Java中使用 jwt + 拦截器配置 超级详细教程(详细源码)

最新推荐文章于 2024-10-04 15:11:43 发布
原创 最新推荐文章于 2024-10-04 15:11:43 发布 · 7.7k 阅读 · 43 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

博客围绕Java开发展开,介绍了创建JWT的方法,包括导入Maven和Gradle依赖、创建JWT工具类;还说明了配置拦截器的步骤,如配置拦截器文件和创建拦截器类;此外,创建了PassToken和UserLoginToken两个注解,并讲解了注解的使用及解析。

一、创建JWT

1.导入依赖

maven

<!--引入JWT依赖,由于是基于Java,所以需要的是java-jwt-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>

gradle

implementation 'io.jsonwebtoken:jjwt:0.9.1'

implementation 'com.auth0:java-jwt:3.4.0'

2.创建jwt工具类

package com.zx.framework.util;

import com.zx.cargo.pojo.User;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

/**
 * jwt工具类 生成、解析、校验token
 */
public class JwtUtil {
	/**
     * 用户登录成功后生成jwt
     * 使用Hs256算法
     * 三部分组成 头部+荷载+签证信息
     * @param ttlMillis jwt过期时间
     * @param user      登录成功的user对象
     * @return
     */
    public static String createJwt(long ttlMillis, User user){
        // header部分,jwt已经封装好了
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        // jwt生成时间 当前时间
        long nowMillis = System.currentTimeMillis();
        Date date = new Date(nowMillis);

        // payload 荷载部分(存放有效信息的地方,包含标准中注册的声明、公共声明、私有声明)
        // 创建私有声明
        Map<String,Object> claims = new HashMap<>();
        claims.put("id", user.getUserId());
        claims.put("username",user.getUserName());
        claims.put("password",user.getUserPassword());

        // 生成秘钥secret用
//        String key = user.getUserPassword();
        byte[] bytes = user.getUserPassword().getBytes();
        // 生成签发人
        String subject = user.getUserName();

        // 为payload添加标准声明和私有声明(new一个JwtBuilder,设置jwt的body)
        JwtBuilder jwtBuilder = Jwts.builder()
                // 先设置自己创建的私有声明,要是写在标准声明后面,会覆盖掉标准声明
                .setClaims(claims)
                // 设置jti(jwt id),主要用来作为一次性token,从而回避重放攻击
                .setId(UUID.randomUUID().toString())
                // 设置iat jwt签发时间
                .setIssuedAt(date)
                // 设置jwt的所有人
                .setSubject(subject)
                // 设置签名使用的签名算法和签名使用的秘钥
                .signWith(signatureAlgorithm, bytes);
        // 设置jwt的过期时间
        if(ttlMillis>= 0){
            long expMillis = ttlMillis+nowMillis;
            Date expDate = new Date(expMillis);
            jwtBuilder.setExpiration(expDate);
        }
        System.out.println("生成jwt");
        return jwtBuilder.compact();
    }

	/**
     * 解密jwt
     * @param token 需要被解密的token
     * @param user 用户的对象
     * @return
     */
    public static Claims parseJWT(String token,User user){
        // 签名秘钥(与生成签名的秘钥一样)
        String key = user.getUserPassword();

        // 得到DefaultJwtParser
        Claims claims = Jwts.parser()
                // 设置签名的秘钥
                .setSigningKey(key)
                // 设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims;
    }


	/**
     * 校验jwt
     * 判断token携带的密码跟数据库里的是否一致(也可用官方的校验方法)
     * @param token
     * @param user
     * @return
     */
    public static Boolean isVerify(String token,User user){
        // 秘钥
        byte[] bytes = user.getUserPassword().getBytes();

        // 得到DefaultJwtParser
        Claims claims = Jwts.parser()
                // 设置签名的秘钥
                .setSigningKey(bytes)
                // 设置需要解析的jwt
                .parseClaimsJws(token)
                .getBody();

        System.out.println("claims-----》"+claims);

        // 判断密码是否一致
        if(claims.get("password").equals(user.getUserPassword())){
            return true;
        }

        return false;
    }
}

二、配置拦截器

1.配置拦截器文件

package com.zx.framework.config;

import com.zx.framework.interceptor.AuthenticationInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * jwt 后台访问拦截
 * 拦截器配置文件 config
 */
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }
    // 这个方法用来注册拦截器,我们自己写好的拦截器需要通过这里添加注册才能生效
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //注册TestInterceptor拦截器
        InterceptorRegistration registration = registry.addInterceptor(authenticationInterceptor());
        registration.addPathPatterns("/**");//所有路径都被拦截
        registration.excludePathPatterns("" +
                "/assets/**",             // assets文件夹里文件不拦截
                "/**/*.js",              //js静态资源不拦截
                "/**/*.css"             //css静态资源不拦截
        );
    }
}

