使用JWT双令牌机制进行接口请求鉴权

已于 2024-07-19 18:21:12 修改
阅读量395 收藏 5
点赞数 5
文章标签: JWT TOKEN vue springboot
于 2024-07-19 17:59:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xukongjing1/article/details/140529423
版权

在前后端分离的开发过程中,前端发起请求,调用后端接口,后端在接收请求时,首先需要对收到的请求鉴权,在这种情况先我们可以采用JWT机制来鉴权。

JWT有两种机制,单令牌机制和双令牌机制。

单令牌机制服务端只生成一个 token,一般过期时间比较长,因此安全性稍差。

双令牌机制服务端生成两个token,一个access_token用来鉴权,过期时间一般较短(5分钟,15分钟等),另一个 refresh_token,只用来获取新的 access_token,过期时间较长(可设置为24小时或者更长)

单令牌机制一般步骤:

1.前端发起登录请求

2.服务端验证用户名密码,验证通过则下发token返回给前端。

3.前端收到返回的token进行保存。

4.前端后续请求头将携带 token 供服务端验证。

5.服务端收到请求首先验证 token,验证通过则正常提供服务,不通过则返回相应提示信息。

6.token 过期后重新登录。

双令牌机制与单令牌机制不同的是服务端生成两个token,一个access_token用来鉴权,一个 refresh_token 用来刷新 access_token

双令牌机制一般步骤:

1.前端发起登录请求

2.服务端验证用户名密码,验证通过则下发access_token和refresh_token 返回给前端。

3.前端收到返回的两个 token进行保存。

4.前端后续请求头将携带 access_token供服务端验证。

5.服务端收到请求首先验证 token,验证通过则正常提供服务,不通过则返回相应提示信息。

6.access_token过期后,前端请求头 将 access_token替换为  refresh_token,调用刷新 access_token的接口。获取到新的  access_token并保存,重新发起请求。

1.pom.xml添加 java-jwt

<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.10.1</version>
</dependency>

2.编写JwtUtil.java

import java.util.Calendar;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
public class JwtUtil {
	private final static String SIGNATURE = "sdf46fsdf"; //密钥
	private final static String ACCESS_TYPE = "access";
	private final static String REFRESH_TYPE = "refresh";
	private final static String SCOPE = "cms";
	private static int accessExpire = 15*60; //15分钟
    private static int refreshExpire = 60*60*24; //24小时
	/**
     * 生成  访问 token
     * @return 返回token
     */
    public static String getAccessToken( String identity){
        JWTCreator.Builder builder = JWT.create();
        builder.withClaim("type", ACCESS_TYPE);
        builder.withClaim("identity", identity);
        builder.withClaim("scope", SCOPE);
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND, accessExpire);
        builder.withExpiresAt(instance.getTime());
        return builder.sign(Algorithm.HMAC256(SIGNATURE)).toString();
    }
    /**
     * 生成 刷新 token
     * @return 返回token
     */
    public static String getRefreshToken(String identity){
        JWTCreator.Builder builder = JWT.create();
        builder.withClaim("type", REFRESH_TYPE);
        builder.withClaim("identity", identity);
        builder.withClaim("scope", SCOPE);
        Calendar instance = Calendar.getInstance();
        instance.add(Calendar.SECOND, refreshExpire);
        builder.withExpiresAt(instance.getTime());
        return builder.sign(Algorithm.HMAC256(SIGNATURE)).toString();
    }
    /**
     * 验证token
     * @param token
     */
    public static void verify(String token){
        JWT.require(Algorithm.HMAC256(SIGNATURE)).build().verify(token);
    }
    /**
     * 获取token中payload
     * @param token
     * @return
     */
    public static DecodedJWT getToken(String token){
        return JWT.require(Algorithm.HMAC256(SIGNATURE)).build().verify(token);
    }
}

