Spring Boot实战之Filter实现使用JWT进行接口认证

最新推荐文章于 2023-05-21 22:49:29 发布
最新推荐文章于 2023-05-21 22:49:29 发布
阅读量6.1k 收藏 6
点赞数 1
分类专栏: JWT spring boot 文章标签: JWT SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/johnf_nash/article/details/96020107
版权

jwt(json web token)

用户发送按照约定,向服务端发送 Header、Payload 和 Signature,并包含认证信息(密码),验证通过后服务端返回一个token,之后用户使用该token作为登录凭证,适合于移动端和api

jwt使用流程

JWT_workflow

代码实现

1. 依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.0.1.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.johnfnash.learn.springboot</groupId>
    <artifactId>jwt-demo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>jwt-demo</name>
    <description>Demo project for JWT</description>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        
        <!-- JWT -->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.2.0</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.7.0</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

2. JWT token生成及解析工具类

package com.johnfnash.learn.jwt.util;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;

import org.bouncycastle.util.encoders.Base64;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

public class JwtUtils {

    /**
     * 签发 JWT
     * 
     * @param id
     * @param subject   可以是 JSON 数据,尽可能少
     * @param ttlMillis
     * @return
     */
    public static String createJWT(String userId, String subject, long ttlMillis) {
        SignatureAlgorithm algorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);

        // header Map
        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");

        SecretKey secretKey = generalKey();

        Claims claims = Jwts.claims();
        claims.setId(UUID.randomUUID().toString()) // jti (JWT ID),防止jwt被重新发送
                .setSubject(subject) // 主题
                .setIssuedAt(now) // 签发时间
                .setIssuer("user"); // 签发者

        // payload 中 放入自定义信息
        Map<String, Object> selfMap = new HashMap<>();
        selfMap.put("userId", userId);
        claims.putAll(selfMap);

        JwtBuilder builder = Jwts.builder().setHeader(map) // header
                .setClaims(claims) // 使用 JSON 实例设置 payload
                .signWith(algorithm, secretKey); // 签名算法以及密钥
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date expDate = new Date(expMillis);
            builder.setExpiration(expDate); // 过期时间
        }
        return builder.compact();
    }

    private static SecretKey generalKey() {
        byte[] encodedKey = Base64.decode(SystemConstant.JWT_SECRET);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

    /**
     * 
     * 解析JWT字符串
     * 
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) {
        Claims claims = null;
        try {
            SecretKey secretKey = generalKey();
            claims = Jwts.parser().setSigningKey(secretKey).parseClaimsJws(jwt).getBody();
        } catch (Exception e) {
            System.err.println("token 校验失败");
        }
        return claims;
    }


    public static void main(String[] args) {
        String token = createJWT("aaaa", "同步", 60000L);
        System.out.println("token: " + token);
        System.out.println(parseJWT(token));
    }

}

3. JWT 校验 filter

package com.johnfnash.learn.jwt.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;

import org.apache.catalina.servlet4preview.http.HttpServletRequest;
import org.springframework.web.context.support.SpringBeanAutowiringSupport;

import com.johnfnash.learn.jwt.exception.ServiceException;
import com.johnfnash.learn.jwt.util.JwtUtils;

import io.jsonwebtoken.Claims;

/**
 * JWT 校验 filter
 */
@WebFilter(filterName = "jwtFilter", urlPatterns = "/hello/*")
public class HTTPBearerAuthorizeAttribute implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        if("options".equals(httpRequest.getMethod())) {
            chain.doFilter(request, response);
            return;
        }
        
        String auth = httpRequest.getHeader("Authorization");
        if(auth != null && auth.length() > 7) {
            String headStr = auth.substring(0, 6).toLowerCase();
            if (headStr.compareTo("bearer") == 0)
            {
                auth = auth.substring(7, auth.length());
                Claims claims = JwtUtils.parseJWT(auth);
                if(claims != null) {
                    chain.doFilter(request, response);
                    return;
                }
            }
        }
        
        // token 校验失败,抛出异常
        throw new ServiceException("token校验失败");
    }

    @Override
    public void destroy() {
    }

}

注:

  • 从 请求 的header 从获取传入的 token 并进行校验,校验通过则请求走下去;否则,抛出异常,在异常统一处理类中处理。
  • 需要在启动类中添加 @ServletComponentScan 注解扫描定义的 filter
@SpringBootApplication
@ServletComponentScan
public class JwtDemoApplication {

    public static void main(String[] args) {
        SpringApplication.run(JwtDemoApplication.class, args);
    }

}

其中,异常处理类代码如下:

package com.johnfnash.learn.jwt.interceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseBody;

import com.johnfnash.learn.jwt.dto.JsonResult;
import com.johnfnash.learn.jwt.enums.StatusCodeEnum;
import com.johnfnash.learn.jwt.exception.ServiceException;

/**
 * 统一异常处理
 *
 */
@ControllerAdvice
@ResponseBody
public class UnifiedExceptionHandler    {

