SpringBoot 集成token实践详解

最新推荐文章于 2025-05-27 09:29:32 发布
最新推荐文章于 2025-05-27 09:29:32 发布
阅读量2.1k 收藏 10
点赞数 2
CC 4.0 BY-SA版权
文章标签: spring boot restful java
原文链接:https://blog.youkuaiyun.com/jarvan5/article/details/113789133
该博客介绍了如何在SpringBoot应用中集成JWT,包括设置拦截器验证token、实现token自动刷新机制(区分新生和老年token)、定义统一的RESTful响应格式以及全局异常处理。在自动刷新机制中,如果token为老年token,则会返回新的token,过期则抛出异常。代码示例展示了配置、控制器、拦截器、异常处理和工具类的实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  token是服务端生成的一串字符串,以作客户端进行请求的令牌,当第一次登陆后,服务器生成一个token便将此token返回给客户端,以后客户端只要带上这个token前来请求数据即可,无需再次带上用户名和密码

一、需求

  1. SpringBoot 集成 JWT(token)

  2. 拦截器自动验证验证 token 是否过期

  3. token 自动刷新(单个 token 刷新机制,保证活跃用户不会掉线)

  4. 标准统一的 RESTFul 返回体数据格式

  5. 异常统一拦截处理

单个 token 刷新机制(介绍):

token 距离发布token 2 个小时内的token为新生token,2-3 个小时的token为老年token

每次请求,前端带上 token,

(1)如果 token 为新 token ,服务器返回原来的 token

(2)如果 token 为老年 token,服务器返回 刷新后的新生token ,

(3)如果 token 为过期 token,服务器返回token过期 状态码 401,,请求失败, 前端重新登录

二、代码
1. 导入依赖
jwt 依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>

2. 配置文件

server:
    port: 8081
spring:
    application:
        name: tokendemo
# token
token:
    privateKey: 'fdasfgdsagaxgsregdfdjyghjfhebfdgwe45ygrfbsdfshfdsag'
    yangToken: 1000000
    oldToken: 3000000000

3. 代码

代码结构如下

  1. AuthWebMvcConfigurer

@Configuration
public class AuthWebMvcConfigurer implements WebMvcConfigurer {
    @Autowired
    AuthHandlerInterceptor authHandlerInterceptor;

    /**
     * 给除了 /login 的接口都配置拦截器,拦截转向到 authHandlerInterceptor
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authHandlerInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/login");
    }
}
  1. TokenTestController
@RestController
public class TokenTestController {
    @Autowired
    TokenUtil tokenUtil;
    /**
     * 使用 /login 请求获得 token, /login 不经过拦截器
     */
    @RequestMapping("/login")
    public String login(){
        return tokenUtil.getToken("靓仔","admin");
    }
    /**
     * 使用 /test-token 测试 token,进过拦截器
     */
    @RequestMapping("/test-token")
    public Map testToken(HttpServletRequest request){
        String token = request.getHeader("token");
        return tokenUtil.parseToken(token);
    }

}
  1. TokenAuthExpiredException
public class TokenAuthExpiredException extends RuntimeException{
}
  1. AuthHandlerInterceptor
@Slf4j
@Component
public class AuthHandlerInterceptor implements HandlerInterceptor {
    @Autowired
    TokenUtil tokenUtil;
    @Value("${token.privateKey}")
    private String privateKey;
    @Value("${token.yangToken}")
    private Long yangToken;
    @Value("${token.oldToken}")
    private Long oldToken;
    /**
     * 权限认证的拦截操作.
     */
    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
        log.info("=======进入拦截器========");
        // 如果不是映射到方法直接通过,可以访问资源.
        if (!(object instanceof HandlerMethod)) {
            return true;
        }
        //为空就返回错误
        String token = httpServletRequest.getHeader("token");
        if (null == token || "".equals(token.trim())) {
            return false;
        }
        log.info("==============token:" + token);
        Map<String, String> map = tokenUtil.parseToken(token);
        String userId = map.get("userId");
        String userRole = map.get("userRole");
        long timeOfUse = System.currentTimeMillis() - Long.parseLong(map.get("timeStamp"));
        //1.判断 token 是否过期
        //年轻 token
        if (timeOfUse < yangToken) {
            log.info("年轻 token");
        }
        //老年 token 就刷新 token
        else if (timeOfUse >= yangToken && timeOfUse < oldToken) {
            httpServletResponse.setHeader("token",tokenUtil.getToken(userId,userRole));
        }
        //过期 token 就返回 token 无效.
        else {
            throw new TokenAuthExpiredException();
        }
        //2.角色匹配.
        if ("user".equals(userRole)) {
            log.info("========user账户============");
            return true;
        }
        if ("admin".equals(userRole)) {
            log.info("========admin账户============");
            return true;
        }
        return false;
    }