3.过滤器校验token

import org.hibernate.annotations.common.util.StringHelper;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.InvalidClaimException;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.qyp.hpa.util.JwtUtil;
import java.util.HashMap;
import java.util.Map;
import javax.servlet.http.*;
@Component
public class FilterConfig implements HandlerInterceptor{
	public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)
            throws Exception {
    }
    public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2)
            throws Exception {
    }
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object arg2) throws Exception {
 
        response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Methods", "*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Headers", "Authorization,Origin, X-Requested-With, Content-Type, Accept,Access-Token,Content-length,Content-Range,Keep-Alive,Accept-Ranges,Connection");//Origin, X-Requested-With, Content-Type, Accept,Access-Token
        String requestURL = request.getRequestURL().toString();
        if(requestURL.indexOf("login")!=-1 || requestURL.indexOf("refresh")!=-1){
        	return true;
        }
        Map<String,Object> map = new HashMap<>();
        //令牌建议是放在请求头中,获取请求头中令牌Authorization
        String token = request.getHeader("Authorization");
        try{
        	if(StringHelper.isEmpty(token)){
        		 map.put("msg","token不能为空");
        		 return false;
        	}
            JwtUtil.verify(token);//验证令牌
            return true;//放行请求
        } catch (SignatureVerificationException e) {
            e.printStackTrace();
            map.put("msg","无效签名");
        } catch (TokenExpiredException e) {
            e.printStackTrace();
            map.put("code","10051");
            map.put("msg","token过期");
        } catch (AlgorithmMismatchException | JWTDecodeException | InvalidClaimException e) {
            e.printStackTrace();
            map.put("code","10041");
            map.put("msg","token算法不一致");
        } catch (Exception e) {
            e.printStackTrace();
            map.put("msg","token失效");
        }
        map.put("state",false);//设置状态
        //将map转化成json,response使用的是Jackson
        String json = new ObjectMapper().writeValueAsString(map);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().print(json);
        return true;
    }
}

4.登录接口、刷新令牌接口

服务端登录接口

@RequestMapping(value="sys/login", method = RequestMethod.POST)
    public Map<String,Object> logIn(@RequestBody Map<String,Object> param) {
		Map<String,Object> map = new HashMap<String,Object>();
		String username = param.get("username")==null?"":param.get("username").toString();
		String password = param.get("password")==null?"":param.get("password").toString();
		try{
               //为了方便演示,直接写了固定的用户名和密码
			if("admin".equals(username) && "123456".equals(password)){
				String userId = "sadfsdfsdfsdfs";
				//生成JWT令牌
				String token = JwtUtil.getAccessToken(userId);
				String refresh_token = JwtUtil.getRefreshToken(userId);
				map.put(NS.MSG, "登录成功");
				map.put("access_token", token);
				map.put("refresh_token", refresh_token);
				map.put(NS.SUCC, NS.OK);
			}else {
				map.put(NS.MSG, NS.NO_USER);
				map.put(NS.SUCC, NS.ERROR);
			}
		} catch(Exception e){
			map.put(NS.SUCC, NS.ERROR);
			e.printStackTrace();
		}
        return map;
    }

服务端刷新令牌接口 

/**
     * 刷新令牌
     */
    @GetMapping("sys/refresh")
    public Map<String,Object> getRefreshToken(HttpServletRequest request) {
    	Map<String,Object> map = new HashMap<String,Object>();
    	String tokenStr = request.getHeader("Authorization");
	    DecodedJWT token = JwtUtil.getToken(tokenStr);
	    String id = token.getClaim("identity").asString();
		//生成JWT令牌
		String access_token = JwtUtil.getAccessToken(id);
		map.put("access_token", access_token);
        return map;
    }

5. Vue前端调用

前端这里使用的是 vue3,以下是调用服务端登录接口,登录成功保存  access_token和 refresh_token

import { 
  saveTokens
} from '@/util/token'
import { login} from '@/util/user'

const _login= async () =>{
      const param = {
       username: 'admin',
       password: '123456',
      }
      const res:any = await login(param);
      console.log('login res', res);
      if(res.succ == '1'){
        saveTokens(res.access_token,res.refresh_token)
      }
    }

axios.js 封装处理  access_token过期,无感刷新 token

axios.js 封装处理当前端调用刷新 token的接口时,将请求头 headers.Authorization 字段替换为 refresh_token

T

util / token.js 工具类 

/**
 * 存储tokens
 * @param {string} accessToken
 * @param {string} refreshToken
 */
export function saveTokens(accessToken, refreshToken) {
  localStorage.setItem('access_token', accessToken)
  localStorage.setItem('refresh_token', refreshToken)
}
/**
 * 存储access_token
 * @param {string} accessToken
 */
export function saveAccessToken(accessToken) {
  localStorage.setItem('access_token', accessToken)
}
/**
 * 获得某个token
 * @param {string} tokenKey
 */
export function getToken(tokenKey) {
  return localStorage.getItem(tokenKey)
}
/**
 * 移除token
 */
export function removeToken() {
  localStorage.removeItem('access_token')
  localStorage.removeItem('refresh_token')
}