    @ExceptionHandler(value = ServiceException.class)
    public JsonResult<?> handleAuthorizationException(HttpServletRequest request,
            HttpServletResponse response, ServiceException ex) {
        
        JsonResult<?> jr = JsonResult.of(StatusCodeEnum.AUTH_ERR.getCode(), null);
        if (ex instanceof ServiceException) {
            jr.setMsg(ex.getMessage() != null ? ex.getMessage() : "授权校验失败");
        } else {
            jr.setMsg("授权校验失败");
        }

        return jr;
    }

}

注:其中 ServiceException 为自定义的业务异常类,JsonResult 为对响应结果进行的一个封装。

4. token 的获取

登录成功之后获取JWT,大致流程如下:

package com.johnfnash.learn.jwt.controller;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;

import com.johnfnash.learn.jwt.util.JwtUtils;

@RestController
@RequestMapping("/auth")
public class AuthController {

     @RequestMapping(value="/login",method = RequestMethod.POST)
     public String login(String loginName, String password) {
         // 1. 进行账号、密码校验
         
         // 2. 校验通过之后
         String userId = "adadsad";
         String jwt = JwtUtils.createJWT(userId, loginName, 1800000);
         return jwt;
     }
    
}

5. API 的 token 校验

package com.johnfnash.learn.jwt.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import com.johnfnash.learn.jwt.dto.JsonResult;

@RestController
@RequestMapping("/hello")
public class HelloController {

    @GetMapping("detail")
    public JsonResult<String> hello() {
        return JsonResult.of("hello world!");
    }
    
