简单的鉴权登录-java后端实现部分(JWT令牌+拦截器Interceptor)

已于 2023-04-13 21:30:15 修改
阅读量2.7k 收藏 25
点赞数 8
分类专栏: javaweb 文章标签: java 前端 开发语言
于 2023-04-11 23:28:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwx19990724/article/details/130095549
版权

目录

一、实现大致流程

二、JWT令牌

1,JWT是什么?

2,,JWT令牌的组成

​编辑

3,JWT令牌在登录认证的应用

4,JWT令牌鉴权登录实现步骤

三、拦截器Interceptor

1,什么是拦截器?

2,拦截器Interceptor鉴权登录实现步骤

简单的鉴权登录结束 !!

一、实现大致流程

  • 在浏览器发起请求来执行登录操作,此时会访问登录的接口,如果访问的不是登录接口,为了安全,使其跳转到登录页面.如果登录成功之后,我们需要生成一个jwt令牌,将生成的 jwt令牌返回给前端。

  • 前端拿到jwt令牌之后,会将jwt令牌存储起来。在后续的每一次请求中都会将jwt令牌携带到服务端。

  • 服务端统一拦截请求之后,先来判断一下这次请求有没有把令牌带过来,如果没有带过来,直接拒绝访问,如果带过来了,还要校验一下令牌是否是有效。如果有效,就直接放行进行请求的处理。

二、JWT令牌

1,JWT是什么?

JWT (全称:Json Web Token)是一个开放标准(RFC 7519),它定义了一种简洁的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

简洁:是指jwt就是一个简单的字符串。可以在请求参数或者是请求头当中直接传递。 自包含:指的是jwt令牌,看似是一个随机的字符串,但是我们是可以根据自身的需求在jwt令牌中存储自定义的数据内容。如:可以直接在jwt令牌中存储用户的相关信息。

简单点说就是一种认证机制,让后台知道该请求是来自于受信的客户端。JWT 主要用于用户登录鉴权

2,,JWT令牌的组成

JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割)

  • 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{"alg":"HS256","type":"JWT"}

  • 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{"id":"1","username":"Tom"}

  • 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。

    签名的目的就是为了防jwt令牌被篡改,而正是因为jwt令牌最后一个部分数字签名的存在,所以整个jwt 令牌是非常安全可靠的。一旦jwt令牌当中任何一个部分、任何一个字符被篡改了,整个令牌在校验的时候都会失败,所以它是非常安全可靠的。

3,JWT令牌在登录认证的应用

  1. 在浏览器发起请求来执行登录操作,此时会访问登录的接口,如果登录成功之后,我们需要生成一个jwt令牌,将生成的 jwt令牌返回给前端。

  2. 前端拿到jwt令牌之后,会将jwt令牌存储起来。在后续的每一次请求中都会将jwt令牌携带到服务端。

  3. 服务端统一拦截请求之后,先来判断一下这次请求有没有把令牌带过来,如果没有带过来,直接拒绝访问,如果带过来了,还要校验一下令牌是否是有效。如果有效,就直接放行进行请求的处理。

4,JWT令牌鉴权登录实现步骤

1,引入JWT依赖

<!-- JWT依赖-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

2,创建JWT工具类



public class JwtUtils {

    private static String signKey = "xxx";
    private static Long expire = 43200000L;

    /**
     * 生成JWT令牌
     * @param claims JWT第二部分负载 payload 中存储的内容
     * @return
     */
    public static String generateJwt(Map<String, Object> claims){
        String jwt = Jwts.builder()
                .addClaims(claims)
                .signWith(SignatureAlgorithm.HS256, signKey)
                .setExpiration(new Date(System.currentTimeMillis() + expire))
                .compact();
        return jwt;
    }

    /**
     * 解析JWT令牌
     * @param jwt JWT令牌
     * @return JWT第二部分负载 payload 中存储的内容
     */
    public static Claims parseJWT(String jwt){
        Claims claims = Jwts.parser()
                .setSigningKey(signKey)
                .parseClaimsJws(jwt)
                .getBody();
        return claims;
    }
}