util / user.js 配置请求服务端登录接口

import {post,get} from '@/util/axios'
export async function login(data) {
  return await post('sys/login', data)
}

axios.js 完整代码

/**
 * 封装 axios
 */
import axios from 'axios'
import {Message} from 'view-ui-plus'
import { getToken, saveAccessToken } from '@/util/token'
const baseUrl = "http://localhost:8089/"
const ErrorCode = {
  777: '前端错误码未定义',
  999: '服务器未知错误',
  10000: '未携带令牌',
  10020: '资源不存在',
  10030: '参数错误',
  10041: 'assessToken损坏',
  10042: 'refreshToken损坏',
  10051: 'assessToken过期',
  10052: 'refreshToken过期',
  10060: '字段重复',
  10070: '不可操作',
}
const config = {
  baseURL: baseUrl || '',
  timeout: 5 * 1000, // 请求超时时间设置
  crossDomain: true,
  // withCredentials: true, // Check cross-site Access-Control
  // 定义可获得的http响应状态码
  // return true、设置为null或者undefined,promise将resolved,否则将rejected
  validateStatus(status) {
    return status >= 200 && status < 510
  },
}
/**
 * 错误码是否是refresh相关
 * @param { number } code 错误码
 */
function refreshTokenException(code) {
  const codes = [10000, 10042, 10050, 10052, 10012]
  return codes.includes(code)
}
// 创建请求实例
const _axios = axios.create(config)
_axios.interceptors.request.use(
  originConfig => {
    // 有 API 请求重新计时
    ///autoJump(router)
    const reqConfig = { ...originConfig }
    // step1: 容错处理
    if (!reqConfig.url) {
      console.error('request need url')
    }
    reqConfig.method = reqConfig.method.toLowerCase() // 大小写容错
    // 参数容错
    if (reqConfig.method === 'get') {
      if (!reqConfig.params) {
        reqConfig.params = reqConfig.data || {}
      }
    } else if (reqConfig.method === 'post') {
      if (!reqConfig.data) {
        reqConfig.data = reqConfig.params || {}
      }
      // 检测是否包含文件类型, 若包含则进行 formData 封装
      let hasFile = false
      Object.keys(reqConfig.data).forEach(key => {
        if (typeof reqConfig.data[key] === 'object') {
          const item = reqConfig.data[key]
          if (item instanceof FileList || item instanceof File || item instanceof Blob) {
            hasFile = true
          }
        }
      })
      // 检测到存在文件使用 FormData 提交数据
      if (hasFile) {
        const formData = new FormData()
        Object.keys(reqConfig.data).forEach(key => {
          formData.append(key, reqConfig.data[key])
        })
        reqConfig.data = formData
      }
    }
    // step2: permission 处理
    if (reqConfig.url === 'sys/refresh') {
      const refreshToken = getToken('refresh_token')
      if (refreshToken) {
        reqConfig.headers.Authorization = refreshToken
      }
    } else {
      const accessToken = getToken('access_token')
      if (accessToken) {
        reqConfig.headers.Authorization = accessToken
      }
    }
    return reqConfig
  },
  error => Promise.reject(error),
)
// Add a response interceptor
_axios.interceptors.response.use(
  async res => {
    if (res.status.toString().charAt(0) === '2') {
      return res.data
    }
    const { code, msg } = res.data
    return new Promise(async (resolve, reject) => {
      let tipMessage = ''
      const { url } = res.config
      // refresh_token 异常,直接登出
      if (refreshTokenException(code)) {
        /** 
        setTimeout(() => {
          store.dispatch('loginOut')
          const { origin } = window.location
          window.location.href = origin
        }, 1500)
        return resolve(null)
        */
      }
      // assessToken相关,刷新令牌
      console.log('msg',msg,'code',code)
      if (code === "10041" || code === "10051") {
        console.log('--msg',msg,'code',code)
        const cache = {}
        if (cache.url !== url) {
          cache.url = url
          const refreshResult = await _axios('sys/refresh')
          saveAccessToken(refreshResult.access_token)
          // 将上次失败请求重发
          const result = await _axios(res.config)
          return resolve(result)
        }
      }
      // 弹出信息提示的第一种情况:直接提示后端返回的异常信息(框架默认为此配置);
      // 特殊情况:如果本次请求添加了 handleError: true,用户自行通过 try catch 处理,框架不做额外处理
      if (res.config.handleError) {
        return reject(res)
      }
      if (typeof msg === 'string') {
        tipMessage = msg
      }
      if (Object.prototype.toString.call(msg) === '[object Object]') {
        ;[tipMessage] = Object.values(msg).flat()
      }
      if (Object.prototype.toString.call(msg) === '[object Array]') {
        ;[tipMessage] = msg
      }
      //ElMessage.error(tipMessage)
      Message.error(tipMessage)
      reject(res)
    })
  },
  error => {
    if (!error.response) {
      //ElMessage.error('请检查 API 是否异常')
      console.log('error', error)
    }

