Spring Boot + JWT 实现接口统一Token认证

最新推荐文章于 2024-03-28 14:44:27 发布
最新推荐文章于 2024-03-28 14:44:27 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: Spring Boot 文章标签: spring boot jwt session cookie 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z1353095373/article/details/110629313
版权

为什么要使用 token?直接使用 cookie + session 不就完了吗?

我们来看看传统方式实现的接口鉴权,客户端调用登录接口登录成功,服务端将登录状态保存在 session 中,客户端调用后续接口,服务端根据 session 统一校验。
这样看起来是没问题的,但是服务端接口变成分布式以后,这种方式就有问题了,假如一个服务端署了2个实例(A,B),这时客户端请求A实例登录成功了,又发了一个订单请求跑到了B实例,那么这个订单请求肯定会鉴权失败,提示未登录,这样肯定不符合产品设计的,那么就需要将A,B实例的 session 进行共享,但是这种方式又会造成服务器网络IO的压力大,延迟太长等问题。

JWT就解决了上述的问题(还有这里没提到的避免 CSRF 攻击等),相当于将 session 保存在了客户端,解决了后台 session 复制的问题,客户端登录成功后,服务端响应一个 token,客户端在后续请求带上这个 token 随便到哪个实例都可以进行接口鉴权。

当然,正是由于 token 的无状态,也导致了一些缺点:比如当服务端在 token 有效期内废弃一个 token 或者更改它的权限的话,不会立即生效,一般需要等到有效期过后才可以。另外,当用户退出登录后,token 也不会失效。除非,我们在服务端增加额外的处理逻辑。

安装

详见github:https://github.com/jwtk/jjwt/
复制可得:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>

yml添加常用配置

jwt:
  secret: gU1lF5jB1bN1dK2kE2lH1bH3fL1gQ1gU1lF5jB1bN1d #密钥
  expiration: 30 #token有效期(S)

工具类

需要注意的是,生产token的signWith方法有更新,网上比较常见的signWith(SignatureAlgorithm.HS512, secret)方法在0.10.0及以上版本已提示过期,并提示将在1.0版本彻底删除;所以我们这里推荐使用Keys.hmacShaKeyFor(Decoders.BASE64.decode(secret))方法生成SecretKey,另外secret的安全规范也需要遵守,比如不得含有’$'特殊字符,长度不得小于43等

import com.fasterxml.jackson.databind.ObjectMapper;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.io.Decoders;
import io.jsonwebtoken.security.Keys;
import lombok.SneakyThrows;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import javax.crypto.SecretKey;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * JwtToken操作工具类
 *
 * @author jason
 */
@Slf4j
@Component
public class JwtTokenUtil {
	private static final String CLAIM_KEY_USERNAME = "sub";
	private static final String CLAIM_KEY_CREATED = "created";

	/**
	 * 密钥
	 */
	@Value("${jwt.secret}")
	private String secret;
	/**
	 * token有效期(S)
	 */
	@Value("${jwt.expiration}")
	private Long expiration;

	/**
	 * 根据用户信息生成token
	 */
	@SneakyThrows
	public String generateToken(Object userInfo) {
		Map<String, Object> claims = new HashMap<>();
		claims.put(CLAIM_KEY_USERNAME, new ObjectMapper().writeValueAsString(userInfo));
		claims.put(CLAIM_KEY_CREATED, new Date());
		return generateToken(claims);
	}

	/**
	 * 从token中获取用户信息
	 */
	@SneakyThrows
	public <T> T getUserInfoFromToken(String token, Class<T> valueType) {
		Claims claims = getClaimsFromToken(token);
		return new ObjectMapper().readValue(claims.getSubject(), valueType);
	}

	/**
	 * 判断token是否有效
	 *
	 * @return true 有效
	 */
	public boolean isTokenExpired(String token) {
		Date expiredDate = getExpiredDateFromToken(token);
		return expiredDate.after(new Date());
	}

	/**
	 * 刷新token
	 */
	public String refreshToken(String token) {
		Claims claims = getClaimsFromToken(token);
		claims.put(CLAIM_KEY_CREATED, new Date());
		return generateToken(claims);
	}

	/**
	 * 生成token
	 */
	private String generateToken(Map<String, Object> claims) {
		return Jwts.builder()
				.setClaims(claims)
				.setExpiration(generateExpirationDate())
				// .signWith(SignatureAlgorithm.HS512, secret) // 已过期
				.signWith(generateKeyByDecoders())
				.compact();
	}

