Jwt加filter实现app认证

已于 2022-07-29 18:48:08 修改
阅读量768 收藏 1
点赞数 1
分类专栏: 后端 文章标签: jwt filter
于 2021-07-19 17:27:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/nglhaeg/article/details/118904938
版权
该博客介绍了如何使用JWT(JSON Web Token)进行身份验证和授权。详细讲解了JWT的引入、实体类、工具类的创建,以及登录过滤器的实现。文中提到JWT的过期时间设置、密钥生成、自定义负载数据,并展示了登录接口的示例代码,通过Redis缓存token以确保安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

导入jwt依赖

  		<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

token实体类

@Data
public class TokenDto implements Serializable {

    /**
     * token
     */
    private String token;

    /**
     * 到期时间
     */
    private String expire;

}

封装jwt生成token工具类

/**
 * jwt生成、验证工具
 * 注意点:
 *  1、生成的Token可以通过base64解密出明文信息
 *  2、base64解密出的明文信息,修改后再进行编码会解密失败(核心)
 *  3、无法作废已颁布的token,除非改密钥
 */
public class JwtUtils {

    /**
     * 过期时间,一周
     */
    private static final long EXPIRE = 1000 * 60 * 60 * 24 * 7;

    /**
     * SECRET 是签名密钥,只生成一次即可,生成方法:
     * Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
     * String secretString = Encoders.BASE64.encode(key.getEncoded()); # 本文使用 BASE64 编码
     * */
    private static final String SECRET = "PVjALNPPuVzHQaPrGQJJ94r3u0ZoL2hcnEUPAcOAwkM=";

    /**
     * 主题
     */
    private static final String SUBJECT = "enterprise";

    /**
     * 负载部分自定义数据的key
     */
    public static final String CUSTOM_PAYLOAD_PHONE_KEY = "phone";
    public static final String CUSTOM_PAYLOAD_TYPE_KEY = "type";
    public static final String CUSTOM_PAYLOAD_TENANTID_KEY = "tenantId";

    /**
     * 令牌类型
     */
    public static final String TYPE_APPLETS = "applets";
    public static final String TYPE_WEB = "web";

    /**
     * 根据自定义信息生成令牌
     * @param type      请求类型,app、web
     * @param tenantId  租户ID
     * @param phone     手机号
     * @return
     */
    public static TokenDto getToken(String type, String tenantId, String phone){
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        TokenDto dto = new TokenDto();
        Date exp = new Date(System.currentTimeMillis()+EXPIRE);
        String token = Jwts.builder()
                .setSubject(SUBJECT)
                // 自定义内容
                .claim(CUSTOM_PAYLOAD_TYPE_KEY,type)
                .claim(CUSTOM_PAYLOAD_TENANTID_KEY,tenantId)
                .claim(CUSTOM_PAYLOAD_PHONE_KEY,phone)
                // 令牌颁发时间
                .setIssuedAt(new Date())
                // 令牌过期时间
                .setExpiration(exp)
                // 签名加密算法 和 密钥
                .signWith(signatureAlgorithm,getSecretKey())
                // 返回字符串
                .compact();
        dto.setToken(token);
        dto.setExpire(TimeUtil.dateToStamp2(exp));
        return dto;
    }

    /**
     * Base64.getDecoder().decode(getBase64Security())
     * 检查token有效性,token校验失败会抛异常
     * @param   token
     * @return  返回null即校验失败
     */
    public static Claims checkJwt(String token){
        //签名秘钥,和生成的签名的秘钥一模一样
        SecretKey key = getSecretKey();
        Claims claims;
        try {
            claims = Jwts.parser()  //得到DefaultJwtParser
                    .setSigningKey(key)         //设置签名的秘钥
                    .parseClaimsJws(token).getBody();
        } catch (Exception e) {
            claims = null;
        }//设置需要解析的jwt
        return claims;
    }

