Jhipster之JWT认证解析

最新推荐文章于 2025-03-31 08:57:17 发布
最新推荐文章于 2025-03-31 08:57:17 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: java Spring
本文详细介绍了使用JSON Web Tokens (JWT)进行用户身份验证的过程。包括token的生成、验证及权限管理,展示了如何在用户登录时生成token,以及如何在后续请求中通过JWTFilter拦截器验证token的有效性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.token生成

在用户登录时,请求/api/authenticate,Controller中注入AuthenticationManager用于验证用户名和密码是否正确,验证通过使用tokenProvider创建token并返回给前端

@PostMapping("/authenticate")
@Timed
public ResponseEntity<JWTToken> authorize(@Valid @RequestBody LoginVM loginVM) {

    UsernamePasswordAuthenticationToken authenticationToken =
        new UsernamePasswordAuthenticationToken(loginVM.getUsername(), loginVM.getPassword());

    Authentication authentication = this.authenticationManager.authenticate(authenticationToken);
    SecurityContextHolder.getContext().setAuthentication(authentication);
    boolean rememberMe = (loginVM.isRememberMe() == null) ? false : loginVM.isRememberMe();
    String jwt = tokenProvider.createToken(authentication, rememberMe);
    HttpHeaders httpHeaders = new HttpHeaders();
    httpHeaders.add(JWTFilter.AUTHORIZATION_HEADER, "Bearer " + jwt);
    return new ResponseEntity<>(new JWTToken(jwt), httpHeaders, HttpStatus.OK);
}

2. token验证

使用JWT认证,会生成如下3个类 

import org.springframework.security.config.annotation.SecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.DefaultSecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

public class JWTConfigurer extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {

    private TokenProvider tokenProvider;

    public JWTConfigurer(TokenProvider tokenProvider) {
        this.tokenProvider = tokenProvider;
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        JWTFilter customFilter = new JWTFilter(tokenProvider);
        http.addFilterBefore(customFilter, UsernamePasswordAuthenticationFilter.class);
    }
}
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.util.StringUtils;
import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * Filters incoming requests and installs a Spring Security principal if a header corresponding to a valid user is
 * found.
 * 
 */
public class JWTFilter extends GenericFilterBean {

    public static final String AUTHORIZATION_HEADER = "Authorization";

    public static final String AUTHORIZATION_TOKEN = "access_token";

    private TokenProvider tokenProvider;

    public JWTFilter(TokenProvider tokenProvider) {
        this.tokenProvider = tokenProvider;
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
        throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        String jwt = resolveToken(httpServletRequest);
        if (StringUtils.hasText(jwt) && this.tokenProvider.validateToken(jwt)) {
            Authentication authentication = this.tokenProvider.getAuthentication(jwt);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }
        filterChain.doFilter(servletRequest, servletResponse);
    }

    private String resolveToken(HttpServletRequest request){
        String bearerToken = request.getHeader(AUTHORIZATION_HEADER);
        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7);
        }
        String jwt = request.getParameter(AUTHORIZATION_TOKEN);
        if (StringUtils.hasText(jwt)) {
            return jwt;
        }
        return null;
    }
}
import java.nio.charset.StandardCharsets;
import java.security.Key;
import java.util.*;
import java.util.stream.Collectors;
import javax.annotation.PostConstruct;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;

import io.github.jhipster.config.JHipsterProperties;
import io.jsonwebtoken.*;
import io.jsonwebtoken.io.Decoders;
import io.jsonwebtoken.security.Keys;

@Component
public class TokenProvider {

    private final Logger log = LoggerFactory.getLogger(TokenProvider.class);

    private static final String AUTHORITIES_KEY = "auth";

    private Key key;

    private long tokenValidityInMilliseconds;

    private long tokenValidityInMillisecondsForRememberMe;

    private final JHipsterProperties jHipsterProperties;

    public TokenProvider(JHipsterProperties jHipsterProperties) {
        this.jHipsterProperties = jHipsterProperties;
    }