3,三层架构实现登录成功,生成JWT令牌并返回

controller层

/**
 * 登录控制层
 *
 */
@RestController
@Slf4j
@RequestMapping("/user")
public class UserController {
    @Autowired
    private UserService userService;

    /**
     * 登录
     * @param user
     * @return
     */
    @PostMapping("/login")
    public Result login(@RequestBody User user){
        try {
            log.info("登录{}",user);
            String jwt = userService.login(user);
            return Result.success(true,"登录成功!!",jwt);
        } catch (Exception e) {
            e.printStackTrace();
            return Result.error(false,"登录失败!!");
        }
    }
}

Service层

接口

public interface UserService {
    /**
     * 用户登录
     */
    String login(User user);
}

实现类

@Service
@Slf4j
public class UserServiceImpl implements UserService {
    @Autowired
    private UserMapper userMapper;


    /**
     * 用户登录
     */
    @Override
    public String login(User user) {
        if(user == null || user.getUsername() == null || "".equals(user.getUsername())
        || user.getPassword() == null || "".equals(user.getPassword())){
            throw new RuntimeException("用户不存在!!");
        }
        //根据用户查询用户的信息
        User dbUser = userMapper.findByUsername(user.getUsername());
        //判断密码是否正确
        if (!user.getPassword().equals(dbUser.getPassword())){
            throw new RuntimeException("用户名或密码错误!!");
        }
        //生成jwt令牌并返回
        HashMap<String, Object> claims = new HashMap<>();
        claims.put("id",dbUser.getId());
        claims.put("username",dbUser.getUsername());
        String jwt = JwtUtils.generateJwt(claims);
        return jwt;
    }
}

Mapper层

public interface UserService {
    /**
     * 用户登录
     */
    String login(User user);
}


==========xml===============
<!--登录:根据用户名称查询用户信息-->
    <select id="findByUsername" resultType="xxxxxxx">
        select id,birthday,gender,username,password,
               remark,station,telephone
        from t_user
        where username = #{username};
    </select>

三、拦截器Interceptor

1,什么是拦截器?

        拦截器的主要是基于Java的反射机制,属于面向切面编程(AOP)的一种运用,就是在Service或者一个方法前调用一个方法,或者在方法后调用一个方法,甚至在抛出异常的时候做业务逻辑的操作。

        拦截器的作用类似于Servlet 中的Filter,都可以用于对处理器进行预处理和后处理。在Spring MVC 与Spring Boot 中使用拦截器一般是实现HandlerInterceptor 接口。

拦截器的作用:

  • 拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码。

2,拦截器Interceptor鉴权登录实现步骤

       1,定义拦截器

@Component
@Slf4j
public class LoginCheckInterceptor implements HandlerInterceptor{
     //目标资源方法执行前执行。 返回true:放行    返回false:不放行
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //1,先获取请求头
        String token = request.getHeader("token");
        response.setContentType("application/json;charset = UTF-8");
        ObjectMapper mapper = new ObjectMapper();
        //2,判断请求头是否存在
        if (token == null || "".equals(token)){
            //请求头不存在或者请求头为空
            log.info("token不存在");
            Result error = Result.error(false, "NOT_LOGIN");
            String result = mapper.writeValueAsString(error);
            response.getWriter().write(result);
            return false;
        }
        //3,请求头不正确
        try {
            Claims claims = JwtUtils.parseJWT(token);
        }  catch (Exception e)  {
            log.info("请求头不正确!!");
            Result error = Result.error(false, "NOT_LOGIN");
            String result = mapper.writeValueAsString(error);
            response.getWriter().write(result);
            return false;
        }
        return true;
    }
    
    //==========下面与登录无关,不用写==============

    //目标资源方法执行后执行
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("postHandle ... ");
    }

    //视图渲染完毕后执行,最后执行
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("afterCompletion .... ");
    }
}

注意:

  • preHandle方法:目标资源方法执行前执行。 返回true:放行 返回false:不放行
  • postHandle方法:目标资源方法执行后执行
  • afterCompletion方法:视图渲染完毕后执行,最后执行

2,注册配置拦截器

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Autowired
    private LoginCheckInterceptor loginCheckInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //定义拦截对象
        registry.addInterceptor(loginCheckInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/user/login");
    }
}

注意:

  • addPathPatterns("/**"):设置拦截器拦截的请求路径( /** 表示拦截所有请求)
  • .excludePathPatterns("/user/login"):不拦截的路径

简单的鉴权登录结束 !!

