JWT令牌如何将令牌token转换为登录者的信息的?

最新推荐文章于 2024-07-31 18:52:02 发布
最新推荐文章于 2024-07-31 18:52:02 发布
阅读量1.3k 收藏 5
点赞数 1
分类专栏: SpringMVC 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ykyangkun/article/details/123418840
版权
本文介绍了如何利用Spring MVC的HandlerMethodArgumentResolver接口来优化JWT权限认证流程,避免在每个接口中手动解析token。通过创建自定义的TokenArgumentResolver实现类,将用户信息自动注入到Controller方法参数中,从而减少代码重复,提高代码的可读性和维护性。
摘要由CSDN通过智能技术生成

前言

        java项目的权限认证系统大家都熟悉,之前本人也用到过几种认证token的方式,其中JWT是我觉得最神秘的一种,因为我一直没搞明白,在认证完成后,访问业务接口时,接口是怎么把请求头中的token转换为接口中的用户信息的,直到HandlerMethodArgumentResolver这个接口进入我的视野。

一、HandlerMethodArgumentResolver的作用及其中的方法解释:

HandlerMethodArgumentResolver是个接口,这个接口中有两个方法:

public interface HandlerMethodArgumentResolver {
    boolean supportsParameter(MethodParameter parameter);

    @Nullable
    Object resolveArgument(MethodParameter parameter, @Nullable ModelAndViewContainer mavContainer, NativeWebRequest webRequest, @Nullable WebDataBinderFactory binderFactory) throws Exception;
}

看方法名应该大致能猜到:

supportsParameter这个方法返回值是boolean,它的作用是判断Controller层中的参数,是否满足条件,满足条件则执行resolveArgument方法,不满足则跳过。

resolveArgument方法,它只有在supportsParameter方法返回true的情况下才会被调用。用于处理一些业务,将返回值赋值给Controller层中的这个参数。

我们可以将HandlerMethodArgumentResolver理解为是一个参数解析器,我们可以通过写一个类实现HandlerMethodArgumentResolver接口来实现对Controller层中方法参数的修改。

二、项目实现

1、比如,我们现在用JWT方式登陆后需要通过下面的接口获取当前登录人的信息和权限菜单等详细信息。

@GetMapping("/routes")
@ApiOperationSupport(order = 7)
@ApiOperation(value = "前端菜单数据", notes = "前端菜单数据")
public R<List<MenuVO>> routes(HttpServletRequest request) {
    Claims claims = getClaims(request);
    if (claims == null) {
        return null;
    } else {
        Long userId = claims.get("user_id");
        String roleId = claims.get("role_id");
        String deptId = claims.get("dept_id");
        String account = claims.get("account");
        String roleName = claims.get("role_name");
        String userName = claims.get("user_name");
        User user = new User();
        user.setUserId(userId);
        user.setTenantId(tenantId);
        user.setAccount(account);
        user.setRoleId(roleId);
        user.setDeptId(deptId);
        user.setRoleName(roleName);
        user.setUserName(userName);
    }
	List<MenuVO> list = menuService.routes((user == null || user.getUserId() == 0L) ? null : user.getRoleId());
	return R.data(list);
}

但是,在项目中肯定每个接口需要这样获取参数,这样的话代码太臃肿了。我们可以稍微改造一下,用HandlerMethodArgumentResolver这个接口:

2、首先写个实现类实现这个接口中的方法:

public class TokenArgumentResolver implements HandlerMethodArgumentResolver {
    private static final Logger log = LoggerFactory.getLogger(TokenArgumentResolver.class);

    public TokenArgumentResolver() {
    }

    public boolean supportsParameter(MethodParameter methodParameter) {
        return methodParameter.getParameterType().equals(User.class);
    }

    public Object resolveArgument(MethodParameter methodParameter, ModelAndViewContainer modelAndViewContainer, NativeWebRequest nativeWebRequest, WebDataBinderFactory webDataBinderFactory) {
        return SecureUtil.getUser();
    }
}

然后将这个实现类添加到项目的拦截其中:

@Configuration(
    proxyBeanMethods = false
)
@EnableCaching
@Order(-2147483648)
public class MyWebMvcConfiguration implements WebMvcConfigurer {
    private static final Logger log = LoggerFactory.getLogger(BladeWebMvcConfiguration.class);

    public MyWebMvcConfiguration() {
    }

    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
        argumentResolvers.add(new TokenArgumentResolver());
    }
}

这样在项目接口请求时会进入到我们自定义的TokenArgumentResolver类中进行解析接口类和参数信息。

然后,我们的接口就可以这样写啦:

@GetMapping("/routes")
@ApiOperationSupport(order = 7)
@ApiOperation(value = "前端菜单数据", notes = "前端菜单数据")
public R<List<MenuVO>> routes(User user) {
	List<MenuVO> list = menuService.routes((user == null || user.getUserId() == 0L) ? null : user.getRoleId());
	return R.data(list);
}