}
  1. GlobalExceptionHandler
@Slf4j
@ControllerAdvice
public class GlobalExceptionHandler {
    /**
     * 用户 token 过期
     * @return
     */
    @ExceptionHandler(value = TokenAuthExpiredException.class)
    @ResponseBody
    public String tokenExpiredExceptionHandler(){
        log.warn("用户 token 过期");
        return "用户 token 过期";
    }
}
  1. TokenUtil
@Component
public class TokenUtil {
    @Value("${token.privateKey}")
    private String privateKey;

    /**
     * 加密token.
     */
    public String getToken(String userId, String userRole) {
        //这个是放到负载payLoad 里面,魔法值可以使用常量类进行封装.
        String token = JWT
                .create()
                .withClaim("userId" ,userId)
                .withClaim("userRole", userRole)
                .withClaim("timeStamp", System.currentTimeMillis())
                .sign(Algorithm.HMAC256(privateKey));
        return token;
    }

    /**
     * 解析token.
     * (优化可以用常量固定魔法值+使用DTO在 mvc 之前传输数据,而不是 map,这里因为篇幅原因就不做了)
     * {
     * "userId": "3412435312",
     * "userRole": "ROLE_USER",
     * "timeStamp": "134143214"
     * }
     */
    public Map<String, String> parseToken(String token) {
        HashMap<String, String> map = new HashMap<>();
        DecodedJWT decodedjwt = JWT.require(Algorithm.HMAC256(privateKey))
                .build().verify(token);
        Claim userId = decodedjwt.getClaim("userId");
        Claim userRole = decodedjwt.getClaim("userRole");
        Claim timeStamp = decodedjwt.getClaim("timeStamp");
        map.put("userId", userId.asString());
        map.put("userRole", userRole.asString());
        map.put("timeStamp", timeStamp.asLong().toString());
        return map;
    }
}

三、测试



1. 获得 token

访问

localhost:8081/login

效果:

image-20210211102129000

2. 测试 token 是否可用

将 1 测试得到的 token 放到 header 里面测试 token是否可用

访问

localhost:8081/test-token

image-20210211102448340

3. 测试 token 过期

测试全局异常拦截类拦截到 TokenAuthExpiredException 异常,然后返回提示。

将过期时间调小,修改 application.yaml 文件,3 秒钟就过期

server:
    port: 8081
spring:
    application:
        name: tokendemo
# token
token:
    privateKey: 'fdasfgdsagaxgsregdfdjyghjfhebfdgwe45ygrfbsdfshfdsag'
    yangToken: 1000
    oldToken: 3000