小祥学编程
关注
  • 8
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
spring boot jwt Interceptor 例子
12-11
spring boot jwtinterceptor的例子。 其中jwt的例子网上有很多,但是都是要数据库支持,这个只是用假数据模拟,不需要数据库支持。另外还有一个拦截器简单例子。已经在sts 4 测试通过。
laravel-casbin-admin:vue-element-admin + laravel + jwt + casbin前拆分rbac鉴权权限管理系统
03-19
vue-element-admin + laravel + jwt + casbin前重新分离 rbac鉴权权限管理系统 [email protected][email protected]密码: 123456 使用了一下技术 后台界面登录 安装使用 git clone https://github.com/pl1998/laravel-casbin-admin.git 初步环境配置 ····省略 cd /laravel-casbin-admin/web/vue-element-admin/ 调整前端.env.development,.env.production 启动项目 npm run dev 打包 npm run build:prod nginx配置以及数据库文件都在项目根目录下 觉得可以请给我点个star haha​​〜
SpringBoot配置JWT拦截器
最新发布
Kristabo的博客
03-24 730
JWT在之前文章提到过,JWT(JSON Web Token)是一种用于身份验证和授权的开放标准(RFC 7519),它允许在网络中安全地传输声明(claims)作为 JSON 对象。JWT 可以通过数字签名或加密来验证数据的完整性和真实性,从而保证数据在传输过程中不被篡改。工作流程用户通过用户名和密码等方式进行身份验证。服务器验证用户身份,并生成一个 JWT。服务器将 JWT 发送给客户端。客户端将 JWT 存储起来,通常是在本地存储或者内存中。
springboot + jwt + websocket + 拦截
09-02
springboot + jwt + websocket + 拦截
spring+springmvc+Interceptor+jwt+redis实现sso单点登录
02-26
在分布式环境中,如何支持PC、APP(ios、android)等多端的会话共享,这也是所有公司都需要的解决方案,用传统的session方式来解决,我想已经out了,我们是否可以找一个通用的方案,比如用传统cas来实现多系统之间的sso单点登录或使用oauth的第三方登录方案? 今天给大家简单讲解一下使用spring拦截器Interceptor机制、jwt认证方式、redis分布式缓存实现sso单点登录,闲话少说,直接把步骤记录下来分享给大家:分布式架构
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
1.传统spring boot框架 2.security框架 3.jwt取代session 4.mybatis-plus+mysql【sql文件项目中有】 5.不想下载,可以看博客,博客中有写
JWT两种拦截方式
weixin_47270717的博客
09-09 3561
filter(过滤器)和interceptor拦截器)的区别 filter基于filter接口中的doFilter回调函数,interceptor则基于Java本身的反射机制。 filter是依赖于servlet容器的,没有servlet容器就无法回调doFilter方法,而interceptor与servlet无关; filter的过滤范围比interceptor大,filter除了过滤请求外通过通配符可以保护页面、图片、文件等,而interceptor只能过滤请求,只对action起作用,在act
登录校验功能(JWT令牌拦截器Interceptor)、异常处理)
weixin_70475124的博客
07-19 509
1、定义拦截器实现HandlerInterceptor接口,并重写其所有方法。2、让启动类实现WebMvcConfigurer接口,注册拦截器,配置拦截路径。​ 2、生成JWT,校验JWT
JWT实现拦截器和token认证
AsFarmer的博客
07-28 3316
Jwt实现拦截器
关于JWT登录拦截验证token方式一
weixin_46098310的博客
03-31 1765
SpringBoot+Mybatis-plus+Mysql+JWT
express-sequelize-api-boilerplate:Express + Sequelize + JWT令牌+ Web API样板
