWT 简介 jwt(JSON Web Tokens),是一种开发的行业标准RFC 7519 ,用于安全的表示双方之间的声明。目前,jwt广泛应用在系统的用户认证方面,特别是现在前后端分离项目。 1.1 Jwt认证流程 前端用户填写好用户名和密码,点击登录 后端对提交的用户名和密码进行校验,校验通过则发送token给前端 前端将token保存在cookie中,并在每一次请求时都将cookie一并发送给后端 后端对用户发送过来的token进行校验,并通过token识别是哪个用户。 1.2 sessio
JWT登录认证
weixin_48628145的博客
05-15 200
之后我们发送请求时(根据我们自己的设定),判断用不用携带token,需要携带token的请求,那就在cookie中获取token,后端接收到带token的请求,然后将token进行解析,得到uuid,然后去redis中查找。登录的时候:会先生成一个uuid,然后一般用(自己定义一个前缀名字:uuid)为key,用户的信息为value,存入到Redis中。5、服务器收到session_id,找到前期保存的数据,由此得知用户的身份。3、服务器向用户返回一个session_id,写入用户的cookie。
不会吧,不会吧,不会还有人看了这篇文章还不精通JWT
XiaoLin
10-07 2758
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
JWT 登录认证 Springboot
热门推荐
徐本锡的专栏
07-04 134万+
SystemPara.SECRET 是自己定义的常量 依赖 <!-- token --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> ...
jwt实现登录验证
lyc000412的博客
03-12 2192
jwt实现登录验证
简单实现JWT登录验证
2301_76437165的博客
06-11 1265
JWT是josn web token 的简称是一种用于在网络应用之间安全地传递信息的开放标准。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature),他的主要用是当用户通过身份验证成功后,服务器会生成一个 JWT,并将其为响应的一部分返回给客户端。客户端在随后的请求中将 JWT 放在请求的头部、URL 参数或者请求体中发送给服务器。服务器接收到 JWT 后,会验证其完整性和有效性,并根据其中的信息对请求进行授权处理。
SpringSecurity+JWT登录认证
张氏小毛驴的博客
08-11 2024
其实,到了这里我们就差将我们自定义的Filter和Provider添加到SpringSecurity的主配置中,就实现了认证了,但我们这次用的是JWT方式,服务器端并没有记录登录用户的信息,因此我们需要多一个过滤器,用来拦截请求,验证Token的,如果请求携带了Token,并且token里的信息是正确的,我们才将Authentication设置已认证,让SpringSecurity过滤器链去做后续的鉴权啥的。​ 俺今天是要使用SpringSecurity实现JWT认证,前后端分离,使用JSON交互。...
用户身份认证-JWT
weixin_50224527的博客
09-18 668
用户身份认证 1.单一服务器模式 一般过程如下: 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户名,用户角色等)将保存在当前会话(session) 中。 3.服务器向用户返回session, id, session信息都会写入到用户的C ookie. 4.用户的每个后续请求都将通过在Cookie中取出session. id传给服务器。 5.服务器收到session, id并对比之前保存的数据,确认用户的身份。 缺点: ●单点性能压力,无法扩展。 ●分布式架构中,需要session共
Angular JWT认证实战教程与示例
"在Angular中使用JWT认证方法示例" 在Angular开发中,实施用户认证是保障应用程序安全性的重要步骤。JWT(JSON Web Token)是一种广泛采用的认证机制,它允许服务端与客户端之间安全地交换信息,同时保持轻量级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值