拦截器和jwt的联合使用

最新推荐文章于 2025-04-27 21:20:53 发布
最新推荐文章于 2025-04-27 21:20:53 发布
阅读量822 收藏 21
点赞数 24
CC 4.0 BY-SA版权
文章标签: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/KBkongbaiKB/article/details/144402792

(一)

在config层设置所要拦截的页面 LoginConfig
package com.bim.bimbookshop.config;
​
import com.bim.bimbookshop.interceptor.LoginInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
​
/**
 * 登录拦截配置类
 */
@Configuration   //表明这个是配置类
public class LoginConfig implements WebMvcConfigurer {
​
    @Autowired
    private LoginInterceptor loginInterceptor;
​
    /**
     * 有没有这个login都打不开
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(loginInterceptor)//添加拦截器
                 .addPathPatterns("/**")  //配置拦截路径
                 .excludePathPatterns("/login/**","/static/**","/templates/**");//配置排除路径
    }
}
注意:上面的"/login/**"表示/login下的所有路径,所有如果登录页面路径为时,就要额外添加"/"
eg:.excludePathPatterns(  // 配置排除路径,以下请求不会被拦截
                        "/login",          // 登录页面
                        "/login/**",       // 登录相关的请求,如登录表单提交
                        "/register",       // 注册页面
                        "/register/**",    // 注册相关的请求
                        "/static/**",      // 静态资源,如CSS、JS、图片等
                        "/css/**",         // CSS文件
                        "/js/**",          // JavaScript文件
                        "/images/**",      // 图片文件
                        "/favicon.ico",    // 网站图标
                        "/error"           // 错误页面
                )
在interceptor 或 handle 层配置拦截器实现类 LoginInterceptor
package com.bim.bimbookshop.interceptor;
​
import com.bim.bimbookshop.util.JwtUtil;
import io.jsonwebtoken.Claims;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
​
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
​
/**
 * 拦截器
 */
@Component
public class LoginInterceptor implements HandlerInterceptor {
​
    /**
     * 除了登录请求以外的其他请求都要进行过滤
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Cookie[] cookies = request.getCookies();
        if(cookies != null){
            for (Cookie cookie:cookies){
                if("token".equals(cookie.getName())){
                    String userToken = cookie.getValue();
                    if(!StringUtils.hasText(userToken)){
                        response.sendError(HttpServletResponse.SC_UNAUTHORIZED);
                    }
                    //解析token看看是否成功
                    try {
                        Claims claims = JwtUtil.parseJWT(userToken);
                        claims.getSubject();
                    }catch (Exception e){
                        //e.printStackTrace();
                        System.out.println("token信息出错");
                        return false;
                    }
                    return true;  //放行
                }
            }
        }
        return false;
    }
}
在util层创建JWT实现类 JwtUtil
package com.qcby.springboot.util;
​
/**
 * JWT工具类
 */
​
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
​
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.*;
​
public class JwtUtil {
    //有效期为
    public static final Long JWT_TTL = 60 * 60 *1000L;// 60 * 60 * 1000
    //设置秘钥明文
    public static final String JWT_KEY = "qcby";
​
    /**
     * 创建token
     * @param subject
     * @return
     */
    public static String createJWT(String subject) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
​
        long expMillis = nowMillis + JwtUtil.JWT_TTL;
        Date expDate = new Date(expMillis);
        SecretKey secretKey = generalKey();
​
        JwtBuilder builder = Jwts.builder()
                .setId(UUID.randomUUID().toString())              //唯一的ID
                .setSubject(subject)   // 主题  可以是JSON数据
                .setIssuer("wd")     // 签发者
                .setIssuedAt(now)      // 签发时间
                .signWith(signatureAlgorithm, secretKey) //使用HS256对称加密算法签名, 第二个参数为秘钥
                .setExpiration(expDate);// 设置过期时间
        return builder.compact();
    }
​
    /**
     * 生成加密后的秘钥 secretKey
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }
​
    /**
     * 解析
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }
​
    public static void main(String[] args) {
        String token = JwtUtil.createJWT("qd");
        System.out.println(token);
    }
​
}
加入JWT依赖
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

