jwt 进行用户认证

官网

总结

token的签名(生成token),解码(根据私钥和算法),判定token有效性、得到负载信息

好处

跨域(请求头中)

无状态化(不需要持久化)

依赖

<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
</dependency>

生成token

public static String sign(String username, String userId) {
    try {
        Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME); 
        Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET); //根据私钥生成算法
        Map<String, Object> header = new HashMap<>(2);
        header.put("typ", "JWT");
        header.put("alg", "HS256");
        
        return JWT.create().
            withHeader(header).
            withClaim("loginName",  username).
            withClaim("userId", userId).
            withExpiresAt(date).sign(algorithm);
    } catch (UnsupportedEncodingException e) {
        return null;
    }
}

private static final long EXPIRE_TIME = 24 * 60 * 60 * 1000; //过期时间
 
private static final String TOKEN_SECRET = "f26e587c28064d0e855e72c0a6a0e618"; //私钥

认证

@GetMapping("/login")
@ResponseBody
public String login(User user) {
    String loginName = map.get("username");
    String password = map.get("password");

    boolean isSuccess = service.hasUserByUsernameAndPassword(username, password);
    if (isSuccess) {
        User user = userService.getUserByLoginName(loginName);
        if (user != null) {
            String token = JwtUtil.sign(user.getName(), user.getId());
            if (token != null)  return token;
        }
    }

    return "success";
}

拦截器配置(获取token,查看缓存中是否存在该token)

public class TokenInterceptor implements HandlerInterceptor {    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("access_token");
        if (token != null) {
            boolean result = JwtUtil.verify(token); 
            if (result) {
                return true;
            }
        }
    }
}

放行认证接口

<mvc:interceptors>
    <mvc:interceptor>
        <mvc:mapping path="/**" />
        <mvc:exclude-mapping path="/login/"/>
        <bean class="com.joe.interceptor.TokenInterceptor"></bean>
    </mvc:interceptor>
</mvc:interceptors>

验证token的有效性

public static boolean verify(String token) {
    try {
        Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
        JWTVerifier verifier = JWT.require(algorithm).build();
        DecodedJWT jwt = verifier.verify(token);
        return true;
    } catch (Exception exception) {
        return false;
    }
}

获取负载信息

public static String getUsername(String token) {
    try {
        DecodedJWT jwt = JWT.decode(token);
        return jwt.getClaim("loginName").asString();
    } catch (JWTDecodeException e) {
        return null;
    }
}
### 使用JWT进行用户认证的实现 #### 1. JWT的工作原理 JSON Web Token (JWT) 是一种开放标准 (RFC 7519),用于在网络应用环境间安全地传输信息。JWT通常由三部分组成:头部(Header)、载荷(Payload) 和 签名(Signature)[^2]。 #### 2. Java Spring Boot 中的 JWT 实现 在Spring Boot项目中,可以创建一个 `JwtUtils` 类来负责生成和解析JWT令牌。以下是具体的实现细节: - **生成JWT** 在 `generateJwt` 方法中,使用 `Jwts.builder()` 构造JWT,并设置签发者、主题、过期时间以及签名密钥。签名算法采用 HS256(HMAC with SHA-256),这需要一个预定义的秘密密钥[^1]。 ```java import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; public String generateJwt(Map<String, Object> claims, long expirationMillis, String secretKey) { return Jwts.builder() .setClaims(claims) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + expirationMillis)) .signWith(SignatureAlgorithm.HS256, secretKey) .compact(); } ``` - **解析JWT** 解析JWT的过程涉及验证其签名的有效性和提取其中的声明(Claims)。如果签名无效,则会抛出异常。 ```java import io.jsonwebtoken.Claims; import io.jsonwebtoken.ExpiredJwtException; import io.jsonwebtoken.JwtParser; import io.jsonwebtoken.Jwts; public Claims parseJwt(String jwt, String secretKey) throws ExpiredJwtException { JwtParser parser = Jwts.parser().setSigningKey(secretKey); return parser.parseClaimsJws(jwt).getBody(); } ``` #### 3. 登录流程中的JWT集成 当用户成功登录时,服务器端应生成一个JWT并将其返回给客户端。客户端需保存此令牌,并在后续请求中通过HTTP Header 的 `Authorization` 字段发送该令牌以完成身份验证[^2]。 ```http Authorization: Bearer <token> ``` #### 4. 异常处理与安全性考虑 对于任何JWT验证失败的情况,应该统一捕获这些异常并通过自定义的全局异常处理器来进行响应。例如,在Hyperf框架下可以通过抛出自定义异常类 `TokenValidException` 来管理未授权访问的情形[^4]。 另外需要注意的是保护好用来签署JWT的私有秘钥;同时合理设定token有效期防止长期有效的安全隐患存在。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值