jwt经典

最新推荐文章于 2024-04-01 13:02:20 发布
最新推荐文章于 2024-04-01 13:02:20 发布
阅读量287 收藏
点赞数
分类专栏: Java idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/likun1239656678/article/details/108694367
版权

 

        <dependency>
            <groupId>org.springframework.mobile</groupId>
            <artifactId>spring-mobile-device</artifactId>
        </dependency>
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.mobile.device.Device;
import org.springframework.mobile.device.DeviceResolver;
import org.springframework.mobile.device.DeviceUtils;
import org.springframework.mobile.device.LiteDeviceResolver;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;


@Component
public class DeviceResolverRequestFilter extends OncePerRequestFilter {
    private final DeviceResolver deviceResolver;
    @Autowired
    private SysRoleService sysRoleService;

    /**
     * Create a device resolving {@link Filter} that defaults to a {@link LiteDeviceResolver} implementation.
     */
    public DeviceResolverRequestFilter() {
        this(new LiteDeviceResolver());
    }

    /**
     * Create a device resolving {@link Filter}.
     *
     * @param deviceResolver the device resolver to delegate to.
     */
    public DeviceResolverRequestFilter(DeviceResolver deviceResolver) {
        this.deviceResolver = deviceResolver;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        Device device = deviceResolver.resolveDevice(request);
        request.setAttribute(DeviceUtils.CURRENT_DEVICE_ATTRIBUTE, device);
        String userId = TokenUtils.getUserIdByRequest(request);
        boolean isSuper = sysRoleService.isSuper(userId);
        request.setAttribute("isSuper",isSuper);
        filterChain.doFilter(request, response);
    }
}

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;

import javax.servlet.http.HttpServletRequest;

@SuppressWarnings("static-access")
public class TokenUtils {

    private static String secret;
    private static String authHeader;

    static {
        secret = "qwertyuiop";
        authHeader = "Authorization";
    }

    public TokenUtils(String secret, String authHeader) {
        this.secret = secret;
        this.authHeader = authHeader;
    }

    /**
     * 从HttpServletRequest中获取用户ID
     *
     * 
     */
    public static String getUserIdByRequest(HttpServletRequest request) {
        return getUserIdFromToken(getToken(request));
    }

    /**
     * 从token中获取用户ID
     *
     */
    private static String getUserIdFromToken(String token) {
        String userId;
        try {
            final Claims claims = new TokenUtils(secret, authHeader).getAllClaimsFromToken(token);
            userId = claims.getSubject();
        } catch (Exception e) {
            userId = null;
        }
        return userId;
    }

    /**
     * 获取token中所有的Claims
     *
     *
     */
    private Claims getAllClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            claims = null;
        }
        return claims;
    }

    /**
     * 获取HttpServletRequest中的token
     *
     */
    public static String getToken(HttpServletRequest request) {
        String ah = new TokenUtils(secret, authHeader).getAuthHeaderFromHeader(request);
        if (ah != null && ah.startsWith("Bearer ")) {
            return ah.substring(7);
        }
        return null;
    }

    /**
     * 获取HttpServletRequest中定义存储token的key对应的token值
     *
     */
    private String getAuthHeaderFromHeader(HttpServletRequest request) {
        return request.getHeader(authHeader);
    }

}

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.mobile.device.Device;

import javax.servlet.http.HttpServletRequest;
import java.util.Date;
import java.util.HashMap;

/**
 * token帮助类
 *
 *
 */
public class TokenHelper {

    @Value("${spring.application.name}")
    private String APP_NAME;

    @Value("${jwt.secret}")
    public String SECRET;

    @Value("${jwt.expires_in}")
    private int EXPIRES_IN;

    @Value("${jwt.mobile_expires_in}")
    private int MOBILE_EXPIRES_IN;

    @Value("${jwt.header}")
    private String AUTH_HEADER;

    static final String AUDIENCE_UNKNOWN = "unknown";
    static final String AUDIENCE_WEB = "web";
    static final String AUDIENCE_MOBILE = "mobile";
    static final String AUDIENCE_TABLET = "tablet";

    private SignatureAlgorithm SIGNATURE_ALGORITHM = SignatureAlgorithm.HS512;