2.创建拦截器类

package com.zx.framework.interceptor;

import com.auth0.jwt.JWT;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.zx.cargo.pojo.User;
import com.zx.cargo.stock.service.UserLoginService;
import com.zx.framework.annotation.PassToken;
import com.zx.framework.annotation.UserLoginToken;
import com.zx.framework.util.JwtUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.reflect.Method;

public class AuthenticationInterceptor implements HandlerInterceptor {

    @Autowired
    private UserLoginService userLoginService;
    /*
    controller执行之前
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object){
        // 从http请求头中取出token
        System.out.println("输出token"+request.getHeader("token"));
        String token = request.getHeader("token");
        // 如果不是映射到方法直接通过
        if(!(object instanceof HandlerMethod)){
            return true;
        }

        HandlerMethod handlerMethod = (HandlerMethod) object;
        Method method = handlerMethod.getMethod();
        // 方法是否带有UserLoginToken注释
        if(method.isAnnotationPresent(UserLoginToken.class)){
            UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class);
            if(userLoginToken.required()){
                return true;
            }
        }

        // 方法是否带有PassToken注释
        if(method.isAnnotationPresent(PassToken.class)){
            PassToken passToken = method.getDeclaredAnnotation(PassToken.class);
            if(passToken.required()){
                // 执行认证
                if(token == null){
                    throw new RuntimeException("无token,请重新登录!");
                }
                // 获取token中的userId
                String userId;
                try {
                    userId = JWT.decode(token).getClaim("id").asString();
                } catch (JWTDecodeException j){
                    throw new RuntimeException("访问异常!");
                }
                User user = userLoginService.findUserById(userId);
                if(StringUtils.isEmpty(user)){
                    throw new RuntimeException("当前用户不存在,请重新登录!");
                }
                Boolean verify = JwtUtil.isVerify(token, user);
                if(!verify){
                    throw new RuntimeException("非法访问!");
                }
                return true;
            }
        }
        return true;
    }
    /*
    controller执行后,页面渲染前
     */
    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }
    /*
    页面渲染后
     */
    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }
}

三、创建使用注解

创建两个注解,PassToken和UserLoginToken,用于在项目开发中,如果需要权限校验就标注userlogintoken,如果访问的资源不需要权限验证则正常编写不需要任何注解,如果用的的请求时登录操作,在用户登录的方法上增加passtoken注解。

1.除登录外使用的注解

package com.zx.framework.annotation;

import java.lang.annotation.*;

@Target({ElementType.METHOD,ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface PassToken {
    boolean required() default true;
}

2.登录使用的注解

ackage com.zx.framework.annotation;

import java.lang.annotation.*;

@Target({ElementType.METHOD,ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface UserLoginToken {
    boolean required() default true;
}

注解解析:从上面我们新建的两个类上我们可以看到主要的等学习到的就四点
第一:如何创建一个注解
第二:在我们自定义注解上新增@Target注解(注解解释:这个注解标注我们定义的注解是可以作用在类上还是方法上还是属性上面)
第三:在我们自定义注解上新增@Retention注解(注解解释:作用是定义被它所注解的注解保留多久,一共有三种策略,SOURCE 被编译器忽略,CLASS 注解将会被保留在Class文件中,但在运行时并不会被VM保留。这是默认行为,所有没有用Retention注解的注解,都会采用这种策略。RUNTIME 保留至运行时。所以我们可以通过反射去获取注解信息。
第四:boolean required() default true; 默认required() 属性为true

