拦截器和jwt的联合使用

最新推荐文章于 2025-07-21 20:49:23 发布
原创 最新推荐文章于 2025-07-21 20:49:23 发布 · 859 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#springboot

(一)

在config层设置所要拦截的页面 LoginConfig
package com.bim.bimbookshop.config;
​
import com.bim.bimbookshop.interceptor.LoginInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
​
/**
 * 登录拦截配置类
 */
@Configuration   //表明这个是配置类
public class LoginConfig implements WebMvcConfigurer {
​
    @Autowired
    private LoginInterceptor loginInterceptor;
​
    /**
     * 有没有这个login都打不开
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginInterceptor)//添加拦截器
                 .addPathPatterns("/**")  //配置拦截路径
                 .excludePathPatterns("/login/**","/static/**","/templates/**");//配置排除路径
    }
}
注意:上面的"/login/**"表示/login下的所有路径,所有如果登录页面路径为时,就要额外添加"/"
eg:.excludePathPatterns(  // 配置排除路径,以下请求不会被拦截
                        "/login",          // 登录页面
                        "/login/**",       // 登录相关的请求,如登录表单提交
                        "/register",       // 注册页面
                        "/register/**",    // 注册相关的请求
                        "/static/**",      // 静态资源,如CSS、JS、图片等
                        "/css/**",         // CSS文件
                        "/js/**",          // JavaScript文件
                        "/images/**",      // 图片文件
                        "/favicon.ico",    // 网站图标
                        "/error"           // 错误页面
                )
在interceptor 或 handle 层配置拦截器实现类 LoginInterceptor
package com.bim.bimbookshop.interceptor;
​
import com.bim.bimbookshop.util.JwtUtil;
import io.jsonwebtoken.Claims;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
​
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
​
/**
 * 拦截器
 */
@Component
public class LoginInterceptor implements HandlerInterceptor {
​
    /**
     * 除了登录请求以外的其他请求都要进行过滤
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Cookie[] cookies = request.getCookies();
        if(cookies != null){
            for (Cookie cookie:cookies){
                if("token".equals(cookie.getName())){
                    String userToken = cookie.getValue();
                    if(!StringUtils.hasText(userToken)){
                        response.sendError(HttpServletResponse.SC_UNAUTHORIZED);
                    }
                    //解析token看看是否成功
                    try {
                        Claims claims = JwtUtil.parseJWT(userToken);
                        claims.getSubject();
                    }catch (Exception e){
                        //e.printStackTrace();
                        System.out.println("token信息出错");
                        return false;
                    }
                    return true;  //放行
                }
            }
        }
        return false;
    }
}
在util层创建JWT实现类 JwtUtil
package com.qcby.springboot.util;
​
/**
 * JWT工具类
 */
​
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
​
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.*;
​
public class JwtUtil {
    //有效期为
    public static final Long JWT_TTL = 60 * 60 *1000L;// 60 * 60 * 1000
    //设置秘钥明文
    public static final String JWT_KEY = "qcby";
​
    /**
     * 创建token
     * @param subject
     * @return
     */
    public static String createJWT(String subject) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
​
        long expMillis = nowMillis + JwtUtil.JWT_TTL;
        Date expDate = new Date(expMillis);
        SecretKey secretKey = generalKey();
​
        JwtBuilder builder = Jwts.builder()
                .setId(UUID.randomUUID().toString())              //唯一的ID
                .setSubject(subject)   // 主题  可以是JSON数据
                .setIssuer("wd")     // 签发者
                .setIssuedAt(now)      // 签发时间
                .signWith(signatureAlgorithm, secretKey) //使用HS256对称加密算法签名, 第二个参数为秘钥
                .setExpiration(expDate);// 设置过期时间
        return builder.compact();
    }
​
    /**
     * 生成加密后的秘钥 secretKey
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }
​
    /**
     * 解析
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }
​
    public static void main(String[] args) {
        String token = JwtUtil.createJWT("qd");
        System.out.println(token);
    }
​
}
加入JWT依赖
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

最后在登录成功后根据用户ID创建token
public ResponseResult Login(Login login,HttpServletResponse response){
    。。。
    。。。
    。。。
    //创建token
    String token = this.jwtUtil.createJWT(String.valueOf(user.getUserId()));
    //将token信息设置如cookie当中,并且将cookie传到http
    Cookie cookie = new Cookie("token",token);
    cookie.setPath("/");   //代表cookie的值将会被发送到服务器上的所有路径
    cookie.setMaxAge(36000); //设置cookie的过期时间
    response.addCookie(cookie);//将Cookie添加到响应中
    。。。
    return;
}