    /**
     * 从HttpServletRequest中获取用户ID
     *
     */
    public String getUserIdByRequest(HttpServletRequest request) {
        return this.getUserIdFromToken(this.getToken(request));
    }

    /**
     * 从token中获取用户ID
     *
     *
     */
    private String getUserIdFromToken(String token) {
        String userId;
        try {
            final Claims claims = this.getAllClaimsFromToken(token);
            userId = claims.getSubject();
        } catch (Exception e) {
            userId = null;
        }
        return userId;
    }

    /**
     * 获取签发时间
     *
     *
     */
    public Date getIssuedAtDateFromToken(String token) {
        Date issueAt;
        try {
            final Claims claims = this.getAllClaimsFromToken(token);
            issueAt = claims.getIssuedAt();
        } catch (Exception e) {
            issueAt = null;
        }
        return issueAt;
    }

    /**
     * 从token中获取Audience
     *
     * 
     */
    public String getAudienceFromToken(String token) {
        String audience;
        try {
            final Claims claims = this.getAllClaimsFromToken(token);
            audience = claims.getAudience();
        } catch (Exception e) {
            audience = null;
        }
        return audience;
    }

    /**
     * 刷新token
     *
     *
     */
    public String refreshToken(String token) {
        String refreshedToken;
        Date a = new Date();
        try {
            final Claims claims = this.getAllClaimsFromToken(token);
            claims.setIssuedAt(a);
            refreshedToken = Jwts.builder()
                    .setClaims(claims)
                    .setExpiration(generateExpirationDate(EXPIRES_IN))
                    .signWith(SIGNATURE_ALGORITHM, SECRET)
                    .compact();
        } catch (Exception e) {
            refreshedToken = null;
        }
        return refreshedToken;
    }

    /**
     * 生成token
     *
     *
     */
    public String generateToken(String userId, Device device) {
        String audience = generateAudience(device);
        return Jwts.builder()
                .setIssuer(APP_NAME)
                .setSubject(userId)
                .setAudience(audience)
                .setIssuedAt(new Date())
                .setExpiration(generateExpirationDate(EXPIRES_IN))
                .signWith(SIGNATURE_ALGORITHM, SECRET)
                .compact();
    }

    /**
     * 根据请求客户端生成audience
     *
     * 
     */
    private String generateAudience(Device device) {
        String audience = AUDIENCE_UNKNOWN;
        if (device.isNormal()) {
            audience = AUDIENCE_WEB;
        } else if (device.isTablet()) {
            audience = AUDIENCE_TABLET;
        } else if (device.isMobile()) {
            audience = AUDIENCE_MOBILE;
        }
        return audience;
    }

    /**
     * 获取token中所有的Claims
     *
     *
     */
    private Claims getAllClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser()
                    .setSigningKey(SECRET)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            claims = null;
        }
        return claims;
    }

    /**
     * 获取token失效时间
     *
     *
     */
    public Date getExpirationDateFromToken(String token) {
        Date expiration;
        HashMap hm=new HashMap();
        try {
            final Claims claims = this.getAllClaimsFromToken(token);
            expiration = claims.getExpiration();
        } catch (Exception e) {
            expiration = null;
        }
        return expiration;
    }

    /**
     * 设置token失效时间
     *
     *
     */
    private Date generateExpirationDate(int expiresIn) {
        expiresIn = expiresIn * 1000 * 60;
        return new Date(System.currentTimeMillis() + expiresIn);
    }

    /**
     * 判断token是否失效
     *
     */
    private Boolean isTokenExpired(String token) {
        final Date expiration = getExpirationDateFromToken(token);
        return expiration.before(new Date());
    }

    /**
     * 校验token是否合法
     *
     * 
     */
    public Boolean validateToken(String token) {
        return isTokenExpired(token);
    }

    /**
     * 获取HttpServletRequest中的token
     *
     *
     */
    public String getToken(HttpServletRequest request) {
        String authHeader = getAuthHeaderFromHeader(request);
        if (authHeader != null && authHeader.startsWith("Bearer ")) {
            return authHeader.substring(7);
        }
        return null;
    }

    /**
     * 获取HttpServletRequest中定义存储token的key对应的token值
     *
     *
     */
    public String getAuthHeaderFromHeader(HttpServletRequest request) {
        return request.getHeader(AUTH_HEADER);
    }