05-01
Express-Sequelize-API样板 这是用于使用NodeJs Express框架创建API的简单样板。 在此,使用基于JWT令牌的系统封装/加密的API访问令牌。 准备登录的示例API 适用于普通用户和管理员用户的API中间件 ES6导入/导出可通过扩展运算符提供给用户 使用集群部署您的应用程序(集成了集群实现) 开玩笑的测试配置 将模拟数据库模型/功能的测试用例添加到测试控制器功能 入门 您可以使用以下命令下载此存储库或克隆。 (文件夹名称将是您要在其中启动项目的项目文件夹)。 git clone https://github.com/binitghetiya/express-sequelize-api-boilerplate.git <folder> 或从下载Zip https://github.com/binitghetiya/express-sequ
springboot+mybatis-plus+jwt+redis的简易后端框架
04-10
一个简单后端框架,实现步骤可以根据文章 1.快速搭建springboot+mybatis-plus代码自动生成器的后端框架https://blog.csdn.net/pengpm/article/details/124047191?spm=1001.2014.3001.5501 2.springboot+JWT+redis...
Spring-Boot结合Security+JWT 简单实现后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
Java中基于JWT+拦截器实现登录
weixin_48524022的博客
06-30 634
3.为实现所有接口进行登录校验,创建全局拦截器用于校验token。2.创建基于jwt生成、解析、校验token的工具类。4、将拦截器添加到SpringMvc中。6、验证其他接口是否有权限校验。
登录校验,JWT令牌技术,过滤器(Filter)拦截器interceptor
烛照@123的博客
12-16 531
JWt令牌技术,过滤器,拦截器,都是我们在开发中常用的技术。
JWT+Interceptor实现无状态登录鉴权
weixin_30781433的博客
08-13 1087
无状态登录原理 先提一下啥是有状态登录 单台tomcat的情况下:编码的流程如下 前端提交表单里用户的输入的账号密码 后台接受,查数据库, 在数据库中找到用户的信息后,把用户的信息存放到session里面,返回给用户cookie 以后用户的请求都会自动携带着cookie去访问后台,后台根据用户的cookie辨识用户的身份 但是有缺点 如果有千千万的用户都往session里面存放信...
登录认证功能的统一拦截技术(过滤器)
m0_72167535的博客
04-08 2001
前端发起请求,每次都会在请求头中携带JWT令牌到服务端,而服务端需要统一拦截所有的请求,从而判断是否携带的有合法的JWT令牌。那怎么样来统一拦截到所有的请求校验令牌的有效性呢?这里我们会学习两种解决方案:1. Filter过滤器2. Interceptor拦截器
登录校验、JWT令牌、Filter、Interceptor
weixin_52270382的博客
12-14 240
什么是会话?在我们日常生活当中,会话指的就是谈话、交谈在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话在用户打开浏览器第一次访问服务器的时候,这个会话就建立了,直到有任何一方断开连接,此时会话就结束了。在一次会话当中,是可以包含多次请求和响应的。比如:打开了浏览器来访问web服务器上的资源(浏览器不能关闭、服务器不能断开)第1次:访问的是登录的接口,完成登录操作第2次:访问的是部门管理接口,查询所有部门数据第3次:访问的是员工管理接口,查询员工数据。
jwt+mysql+拦截器 实现限时登录
03-29
public class SearchArray { public static void main(String[] args) { int[] array = {1, 5, 3, 7, 9, 2}; int x = 9; int index = -1; // 遍历数组寻找x是否存在 for (int i = 0; i < array.length; i++) { if (array[i] == x) { index = i; break; } } // 判断是否找到x if (index != -1) { System.out.println("x存在于数组中,位置为:" + index); } else { System.out.println("x不存在于数组中"); } } }

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值