注意:在拦截器实现类 LoginInterceptor 中会拿到存在cookie中的token的值

=======================================================================================

(二)

加入JWT依赖
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
配置JWT环境
spring:
    。。。
    。。。
jwt:
  secret: MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4K67DMlSPXbgG0MPp0gH
  expire: 86400000
  #  expire: 10000
  subject: door
在util层创建JWT实现类 JwtUtil
package com.southwind.util;
​
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
​
import java.util.Date;
import java.util.UUID;
​
@ConfigurationProperties(prefix = "jwt")
@Component
public class JwtUtil {
    private long expire;
    private String secret;
    private String subject;
​
    /**
     * 生成token
     *
     * @param userId
     * @return
     */
    public String createToken(String userId) {
        String token = Jwts.builder()
                //载荷:自定义信息
                .claim("userId", userId)
                //载荷:默认信息
                .setSubject(subject) //令牌主题
                .setExpiration(new Date(System.currentTimeMillis() + expire)) //过期时间
                .setId(UUID.randomUUID().toString())
                //签名哈希
                .signWith(SignatureAlgorithm.HS256, secret)
                //组装jwt字符串
                .compact();
        return token;
    }
​
    public boolean checkToken(String token){
        if(StringUtils.isEmpty(token)){
            return false;
        }
        try {
            Jws<Claims> claimsJws = Jwts.parser().setSigningKey(secret).parseClaimsJws(token);
        } catch (Exception e) {
            return false;
        }
        return true;
    }
​
    public long getExpire() {
        return expire;
    }
​
    public void setExpire(long expire) {
        this.expire = expire;
    }
​
    public String getSecret() {
        return secret;
    }
​
    public void setSecret(String secret) {
        this.secret = secret;
    }
​
    public String getSubject() {
        return subject;
    }
​
    public void setSubject(String subject) {
        this.subject = subject;
    }
}