最后在登录成功后根据用户ID创建token
public ResponseResult Login(Login login,HttpServletResponse response){
    。。。
    。。。
    。。。
    //创建token
    String token = this.jwtUtil.createJWT(String.valueOf(user.getUserId()));
    //将token信息设置如cookie当中,并且将cookie传到http
    Cookie cookie = new Cookie("token",token);
    cookie.setPath("/");   //代表cookie的值将会被发送到服务器上的所有路径
    cookie.setMaxAge(36000); //设置cookie的过期时间
    response.addCookie(cookie);//将Cookie添加到响应中
    。。。
    return;
}

注意:在拦截器实现类 LoginInterceptor 中会拿到存在cookie中的token的值

=======================================================================================

(二)

加入JWT依赖
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
配置JWT环境
spring:
    。。。
    。。。
jwt:
  secret: MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4K67DMlSPXbgG0MPp0gH
  expire: 86400000
  #  expire: 10000
  subject: door
在util层创建JWT实现类 JwtUtil
package com.southwind.util;
​
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
​
import java.util.Date;
import java.util.UUID;
​
@ConfigurationProperties(prefix = "jwt")
@Component
public class JwtUtil {
    private long expire;
    private String secret;
    private String subject;
​
    /**
     * 生成token
     *
     * @param userId
     * @return
     */
    public String createToken(String userId) {
        String token = Jwts.builder()
                //载荷:自定义信息
                .claim("userId", userId)
                //载荷:默认信息
                .setSubject(subject) //令牌主题
                .setExpiration(new Date(System.currentTimeMillis() + expire)) //过期时间
                .setId(UUID.randomUUID().toString())
                //签名哈希
                .signWith(SignatureAlgorithm.HS256, secret)
                //组装jwt字符串
                .compact();
        return token;
    }
​
    public boolean checkToken(String token){
        if(StringUtils.isEmpty(token)){
            return false;
        }
        try {
            Jws<Claims> claimsJws = Jwts.parser().setSigningKey(secret).parseClaimsJws(token);
        } catch (Exception e) {
            return false;
        }
        return true;
    }
​
    public long getExpire() {
        return expire;
    }
​
    public void setExpire(long expire) {
        this.expire = expire;
    }
​
    public String getSecret() {
        return secret;
    }
​
    public void setSecret(String secret) {
        this.secret = secret;
    }
​
    public String getSubject() {
        return subject;
    }
​
    public void setSubject(String subject) {
        this.subject = subject;
    }
}