在这里插入图片描述
在这里插入图片描述

对应方法加入对应注解即可

SpringBoot配置JWT拦截器
Kristabo的博客
03-24 1957
JWT在之前文章提到过,JWT(JSON Web Token)是一种用于身份验证和授权的开放标准(RFC 7519),它允许在网络中安全地传输声明(claims)作为 JSON 对象。JWT 可以通过数字签名或加密来验证数据的完整性和真实性,从而保证数据在传输过程中不被篡改。工作流程用户通过用户名和密码等方式进行身份验证。服务器验证用户身份,并生成一个 JWT。服务器将 JWT 发送给客户端。客户端将 JWT 存储起来,通常是在本地存储或者内存中。
java使用JWT
weixin_45052750的博客
04-07 480
引入依赖 官网上面链接很多java实现,这里使用java-jwt <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.7.0</version> </dependency> ...
Java使用JWT
cxmengxin的博客
07-31 1万+
JWT 一、简介 1、JWT JWT为 Json Web Token,是一种令牌生成算法。使用JWT能够保证Token的安全性,且能够进行Token时效性的检验。 2、JWT结构 JWT共由三部分组成,分别是数据头(Header)、Payload(数据体)、验证签名(Verify Signature)组成。其中,Header中的内容为加密信息以及Token的类别,Payload为用户数据、Verify Signature为校验数据。 二、依赖 JWT需要两个依赖java-jwt、jjwt <depe
初步理解JWT并实践使用
weixin_39816740的博客
05-26 1008
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小...
java使用jwt
Linlietao0587的博客
01-27 1894
在一个标准项目,拦截器或者过滤器一定不会少了。有了这些,那必须使用令牌验证了。这里讲解的是jwt 可以去看一下我上一篇文章,使用token和redis验证 1、JWT 1️⃣什么是jwt jwt 全称是 json web token 在网络应用环境声明而执行的一种基于json的开发标准 jwt应用分布式的当点托登录系统,身份提供者和服务者提供者传递认证用户信息 2️⃣jwt认证流程 用户输入用户密码进行登录 服务判断用户登录是否正确 -如正确,则颁发给用户一个token 客户端存token,在以.
SpringBoot Vue集成 Jwt 配置拦截器 登录
ZhanHanson的博客
10-05 877
SpringBoot Vue集成 Jwt 配置拦截器 登录
jwt配置
weixin_62907807的博客
06-24 739
【代码】jwt配置
JWTJava使用 (JJWT)
热门推荐
qq_37636695的博客
02-05 9万+
相信网络上面讲解JWT是什么,由什么组成的文章已经很多了,本文主要讲解JWTJava中的使用,为了初次看到JWT的同学不会一脸懵逼,还是会说一下什么是JWT. 本文主要从以下几个方面说 什么是JWTJWT的组成 为什么要使用JWTJava中如何使用JWT 1.什么是JWT Json web token (JWT), 是为了在网络应用
配置JWT
q1353122328的博客
09-09 251
配置JWT
JavaJWT(JSON Web Token)的运用
最新发布
2301_80011650的博客
10-04 4994
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用环境间以紧凑的方式安全地传递信息。JWT可以被用作身份验证和信息交换的手段,特别适合用于前后端分离的应用程序。
Jwt + SpringBoot 拦截器+权限认证
ringBey的博客
06-30 839
Jwt + SpringBoot 拦截器+权限认证
Spring Boot中使用JWT拦截器配置以及各层次的介绍
qq_63795657的博客
05-14 1980
本文详细介绍了在Spring Boot应用中使用JWT进行用户身份验证的实现方式。首先,UserController作为控制层处理登录请求,并通过UsersService与UserDao进行交互查询用户信息。若用户存在,系统将生成JWT并返回。JwtInterceptor拦截器用于验证JWT的有效性,而JwtUtils工具类负责JWT的生成和解析。此外,InterceptorConfig类用于配置拦截器,确保了除登录接口外的所有请求都需要携带有效的Token。整个实现过程涉及控制器、服务层、数据访问对象层、
JWT放到拦截器使用
dante1987的博客
07-09 316
maven进入包 <!-- start jwt引入--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> <!-- end jwt引入--> 新建一个类Token...
JavaJwt令牌的快速使用
YinLiaoEr的博客
07-21 1571
jwt令牌对称与非对称加密的使用
JWTJava中的使用
zhaodongchao的博客
01-01 2911
这里简要总结一下JWT使用流程,以及其实现的原理。 1 JWT是什么? 直接看官方解释:https://jwt.io/introduction/ JWT全称是JSON Web Tokens ,也就是JSON格式数据使用加密算法加密后按照一定规则生成的一个字符串token 。 既然是一个JSON,那么它就有一定的格式,它由Header,Payload,Signature三部分组成,然后使用“.”连...
什么是JWT及在JAVA中如何使用
一切总会归于平淡
10-24 4754
JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。 也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。 此特性便于可伸缩性, 同时保证应用程序的安全
JavaJWT技术解析与实践:安全高效的身份认证
weixin_41245021的博客
07-26 3390
身份认证与授权是现代Web应用中至关重要的安全机制。JSON Web Token(JWT)作为一种轻量级的身份验证方案,已经成为Java开发中广泛使用的解决方案。本篇博客将深入解析JWT技术,探讨其在Java应用中的实践与应用。我们将了解JWT的基本原理,以及它如何实现安全高效的身份认证和授权。通过使用JWT,我们可以在无状态的分布式系统中实现简单且可扩展的用户身份验证,不再依赖传统的Session和Cookie。我们还将探讨如何在Java中集成JWT,以及如何将其应用于实际项目中。让我们一起深入探索JWT
SpringBoot集成JWT实现拦截器
qq_50954744的博客
09-12 4876
SpringBoot集成JWT实现拦截器
Spring Cloud +JWT +MybatisPlus,使用Token登录详细教程,附源码
09-11
