Springboot 从零开始 3 json web token / annotation / interceptor 的使用

最新推荐文章于 2025-04-09 13:24:45 发布
最新推荐文章于 2025-04-09 13:24:45 发布
阅读量165 收藏
点赞数
分类专栏: Springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_28323373/article/details/102550528
版权
本文介绍了Springboot中使用JSON Web Token (JWT) 进行身份验证,包括生成和验证token,创建自定义注解以及实现拦截器来处理需要登录的接口。详细讲述了注解的使用和拦截器如何在运行时识别并处理请求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

验证登录

登录的校验对比加盐的密钥是否匹配即可,正常项目中尽量不要明文发送密码。
首先简单确认是否登录成功:

@PostMapping("/login")
    public Map<String, Object> login(@RequestBody Map<String, Object> params) throws Exception {
        Map<String, Object> map = ETools.responseMap();
        String username = params.get("username").toString();
        String password = params.get("password").toString();
        List<EUser> list = mapper.getUserBy(username);
        if (list.size() > 0) {
            EUser user = list.get(0);
            if (ETools.verifyMd5(password, salt, user.getPassword())) {
                return  map;
            }
        }
        map.put("status", 0);
        map.put("msg", "login failure");
        return map;
    }

/**
     * MD5验证方法
     *
     * @param text 明文
     * @param key 密钥
     * @param md5 密文
     * @return true/false
     * @throws Exception
     */
    public static boolean verifyMd5(String text, String key, String md5) throws Exception {
        //根据传入的密钥进行验证
        String md5Text = md5(text, key);
        if(md5Text.equalsIgnoreCase(md5))
        {
            System.out.println("MD5验证通过");
            return true;
        }

        return false;
    }

生成token

添加JWT依赖(json web token)

	<dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.8.3</version>
	</dependency>

使用JWT生成token

	public String getToken(EUser user) {
        String token = JWT.create()
                .withAudience(String.valueOf(user.getId()))
                .sign(Algorithm.HMAC256(user.getPassword()));
        return token;
    }

使用JWT验证token

	public EUser getUser(String token) {
        long uid;
        try {
            uid = Long.parseLong(JWT.decode(token).getAudience().get(0).toString());
        } catch (JWTDecodeException e) {
            throw new RuntimeException("401");
        }
        EUser user = mapper.getOne(uid).get(0);
        JWTVerifier verifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
        try {
            verifier.verify(token);
        } catch (JWTVerificationException e) {
            throw new RuntimeException("401");
        }
        return user;
    }

添加运行时可识别的注解

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
    boolean required() default true;
}
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiredToken {
    boolean required() default true;
}

@Target:注解的作用目标
@Target(ElementType.TYPE) 接口、类、枚举、注解
@Target(ElementType.FIELD) 字段、枚举的常量
@Target(ElementType.METHOD) 方法
@Target(ElementType.PARAMETER) 方法参数
@Target(ElementType.CONSTRUCTOR) 构造函数
@Target(ElementType.LOCAL_VARIABLE) 局部变量
@Target(ElementType.ANNOTATION_TYPE) 注解
@Target(ElementType.PACKAGE) 包

@Retention:注解的保留位置
RetentionPolicy.SOURCE:这种类型的Annotations只在源代码级别保留,编译时就会被忽略,在class字节码文件中不包含。
RetentionPolicy.CLASS:这种类型的Annotations编译时被保留,默认的保留策略,在class文件中存在,但JVM将会忽略,运行时无法获得。
RetentionPolicy.RUNTIME:这种类型的Annotations将被JVM保留,所以他们能在运行时被JVM或其他使用反射机制的代码所读取和使用。
@Document:说明该注解将被包含在javadoc中
@Inherited:说明子类可以继承父类中的该注解

拦截请求

增加接口添加上面自定义的注解@RequiredToken表示该接口需要登录

	@RequiredToken
    @RequestMapping("/getMessage")
    public Map<String, Object> getMessage(@RequestBody Map<String, Object> params) throws Exception {
        Map<String, Object> map = ETools.responseMap();
        map.put("msg", "return message string");
        return map;
    }

新建一个配置类,通过@Configuration注释告诉Spring将此类作为配置类bean添加到IOC容器中,spring2.0需要实现WebMvcConfigurer的方式重写addInterceptors,在方法里返回一个合适的配置类的实例用作配置。

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**");