    // 判断请求超时
    if (error.code === 'ECONNABORTED' && error.message.indexOf('timeout') !== -1) {
      //ElMessage.warning('请求超时')
    }
    return Promise.reject(error)
  },
)
// 导出常用函数
/**
 * @param {string} url
 * @param {object} data
 * @param {object} params
 */
export function post(url, data = {}, params = {}) {
  return _axios({
    method: 'post',
    url,
    data,
    params,
  })
}
/**
 * @param {string} url
 * @param {object} params
 */
export function get(url, params = {}) {
  return _axios({
    method: 'get',
    url,
    params,
  })
}
/**
 * @param {string} url
 * @param {object} data
 * @param {object} params
 */
export function put(url, data = {}, params = {}) {
  return _axios({
    method: 'put',
    url,
    params,
    data,
  })
}
/**
 * @param {string} url
 * @param {object} params
 */
export function _delete(url, params = {}) {
  return _axios({
    method: 'delete',
    url,
    params,
  })
}
export default _axios

6.效果展示

调用登录接口

请求

响应

调用 list 接口,请求时将 token 放在  headers的  Authorization字段即可

在 access_token过期而  refresh_token未过期时,调用任意接口会刷新  access_token 

由上图可以看到,第一次调用 list 接口时,报 token 已过期,此时会自动调用 刷新 access_token的 refresh接口,成功刷新 access_token后,再次自动调用 list  接口,成功返回,达到了无感刷新token的效果。