    /**
     * SecretKey 根据 SECRET 的编码方式解码后得到:
     * Base64 编码:SecretKey key = Keys.hmacShaKeyFor(Decoders.BASE64.decode(secretString));
     * Base64URL 编码:SecretKey key = Keys.hmacShaKeyFor(Decoders.BASE64URL.decode(secretString));
     * 未编码:SecretKey key = Keys.hmacShaKeyFor(secretString.getBytes(StandardCharsets.UTF_8));
     * */
    private static SecretKey getSecretKey() {
        byte[] encodeKey = Base64.decodeBase64(SECRET);
        SecretKey key = new SecretKeySpec(encodeKey, 0, encodeKey.length, "AES");
        return key;
    }

登录过滤器实现Filter接口

/**
 * 登录过滤器
 */
@AllArgsConstructor
@WebFilter(urlPatterns = "/app/api/v1/pri/*",filterName = "loginFilter")
public class LoginFilter implements Filter {

    private final RedisUtil redisUtil ;

    /**
     * 容器加载时执行
     * @param filterConfig
     * @throws ServletException
     */
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

        System.out.println("login filter init...");

    }

    /**
     * 每次请求都会调用,如果返回提示信息始终不变,可以简化
     * @param servletRequest
     * @param servletResponse
     * @param filterChain
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        System.out.println("login filter doFilter...");

        HttpServletRequest req = (HttpServletRequest) servletRequest;
        HttpServletResponse resp = (HttpServletResponse) servletResponse;
        String token = req.getHeader(AppConstant.APP_TOKEN_HEADER);
        if(StringUtils.isNotEmpty(token)){
            // 1、校验token
            Claims claims = JwtUtils.checkJwt(token);
            if(null != claims){
                String phone = (String)claims.get(JwtUtils.CUSTOM_PAYLOAD_PHONE_KEY);
                if(StringUtils.isNotEmpty(phone)){
                    // 2、判断缓存
                    String redisToken = redisUtil.get(AppConstant.APP_TOKEN_REDIS_PREFIX + phone);
                    if(StringUtils.isNotEmpty(redisToken) && StringUtils.equals(token,redisToken)){
                        // 3、更新token缓存时间
                        redisUtil.setEx(AppConstant.APP_TOKEN_REDIS_PREFIX+phone,token,AppConstant.APP_TOKEN_EXPIRE);
                        // 4、继续执行后续链路
                        filterChain.doFilter(servletRequest,servletResponse);
                    }else {
                        renderJson(resp,R.fail(401,"请求未授权"));
                    }
                }else {
                    renderJson(resp,R.fail(401,"请求未授权"));
                }
            }else {
                renderJson(resp,R.fail(401,"请求未授权"));
            }
        }else {
            renderJson(resp,R.fail(401,"请求未授权"));
        }
    }

    /**
     * 容器销毁的时候执行
     */
    @Override
    public void destroy() {
        System.out.println("login filter destroy...");
    }

    /**
     * 返回JSON数据
     * @param response
     * @param json
     */
    private void renderJson(HttpServletResponse response, R<Object> json){
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        try (PrintWriter writer = response.getWriter()){
            writer.print(JSON.toJSONString(json));
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