Spring Cloud + JWT + MybatisPlus 的组合为构建微服务架构的后端系统提供了一套完整的解决方案。在这种架构下,Token登录是常见的用户认证方式,它通过生成Token作为身份凭证,避免了在服务间传递用户信息,增强了安全性。以下是一个简化的教程,用于说明如何使用这些技术实现Token登录: 1. **项目依赖和配置**: 首先,你需要在项目的`pom.xml`文件中添加Spring Cloud、JWT、MybatisPlus等相关依赖。这里仅列举关键依赖,具体版本根据实际需求选择: ```xml <!-- Spring Boot Starter --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> </dependency> <!-- Spring Cloud Starter --> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-netflix-eureka-client</artifactId> </dependency> <!-- Mybatis Plus --> <dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> <version>3.x.x</version> </dependency> <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. **配置JWT**: 在`application.yml`或`application.properties`中配置JWT的密钥和Token过期时间: ```yaml jwt: secret: your-secret-key expiration: 3600000 # Token过期时间,单位毫秒 ``` 3. **创建Token生成和验证工具类**: 使用JWT提供的工具类来生成和验证Token。通常会创建一个`JwtUtil`类来完成这个任务: ```java @Component public class JwtUtil { // 获取Token的工具方法 public static String generateToken(String username) { // 使用HS512算法和密钥生成Token return Jwts.builder() .setSubject(username) .setExpiration(new Date(System.currentTimeMillis() + expiration)) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } // 验证Token的工具方法 public static Claims getClaimsFromToken(String token) { try { return Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody(); } catch (Exception e) { return null; } } } ``` 4. **创建用户认证接口**: 实现一个基于Token的用户认证接口,该接口接收用户名和密码,验证通过后返回Token: ```java @RestController public class AuthController { @PostMapping("/login") public ResponseEntity<?> createAuthenticationToken(@RequestBody LoginUserDto loginUserDto) { // 这里简化了用户验证和密码加密的过程,实际开发中应使用安全的密码验证方式 if (userExistsAndValid(loginUserDto.getUsername(), loginUserDto.getPassword())) { String token = JwtUtil.generateToken(loginUserDto.getUsername()); return ResponseEntity.ok(new JwtResponse(token)); } else { return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("Invalid credentials"); } } private boolean userExistsAndValid(String username, String password) { // 检查用户是否存在和密码是否正确 return true; } } ``` 5. **创建Token验证过滤器**: 创建一个过滤器,用于在请求到达Controller前拦截并验证Token的有效性: ```java @Component public class JwtTokenFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // 从请求头中获取Token String token = request.getHeader("Authorization"); if (token != null && !token.isEmpty()) { try { // 验证Token Claims claims = JwtUtil.getClaimsFromToken(token.replace("Bearer ", "")); // 如果验证成功,则将用户名设置到请求中供后续使用 request.setAttribute("username", claims.getSubject()); filterChain.doFilter(request, response); } catch (Exception e) { response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Invalid Token"); } } else { response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Token is missing"); } } } ``` 6. **配置Spring Security**: 配置Spring Security来使用JWT过滤器,并设置认证规则: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenFilter jwtTokenFilter; @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated(); // 添加JWT过滤器 http.addFilterBefore(jwtTokenFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 以上是基于Spring Cloud + JWT + MybatisPlus 实现Token登录的一个大致流程。在实际开发中,你需要根据具体业务逻辑完善用户服务、密码验证和用户管理等环节。此外,源码通常涉及到整个项目的结构和业务逻辑,这里无法提供完整的源码,但上述步骤可作为实现Token登录的核心指导。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

国家级著名CV工程师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值