    /**
     * 获取token有效时长
     *
     *
     */
    public int getExpiredIn() {
        return EXPIRES_IN;
    }

    /**
     * 获取token有效时长
     *
     */
    public int getMobileExpiresIn() {
        return MOBILE_EXPIRES_IN;
    }

}

# jwt鉴权设置
jwt:
  header: Authorization
  # token过期时间,单位为分钟
  expires_in: 1440
  # 手机端token过期时间,单位为分钟
  mobile_expires_in: 10080
  secret: qwertyuiop
import com.alibaba.fastjson.JSON;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.ThreadContext;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.mobile.device.Device;
import org.springframework.mobile.device.DeviceUtils;
import org.springframework.web.bind.annotation.*;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;

/**
 * 登录处理类
 *
 *
 */
@Slf4j
@RestController
@RequestMapping("auth")
@Api(tags = "登录模块", produces = "登录模块Api")
public class LoginController {

    @Autowired
    private TokenHelper tokenHelper;
    @Autowired
    private SysUserService sysUserService;

    @ResponseBody
    @PostMapping("/login")
    @ApiOperation(value = "用户登录", notes = "用户登录的方法")
    public Object login(@RequestBody AuthenticationRequest authenticationRequest, HttpServletRequest request, HttpServletResponse response) {
        log.error("Request Json:" + JSON.toJSONString(authenticationRequest));
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(authenticationRequest.getUsername(), authenticationRequest.getPassword());
        Subject subject = SecurityUtils.getSubject();
        ResultData resultData = new ResultData();
        try {
            if (!subject.isAuthenticated()) {
                subject = (new Subject.Builder()).buildSubject();
                ThreadContext.bind(subject);
            }
            // 该方法会调用JwtRealm中的doGetAuthenticationInfo方法
            subject.login(usernamePasswordToken);
            resultData.setCode(0).setMsg("登录成功");
        } catch (UnknownAccountException exception) {
            resultData.setCode(1).setMsg("帐号不存在");
        } catch (IncorrectCredentialsException exception) {
            resultData.setCode(2).setMsg("错误的凭证,用户名或密码不正确");
        } catch (LockedAccountException exception) {
            resultData.setCode(3).setMsg("账户已锁定");
        } catch (ExcessiveAttemptsException exception) {
            resultData.setCode(4).setMsg("错误次数过多");
        } catch (AuthenticationException exception) {
            resultData.setCode(5).setMsg("认证失败");
        }
        // 认证通过
        if (subject.isAuthenticated()) {
            SysUser sysUser = sysUserService.getUserByUsername(authenticationRequest.getUsername());
            //生成token
            String token = tokenHelper.generateToken(sysUser.getId(), DeviceUtils.getCurrentDevice(request));
            /**
             * 根据登录的设备类型设置token过期时间
             */
            int expiresIn;
                Device device = DeviceUtils.getCurrentDevice(request);
            if (device.isMobile() || device.isTablet()) {
                expiresIn = tokenHelper.getMobileExpiresIn();
                Map dataMap = new HashMap(4);
                dataMap.put("name", sysUser.getName());
                dataMap.put("icon", sysUser.getImgHref());
                dataMap.put("token", token);
                resultData.setData(dataMap);
            } else {
                expiresIn = tokenHelper.getExpiredIn();
                resultData.setData(new UserTokenState(token, expiresIn));
            }
            return resultData;
        } else {
            return resultData;
        }
    }
}

 