KBkongbaiKB
关注
25. Spring Boot 2.x 最佳实践之 Spring Security+ Swagger+自定义拦截器Token权限校验
极客星云-优快云博客
05-17 2863
这篇博文来总结下Spring Boot 2.x+ Spring Security+ 自定义拦截器实现带Token权限控制最佳实战攻略.
轻量权限认证:jwt、shiro与sa-token对比与选型
weixin_58665941的博客
07-01 1138
本文介绍了JWT(JSON Web Token)的基本概念及其与Shiro框架的结合应用。JWT是一种无状态的令牌协议,包含Header、PayloadSignature三部分,用于安全认证但缺乏授权功能。Shiro则是一个全面的安全框架,提供认证、授权、会话管理等高级功能,但存在分布式场景下的状态管理问题。通过整合JWT的无状态特性Shiro的安全功能,实现了高效认证。具体实现包括JwtToken类、JwtRealm验证配置JwtFilter过滤器、ShiroConfig启动配置AccessCon
jwt (二)简单demo + 拦截器
鸦教授的博客
11-01 947
1. 一个网站,有些页面是不需要登录就可以访问的(比如说登录页面),有些页面是需要登录(有jwt即有用户信息)才可以访问的(比如说会员系统页面) ,需要登录后才可以访问的页面有很多,在访问这些页面前,我们可以统一做一些处理,比如判断是否有jwt,没有此退出到登录页面,有jwt后查询出用户信息,去数据库查是否存在这个用户信息,没有也不能访问等等。 拦截器涉及到2个类:WebMvcConfi...
SpringBoot(九)jwt + 拦截器实现token验证
热门推荐
zhaojun的博客
07-31 1万+
前面两篇文章的过滤器拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt拦截器实现token权限验证。
简单的鉴权登录-java后端实现部分(JWT令牌+拦截器Interceptor)
WWX19990724的博客
04-11 3470
拦截器的主要是基于Java的反射机制,属于面向切面编程(AOP)的一种运用,就是在Service或者一个方法前调用一个方法,或者在方法后调用一个方法,甚至在抛出异常的时候做业务逻辑的操作。拦截器的作用类似于Servlet中的Filter,都可以用于对处理器进行预处理后处理。在Spring MVC 与Spring Boot 中使用拦截器一般是实现接口。拦截器的作用:拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码。
SpringBoot登录接口+jwt+拦截器(超详细流程)
weixin_59911141的博客
03-23 527
【代码】SpringBoot登录接口+jwt+拦截器(超详细流程)
登录+JWT+异常处理+拦截器+ThreadLocal-开发思想与代码实现
qq_63535554的博客
01-16 829
用户登录——>数据加密数据库比对——>生成jwt令牌封装返回——>拦截器统一拦截进行jwt校验-并将数据放入本地线程中。
登录相关功能的优化【JWT令牌+拦截器+跨域】
weixin_64308540的博客
08-05 613
在用户登录后,后台给前台发送一个凭证(token),前台请求的时候需要带上这个凭证(token),才可以访问接口,如果没有凭证或者凭证跟后台创建的不一致,则说明该用户不合法。还是不安全,因为前端的数据是不安全的,是可以认为篡改的!就是说,鉴权放在前端,是不安全的。肯定不安全,用户可以跳过登录,直接在浏览器上输入后台的路由地址,即可直接进入系统,访问敏感数据。拦截器配置好了,但是如何生效?前台把token获取到,下次请求的时候,带到header里。用户在登录成功后,需要返回一个token给前台。
springboot 中tokenredis联合使用
03-08
嗯,用户问的是Spring Boot中TokenRedis联合使用的情况。我需要先理清楚这两个技术是如何结合在一起的。首先,Token通常用于身份验证,比如JWT。而Redis作为内存数据库,常用于缓存会话管理。 用户可能想知道...
搭建Tornado Https服务器之Tornado Jwt权限验证(7)
江湖人称王某人的程序员
02-16 2434
Tornado 连接mysql数据库,使用orm模式,加上jwt权限验证
spring boot jwt Interceptor 例子
12-11
spring boot jwt interceptor的例子。 其中jwt的例子网上有很多,但是都是要数据库支持,这个只是用假数据模拟,不需要数据库支持。另外还有一个拦截器的简单例子。已经在sts 4 测试通过。
JWT登录认证(3拦截器
m0_71088505的博客
11-17 522
使用拦截器统一验证令牌。登录注册接口需要放行。:(在config配置项中配置拦截器):(注册一个拦截器
springboot使用拦截器+JWT验证token的流程
m0_73556978的博客
03-14 965
我的计算机设计大赛的项目需要用到JWT来进行用户身份验证,项目采用springboot技术,因为我没学过springSrcurity所以只能用原生的拦截器+JWT技术进行验证,我是跟着这篇文章做的,老师讲的很详细跟着一步一步来也可以实现JWT身份验证,但是对于验证过程的整个流程是不太清楚的,不知道代码是怎么运行完成验证的,后面自己debug测试了下,在这里分享给大家!
拦截器配置
qq_46940224的博客
12-19 452
拦截器配置
使用JWT验证登陆(拦截器实现)
weixin_72979483的博客
06-12 1133
本文主要是使用jwt进行登陆验证的代码。JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证信任,因为它是数字签名的
Web-JWT登录功能实现(含拦截器)
y_k_j_c的博客
07-15 1646
就是你比如复制一个url用一个未曾登陆对应url系统的浏览器访问他会先进入登陆页面登陆校验就是实现这个功能简而言之,就是不能让你直接访问内部数据,要先登陆才可以首先http协议是无状态的每次请求都是独立的而我们浏览器web服务器之间就是http协议实现思路存一个登陆标记每个请求前有if判断对应队列标记登陆就正常执行,没有登陆就去登陆界面但是:这样太繁琐了所以我们使用统一拦截来做对应技术主要介绍登陆标记(会话技术)统一拦截呗三部分之间用.隔开。
过滤器--拦截器
jbbsubsi的博客
07-22 610
SpringBoot过滤器拦截器以及实现登录校验功能
Spring Boot 安全之门:解密 WebMvcConfigurer拦截器 (Interceptor) ✨
最新发布
小丁的博客
07-21 871
本文介绍了Spring Boot中的拦截器机制,重点解析了JwtInterceptorConfig配置类的功能实现方式。通过类比机场安检系统,文章说明了拦截器如何管理请求路径的访问控制,包括配置拦截范围白名单。文中包含多个可视化图表:流程图展示请求处理流程,时序图说明组件间交互,状态图描述请求认证状态变化。JwtInterceptorConfig通过实现WebMvcConfigurer接口,使用InterceptorRegistry以流式API方式定义拦截规则,为Web应用提供了一种优雅的横切关注点处理
登录页面jwt密钥,过滤器,拦截器,异常处理
qx020814的博客
04-25 714
使用jwt令牌,登录成功后,后端传回一个jwt密钥令牌,浏览器存储在本地,每次请求后端时,将jwt放在请求头中传回后端。使用session,原理同上,只不过session是存储在服务器里的,cookie是在浏览器里。1.使用Cookie,登录后后端添加一个cookie,每次页面判断是否有cookie,用户未登录时,访问其他也没面,操作添加、删除等操作时,强行跳转至登录页面。浏览器——>过滤器——>selevt——>拦截器——>执行请求。浏览器
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值