Spring Boot 使用 Jwt + Swagger2 搭建带身份验证的接口服务

最新推荐文章于 2024-05-13 03:21:05 发布
最新推荐文章于 2024-05-13 03:21:05 发布
阅读量7.9k 收藏 18
点赞数 1
分类专栏: Spring Boot Spring Boot 文章标签: Jwt Swagger2 Spring Boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeyinglingfeng/article/details/82684316
版权

首先需要搭建好一个Spring Boot + Swagger2的项目
因为之前有写过 Swagger2 点我 所以这里就不再重复一遍了。该文章将会在之前项目的基础上继续添加整合Jwt。

首先放下搭建完毕的项目目录结构

这里写图片描述

pom.xml
在之前的基础上添加Jwt依赖即可

<!--jwt-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.7.0</version>
</dependency>

添加JwtAuthenticationFilter.java文件
如名字,这是一个拦截器,当用户访问接口时将会被该拦截器拦截,我们可以通过修改isProtectedUrl函数中的范围来确定需要拦截的范围。
然后因为Jwt默认是用储存在header中的验证码来验证身份的,这对于Swagger2来说很难进行测试,需要对Swagger2进行修改,比较麻烦,所以这里我直接修改成了从Body中取,当然同理也可以替换成cookie,session中,都行。

package com.my.swagger2.filter;

import org.springframework.util.AntPathMatcher;
import org.springframework.util.PathMatcher;
import org.springframework.web.filter.OncePerRequestFilter;

import com.my.swagger2.util.JwtUtil;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

public class JwtAuthenticationFilter extends OncePerRequestFilter {
    private static final PathMatcher pathMatcher = new AntPathMatcher();

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //解决跨域问题
        response.setHeader("Access-Control-Allow-Origin", "*");
        try {
            if(isProtectedUrl(request)) {
                //因为jwt用来验证身份的验证码是储存在header中的,而用swagger2时header中的值不好设置,需要进行修改,因此这里改成了从body中获取
                //String token = request.getHeader("Authorization");
                String token = request.getParameter("Authorization");
                //检查jwt令牌, 如果令牌不合法或者过期, 里面会直接抛出异常, 下面的catch部分会直接返回
                JwtUtil.validateToken(token);
            }
        } catch (Exception e) {
            response.sendError(HttpServletResponse.SC_UNAUTHORIZED, e.getMessage());
            return;
        }
        //如果jwt令牌通过了检测, 那么就把request传递给后面的RESTful api
        filterChain.doFilter(request, response);
    }


    //我们只对地址 /api 开头的api检查jwt. 不然的话登录/login也需要jwt
    private boolean isProtectedUrl(HttpServletRequest request) {
        return pathMatcher.match("/api/**", request.getServletPath());
    }

}

添加Jwt配置文件
JwtUtil.java
这里定义了Jwt验证码的格式,用到的参数等等,还有有效时间,为了测试方便,这里定的是1000小时。

package com.my.swagger2.util;

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class JwtUtil {
    static final String SECRET = "ThisIsASecret";

    public static String generateToken(String username) {
        HashMap<String, Object> map = new HashMap<>();
        //you can put any data in the map
        map.put("username", username);
        String jwt = Jwts.builder()
                .setClaims(map)
                .setExpiration(new Date(System.currentTimeMillis() + 3600_000_000L))// 1000 hour
                .signWith(SignatureAlgorithm.HS512, SECRET)
                .compact();
        return "Bearer "+jwt; //jwt前面一般都会加Bearer
    }

    public static void validateToken(String token) {
        try {
            // parse the token.
            Map<String, Object> body = Jwts.parser()
                    .setSigningKey(SECRET)
                    .parseClaimsJws(token.replace("Bearer ",""))
                    .getBody();
        }catch (Exception e){
            throw new IllegalStateException("Invalid Token. "+e.getMessage());
        }
    }
}