    @PostConstruct
    public void init() {
        byte[] keyBytes;
        String secret = jHipsterProperties.getSecurity().getAuthentication().getJwt().getSecret();
        if (!StringUtils.isEmpty(secret)) {
            log.warn("Warning: the JWT key used is not Base64-encoded. " +
                "We recommend using the `jhipster.security.authentication.jwt.base64-secret` key for optimum security.");
            keyBytes = secret.getBytes(StandardCharsets.UTF_8);
        } else {
            log.debug("Using a Base64-encoded JWT secret key");
            keyBytes = Decoders.BASE64.decode(jHipsterProperties.getSecurity().getAuthentication().getJwt().getBase64Secret());
        }
        this.key = Keys.hmacShaKeyFor(keyBytes);
        this.tokenValidityInMilliseconds =
            1000 * jHipsterProperties.getSecurity().getAuthentication().getJwt().getTokenValidityInSeconds();
        this.tokenValidityInMillisecondsForRememberMe =
            1000 * jHipsterProperties.getSecurity().getAuthentication().getJwt()
                .getTokenValidityInSecondsForRememberMe();
    }

    public String createToken(Authentication authentication, boolean rememberMe) {
        String authorities = authentication.getAuthorities().stream()
            .map(GrantedAuthority::getAuthority)
            .collect(Collectors.joining(","));

        long now = (new Date()).getTime();
        Date validity;
        if (rememberMe) {
            validity = new Date(now + this.tokenValidityInMillisecondsForRememberMe);
        } else {
            validity = new Date(now + this.tokenValidityInMilliseconds);
        }

        return Jwts.builder()
            .setSubject(authentication.getName())
            .claim(AUTHORITIES_KEY, authorities)
            .signWith(key, SignatureAlgorithm.HS512)
            .setExpiration(validity)
            .compact();
    }

    public Authentication getAuthentication(String token) {
        Claims claims = Jwts.parser()
            .setSigningKey(key)
            .parseClaimsJws(token)
            .getBody();

        Collection<? extends GrantedAuthority> authorities =
            Arrays.stream(claims.get(AUTHORITIES_KEY).toString().split(","))
                .map(SimpleGrantedAuthority::new)
                .collect(Collectors.toList());

        User principal = new User(claims.getSubject(), "", authorities);

        return new UsernamePasswordAuthenticationToken(principal, token, authorities);
    }

    public boolean validateToken(String authToken) {
        try {
            Jwts.parser().setSigningKey(key).parseClaimsJws(authToken);
            return true;
        } catch (io.jsonwebtoken.security.SecurityException | MalformedJwtException e) {
            log.info("Invalid JWT signature.");
            log.trace("Invalid JWT signature trace: {}", e);
        } catch (ExpiredJwtException e) {
            log.info("Expired JWT token.");
            log.trace("Expired JWT token trace: {}", e);
        } catch (UnsupportedJwtException e) {
            log.info("Unsupported JWT token.");
            log.trace("Unsupported JWT token trace: {}", e);
        } catch (IllegalArgumentException e) {
            log.info("JWT token compact of handler are invalid.");
            log.trace("JWT token compact of handler are invalid trace: {}", e);
        }
        return false;
    }
}
import javax.validation.constraints.NotNull;
    import javax.validation.constraints.Size;

/**
 * View Model object for storing a user's credentials.
 *
 */
public class LoginVM {

    @NotNull
    @Size(min = 1, max = 50)
    private String username;

    @NotNull
    @Size(min = ManagedUserVM.PASSWORD_MIN_LENGTH, max = ManagedUserVM.PASSWORD_MAX_LENGTH)
    private String password;

    private Boolean rememberMe;

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public Boolean isRememberMe() {
        return rememberMe;
    }

    public void setRememberMe(Boolean rememberMe) {
        this.rememberMe = rememberMe;
    }

    @Override
    public String toString() {
        return "LoginVM{" +
            "username='" + username + '\'' +
            ", rememberMe=" + rememberMe +
            '}';
    }
}