重启应用测试:image-20210211102718111

萌玺
关注
【三】springboot整合token
weixin_56995925的博客
09-03 1万+
springboot整合token
【微服务】springboot 整合 SA-Token 使用详解
热门推荐
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
SpringBoot使用token简单鉴权的具体实现方法
08-25
主要介绍了SpringBoot使用token简单鉴权的具体实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
深入了解Token认证的来龙去脉
zyh568879280的博客
02-15 545
转载至:https://blog.youkuaiyun.com/niugang0920/article/details/80615137 Token 是在服务端产生的,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。     不久前,我在前后端分离实践中提到了基于 Token 的认证,现在我...
Spring Security Token 认证原理
最新发布
zwjapple的专栏
05-27 988
Java
【SSO】JWT协议示例
05-23 717
JSON Web Token是什么 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 什么时候你应该用JSON Web Tokens 下列场景中使用JSON Web Token是很有用的: Authorization (授权) : 这是使用JWT的...
java SpringBoot登录验证token拦截器
前方的路在刚开始
07-05 8747
springBoot拦截器定义,以及token获取,单点登录设定,全局异常定义。
Spring Boot 集成JWT实现Token验证详解
ning的博客
11-09 1544
Token是一种令牌,它在用户登录后由服务器生成并返回给客户端,客户端在随后的请求中将Token附在HTTP请求头中,以此来验证用户的身份。Token通常包含了用户的身份信息和一些其他的元数据。JWT(Json Web Tokens)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在方之间以JSON对象的形式安全地传输信息。每个Token都是经过数字签名的,因此可以被验证和信任。JWT可以使用秘密(对称加密)或使用RSA或ECDSA的公钥/私钥对(非对称加密)进行签名。
Spring Boot 整合 SA-Token 使用详解
hong161688的博客
08-07 3013
SA-Token是一个基于TokenJava权限认证框架,主要解决:登录认证、权限认证、Session会话、踢出登录、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。SA-Token以“简单、易用、安全”为设计目标,致力于打造一个轻量级的权限认证框架。SA-Token允许你通过实现接口来自定义Token的生成、解析和验证逻辑。这对于有特殊Token格式或加密需求的应用非常有用。@Component// 实现自定义的Token处理逻辑// 在配置类中指定自定义的Token处理器。
SpringBoot集成ckeditor超详解
qq_35111781的博客
03-31 1093
SpringBoot集成ckeditor所遇见的问题以及ckeditor工具栏的配置 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,...
springboot中使用token
Cidaren的博客
07-15 1万+
1. pom.xml文件中添加依赖 <!-- 引入操作JWT的相关依赖 --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.11.0</version> </dependency> 除此依赖之外还需要添加springbootweb的起步依赖,以及使用的数据库依赖 2. 定
SpringBoot实现基于token的登录验证
weixin_42408447的博客
06-11 1万+
一.SpringBoot实现基于token的登录验证 基于token的登录验证实现原理:客户端通过用户名和密码调用登录接口,当验证数据库中存在该用户后,将用户的信息按照token的生成规则,生成一个字符串token,返回给客户端,客户端在调用其他接口的时候,需要在请求头上带上token,来验证登录信息。 二.Demo实现代码如下: (因为除登录接口外,其他接口每次都需要验证token信息,所以将验证token信息的部分放在了过滤器里面) 1.导入JWT(JSON WEB TOKEN)依赖 <depen
token过期机制的问题
qq_46940224的博客
10-15 6678
浅谈一下token过期机制的问题
Springboot 整合 JWT + Redis 实现Token 校验Demo(简单实现)
MR.骑士道
11-23 1万+
Springboot 整合 JWT + Redis 实现Token 校验Demo(简单实现)
SpringBoot基于token的请求验证
一路向北的博客
09-09 5133
SpringBoot实现基于Token的请求验证
SpringBoot实现token登录
m0_52012606的博客
03-23 9641
在进行登录验证时,我们需要session或cookie会话进行验证,客户端包括浏览器、app、微信小程序、公众号,只有浏览器有session和cookie机制,当我们脱离浏览器用app等向服务端发请求就没有session和cookie机制,这时我们就需要使用token令牌进行登录验证。...
第23章 SpringBoot集成Token
richieandndsc的博客
11-07 1733
SpringBoot学习笔记
Spring-Boot-14-理解Token的实现机制
SpriCoder的博客
04-24 1067
Spring-Boot-14-理解Token的实现机制
springboot项目整合token,实现项目的认证与授权(提供代码)
一天不写代码难受的博客
05-21 3762
目录1 jwt验证流程2 token组成3 代码实现 1 jwt验证流程 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程- -般是一 个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议) ,从而避免敏感信息被嗅探。 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload (负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。 形成的JWT就是一个形同11. zzz. xxx的字符串。token he
springboot+token
08-27
Spring Boot Token 是一个用于身份验证和授权的令牌。根据引用,根据发布时间,可以将 token 分为新生 token 和老年 token。新生 token 是距离发布不超过2个小时的 token,而老年 token 是距离发布2-3个小时的 token。 要修改 token 的过期时间,可以根据引用中的说明,在 application.yaml 文件中将过期时间调小。在该文件中找到 token 配置部分,可以看到 privateKey、yangToken 和 oldToken 字段。可以修改 yangToken 和 oldToken 的值来设置不同类型 token 的过期时间。 在 Spring Boot 中使用 token,需要定义 Controller 类来处理请求。根据引用提供的示例代码,需要创建一个 TestController 类,并在其中定义相应的请求处理方法。对于认证登录功能,可以在 login 方法中生成 JWT 字符串作为 token,并将其返回给客户端。 总结起来,Spring Boot Token 是用于身份验证和授权的令牌,可以根据发布时间分为新生 token 和老年 token。要修改 token 的过期时间,可以在 application.yaml 文件中相应字段进行设置。使用 Spring Boot Token 需要定义 Controller 类处理请求,并在相应方法中生成和返回 token。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [SpringBoot 集成token实践详解](https://blog.youkuaiyun.com/jarvan5/article/details/113789133)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [springboot中使用token](https://blog.youkuaiyun.com/Cidaren/article/details/118759256)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值