然后添加登入接口
loginController.java
因为这只是个测试用例,所以也没连数据库,用户密码检测就意思一下。

package com.my.swagger2.controller;

import java.util.HashMap;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestController;

import com.my.swagger2.filter.JwtAuthenticationFilter;
import com.my.swagger2.util.JwtUtil;

import io.swagger.annotations.ApiImplicitParam;
import io.swagger.annotations.ApiImplicitParams;
import io.swagger.annotations.ApiOperation;

@RestController
@RequestMapping(value="/login")
public class loginController {

    @RequestMapping(value="check", method=RequestMethod.POST)
    @ApiOperation(value="登入身份验证(JWT验证)", notes="登入")
    @ApiImplicitParams({
        @ApiImplicitParam(name = "username",value = "用户名称",required = true,paramType = "form",dataType = "string"),
        @ApiImplicitParam(name = "password",value = "密码",required = true,paramType = "form",dataType = "string")
    })
    public Object getLoginInfo(HttpServletResponse response,HttpServletRequest request) {
        Account account = new Account();
        account.setUsername(request.getParameter("username").toString());
        account.setPassword(request.getParameter("password").toString());
        if(isValidPassword(account)) {
            String jwt = JwtUtil.generateToken(account.username);
            return new HashMap<String,String>(){{
                put("token", jwt);
            }};
        }else {
            return new ResponseEntity(HttpStatus.UNAUTHORIZED);
        }
    }

    @Bean
    public FilterRegistrationBean jwtFilter() {
        final FilterRegistrationBean registrationBean = new FilterRegistrationBean();
        JwtAuthenticationFilter filter = new JwtAuthenticationFilter();
        registrationBean.setFilter(filter);
        return registrationBean;
    }

    //密码是否正确
    private boolean isValidPassword(Account ac) {
        Map<String,Object> param = new HashMap<String,Object>();
        param.put("userName", ac.getUsername());
        param.put("password", ac.getPassword());

        return ("test".equals(param.get("userName")))&&("test@123".equals(param.get("password")));
    }


    public static class Account {
        private String username;
        private String password;
        public String getUsername() {
            return username;
        }
        public void setUsername(String username) {
            this.username = username;
        }
        public String getPassword() {
            return password;
        }
        public void setPassword(String password) {
            this.password = password;
        }
    }   
}

然后修改下之前项目中的
myTestController.java
添加一个验证码参@ApiImplicitParam(name = "Authorization",value = "验证信息",required = true,paramType = "form",dataType = "string")

@ApiOperation(value="测试数据", notes="获取字符串1+字符串2")
    @ApiImplicitParams({
      @ApiImplicitParam(name = "s1", value = "字符串1", paramType = "form", dataType = "String"),
      @ApiImplicitParam(name = "s2", value = "字符串2", paramType = "form",required = true, dataType = "String"),
      @ApiImplicitParam(name = "Authorization",value = "验证信息",required = true,paramType = "form",dataType = "string")
    })
    @RequestMapping(value="/get/info", method=RequestMethod.POST)
    public String getInfo(HttpServletResponse response,HttpServletRequest request) {
        String s1 = request.getParameter("s1");
        String s2 = request.getParameter("s2");

        String result = s1+s2;
        return result;
    }

然后启动项目测试下
可以看到一个登入接口和一个应用接口
这里写图片描述

尝试下直接使用应用接口(因为验证码设了必填,所以随便填一个值,当然,也可以设置成非必填,然后不填值,反正最后结果都是一样的)
这里写图片描述

点击查询,可以看到报错,unauthorized,被Jwt拦截下来了。
这里写图片描述

然后尝试下登入接口,填入刚才在代码中设置的用户密码,点击查询
这里写图片描述

可以看到返回了验证码,复制验证码,填到应用接口里,尝试下查询
这里写图片描述

参数如上,点击查询
这里写图片描述

成功查询到信息了
这里写图片描述

实际使用中直接去request body中取验证码会相对不安全,也挺麻烦,可以减少验证码有效时间,然后将验证码存入session,cookie,或者header中,前两种可以在验证登入时在后台填入,然后拦截器就从session,cookie中去获取验证码,这样前台也能不传验证码了,相对也会安全点,毕竟数据传输这一环是最危险的,当然cookie在用户本地,也会相对不安全点,怎么取舍就要看自己的项目了。