启动类上要加@ServletComponentScan注解

image-20210719170803873

登录接口示列

    @PostMapping("/login")
    @ApiOperationSupport(order = 2)
    @ApiOperation(value = "物业APP登录", notes = "手机号和密码")
    @ApiImplicitParams({
            @ApiImplicitParam(name = "data", value = "手机号和密码加密后的字符串", paramType = "query", dataType = "string", required = true),
            @ApiImplicitParam(name = "tenantId", value = "租户ID", paramType = "header", dataType = "string", required = true)
    })
    public String loginApp(HttpServletRequest request,String data) {
        PropertyAppUser appUser = AesPkcs5Util.pareData(data, new PropertyAppUser(),apiCryptoProperties.getAesKey());
        String tenantId = getTenantId(request);
        if (null == appUser || StringUtils.isEmpty(tenantId) || StringUtils.isEmpty(appUser.getAccount()) || StringUtils.isEmpty(appUser.getPassword())) {
            return AesPkcs5Util.encryptResponseData(R.fail("参数错误!"),apiCryptoProperties.getAesKey());
        }
        PropertyAppUser user = propertyAppUserService.getByPhone(appUser);
        if (null == user) {
            return AesPkcs5Util.encryptResponseData(R.fail("用户名或密码错误!"),apiCryptoProperties.getAesKey());
        }
        // 将传过来的密码加密
        String lowerPwd = DigestUtil.encrypt(appUser.getPassword());
        if (StringUtils.equals(user.getPassword(), lowerPwd)) {
            String oldToken = redisUtil.get(AppConstant.APP_TOKEN_REDIS_PREFIX + appUser.getAccount());
            if (StringUtils.isNotEmpty(oldToken)) {
                redisUtil.del(AppConstant.APP_TOKEN_REDIS_PREFIX + appUser.getAccount());
            }
            // 构造新的token,放入缓存
            TokenDto dto = JwtUtils.getToken(JwtUtils.TYPE_APP, tenantId, appUser.getAccount());
            //设置key和值还有过期时间
            redisUtil.setEx(AppConstant.APP_TOKEN_REDIS_PREFIX + appUser.getAccount(), dto.getToken(), AppConstant.APP_TOKEN_EXPIRE);
            // TODO 目前仅返回token,需要封装为app需要的包装类
            Map<String,Object> map = propertyAppUserService.loginAppUser(user);
            map.put("token",dto.getToken());
            map.put("expire",dto.getExpire());
            return AesPkcs5Util.encryptResponseData(R.data(map,"登录成功!"),apiCryptoProperties.getAesKey());
        } else {
            return AesPkcs5Util.encryptResponseData(R.fail("用户名或密码错误!"),apiCryptoProperties.getAesKey());
        }
    }
spring boot整合jwtfilter实现jwt进行接口认证
qq_41644069的博客
11-28 4697
本文为代码实现,关于jwt的原理请看这篇文章。 jwt的使用流程: ①用户使用账号和面发出post请求;②服务器使用私钥创建一个jwt;③服务器返回这个jwt给浏览器;④浏览器将该jwt串在请求头中像服务器发送请求;⑤服务器验证jwt;⑥返回响应的资源给浏览器。 1.pom.xml <dependency> <groupId>org.springframework.boot</groupId> .
jwt结合shiro实现认证和权限控制,非常详细
zhuzi的博客
07-30 1万+
文章目录前期准备1. 导入依赖2. 编写JwtUtil类3. 封装token4. 编写JWT的过滤器5. 编写shiro的自定义Realm对象6. 编写shiro配置文件7. 捕获shiro异常8. 编写controller1.登录接口2.用户接口9.测试结果 前期准备 jwt,我的理解就是可以进行客户端与服务端之间验证的一种技术,取代了之前使用Session来验证的不安全性。为什么不适用Session? 原理是,登录之后客户端和服务端各自保存一个相应的SessionId,每次客户端发起请求的时候就得携带
Spring Boot实战之Filter实现使用JWT进行接口认证 jwt(json web token) 用户发送按照约定,向服务端发送 Header、Payload 和 Signature,