这样就不用每个接口都解析请求头中的token了,可以拿到token对应的用户信息

ykyangkun
关注
专栏目录
jwt怎么获取当前登录用户_使用Spring Security从JWT令牌中提取当前登录的用户信息...
weixin_39849054的博客
12-19 1226
小编典典您需要做的第一件事是在创建JWT时将用户信息存储在JWT内,然后在使用JWT时将其提取。我有一个类似的情况,我通过扩展双方解决它TokenEnhancer和JwtAccessTokenConverter。我使用TokenEnhancer来将我的扩展类型的主体嵌入CustomUserDetailsJWT其他信息中。public class CustomAccessTokenEnhancer ...
javajwt+拦截器校验token获取用户信息
yechuanjiang的博客
09-22 4383
javajwt+拦截器校验token获取用户信息 最近换工作,发现自己只会crud准备加强一下。结合网上资源写了一个用jwt生成并且校验token、校验token是在拦截器里面的,还有对异常的封装,响应体返回的封装,先写代码再总结一下项目中实际可以优化的地方。 异常封装和响应体封装都在上一节内容,地址:https://blog.csdn.net/yechuanjiang/article/details/120413850?spm=1001.2014.3001.5501 这里写的是生成token和用拦截器校
jwt怎么获取当前登录用户_获取jwt(json web token)中存储的用户信息
weixin_39958019的博客
12-19 2067
一个JWT实际上就是一个字符串,它由三部分组成,头部(header)、载荷(Payload)与签名。Payloadpayload中可以保存用户的信息。var claims = new Claim[]{new Claim(JwtRegisteredClaimNames.Sub, account),new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid(...
jwttoken 解析和时间戳的转换
yz18931904的博客
03-23 984
1、开发工具箱 - JWT 在线解密 (box3.cn) 2、在线时间戳转换工具 (beijing-time.org)
Jwts(jwt)生成token以及根据token获取用户信息
rxhcsdn的博客
11-23 6098
jwt生成token
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
03-17
- 令牌刷新(Refresh Token):为避免JWT过期导致用户频繁重新登录,可以引入刷新令牌登录时服务器同时返回JWT和Refresh TokenJWT设置较短的生命周期,而Refresh Token较长。 - 当JWT即将过期时,客户端使用...
JWT Token实现方法及步骤详解
09-07
- 考虑使用刷新令牌(Refresh Token)机制,当 JWT 过期后,用户可以通过刷新令牌获取新的 JWT,而无需重新登录。 在实际项目中,可以创建一个 JWT 服务,封装这些操作,提供生成和验证 JWT 的接口,简化开发流程。...
JWT令牌&&拦截器
最新发布
weixin_64308540的博客
07-31 854
JWT令牌&&拦截器
JWT令牌验证
尽力漂亮的博客
10-12 2344
JWT令牌验证1、jwt的由来及解决的问题2、jwt的细节处理 1、jwt的由来及解决的问题 2、jwt的细节处理 1、传统开发对资源的访问限制利用session完成图解 Map<String, Object> claims = new HashMap<String, Object>(); claims.put("uname",user.getUname());...
什么是JWT? Token? 如何基于Token进行身份验证?
HZ___ZH的博客
03-10 1259
JWT (JSON Web Token) Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT 本质上就一段签名的 JSON 格式的数据。由于
JWT之byte转换为str
Aifore的博客
11-14 759
jwt_token = jwt.encode(payload, APPROVED_PRIVATE_KEY, algorithm='RS256') 生成的是byte类型 byte与str相互转换: # bytes object b = b"example" # str object s = "example" # str to bytes byte...
[JWT]JWT与爆破
qq_55271156的博客
05-08 1392
浅析JWT爆破的方法,适合小白食用
用户修改了信息jwt服务器怎么识别,jwt验证登录信息
weixin_35521315的博客
08-12 643
为什么要告别session?有这样一个场景,系统的数据量达到千万级,需要几台服务器部署,当一个用户在其中一台服务器登录后,用session保存其登录信息,其他服务器怎么知道该用户登录了?(单点登录),当然解决办法有,可以用spring-session。如果该系统同时为移动端服务呢?移动端通过url向后台要数据,如果用session,通过sessionId识别用户,万一sessionId被截获了,别...
deviceToken 转换
dacaiguoguo的专栏
09-26 1005
// Prepare the Device Token for Registration (remove spaces and ) NSString *deviceToken = [[[[devToken description]    stringByReplacingOccurrencesOfString:@"withString:@""]    stringByReplaci
JWT - json-web-token
weixin_46323405的博客
12-03 255
1.三大组成 1.header:字典格式 {'alg':'HS256', 'typ':'JWT'} #alg代表要使用的 算法 #typ表明该token的类别 - 此处必须为 大写的 JWT 该部分数据需要转成json串并用base64 加密 2.payload 格式为字典-此部分分为公有声明和私有声明 公共声明:JWT提供了内置关键字用于描述常见的问题 此部分均为可选项,用户根据自己需求 按需添加key,常见公共声明如下: {'exp':xxx, # Expiration Time 此token的过期时
关于JWTToken
热门推荐
架构专栏
07-04 1万+
关于 Token token 即使是在计算机领域中也有不同的定义,这里我们说的token,是指访问资源的凭据。例如当你调用Google API,需要带上有效 token 来表明你请求的合法性。这个 token 是 Google 给你的,这代表 Google 给你的授权使得你有能力访问 API 背后的资源。 请求 API 时携带 token 的方式也有很多种,通过 HTTP Header 或者 ...
JWT详解和使用(jjwt)
阿猫的和谐号高铁
10-15 9767
JWT详解和使用 JWT是啥 JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 下列场景中使用JSON Web Token是很有用的: Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,...
Token令牌
臻实
09-29 256
token令牌
4.什么是JWT?(JSON Web Token,JSON令牌),JWT特点,JWT Claims,JWT问题和趋势,JJWT异常(JwtException基类)
相互学习 共同进步
04-24 1159
JSON Web令牌JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。尽管可以对JWT进行加密以在双方之间提供保密性,但将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌则将这些声明隐藏在其他方的面前。
Spring Boot + JWT:API token认证详解与实战示例
Spring Boot提供了一种简单的方式来集成JWT,如使用`@RestControllerAdvice`自定义全局异常处理,处理未授权或无效Token的情况,并通过`@AuthenticationPrincipal`注解获取当前登录用户的JWT信息。 7. **安全性与...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值