【Spring Security系列】Spring Security+JWT+Redis实现用户认证登录及登出
c18213590220的博客
11-28 2398
Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一 套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。常见的身份认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
jwt重放攻击_JWT(Json web token)
weixin_39562197的博客
12-19 723
首先了解一下JWT使用过程:Token 是服务器端在验证客户端user_id/pwd 没问题后, 签发给客户端的, 作为标示该用户的一个令牌, 之后客户端就使用该令牌和服务器端进行交互.Token的根本作用:就一点: 用于服务器端标示是哪个用户的请求JWT 安全吗?基本上很安全, 否则就没有人用了, 具体分析:1. JWT 令牌可以防止信息伪造, 服务器在生成token中的signature部分,...
Springboot集成token认证
最新发布
qq_68534248的博客
04-01 2308
首先前端一样是把登录信息发送给后端,后端查询数据库校验用户的账号和密码是否正确,正确的话则使用jwt生成token,并且返回给前端。以后前端每次请求时,都需要携带token,后端获取token后,使用jwt进行验证用户的token是否无效或过期,验证成功后才去做相应的逻辑。:简单来说就是服务器根据前端传来的用户名与密码生成token并返回前端,前端之后的请求都会携带该cookie来进行执行操作认证。SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。
JWT(详解)
weixin_44736637的博客
04-07 3万+
JWT
JWT(1)介绍和原理
w_t_y_y的博客
01-15 1101
.
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
jwt在线解密网站,可用于jwt的解码
03-10
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这种信息可以被验证和信任,因为它是数字签名的。JWT被广泛用于身份验证和授权...
asp.net中用到的JWT身份验证 JWT.dll 下载
08-07
ASP.NET中的JWT(JSON Web Tokens)身份验证是一种广泛采用的安全机制,用于在Web应用程序中实现无状态的身份验证。JWT是一个开放标准(RFC 7519),定义了一种紧凑、自包含的方式来安全地在各方之间传输信息作为...
JWTJWT Decoder-易语言
06-11
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT 可以用于认证、授权等...
java jwt登录_SpringBoot使用JWT实现登录验证的方法示例
weixin_32798919的博客
02-16 778
什么是JWTJSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间以JSON对象安全地传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对来对JWT进行签名。具体的jwt介绍可以查看官网的介绍:https://jwt.io/introduction/jwt请求流程引用官网的图...
java拦截器没有生效_java-春季移动-拦截器没有应用?设备为空
weixin_31925745的博客
02-24 283
我正在尝试使用Spring Mobile,但似乎无法使基本示例正常工作.我觉得我缺少一些愚蠢的简单东西,但我不知道它是什么.这就是我所拥有的…在web.xml中contextConfigLocation/WEB-INF/applicationContext.xmlorg.springframework.web.context.ContextLoaderListenerdeviceResolverR...
基于JWT的Token认证机制(一)
睁眼看世界
11-14 1万+
简介           JSON Web Token(JWT)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对其进行签名。 JWT的组成      
java jwt实战,详解Spring Boot实战之Filter实现使用JWT进行接口认证
weixin_33040687的博客
03-11 548
本文介绍了spring Boot实战之Filter实现使用JWT进行接口认证,分享给大家jwt(json web token)用户发送按照约定,向服务端发送 Header、Payload 和 Signature,并包含认证信息(密码),验证通过后服务端返回一个token,之后用户使用该token作为登录凭证,适合于移动端和apijwt使用流程本文示例接上面几篇文章中的代码进行编写,请阅读本文的同时...
后端架构token授权认证机制:spring security JSON Web Token(JWT)简例
Zhang Phil
02-10 7172
spring security JSON Web Token(JWT)简单例子实现 在基于token的客户端-服务器端认证授权以前,前端到服务器端的认证-授权通常是基于session,自从token机制出现并流行起来后,基于token的客户端-服务器端认证-授权访问机制变得越来越主要,token机制从某种意义上讲是过去session会话机制的另外一种解决方案,并尤其适用于当前的大规模集群和分布式体系架构。 客户端(浏览器web前端、app移动端等)与后端服务基于token的认证-授权访问流程一般情况是这
JWT
崔向阳@李晓的博客
04-02 1404
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部用于描述关于该JWT的最基本的信息 例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {"typ":"JWT","alg":"HS256"} 在头部指明了签名算法是HS256...
JWT的简单了解与使用
HBBBOY的博客
10-16 1971
快速了解JWT怎么使用,之后便能利用它制作属于自己的单点登录了
SpringBoot 2整合SpringSecurity权限管理(六)实现基于JWT的访问
The man was lazy and left no message
03-21 574
前言 1. 什么是JWT? JWT,全称是Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权。它是基于 RFC 7519 标准定义的一种可以安全传输的 小巧 和 自包含 的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对来进行签名。 2. JW...
Spring 判断请求终端类型
随手记
11-01 515
今天在看spring mobile时,想通过spring为我们提供的Device接口来判断请求的终端类型 这个首先需要加入spring-mobile的jar,对应maven: &lt;dependency&gt; &lt;groupId&gt;org.springframework.mobile&lt;/groupId&gt; &lt;artifactId&gt;sprin...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值