}

filter 中定义了需要进行过滤的请求的 url pattern,这个 controller 下的接口就是要被过滤,进行token校验的。

6. 测试

1) 登录,获取token

token_request

2) 使用上面获取的token进行接口调用

未使用token,获取token错误,或者token过期时

token_auth_fail

使用正确的token时

token_auth_success

注意:token 放在 请求的 Authorization 头中。

本文参考:Spring Boot实战之Filter实现使用JWT进行接口认证

xxc1605629895
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot - JWT实现登录刷新token
起风
09-27 4841
1. 什么是JWT Json web token (JWT) 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。简答理解就是一个身份凭证,用于服务识别。 JWT本身是无状态的,这点有别于传统的session,不在服务端存储凭证。这种特性使其在分布式场景,更便于扩展使用。 2. JWT组成部分 JWT有三部分组成,头部(header),载荷(payload),是签名(signature)。 头部 头部主要声明了类型(jwt),以及使用的加密算法( HMAC SHA256) 载荷 载荷就是存放
maven使用JWTUtils工具类
努力进阶的菜鸟的博客
10-21 2515
导入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> 创建utils包 package com.yao.jwtdemo.utils; import com.auth0.jwt.JWT; import com.aut
Jwt+Filter+SpringBoot+Redis实现Cookie自动登陆
最新发布
m0_62314761的博客
05-21 455
FIlter拦截器拦截前端发送过来的请求,然后通过检查请求的cookie然后进行匹配检查,如果没有cookie则证明没有登录过,则需要过滤跳转到查询数据库验证用户名和密码看看是否有此人,如果有则以用户的名字(或者其他信息)通过Jwt生成Token并存入到Cookie里返回给客户端。下次登录的时候拦截器再拦截请求然后通过Jwt工具解码检查里面的cookie并与Redis里存的cookie进行匹配,如果符合了就直接跳转不再需要登录。
springBootjwt实现权限认证
qq_45515347的博客
08-27 2902
jwt原理以及使用springboot实现一个简单实例
自定义过滤器Filter进行JWT登陆令牌验证并设置响应头实现跨域时跨域失效
qq_21144985的博客
02-24 3943
针对网络上各种”自定义过滤器Filter进行JWT登陆令牌验证并设置响应头实现跨域“时跨域失效问题详解 首先,使用Spring相关框架,Maven环境。 如若仅需要后台跨域设置,则使用下面方法1足以。若已存在已有的自定义过滤器,则方法1势必会和原有的过滤器引发冲突。详解如下: 解决跨域方法1(项目不包含任何自定义过滤器时可用): 在启动类中或@Configuration自定义配置类中使用@...
spring boot+jwt实现api的token认证详解
08-26
在本文中,我们将深入探讨如何使用Spring BootJWT(JSON Web Token)来实现API的Token认证JWT是一种轻量级的身份验证和授权机制,它允许应用程序在客户端和服务器之间安全地传输信息,而无需在每次请求时进行...
Spring-boot结合Shrio实现JWT的方法
08-27
Spring Boot 结合 Shiro 实现JWT(JSON Web Token)的方法主要涉及到身份验证和权限管理,这两部分是Web应用中安全控制的关键。JWT 是一种轻量级的身份验证机制,它允许用户在一次登录后通过令牌(Token)在多个请求...
53-Spring Boot实现JWT1
08-08
在本文中,我们将探讨如何使用Spring Boot实现基于JWT(JSON Web Token)的OAuth2.0授权机制。JWT是一种轻量级的身份验证和授权机制,它允许我们在客户端和服务器之间安全地传递信息,而无需在每次请求时都发送...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及解决方法。 一、问题描述 在使用 Spring Boot 集成 Shiro 时,需要...
Springboot实现filter拦截token验证和跨域
牧竹子
10-14 5万+
背景web验证授权合法的一般分为下面几种 1使用session作为验证合法用户访问的验证方式 使用自己实现token 使用OCA标准 在使用API接口授权验证时,token是自定义的方式实现起来不需要引入其他东西,关键是简单实用。合法登陆后一般使用用户UID+盐值+时间戳使用多层对称加密生成token并放入分布式缓存中设置固定的过期时间长(和session的方式有些相同),这样当用户访问时使用to
SpringBoot集成JWT生成token及校验方法过程解析
08-19
主要介绍了SpringBoot集成JWT生成token及校验方法过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
使用shiro/spring security拦截器Filter,整合jwttoken进行校验【shiro/spring security 拦截token
世上哪有什么岁月静好,不过是有人替你负重前行
05-18 1800
默认的拦截器 下面的代码为请求声明其拦截器的类型 filterChainDefinitionMap.put("/login/index","anon"); filterChainDefinitionMap.put("/**","authc"); 整合了shiro安全框架后,当运行一个Web应用程序时,Shiro将会创建一些有用的默认 Filter 实例,并自动地将它们置为可用,而这些默认的 Filter 实例是被 DefaultFilter 枚举类定义的,当然我们也可以自定义 Filter 实例 常用的主
服务端之验证Token过滤器编写
码说芯语的博客
07-07 524
1、过滤器Filder大致工作流程: package com.taru.YoungMall.filter; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class TokenIsVaildFilter implements Filter {
超详细! springboot整合Filter_拦截器_注解+aop的方式实现token校验
Think_and_work的博客
02-09 1742
超详细! springboot整合Filter_拦截器_注解+aop的方式实现token校验
SpringBoot 实践-Filter 中的异常处理和 Controller 中的异常处理
02-15 2297
本篇主要是记录如何使用 SpringBoot 所提供的 ErrorController 这个接口能力;其内置了一个 BasicErrorController 对异常进行统一的处理,当在 Controller 发生异常的时候会自动把请求 forward 到 /error 这个请求 path 下(/error 是 SpringBoot 提供的一个默认的mapping)。BasicErrorContro...
springboot中的filter详细用法
rt940910a的博客
02-23 4284
发现filter用法比较杂乱,现整理一份:1.spring应用中存在两种过滤用法,一种是拦截器,另一种是过滤器.过滤器再springboot使用和在springmvc中用法基本上一样.只是配置上面有点区别.2.filter功能,它使用户可以改变一个request和修改一个response.Filter不是一个servlet,它不能产生一个response,它能够在一个request到达servl...
Springboot+Spring-Security+JWT+Redis实现restful Api的权限管理以及token管理(超详细用爱发电版)
热门推荐
ech13an的博客
06-24 7万+
前言 其实挺早就想写一篇关于jwt的博文去好好总结一下之前踩过的坑了,但是事情有点太多了,一直没抽出时间来写,刚好现在有点时间可以好好静下来写一遍(可能)有点质量的博文吧,毕竟一直都是看别人的博文去学习,我也好好写一遍吧哈哈。既然如果偶然搜到这篇文章的话,我相信大家应该都了解了什么是jwt,比较想知道怎么使用springboot+spring-security去实现,当然也可以使用shiro,其...
SpringBoot集成JWT实现权限认证
flyingdream123的专栏
05-11 933
一、JWT认证流程 二、SpringBoot整合JWT 三、测试 一、JWT认证流程 认证流程如下: 用户使用账号和密码发出post请求; 服务器使用私钥创建一个jwt; 服务器返回这个jwt给浏览器; 浏览器将该jwt串在请求头中像服务器发送请求; 服务器验证该jwt; 返回响应的资源给浏览器。 二、SpringBoot整合JWT 新建一个spring boot项目spring-boot-jwt,按照下面步骤操作。 pom.x
Spring boot简单整合JWT
码农桃子的博客
07-10 409
JWT优点 体积小,传输速度更快 多样化的传输方式, 可以通过URL传输、POST传输、请求头Header传输(常用) 简单方便,载荷包含有关用户的所有必需信息,服务端拿到jwt后无需再次查询数据库校验token可用性,避免了多次查询数据库。 在分布式系统中,很好地解决了单点登录问题 很方便的解决了跨域授权问题,因为跨域无法共享cookie 整合步骤 1.导入依赖 xml &l...
如何使用Spring Boot + Jwt
05-12
使用Spring BootJwt进行身份验证可以保护您的应用程序免受未经授权的访问。下面是使用Spring BootJwt进行身份验证的步骤: 1. 添加相关依赖 在 `pom.xml` 文件中添加以下依赖: ```xml <groupId>org.spring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值