团子ing
关注
  • 1
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot2.0+shiro+jwt+redis+swagger+layui+thymeleaf
11-02
基于spring boot 2.1.6、shiro、jwt、redis、swagger2、mybatis 、thymeleaf、layui 后台管理系统, 权限控制的方式为 RBAC。代码通熟易懂 、JWT(无状态token)过期自动刷新,数据全程 ajax 获取,封装 ajax 工具类...
Spring Boot + Spring Security + JWT 集成Swagger文档问题
热门推荐
Dream it Possible
05-26 1万+
 现在的新项目框架都选择用Spring Boot,之前的旧项目,开发完对外的接口还需要自己写接口文档,在新项目中集成Swagger文档,这样就省去了我们写文档的时间,前端调用还可以利用它进行接口测试。  简单的一个Spring Boot框架,很简单地几步就可以将Swagger文档配置集成好,如下:  一 . 添加Swagger依赖  &amp;lt;dependency&amp;gt; &amp;lt;gr...
Springboot 整合swaggerspringsecurity、jjwt、实现前后端分离架构的权限认证搭建
weixin_43277309的博客
04-08 1097
Springboot 整合swaggerspringsecurity、jjwt、实现前后端分离架构的权限认证搭建。 一、写本文的目的性() 1.1、网上有很多关于springsecurity、整合jjwt的相关例子,我前段时间因为个人原因,需要整合,但是看了网上的例子,要不太过于复杂,要么前后端耦合度太高,要么没有什么ruan用(但是我还是找到了某位猿猿的分享,得到了启发) 二、需要做的准备 2.1、没学过springbootspringsecurity的去学一下 这里有一份springsecurit
SpringBoot集成Swagger2登录功能和安全认证_swagger 设置登录验证
最新发布
2401_84968812的博客
05-13 442
创建拦截器 SwaggerInterceptor。新建 Swagger2Config。
SpringBoot集成swagger 支持jwt
weixin_51299408的博客
01-01 339
添加依赖(注意swaggerspringboot版本兼容) <!--添加swagger依赖 --> <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>2.9.2</version&g
Springboot项目集成Shiro+JWT,同时集成swagger2
weixin_43284510的博客
04-26 4229
Springboot项目集成Shiro+JWT,同时集成swagger2便于测试 之前只是单独使用过Shiro和自定义token,后来觉得使用jwt更方便,所以集成做个笔记,直接按照步骤即插即用 1. 配置Maven org.apache.shiro shiro-core 1.3.2 org.apache.shiro shiro-spring 1.3.2 com.auth0 java-j...
SpringBoot集成Swagger实现JWT验证token
qq_38586378的博客
06-04 4059
前言 最近有个项目涉及用户权限管理,然后之前也有看到的一个小技术JWT,简单学习了解以后结合SpringBoot Swagger实现了一个简单的demo,这个demo主要是实现用户通过用户名和密码登录系统,登录成功以后系统给一个token,之后的用户操作需要验证token,只有token符合要求才能进行其他系统资源访问操作,否则提示权限不够或者token过期有误等提示信息,现将实现过程进行简单记录。 参考链接 1. Swagger了解:https://www.jianshu.com/p/349e130
spring boot+shiro+mybatis+pagehelper+mapper+jwt,swagger2前后端分离restful框架
01-06
前后端分离之后台架构,供各位参考...Spring boot shiro权限管理 Ehcache缓存框架,可以改成redis Mybatis+PageHelper+通用mapper JWT前后端token验证 Swagger2 api生成工具 已经实现了用户、权限、组织等代码的实现
spring-boot-jwt使用Spring BootSpring Security和MySQL的JWT身份验证服务
01-29
Spring Boot JWT叠放 您可以找到与此存储库相关的帖子。请通过 :white_medium_star: 如果您觉得有用! :smiling_face_with_smiling_eyes:档案结构spring-boot-jwt/ │ ├── src/main/java/ │ └── murraco │ ...
IDEA+Springboot+Mybatis+MySql+Swagger3.0+JWT权限验证 的实现 增、删、改、查
09-03
IDEA+Springboot+Mybatis+MySql+Swagger3.0+JWT权限验证 的实现 增、删、改、查
SpringBoot+spring Security+JWT整合swagger
qianjin5656的博客
10-19 3419