其中TokenProvider提供创建token,验证token,获取权限等功能

JWTFilter拦截器对token进行校验和权限获取,并赋给SpringContext

JWTConfigurer中配置了JWTFiter的作用时机在UsernamePasswordAuthenticationFilter之前

如此,在请求到达时,通过JWTFiter解析并验证token,给这个请求赋予权限

网关中使用JWT进行用户权限控制代码
ZHANGJNWEI的专栏
09-15 1043
这个一个权限校验的全局过滤器,实现Gateway的GlobalFilter接口,项目中使用到反应式编程方法; 权限校验原理是基于JWT的token校验法; //整个类实现springcloud-gateway中GlobalFilter接口,项目中使用到反应式编程方法 @Override public Mono<Void> filter(ServerWebExchange serverWebExchange, GatewayFilterChain gatewayFilterCha.
JWT拦截接口后台Springboot处理涉及跨域问题干货
Lucas_wei的博客
12-04 3335
jwt概念: JSON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。 JWT适合一次性的命令认证,颁发一个有效期极短的JWT,即使暴露了危险也很小,由于每次操作都会生成新的JWT,因此也没必要保存JWT,真正实现无...
跟着JHipster学做项目 (6) 安全访问控制(上)JWT的Spring Boot应用
java_augur的专栏
06-04 1401
通过配置可以生成JHipster运用JWT进行访问控制的一套代码,主要是通过JWTFilter过滤器,并把它置于UsernamePasswordAuthenticationFilter前端对用户进行Authentication(认证)和Authorization(授权)控制,此外对于认证或者授权失败是采用前文提到的异常处理。 这里需要引入的依赖如下: <dependency> <groupId>org.springframework.boot</groupId&g
深入了解 Bearer 模式
最新发布
沉梦听雨的博客
03-31 1894
Bearer 模式是 OAuth 2.0 标准定义的一种令牌认证方式。谁拥有这个令牌,就可以凭借它访问受保护的资源。它通常用于在无状态 HTTP 请求中传递用户身份或授权信息。Bearer Token 的认证信息一般通过 HTTP 请求头的Bearer是固定的前缀,用于标识认证类型。<token>是具体的令牌(例如 JWT)。Bearer Token 是一种灵活且广泛应用的认证方式,它通过 OAuth 2.0 标准化了令牌的传递方式,简化了身份验证的实现。始终使用 HTTPS 保护令牌传输。
跟着JHipster学做项目 (6) 安全访问控制(下)JWT的Vue前端应用
java_augur的专栏
06-04 508
JHipster前端对JWT处理主要包括两个方面: 请求后端授权后对token进行解析。 从localStorage或者sessionStorage中获取token并放入请求报文。 JHipster没有采用Spring Boot默认的formData以及/login, 而是json报文,/authenticate,代码如下: public doLogin(): void { const data = { username: this.login, password: this.passw
Jhipster token签名异常——c.f.o.cac.security.jwt.TokenProvider : Invalid JWT signature.
mhx123456789的博客
08-27 270
Jhipster token签名异常——c.f.o.cac.security.jwt.TokenProvider : Invalid JWT signature.
使用JavaScript实现JWT鉴权
Scar的博客
04-12 8856
随着互联网的崛起,对Web服务应用的安全性要求越来越高。在前后端分离的开发模式中,服务端使用特定的加密方式生成token,客户端储存token作为授权传递给服务端,验证身份等信息是保障安全性的一种方式。其中JWT(JSON Web Token)这种用于通信双方之间以 JSON 对象的形式传递信息的轻量鉴权方式受到越来越多的开发者喜爱。 什么是鉴权 如果没有鉴权信息,他人能够轻而易举的调用API对我...
jhipster-token
06-21
jhipster-token】是一个基于Java开发的项目,主要用于处理JWT(JSON Web Tokens)在JHipster应用程序中的实现和管理。JHipster是一个高度可配置的工具,用于快速生成高质量的Spring Boot和Angular/React/Vue.js...
JHipster模块APIutils:提升API-First开发的实用工具集
generator-jhipster-apiutils支持将Swagger UI 2升级到Swagger UI 3,提供更现代的用户界面,更好的用户体验以及对JWT(JSON Web Token)认证的支持。 9. 前提条件与安装:在使用generator-jhipster-apiutils之前,...