KBkongbaiKB
关注
25. Spring Boot 2.x 最佳实践之 Spring Security+ Swagger+自定义拦截器Token权限校验
极客星云-优快云博客
05-17 2716
这篇博文来总结下Spring Boot 2.x+ Spring Security+ 自定义拦截器实现带Token权限控制最佳实战攻略.
jwt (二)简单demo + 拦截器
鸦教授的博客
11-01 926
1. 一个网站,有些页面是不需要登录就可以访问的(比如说登录页面),有些页面是需要登录(有jwt即有用户信息)才可以访问的(比如说会员系统页面) ,需要登录后才可以访问的页面有很多,在访问这些页面前,我们可以统一做一些处理,比如判断是否有jwt,没有此退出到登录页面,有jwt后查询出用户信息,去数据库查是否存在这个用户信息,没有也不能访问等等。 拦截器涉及到2个类:WebMvcConfi...
SpringBoot(九)jwt + 拦截器实现token验证
热门推荐
zhaojun的博客
07-31 1万+
前面两篇文章的过滤器拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt拦截器实现token权限验证。
使用jwt令牌配置拦截器
lzh_de_boke的博客
04-24 385
使用jwt令牌配置拦截器
简单的鉴权登录-java后端实现部分(JWT令牌+拦截器Interceptor)
WWX19990724的博客
04-11 3348
拦截器的主要是基于Java的反射机制,属于面向切面编程(AOP)的一种运用,就是在Service或者一个方法前调用一个方法,或者在方法后调用一个方法,甚至在抛出异常的时候做业务逻辑的操作。拦截器的作用类似于Servlet中的Filter,都可以用于对处理器进行预处理后处理。在Spring MVC 与Spring Boot 中使用拦截器一般是实现接口。拦截器的作用:拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码。
SpringBoot登录接口+jwt+拦截器(超详细流程)
weixin_59911141的博客
03-23 440
【代码】SpringBoot登录接口+jwt+拦截器(超详细流程)
登录+JWT+异常处理+拦截器+ThreadLocal-开发思想与代码实现
qq_63535554的博客
01-16 779
用户登录——>数据加密数据库比对——>生成jwt令牌封装返回——>拦截器统一拦截进行jwt校验-并将数据放入本地线程中。
登录相关功能的优化【JWT令牌+拦截器+跨域】
weixin_64308540的博客
08-05 595
在用户登录后,后台给前台发送一个凭证(token),前台请求的时候需要带上这个凭证(token),才可以访问接口,如果没有凭证或者凭证跟后台创建的不一致,则说明该用户不合法。还是不安全,因为前端的数据是不安全的,是可以认为篡改的!就是说,鉴权放在前端,是不安全的。肯定不安全,用户可以跳过登录,直接在浏览器上输入后台的路由地址,即可直接进入系统,访问敏感数据。拦截器配置好了,但是如何生效?前台把token获取到,下次请求的时候,带到header里。用户在登录成功后,需要返回一个token给前台。
springboot 中tokenredis联合使用
03-08
嗯,用户问的是Spring Boot中TokenRedis联合使用的情况。我需要先理清楚这两个技术是如何结合在一起的。首先,Token通常用于身份验证,比如JWT。而Redis作为内存数据库,常用于缓存会话管理。 用户可能想知道...
【避免JWT设计错误】:JWT最佳实践与性能优化
![【避免JWT设计错误】:JWT最佳实践与性能优化]...本文全面介绍了JWT的基本知识设计最佳实践,包括其结构、组成部分安全性设计原则。同时,文章指出了
JWT token刷新秘诀:保持会话安全的终极指南
JSON Web Tokens (JWT) 是一种广泛使用的、紧凑的、自包含的方式,用于在各方之间安全地传输信息。它常用于身份验证信息交换,因为它们可以很容易地被发送通过URL、POST参数或HTTP头部,并且适用于Web浏览器或其他...
spring boot jwt Interceptor 例子
12-11
spring boot jwt interceptor的例子。 其中jwt的例子网上有很多,但是都是要数据库支持,这个只是用假数据模拟,不需要数据库支持。另外还有一个拦截器的简单例子。已经在sts 4 测试通过。
JWT登录认证(3拦截器
m0_71088505的博客
11-17 498
使用拦截器统一验证令牌。登录注册接口需要放行。:(在config配置项中配置拦截器):(注册一个拦截器
springboot使用拦截器+JWT验证token的流程
m0_73556978的博客
03-14 881
我的计算机设计大赛的项目需要用到JWT来进行用户身份验证,项目采用springboot技术,因为我没学过springSrcurity所以只能用原生的拦截器+JWT技术进行验证,我是跟着这篇文章做的,老师讲的很详细跟着一步一步来也可以实现JWT身份验证,但是对于验证过程的整个流程是不太清楚的,不知道代码是怎么运行完成验证的,后面自己debug测试了下,在这里分享给大家!
Web-JWT登录功能实现(含拦截器)
y_k_j_c的博客
07-15 1532
就是你比如复制一个url用一个未曾登陆对应url系统的浏览器访问他会先进入登陆页面登陆校验就是实现这个功能简而言之,就是不能让你直接访问内部数据,要先登陆才可以首先http协议是无状态的每次请求都是独立的而我们浏览器web服务器之间就是http协议实现思路存一个登陆标记每个请求前有if判断对应队列标记登陆就正常执行,没有登陆就去登陆界面但是:这样太繁琐了所以我们使用统一拦截来做对应技术主要介绍登陆标记(会话技术)统一拦截呗三部分之间用.隔开。
基于springSecurity整合jwt拦截器部署
weixin_61919057的博客
10-25 1190
springboot整合springsecurityjwt拦截器部署
拦截器配置
qq_46940224的博客
12-19 430
拦截器配置
全网最详细的JWT令牌方案、拦截器与过滤器知识指南
最新发布
wll0417yj的博客
04-27 1714
JWT是一种基于JSON的开放标准令牌,由头部、负载签名组成,适用于无状态分布式认证。拦截器(Interceptor)是Spring特有的AOP组件,用于在控制器方法前后执行逻辑,适合处理认证、日志等任务。过滤器(Filter)是Java Servlet规范,在请求到达Servlet前后处理,适合跨域、编码设置等全局操作。在Spring Security中可结合三者构建安全体系,过滤器验证JWT拦截器处理权限,实现高效认证方案。
JWT令牌&&拦截器
weixin_64308540的博客
07-31 950
JWT令牌&&拦截器
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值