fmm_sunshine的博客
09-08 5289
Spring Boot实战之Filter实现使用JWT进行接口认证 jwt(json web token) 用户发送按照约定,向服务端发送 Header、Payload 和 Signature,并包含认证信息(密码),验证通过后服务端返回一个token,之后用户使用该token作为登录凭证,适合于移动端和api jwt使用流程 本文示例接上面几篇文章中的代码
后端Web实战之登录认证JWT令牌,过滤器Filter,拦截器Interceptor一篇文章so easy!!!
最新发布
xuziang13的博客
04-28 1096
- 当我们定义了拦截器后,会在执行Controller的方法之前,请求被拦截器拦截住。执行preHandle()方法,这个方法执行完成后需要返回一个布尔类型的值,如果返回true,就表示放行本次操作,才会继续访问controller中的方法;如果返回false,则不会放行(controller中的方法也不会执行)。
JwtFilter (过滤器)
10000guo的博客
01-07 3467
JWTFilter&JWT&Filter
Jwt令牌+filter(登录操作)
2301_78083884的博客
11-24 568
步骤:获取url、判断url是否含有无需屏蔽的路径进行放行(此例子中判断是否有login)、获取请求头中令牌(token)、校验令牌、解析token 解析失败返回错误结果、领票合法放行。.signWith(SignatureAlgorithm.HS256, signKey)//自定义内容(载荷)①在类上配置@WebFilter(urlPatterns = "/*")//urlPatterns = "/*"过滤的路径。.addClaims(claims)//签名算法。//登陆成功,生成令牌。
JwtFilter
bobo3019的博客
07-18 351
JwtFilter
登录校验实现——JwtFilter/Interceptor
qq_45878280的博客
08-28 500
使用JwtFilter/Interceptor实现登录校验
Shiro+JWT实现认证和授权
qq_44759750的博客
03-12 1011
流程: 1、将token(JWT生成和验证)封装成认证对象(使用ThreadLocal保证线程安全) 2、定义认证与授权的实现方法(Realm类) 3、拦截HTTP请求,验证Token(Filter) 4、把设置应用到Shiro框架(创建ShiroConfig回传四个对象) 5、 回传token:使用AOP拦截Web对象返回方法,从ThreadLocalToken中获取token写入返回对象,然后返回。 代码实现 JWT密和验证token /** * JWT对userId进行密生成token
基于Spring Boot 3 + Spring Security6 + JWT + Redis实现登录、token身份认证
m0_74823683的博客
03-02 668
基于Spring Boot3实现Spring Security6 + JWT + Redis实现登录、token身份认证。系列文章指路??项目源码??
SpringBoot整合SpringSecurity+JWT实现认证与授权
weixin_44145156的博客
03-01 472
springsecurity实现认证和授权;
【Java】spring boot生成jwt,并使用filter进行校验
weixin_44798538的博客
08-10 612
application.yml中添jwt 的秘钥,以及过期时间,使用hutool依赖来操作jwt;lombok来记日志。expireSeconds:过期时间,10分钟。在Application中添配置。secretKey:秘钥。
JWT令牌、过滤器Filter、拦截器Interceptor
m0_46702681的博客
06-16 2087
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}
JWT过滤器
m0_74795259的博客
12-13 652
过滤器
jwt过滤器
samgreat911的博客
12-02 508
log.debug("从JWT中获取authoritiesJsonString:{}", authoritiesJsonString);log.debug("解析JWT时出现Throwable,需要开发人员在JWT过滤器补充对异常的处理");log.debug("从JWT中获取username:{}", username);log.debug("获取客户端携带的JWT:{}", jwt);// 对于无效的JWT,直接放行,交由后续的组件进行处理。log.debug("从JWT中获取id:{}", id);
基于Filter的安全认证方式
天天向上
07-18 301
1. 基于Filter的安全认证方式 问题:基于session的安全认证方式存在一定的问题,例如对角色权限的认证都编码在了页面,一旦页面有很多,那我们必须在每个页面都去重复写角色权限认证逻辑,这样不便于维护和开发。因此我们可以通过Filter技术来控制整个模块的权限认证业务逻辑。 原理:在对网站资源进行请求时,请求会先经过过滤器的过滤,如果过滤器放行才允许访问资源。 工具:IDEA2018 + Tomcat8.0.45 技术:Servlet + Filter + Session 项目:S
Spring Boot实战之Filter实现使用JWT进行接口认证
热门推荐
sun_t89的专栏
07-16 7万+
Spring Boot实战之Filter实现使用JWT进行接口认证 jwt(json web token) 用户发送按照约定,向服务端发送 Header、Payload 和 Signature,并包含认证信息(密码),验证通过后服务端返回一个token,之后用户使用该token作为登录凭证,适合于移动端和api jwt使用流程 本文示例接上面几篇文章中的代码
登录校验,JWT令牌技术,过滤器(Filter)拦截器(interceptor)
烛照@123的博客
12-16 881
JWt令牌技术,过滤器,拦截器,都是我们在开发中常用的技术。
基于JWT令牌和filter过滤器实现用户登录状态验证,拦截非登录状态操作
kzf_studyhard的博客
03-21 942
springboot项目中基于JWT令牌和filter过滤器实现用户登录状态验证,拦截非登录状态操作
电影app怎样实现电影分类
03-08
好的,用户想知道在电影APP中如何实现电影分类功能,需要技术方案。首先,我需要结合他们提供的引用资料,尤其是引用[2]和引用[4],因为这两个提到了具体的功能模块和技术实现。 引用[2]里提到管理员可以管理影片...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值