【应用】SpringBoot -- JWT 实现 token 验证

已于 2023-03-13 19:20:32 修改
阅读量3.6k 收藏 11
点赞数 3
分类专栏: SpringBoot 文章标签: spring boot java 后端
于 2022-10-07 16:37:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zqf787351070/article/details/127195827
版权

JWT

JWT 基本介绍

JWT 全称 Json Web token,它将用户信息加密到 token 当中,服务端不保存任何用户信息。当服务端发送请求时,服务器通过保存的密钥验证 token 的正确性,正确则放行。

JWT 的优缺点

  • 优点

    • 使用简洁,数据量小,传输速度快,可以直接在 HTTP header 中发送

    • token 中包含了用户所需要的信息,避免了多次查询数据库

    • token 以 JSON 加密的形式在客户端存储,不需要在服务端保持会话

  • 缺点

    • 已经颁布的令牌无法作废

    • 不易处理数据过期的问题

JWT 消息构成

token 主要由 3 部分构成,分别为 header、payload 以及 signature,三部分之间以`.``分割,例如:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
.eyJhdWQiOiJhZG1pbiIsImV4cCI6MTY2NDQxMTI4Mn0
.cNvdGNNsNl8UJX_PIz40h9iJtDWexoymnC3h_b42iMA

  • header

    • 声明类型,标识这是一条 JWT 信息

    • 声明 JWT 加密的算法

  • payload

    • 存放有效信息,一般存放我们自定义的 key-value 键值对

  • signature

    • 存放签证信息

SpringBoot 集成 JWT 的简单使用

引入 JWT 依赖

        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.10.3</version>
        </dependency>

配置自定义注解进行访问控制

配置@LoginToken注解,标识需要进行 JWT 验证才能访问的方法

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginToken {

    boolean required() default true;

}

配置 JWT 拦截器

通过拦截器对请求进行拦截,判断请求访问的方法和注解,根据条件对 token 进行验证

tips:ApplicationContextUtil 是上下文工具类,可自行搜索…

@Slf4j
public class JwtInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取业务类
        UserService userService = ApplicationContextUtil.getBean(UserService.class);

        // 获取请求头中的 token
        String token = request.getHeader("token");
        // 如果不是映射到方法的,直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        // 获取请求的方法
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        // 验证是否存在需要验证用户权限的注释
        if (method.isAnnotationPresent(LoginToken.class)) {
            if (method.getAnnotation(LoginToken.class).required()) {
                // 执行认证
                if (token == null) {
                    log.error("token 不存在,请重新登录");
                    throw new RuntimeException("token 不存在,请重新登录");
                }
                // 获取 userId
                String userId;
                try {
                    userId = JWT.decode(token).getAudience().get(0);
                } catch (JWTDecodeException e) {
                    log.error("token 解码失败");
                    throw new RuntimeException("token 解码失败");
                }
                // 根据 userId 查询 User
                User user = userService.getUser(userId);
                if (user == null) {
                    log.error("用户不存在,请重新登录");
                    throw new RuntimeException("用户不存在,请重新登录");
                }
                // 验证 token
                JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
                try {
                    jwtVerifier.verify(token);
                } catch (JWTVerificationException e) {
                    log.error("token 校验失败");
                    throw new RuntimeException("token 校验失败,请重新登录");
                }
                return true;
            }
        }
        return true;
    }
}

注册连接器并配置全局异常处理器

拦截器配置类

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    /**
     * 注册 JWT 拦截器
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new JwtInterceptor()).addPathPatterns("/**");
    }
}

全局异常处理器

@RestControllerAdvice
public class GlobalExceptionHandler {
    @ResponseBody
    @ExceptionHandler(Exception.class)
    public Object handleException(Exception e) {
        String msg = e.getMessage();
        if (msg == null || "".equals(msg)) {
            msg = "服务器出错";
        }
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("code", 50000);
        jsonObject.put("message", msg);
        return jsonObject;
    }
}

配置 token 注册业务类

构造tokenService,对用户的信息执行注册,返回对应用户的 token

@Service
public class TokenService {

    /**
     * 设置过期时间
     */
    private static final long EXPIRE_TIME = 5 * 60 * 1000;