	/**
	 * 从token中获取
	 */
	private Claims getClaimsFromToken(String token) {
		return Jwts.parserBuilder()
				.setSigningKey(generateKeyByDecoders())
				.build()
				.parseClaimsJws(token)
				.getBody();
	}

	/**
	 * 生成token的过期时间
	 */
	private Date generateExpirationDate() {
		return new Date(System.currentTimeMillis() + expiration * 1000);
	}

	/**
	 * 生成自定义Key
	 */
	private SecretKey generateKeyByDecoders() {
		return Keys.hmacShaKeyFor(Decoders.BASE64.decode(secret));
	}

	/**
	 * 从token中获取过期时间
	 */
	private Date getExpiredDateFromToken(String token) {
		Claims claims = getClaimsFromToken(token);
		return claims.getExpiration();
	}

}

接口实现

这里写了2个测试接口,一个<登录>接口,一个<获取用户信息>接口,大致流程如下:
客户端调用<登录>接口提交账号密码到服务端,成功后服务端响应一个token,客户端带上token调用<获取用户信息>接口,服务端对token鉴权成功后响应用户信息。
其它接口同理。

token 鉴权常见异常:
ExpiredJwtException( token 过期)
SignatureException(签名编码有误)
MalformedJwtException(构造有误)

	/**
	 * 登录
	 * -
	 * http://127.0.0.1:9090/user/login?username=jason&password=123456
	 */
	@GetMapping("login")
	public String login(UserInfoVo userInfoVo) {
		// TODO 参数校验...省略

		// TODO 登录校验...省略

		// 存放用户信息到token
		UserInfoDto userInfoDto = new UserInfoDto();
		userInfoDto.setId(20201203001L);
		userInfoDto.setUsername("jason");
		userInfoDto.setNickName("张三");
		// 响应token
		return jwtTokenUtil.generateToken(userInfoDto);
	}

	/**
	 * 通过token获取用户信息
	 * -
	 * http://127.0.0.1:9090/user/info
	 */
	@GetMapping("info")
	public UserInfoDto info() {
		try {
			return getUserInfo();
		} catch (ExpiredJwtException e) {
			log.error("token已过期", e);

			UserInfoDto userInfoDto = new UserInfoDto();
			userInfoDto.setNickName("token已过期");
			userInfoDto.setUsername("token已过期");
			return userInfoDto;
		}
	}

测试

使用 postman 调用登录接口
在这里插入图片描述
带上 token 获取用户信息
在这里插入图片描述
因为我们 token 有效期设置的是30s,过期后再调用就会提示已过期。这里响应的就比较随意了,按规范来搞应该是封装统一异常+统一响应类
在这里插入图片描述