SpringBoot+spring Security+JWT整合swagger 前言 第一次写博客,由于是个菜鸟,感觉怪怪的,只是想把自己所学的记录下。望各位大神进行指点。公司前后端分离。怎么样友好的对接口进行调试。所以最近看资料学习swagger2,swagger2是款强大的接口调试工具。 整合 首先需要创建一个swagger2的配置类SwaggerConfig,这个swaggerConf...
SpringBoot+Jwt+Swagger实现用户单点登录
米粉er的博客
03-06 1242
springboot+jwt+swagger实现用户单点登录 创建数据库表结构 数据表结构 CREATE TABLE `b_user` ( `Id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'ID', `UserCode` varchar(50) NOT NULL COMMENT '用户代码', `UserName` varchar(50) NOT NULL COMMENT '用户名', `PassWord` varchar(50) NOT NULL
SpringBoot+Cloud+oauth2.0+JWT集成swaggerswagger-bootstrap-ui详细步骤
rows_com的博客
08-31 1705
这里写目录标题引入Maven依赖swagger的配置文件属性配置文件所需要的类oauth的拦截机制配置应用启动类注意事项 引入Maven依赖 <!-- swagger文档API 关于swagger-ui.html的依赖我去掉了--> //这个是优化界面的类似插件会让doc.html变得更好看 <dependency> <groupId>com.github.xiaoymin</groupId>
Springboot+shiro+jwt+swagger+MybatisPlus个人笔记
iwanttostudyok的博客
02-08 1086
搭建一个基础项目,使用swagger可以自测接口而不用再去写前端页面,话不多说,上货!!! 一、项目依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId>
解决配置shiro+jwtswagger接口文档无法访问的问题
qq_41358574的博客
12-02 1675
昨天配置了jwt,结果打开swagger的doc.html时一直显示需要用户名和密码。原来是jwt拦截了,只需要在配置shiro时加上以下内容: /** * 定义拦截器链,所有请求都经过自定义的jwt过滤器 * * @return */ @Bean public ShiroFilterChainDefinition shiroFilterChainDefinition(){ DefaultShiroFilterChainDefini
解决springboot+swagger+shiro后过滤器执行顺序的问题
weixin_38405770的博客
12-17 1143
1、首先说问题吧,springboot整合swagger+shiro在访问http://localhost:8080/swagger-ui.html时被拦截了,但是配置的拦截链是放行的,好像没有起作用,拦截器配置代码如下 @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager securityManager, ..
Swagger使用 JWT认证授权
酷悦悦
01-25 2367
ASP.NET Core WebApi使用Swagger生成api说明文档看这篇就够了 - 依乐祝 - 博客园 cookie、session、token、OAuth 参考网址:授权认证登录之 Cookie、Session、Token、JWT 详解 - 黄金国的大象 - 博客园 .Net5 Core 配置 Swagger 并进行全局Token添加 - lilyshy - 博客园 视频学习:【Asp.NetCoreWebApi】开发实战完整源码(集成日志/搭建服务器实例集群/Jwt鉴权授权/Filt..
spring security 集成 swagger 请求添加全局token
cyt
12-16 1095
security 无设置自定义过滤器 项目依赖 <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-boot-starter</artifactId> <version>3.0.0</version> </dependency>
SpringBoot集成JWT实现Token登录验证
Young_深情不及里子的博客
11-25 1万+
JSON Web令牌(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑而独立的方式在各方之间安全地传输信息为JSON对象。学习总结一下SpringBoot整合JWT的登录token验证,简单易理解哦~
springboot + mybatisplus + redis + driver +knife4j + swagger + jwt + springSecurity demo
02-08
Spring Security是Spring提供的一个安全框架,它可以集成到Spring Boot应用程序中,提供身份验证、授权、攻击防护等安全功能。通过配置Spring Security,我们可以实现对API接口的访问控制和权限管理。 关于Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值