    /**
     * 获取 token
     */
    public String getToken(User user) {
        Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
        return JWT.create()
                // 将 userId 保存在 token 中
                .withAudience(user.getUserId())
                // 设置过期时间
                .withExpiresAt(date)
                // 将 password 设置为 token 的密钥
                .sign(Algorithm.HMAC256(user.getPassword()));
    }

}

构造userService,模拟从数据库中查询对应用户信息的过程

@Service
public class UserService {

    /**
     * 模拟查询参数
     */
    private final static String PARAM = "admin";

    /**
     * 根据 id 查询 User
     */
    public User getUser(String userId) {
        if (PARAM.equals(userId)) {
            return User.builder()
                    .userId(userId)
                    .username("admin")
                    .password("admin")
                    .build();
        }
        return null;
    }

    /**
     * 根据用户名查询 User
     */
    public User getUser(String username, String password) {
        if (PARAM.equals(username)) {
            return User.builder()
                    .userId("admin")
                    .username(username)
                    .password(password)
                    .build();
        }
        return null;
    }

}

编写控制层代码

@RestController
@RequestMapping("/JWT")
public class LoginController {

    @Resource
    private UserService userService;
    @Resource
    private TokenService tokenService;

    /**
     * 登录
     */
    @PostMapping("/sign")
    public Object sign(String username, String password){
        JSONObject jsonObject = new JSONObject();
        User user = userService.getUser(username, password);
        if (user == null) {
            jsonObject.put("message", "登录失败!");
        } else {
            String token = tokenService.getToken(user);
            jsonObject.put("token", token);
            jsonObject.put("user", user);
        }
        return jsonObject;
    }

    /**
     * 验证登录
     */
    @LoginToken
    @PostMapping("/getMessageWithToken")
    public String getMessageWithToken(){
        return "已通过验证,允许获取信息~";
    }

    /**
     * 验证登录
     */
    @LoginToken(required = false)
    @PostMapping("/getMessageWithoutToken")
    public String getMessageWithoutToken(){
        return "无需验证即可获取对应信息~";
    }