源码下载

梦想blog
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Boot + Security + JWT 实现接口统一 Token 校验
02-11
Spring Boot + Security + JWT 实现接口统一 Token 校验,详见:https://blog.csdn.net/z1353095373/article/details/122859572
SpringBoot整合JWT(JSON Web Token)生成token与验证
最新发布
小hui的博客
06-19 2274
JWT(JSON Web Token)是是目前最流行的跨域认证解决方案。它通常被用于对用户进行身份验证和授权。这篇文章是springbootjwt的整合实例
Spring Boot+Spring Security+JWT 实现token验证
xue317378914的专栏
06-06 1万+
Spring Boot+Spring Security+JWT 实现token验证什么是JWTJWT的工作流程JWT的主要应用场景JWT的结构SpringBoot+Spring Security和JWT的集成实现token验证引入JWT依赖JWT的生成和解析工具类Spring Security配置登录生成tokentoken的校验演示总结 通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被机器攻击就喝一壶的。那么一般来说,对API要划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用
基于Spring Boot 3 + Spring Security6 + JWT + Redis实现登录、token身份认证
程序员雅痞的博客
03-28 6287
基于Spring Boot3实现Spring Security6 + JWT + Redis实现登录、token身份认证
Spring Boot+Spring Security+JWT实现系统认证与授权
Cloud-Future的博客
08-03 2969
Spring Boot+Spring Security+JWT实现系统认证与授权 Spring Boot整合Spring Security实现JWT认证 Spring Boot项目使用JWT认证 JWT认证 OAuth2 JWT认证
SpringBoot+SpringSecurity+JWT实现认证和授权
热门推荐
oyc的博客
01-17 5万+
一、背景: 在 B/S 系统中,登录功基本都是依靠 Cookie 来实现的,用户登录成功之后主要需要客户端和服务端完成以下两项工作: (1)服务端将登录状态记录到 Session 中,或者签发Token; (2)客户端利用Cookie保存于服务端对应的 Session ID 或 Token。之后每次请求都会带上Cookie信息(包含Session ID或者Token),当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单点登录:单点登录(Single Sign On, S.
spring-boot + JWT实现TOKEN登录接口验证
weixin_40105866的博客
05-03 589
spring-boot + JWT实现TOKEN登录接口验证
Spring boot+Spring security+JWT实现前后端分离登录认证及权限控制
李哈zzz的博客
03-30 2万+
借鉴文章: Springboot + Spring Security 实现前后端分离登录认证及权限控制_I_am_Rick_Hu的博客-CSDN博客_springsecurity前后端分离登录认证 最近一段时间,公司给我安排了一个公司子系统的后台管理系统,让我实现权限管理。此时我就考虑到Spring全家桶的Spring security来权限管理。Spring security大致分为认证和授权两个功能,底层也是通过JavaWeb的Filter过滤器来实现,在Spring security中维护了一个.
SpringBoot+SpringSecurity+Jwt实现认证和授权
一个肥鲇鱼博客
01-18 1018
*** 自定义退出处理类* @Author: 一个肥鲇鱼*/@Component/*** 退出处理* @return*/@Override// R.success是统一返回类,可自行定义ServletUtils.renderString(response, JSON.toJSONString(R.success("退出成功")));将退出类添加到过滤链中/*** token认证过滤器*//*** 退出处理*/@Overridehttp// 关闭csrf。
spring boot+jwt实现api的token认证详解
08-26
在本文中,我们将深入探讨如何使用Spring BootJWT(JSON Web Token)来实现API的Token认证JWT是一种轻量级的身份验证和授权机制,它允许应用程序在客户端和服务器之间安全地传输信息,而无需在每次请求时进行...
springboot的模块化开发,集成shiro+jwt实现restful接口token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
04-09
本项目通过集成Spring BootSpring Security和JWT(JSON Web Tokens)技术,构建了一个基于token的权限管理系统。下面将详细阐述这些关键技术及其相互间的协同工作原理。 1. **Spring Boot**: Spring Boot是...
微服务springsecurity+jwt+redis+vue+springbootgateway实现token认证授权
qq_41237425的博客
03-21 314
*** JWT配置类**/@Getter@Setter@Component/*** 密钥KEY*//*** TokenKey*//*** Token前缀字符*//*** 过期时间*//*** 不需要认证接口*/
解决@Scope(“prototype“)不生效
Jason
09-06 4043
使用spring的时候,我们一般都是使用@Component实现bean的注入,这个时候我们的bean如果不指定@Scope,默认是单例模式,另外还有很多模式可用,用的最多的就是多例模式了,顾名思义就是每次使用都会创建一个新的对象,比较适用于写一些job,比如在多线程环境下可以使用全局变量之类的 创建一个测试任务,这里在网上看到大部分都是直接@Scope(“prototype”),这里测试是不生效的,再加上proxyMode才行,代码如下 import org.springframework.beans.f
SpringBoot+消息队列RocketMQ(基于阿里云)
Jason
09-26 3839
最近由于公司技术框架更新,原先的RabbitMQ需要换成RocketMQ,其实两者大致原理都差不多,使用起来也是大同小异
Spring Boot + Elasticsearch 初体验
Jason
12-04 3372
Elasticsearch 怎么说呢,经常会看到相关开源软件在使用,像日志解决方案 ELK 之类的,但是由于之前的工作经历,没有相关的业务需求,所以不需要用到这个框架,这次可能有机会接触到,先熟悉熟悉吧... ## 安装 1. 因为是本地测试,直接下载 Win 版本的就行了,官网:[https://www.elastic.co/downloads/elasticsearch](https://www.elastic.co/downloads/elasticsearch) 2. 下载后解压,进入bin目录下
SpringBoot+阿里云OSS
Jason
09-03 2346
安装 这里选择版本为:<aliyun-oss.version>3.10.2</aliyun-oss.version> <!-- 阿里云OSS --> <dependency> <groupId>com.aliyun.oss</groupId> <artifactId>aliyun-sdk-oss</artifactId> <version>${aliyun-oss.version}</ve
spring boot+vue+websocket带token身份认证推送消息实现
05-25
实现Spring Boot + Vue + WebSocket带Token身份认证推送消息,可以按照以下步骤进行: 1.在Spring Boot中配置WebSocket,包括WebSocket配置类、WebSocket处理器、WebSocket拦截器等。 2.在Vue中使用WebSocket...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值