JWT VUe springboot
03-15
在Spring Boot中设置JWT认证通常涉及以下几个方面: 1. **创建自定义过滤器** 创建一个`JwtTokenFilter`类来拦截请求并解析JWT令牌。此过滤器会检查HTTP头中的`Authorization`字段是否存在有效的JWT令牌。 ```...
Web应用开发进阶教程:全面基础及高级指南与高级案例解析
HSX的博客
07-04 757
企业级应用开发涉及复杂的架构设计、高并发处理、数据安全、可扩展性和高可用性等多个方面,可能不适合新手或其他职业者学习(高难度)
JWT的创建与校验
qq_42582773的博客
12-24 591
创建token long currentTime = System.currentTimeMillis(); long exp = currentTime + 1000*60;// 设置有效时间为1分钟 // 创建JwtBuilder对象 JwtBuilder jwtBuilder = Jwts.builder() // 唯一ID:{"jti": "888"} .setId("888")
jwt的基础使用
dengdai123654的博客
05-01 491
jwt==Json Web Token 在前后端分离的项目中使用jwt来做请求的校验,权限处理等一系列相关操作,jwt是一个轻量级的插件使用起来非常便捷,且支持多种开发语言,Java、PHP、Python等语言都可以使用。 1、maven依赖 <dependency> <groupId>io.jsonwebtoken</groupId> ...
Token认证策略
啊哈的博客
07-18 739
一、传统模式 session做认证 就不过多介绍了 二、采用JWT JSON WBEB TOKENS实现Token 概念 :将用户的信息做成一个加密字符串传递给客户端,客户端访问时服务器验证token 确认身份 前端部分 1: $.ajaxSetup({ //设置全局ajax的属性,如果属性被重写会覆盖 cache: false, beforeSend...
SpringBoot + jwt 详解+使用案例
热门推荐
zkcJava的博客
08-26 1万+
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案
JWT
崔向阳@李晓的博客
04-02 1398
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部用于描述关于该JWT的最基本的信息 例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {"typ":"JWT","alg":"HS256"} 在头部指明了签名算法是HS256...
java安全(一)-- jwt的使用
LuckyToMeet-Dian叶
05-08 820
前言:        编码安全很可畏,特别是小微企业或者是很多粗心的程序员都会忽略的一些点--安全编码。在平常的开发中,我们经常会使用辨别用户身份是各种机制。但是很少人真正了解这些机制的优势以及劣势。今天小编写一篇近段时间所研究的各种机制,已经对一些常见web漏洞的讲解。    下面开始接受几个常用的身份验证机制:    一:session-cookie机制         这个机制深入人心呀。。...
jwt java 项目实例_springboot JWT项目实战demo
weixin_27923353的博客
02-16 720
本文是一篇实战demo,使用框架为io.jsonwebtoken的jjwt。你会了解到token的生成,解析过程,最后将在项目中体验jwt的使用过程。如果不是很了解jwt,可以参考以下文章补充一下。目录1、引入所用到的库io.jsonwebtokenjjwt-api0.11.2io.jsonwebtokenjjwt-impl0.11.2runtimeio.jsonwebtokenjjwt-jack...
跟着JHipster学做项目 (10) 缓存的应用
java_augur的专栏
09-11 631
JHipster对于缓存的应用有两个层级,一种是对于DTO的缓存,另外是Hibernate第二级缓存。本文着重介绍第一种,对于DTO层的缓存。 在应用程序中往往需要对登录用户信息进行多次查询,比如验证用户的状态等等,将用户DTO放进缓存,会大大减少对数据库的访问。 JHipster支持五种缓存实现: Ehcache, Caffeine, Hazelcast, Infinispan and Memcached。以Ehcache为例,首先引入依赖 <dependency> <
.NET Core WebAPI JWT 认证深度解析
“本文详细介绍了如何在.NET Core WebAPI中实现JWT(JSON Web Token)认证,提供了一种非主流但更灵活的方式,将获取和验证token的过程分离,并将相关配置存储在config中。” 在.NET Core WebAPI中,JWT认证是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值