}

访问接口执行测试

首先测试不携带 token 访问getMessageWithTokengetMessageWithoutToken接口

getMessageWithToken未携带 token,禁止访问

在这里插入图片描述

getMessageWithoutToken不需要 token 认证即可访问

在这里插入图片描述

访问sign接口执行注册,获得返回的 token

在这里插入图片描述

携带 token 重新访问getMessageWithToken,可正确执行访问

在这里插入图片描述

情绪大瓜皮丶
关注
专栏目录
SpringBoot】45、SpringBoot中整合JWT实现Token验证(注解篇)
Asurplus
02-28 21万+
前言 上篇文章,我们已经在 SpringBoot 中整合了 JWT实现Token 验证,那我们在实际应用中就会发现,如果每个 视图层(controller)都手动验证 token,代码就会显得特别臃肿,本篇文章主要为了解决该问题。 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证 自定义注解 1、创建自定义注解 package com.asurplus.common.annotation; import
SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
热门推荐
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
springboot简单的token验证
zhou_zhao_xu的博客
03-08 717
启动类添加组件扫描注解 @SpringBootApplication // 扫描组件 @ServletComponentScan public class WarningForecastApplication { public static void main(String[] args) { SpringApplication.run(WarningForecastApplication.class, args); } } 定义token拦截器 package com.
基于SpringBoot使用JWT实现Token认证
Leopard锋的博客
03-11 1万+
目录 一、JWT的介绍 1、什么是JWT 2、、基于token的鉴权机制 3、JWT的构成 二、简单实战 1、新建一个简单的springboot项目 2、自定义登录异常处理 3、全局异常拦截处理输出 4、创建工具类 5、token的生成和拦截 三、参考文献 一、JWT的介绍 1、什么是JWT Json web tokenJWT)是为了网络应用环境间传递声明而执...
JWT详细解析
最新发布
m0_65224643的博客
07-30 2972
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
SpringBoot集成JWT实现token验证
weixin_33994444的博客
07-10 2072
JWT官网: https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包...
springbootjwt实现token验证
lorogy的博客
01-08 1215
什么是jwt Json web token (JWT),用于进行身份验证,开销小,适用于单点登录。优点是token是以json加密的形式保存在客户端的,跨语言;能将用户需要的所有信息都加密到token里,不用多次查询数据库;不用在服务端保存会话信息,适用于分布式微服务。 用户使用账密发送post请求 服务器使用私钥创建jwt(生成签名) 服务器返回这个jwt给浏览器 浏览器将该jwt加在之后所有请求的请求头中 服务器拦截请求验证jwt(校验token验证通过则返回响应信息给浏览器 jwt构成: 头
SpringBoot】1、SpringBoot整合JWT实现Token验证
qq_24099547的博客
04-10 8821
单点登录
springboot实现jwttoken认证
噗嗤
04-21 563
一、 jwt实现登陆认证流程 用户使用账号和面发出post请求 服务器接受到请求后使用私钥创建一个jwt,这边会生成token 服务器返回这个jwt给浏览器 浏览器需要将带有tokenjwt放入请求头 每次手到客户端请求,服务器验证jwttoken 验证成功返回响应的资源给浏览器。否则异常处理 二、 相关介绍jwt 2.1jwt 组成 JWTtoken由三段信息构成的,将这三段信息文本用.连接一起就构成了JWT字符串; Header 头部(包含了令牌的元数据,并且包含签名和或加密算法的类型
springboot-react-jwt:JSON Web令牌React Spring Boot示例
02-05
因此,我决定进行概念验证,创建一个独立的项目。 一切都在此存储库中发布。 JSON Web令牌 JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
JWT(Json Web Token)则是一种安全的身份验证机制,被广泛应用于微服务架构和API授权。本篇文章将深入探讨如何在Spring Boot应用中结合Spring Security实现JWT令牌的认证和授权。 首先,JWT令牌是一种轻量级的身份...
SpringBoot】46、SpringBoot中整合JWT实现Token验证(拦截器篇)
Asurplus
02-28 21万+
前言 上篇文章我们已经实现了使用自定义注解验证 token 信息,这样我们就会发现,当我们需要验证的接口较多时,我们需要每个方法上面都加上 @JwtToken 这个注解,也是非常麻烦, 本片文章,我们继续使用拦截器来实现 token 信息的验证 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证(整合篇) 如果对自定义注解验证 token 信息感兴趣的朋友,可以看看我的这篇博客:【SpringBoot】四十五、Spr
SpringBoot基于token的请求验证
一路向北的博客
09-09 4798
SpringBoot实现基于Token的请求验证
Spring boot 入门教程-token验证
a369966697的博客
03-31 1301
面试是跳槽涨薪最直接有效的方式,马上金九银十来了,各位做好面试造飞机,工作拧螺丝的准备了吗?掌握了这些知识点,面试时在候选人中又可以夺目不少,暴击9999点。机会都是留给有准备的人,只有充足的准备,才可能让自己可以在候选人中脱颖而出。《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!” />面试是跳槽涨薪最直接有效的方式,马上金九银十来了,各位做好面试造飞机,工作拧螺丝的准备了吗?掌握了这些知识点,面试时在候选人中又可以夺目不少,暴击9999点。
SpringBoot集成JWT实现Token登录验证
Young_深情不及里子的博客
11-25 1万+
JSON Web令牌(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑而独立的方式在各方之间安全地传输信息为JSON对象。学习总结一下SpringBoot整合JWT的登录token验证,简单易理解哦~
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 9710
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证
Springboot集成token认证
qq_68534248的博客
04-01 1806
首先前端一样是把登录信息发送给后端后端查询数据库校验用户的账号和密码是否正确,正确的话则使用jwt生成token,并且返回给前端。以后前端每次请求时,都需要携带token后端获取token后,使用jwt进行验证用户的token是否无效或过期,验证成功后才去做相应的逻辑。:简单来说就是服务器根据前端传来的用户名与密码生成token并返回前端,前端之后的请求都会携带该cookie来进行执行操作认证。SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。
SpringBoot+JWT实现Token登录权限认证详解
"本文详细介绍了如何使用SpringBoot结合JWT(JSON Web Token实现用户登录权限认证。文中通过具体的示例代码,展示了JWT的登陆认证流程、JWT的构成以及其优势,并给出了项目的依赖配置。" 在现代Web应用中,安全性...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值