北海之灵
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解用JWT对SpringCloud进行认证和鉴权
08-26
使用JWT进行认证和鉴权时,客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。...
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
5. **接口鉴权**:在Web API的控制器或特定操作上,我们可以使用`Authorize`特性来强制要求请求必须携带有效的JWT才能访问。`[Authorize]`会检查`Authorization`头中的JWT,并在验证成功后解码令牌,获取用户信息。 ...
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
08-19
在本文中,我们将深入探讨如何在SpringBoot应用中集成Spring Security并使用JWT(Json Web Token)来实现用户登录和鉴权。首先,我们先理解JWT的基本概念。 **1. JWT概念** JWT是一种开放标准(RFC 7519),用于在...
php实现JWT(json web token)鉴权实例详解
10-16
JSON Web Token (JWT) 是一种安全的身份验证和授权机制,常用于API的无状态认证。在PHP中实现JWT鉴权,通常涉及以下几个关键步骤和概念: 1. **JWT的结构**: JWT由三部分组成:Header、Payload和Signature。...
Node.js Koa2使用JWT进行鉴权的方法示例
01-20
前端收到JWT后将其存储在本地(例如使用localStorage),并在后续的所有需要鉴权的API请求中将其作为令牌发送给服务器。服务器接收到JWT后,会进行解码验证,确认其有效性,如果有效则允许访问资源,否则拒绝请求。 ...
JWT授权鉴权--相当nice
08-14
JWT提供了一种轻量级的身份验证机制,使得客户端可以在获得服务器的访问令牌后,无需每次请求都发送用户名和密码,极大地提升了用户体验和安全性。 描述中提到“根据Richard的老师的授课总结”,这可能意味着我们将...
koa2服务端使用jwt进行鉴权及路由权限分发的流程分析
12-09
- 在后续的所有需要鉴权的API请求中,前端将JWT包含在请求头(通常作为`Authorization`字段的Bearer令牌)中发送给服务端。 - 服务端使用`koa-jwt`中间件来解析和验证JWT,确保请求的合法性。 2. **Koa2与JWT结合...
jwt-auth:使用JWT进行用户身份验证
02-26
5. **令牌刷新**: 提供令牌刷新机制,以便在令牌即将过期时获取新的JWT,而不是重新登录。 综上所述,JWT是一种高效、灵活的身份验证方式,尤其适用于无状态应用和API服务。在JavaScript环境中,我们可以通过简单的...
springboot 整合security jwt 身份鉴权
01-03
总的来说,SpringBoot整合Security与JWT身份鉴权提供了安全的用户认证和授权机制,通过合理的配置和定制,可以适应各种应用场景。在具体实现时,需要对Spring Security的配置有深入理解,并熟悉JWT的原理和使用。...
spring security http接口鉴权使用示范项目
03-01
在本项目"spring security http接口鉴权使用示范项目"中,我们将深入探讨如何利用Spring Security来实现HTTP接口鉴权功能。这个项目旨在提供一个实践示例,帮助开发者理解并掌握Spring Security的核心概念和配置。...
SpringBoot集成SpringSecurity和JWT做登陆鉴权的实现
08-19
在登录后,客户端将JWT令牌存储在本地(例如,浏览器的localStorage),并在后续的API请求中将其作为Authorization头发送。服务器端会检查每个请求令牌,并根据其内容验证用户的身份和权限。SpringSecurity提供了...
Spring security+jwt服务鉴权完整代码.zip
09-09
1. **JWT令牌生成与验证**:JWT由三部分组成:头部(Header)、负载(Payload)和签名(Signature)。在用户登录成功后,服务器会生成一个包含用户信息的JWT,并返回给客户端。客户端在后续的请求中携带此令牌,...
网关与Jwt令牌.doc
10-16
基于token鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。 ...
SpringAuth:使用JWT身份验证进行Spring授权的示例项目
03-07
JWT是一种轻量级的身份验证机制,它允许服务端在客户端之间安全地传递信息,而无需在每次请求时都进行服务器之间的交互。这个项目的目标是帮助开发者理解如何在Spring应用程序中实现这一安全机制。 首先,让我们...
Oauth-jwt网关鉴权等项目系统认证的知识
09-01
3. 当客户端发起对受保护资源的请求时,会将JWT令牌放在请求头的Authorization字段中。 4. 网关接收到请求后,验证JWT的有效性,包括检查签名、过期时间和权限范围。 5. 如果验证成功,网关允许请求通过并转发到相应...
gateway+oauth2+jwt实现网关统一鉴权
最新发布
12-27
可以创建一个自定义的`GlobalFilter`,在每个请求到达微服务之前进行拦截,检查请求头中的JWT。利用Spring Security的OAuth2库,可以解析和验证JWT。如果验证成功,继续处理请求;失败则阻止请求并返回相应的错误...
open-api-project:基于反射实现,高效 java版开放接口统一网关鉴权demo项目
05-10
4. **过滤器(Filter)与拦截器(Interceptor)**:可能使用这两种机制请求到达控制器之前进行预处理,例如验证令牌、权限检查等。 5. **异常处理**:对于鉴权失败的情况,项目可能会有专门的异常处理机制,返回...
springboot+jwt+spring-security.rar
05-20
在本项目中,我们主要探讨的是如何在Spring Boot框架下集成JWT(JSON Web Tokens)以及Spring Security,同时利用Redis作为存储来实现API的鉴权功能。这是一个完整的安全认证解决方案,适用于构建RESTful API服务。 ...
restful风格请求token鉴权实例
01-14
本实例将探讨如何在Spring Boot框架下实现RESTful风格的请求,并利用JWT(JSON Web Token进行权限验证,同时结合自定义注解来简化鉴权流程。 首先,RESTful风格的HTTP请求主要涉及GET、POST、PUT、DELETE等方法,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值