    }

    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }

}

新建一个配置类AuthenticationInterceptor实现HandlerInterceptor接口。preHandle方法会在请求处理前进行拦截,在此方法中调用method类的isAnnotationPresent检查对应的注解是否是自定义注解,并在method的getAnnotation方法中获取注解类的方法完成自定义的逻辑判断结果。使用上面getUser方法进行token有效性校验。

public class AuthenticationInterceptor implements HandlerInterceptor {

    @Autowired
    private EUserMapper mapper;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        Method method = ((HandlerMethod) handler).getMethod();
        //skip pass token type
        if (method.isAnnotationPresent(PassToken.class)) {
            if (method.getAnnotation(PassToken.class).required()) {
                return true;
            }
        }
        //check the validity of the token
        if (method.isAnnotationPresent(RequiredToken.class)) {
            if (!method.getAnnotation(RequiredToken.class).required()) {
                return true;
            }
            if (token == null) {
                throw new RuntimeException("请先登录");
            }
            EUser user = getUser(token);
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, @Nullable Exception ex) throws Exception {

    }

    public EUser getUser(String token) {
        long uid;
        try {
            uid = Long.parseLong(JWT.decode(token).getAudience().get(0).toString());
        } catch (JWTDecodeException e) {
            throw new RuntimeException("401");
        }
        EUser user = mapper.getOne(uid).get(0);
        JWTVerifier verifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
        try {
            verifier.verify(token);
        } catch (JWTVerificationException e) {
            throw new RuntimeException("401");
        }
        return user;
    }

}

运行项目,使用postman进行检查,先在登录接口中增加token的返回:

@PostMapping("/login")
    public Map<String, Object> login(@RequestBody Map<String, Object> params) throws Exception {
        Map<String, Object> map = ETools.responseMap();
        String username = params.get("username").toString();
        String password = params.get("password").toString();
        List<EUser> list = mapper.getUserBy(username);
        if (list.size() > 0) {
            EUser user = list.get(0);
            if (ETools.verifyMd5(password, salt, user.getPassword())) {
                String token = getToken(user);
                Map<String, String> data = new HashMap<String, String>();
                data.put("token", token);
                map.put("data", data);
                return map;
            }
        }
        map.put("status", 0);
        map.put("msg", "login failure");
        return map;
    }

调用登录接口获取token:
在这里插入图片描述
调用getMessage接口进行测试:

使用错误的token返回:
在这里插入图片描述
不使用token返回:
在这里插入图片描述
使用正确token返回:
在这里插入图片描述

Springboot3: JWT认证支持
随风飘絮
10-20 2549
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。由三部分组成:1,头部(header): token类型和签名算法, json2,数据(payload): 存放实际需要传递的数据,json3,签名(Signature):base64编码过的header数据+"."+base64编码过的payload数据,服务端密钥,从头部获取签名算法,进行加密获得。
Web 开发 身份验证2 | SpringBoot 整合 JWT | 前后端分离策略 | 跨域问题的出现与解决
希望每天都能进步一点点
07-24 456
基于上次SpringBoot 整合 JWT,在前后端不分离的情况下使用 JWT 是比较麻烦的,如果配置拦截器,那么拦截器里需考虑页面跳转到问题,本次学习中我们实现在前后端分离情况下前后端的 JWT 认证,其中设计到了跨域问题,从零开始了解跨域,并介绍后端三种解决跨域不同的方式,实现CORS方式的跨域。通过本篇文章,能提升对前后端交互方式的理解,前端目前只采用简短的 JQuery,未涉及路由的概念,下次学习我将使用 Vue2来实现 JWT认证,到时候可以用到路由,这样一来,前后端交互的逻辑就更加清晰了。...
TOKEN自定义注解
05-18
TOKEN自定义注解,用于防止重复提交的,直接应用就可以了!
SpringBoot整合JWT(JSON Web Token)生成token与验证
小hui的博客
06-19 5539
JWT(JSON Web Token)是是目前最流行的跨域认证解决方案。它通常被用于对用户进行身份验证和授权。这篇文章是springboot对jwt的整合实例
一文带你了解springboot3+jwt+security的使用
最新发布
java_beautiful的博客
04-09 777
Spring Security已经成为java后台权限校验的第一选择.今天就通过读代码的方式带大家深入了解一下Security,本文主要是基于开源项目 spring-boot-3-jwt-security来讲解Spring Security + JWT(Json Web Token).实现用户鉴权,以及权限校验. 所有代码基于jdk17+构建.现在让我们开始吧! 项目配置 鉴权配置 当项目引入Security依赖后,启动项目会生成一个随机的密码,当我们要访问资源的时候需要使用这个密码登录后才能使
基于Spring Boot 3与JWT构建现代化登录认证机制
Yaml4的博客
03-26 1426
Spring Boot 3 整合 JWT(JSON Web Tokens)用于登录开发涉及多个步骤。JWT 是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。这些信息可以被验证和信任,因为它们是数字签名的。
Springboot+Vue博客项目总结
2401_84092694的博客
04-20 1024
你要问前端开发难不难,我就得说计算机领域里常说的一句话,这句话就是『难的不会,会的不难』,对于不熟悉某领域技术的人来说,因为不了解所以产生神秘感,神秘感就会让人感觉很难,也就是『难的不会』;当学会这项技术之后,知道什么什么技术能做到什么做不到,只是做起来花多少时间的问题而已,没啥难的,所以就是『会的不难』。我特地针对初学者整理一套前端学习资料,免费分享给大家,戳这里即可免费领取pping(“”)//加上该注解代表要对此接口记录日志。
Springboot入门到精通(超详细文档)
m0_67393413的博客
06-12 3805
我们知道,从 2002 年开始,Spring 一直在飞速的发展,如今已经成为了在Java EE(Java Enterprise Edition)开发中真正意义上的标准,但是随着技术的发展,Java EE使用 Spring 逐渐变得笨重起来,大量的 XML 文件存在于项目之中。繁琐的配置,整合第三方框架的配置问题,导致了开发和部署效率的降低。2012 年 10 月,Mike Youngstrom 在 Spring jira 中创建了一个功能请求,要求在 Spring 框架中支持无容器 Web 应用程序体系结构
Java 之SpringBoot+SpringSecurity+Vue实现后台管理系统的开发【二、后端】
m0_67265464的博客
07-27 2008
从零开始搭建一个项目骨架,最好选择合适熟悉的技术,并且在未来易拓展,适合微服务化体系等。所以一般以Springboot作为我们的框架基础,这是离不开的了。然后数据层,我们常用的是Mybatis,易上手,方便维护。但是单表操作比较困难,特别是添加字段或减少字段的时候,比较繁琐,所以这里我推荐使用MybatisPlus(https),为简化开发而生,只需简单配置,即可快速进行CRUD操作,从而节省大量时间。SpringSecurity,使用security作为我们的权限控制和会话控制的框架。...
Java零基础——SpringMVC篇
m0_47946173的博客
11-23 1814
SpringMVC是Spring框架中的一个组件,是一个轻量级的web的MVC框架,充当controller,其本质就是一个Servlet。
springboot3+jdk17+shiro+jwt+redis
hahaha的博客
05-29 3361
注意,jdk17的规范是Jakarta EE,虽然最新版本shiro适配springboot3,但是部分包要单独适配整个认证流程登录和登录之后每一次的认证是不一样的,登录后由工具类jwtUtil生成一个token,返回给前端用于之后每次请求。
SpringBoot之JWT令牌校验
qq_73918355的博客
04-17 4043
您首先定义了一个JWT字符串,模拟了用户传递过来的token
SpringAOP----Token校验以及Token续签的操作
m0_58438555的博客
04-27 912
首先我们知道在登录状态下要保存Token,当进行操作的时候我们要去判断Token是否存在,所以这里写了一个简单的判断Token的方法 定义切入点 还是用注解作为切入点,个人认为用注解作为切入点是最好,最方便的一种方法 @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.TYPE, ElementType.METHOD}) public @interface TokenAnnotation { } 具体的方法体 //切入点表达式
springmvc自定义注解拦截器方式实现注解功能拦截器的配置
natural_的博客
06-15 4086
注解类: @Target({ ElementType.TYPE, ElementType.METHOD }) @Retention(RetentionPolicy.RUNTIME) public @interface TokenRequiresRoles { /** * A single String role name or multiple comma-delimitt
Springboot使用Interceptor完成token校验
简单随风的博客
04-27 1693
UnAuthenticatedException 都是异常抛错,可无视 public class PermissionInterceptor extends HandlerInterceptorAdapter { public PermissionInterceptor(){ super(); } @Override public boolean...
SpringBoot拦截器和自定义注解验证是否登录
热门推荐
Amy的博客
12-23 2万+
SpringBoot开发后台用于移动端API接口,移动端登录一次后,返回accessToken字符串,移动端后面的交互只要传入accessToken即可验证其有效性,将accessToken转换成CurrentUser,在controller内可以直接使用操作其bean。1.Token生成帮助类;2.拦截器验证是否是有效的accessToken;3.添加自定义注解LoginRequired(请求方法是否需要验证ac
@interface 自定义annotation 通过AOP来实现人员操作日志
05-13 1672
@interface 自定义annotation 通过AOP来实现人员操作日志 首先 自定义annotation @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface Token {    //此处实例是用来做token验证的,要是日志处理的话  可以在多定义几个参数 
利用JSON Web Token实现前后端安全通信
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在各方之间安全地传输信息。这些信息可以被验证和信任,因为它们是数字签名的。JWT可以使用密钥(HMAC算法)或使用RSA的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值