3-1. SpringBoot项目集成【用户身份认证】实战 【技术选型篇】基于Session、Token、JWT怎么选?

已于 2023-04-02 11:46:44 修改
阅读量5.3k 收藏 74
点赞数 78
CC 4.0 BY-SA版权
分类专栏: SpringBoot+Vue前后端分离项目实战 文章标签: spring boot java jwt Session Token
于 2023-03-29 16:36:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/scm_2008/article/details/129838950
本文介绍了SpringBoot项目中用户身份认证的三种常见机制:基于Cookie的Session、有状态和无状态的Token,以及JWT。重点阐述了JWT的原理和优势,包括安全、无状态和可自定义字段。文章旨在帮助读者理解为何选择JWT,并提供了实战项目的背景和目标。

前言

通过第二章2-2. SpringBoot API开发详解 --SpringMVC注解+封装结果+支持跨域+打包,我们实现了基于SpringBoot项目的API接口开发,并实现 API结果统一封装、支持跨域请求等等功能,接下来开始第三章,主要做用户身份认证,主要实现一套统一鉴权的用户身份认证的机制

我已经提前和狗哥一起讨论确定了认证机制,会采用目前流行的基于JWT的Token用户身份认证机制,主流程如下:

  1. 前端请求【用户名+密码登录】接口,后端验证通过后生成Token 返回给前端;
  2. 前端保存Token,以后每次请求API都会携带Token,后端校验Token通过就正常返回数据;
  3. 直到后端校验Token已失效,这时再从第1步重新开始。
    JWT认证流程

为什么这么选型?我们都考虑了哪些点?
OK,那我也很乐意和大家一起探讨:怎么做好用户身份认证!
网上很多文章大多直接整合JWT,并没有讲解 为什么选择JWT?与其它选型对比有什么优缺点? 这些都是我们实战的基础,也会让我们代码写的清清楚楚、明明白白。不管写毕业设计,这是面试谈项目亮点,本文也将是你可以参考的点!
用户身份认证很重要,很多小细节,等你收割!相信本文一定会让你有所收获!OK,Let’s go!

PS,完整的用户身份认证代码早已实现,和狗哥也已联调通过,将分三篇来写,非常详细,料很足,准备好发车喽,Let’s go!
本文对应思维导图:
技术选型Session、Token、JWT?

专栏介绍

因为可能还有很多同学还不清楚上下文,所以简单介绍一下这个专栏要做的事:

天罡老哥和狗哥(博客主页)有意从0到1带大家搭建一个SpringBoot+SpringCloud+Vue的前后端分离项目!
打造一个短小精悍、技术主流、架构规范的前后端分离实战项目!我负责后端,狗哥负责前端!
目的就是让大家通过项目实战,学到一些真东西,将所学理论落地,助力有心强大的你更快的成长!开启你的工作之旅,让开发游刃有余!

详细的后端规划后端大纲思维导图在开篇已经给出,你可以到开篇查收:基于SpringBoot+SpringCloud+Vue前后端分离项目实战 --开篇

优快云成就一亿技术人

本文目录

提前说明:

因为HTTP 是无状态的协议,每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人,所以就需要在用户登录后进行登录态的管理

一、基于Cookie的Session(会话)认证机制

其中有一种是基于Session的方式,是一种记录服务端和浏览器会话状态的机制,大致的流程如下:

  1. 登录成功后,服务端根据用户信息生成唯一标识SessionId ,比如根据用户ID+加随机盐salt,然后进行各种加密生成

  2. 服务端保存SessionId以及对应的用户信息,比如保存在内存或Redis等,需要维护过期时间。然后将SessionId写入Cookie。

  3. 前端请求API时会自动携带Cookie中的SessionId,服务端通过SessionId获取Session进行校验:

    • 如果找到 Session 证明用户已经登录,进行后续处理;
    • 如果未找到Session说明用户没有登录或者登录失效,这时再从第1步重新开始。

了解本专栏 订阅专栏 解锁全文
3-2. SpringBoot项目集成用户身份认证实战实战核心】基于JWT生成和校验Token
天罡gg的专栏
03-31 3012
书接上文技术选型,我们做了【用户身份认证】的技术选型说明,对基于SessionTokenJWT的方案进行了详细的对比分析,详细说明了它们都是什么和各自的优缺点!这些是实战的基础,还没看过的同学,建议先看上文。最终我和狗哥(博客主页) 采用的是目前流行的基于JWTToken用户身份认证机制! 本文是实战核心,重点是把JWT的核心代码实现! 基于上文我们分析的【用户身份认证】的流程(如下图),我们可以确定使用JWT的核心是实现两点:生成Token、校验Token! 接下来我们就来实现它!
基于SpringBoot+SpringCloud+Vue前后端分离项目实战 --
天罡gg的专栏
03-07 2万+
如何高效学习Java? 毕业设计项目应该怎么做?入门实战项目应该怎么做? 做Java开发都应该学习哪些框架技术? 我想来跟你聊聊为什么要学习此专栏?我们经常说,看一个事儿千万不要直接陷入细节里,你应该先鸟瞰其全貌,这样能够帮助你从高维度理解问题。同样,当你迷茫想努力没有方向时,最事半功倍的方法是:找人带你! 因为过来人,更懂得如何学、如何做、如何少走弯路! 那今天就给大家带来一门专栏课程,由 天罡gg 和 经海路大白狗 两位实力大牛合力打造的一款专栏,可以让你从0到1快速拥有企业级规范的项目实战经验!
springboot实现身份认证
gaohechao的博客
02-28 1419
好久没总结项目了,最近一直比较忙都在加班,在整一个定制项目公交行业的,大致内容就是由于这几年受疫情影响好多年没有组织扫墓活动了,想通过定制车辆去扫墓,然后公交行业又有资源,是想做h5嵌入到公交app里面跟app做授权,有用户端和司机端,目前是这样做,然后有自己的一个管理平台做crud,大致有两个项目, 需要一个管理平台,去管理一些基础数据有一些导入导出功能,能实现基础表的crud操作,这里主要用的是人人开源的开源版本,前后台都是用的人人的,还是比较好上手的,后端是springboot 2....
SpringBoot集成JWT--实现token验证(转)
lingjianqwert110的博客
03-10 580
什么是JWTJWT即JSON WEB TOKEN,为了在网络应用环境上进行传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该token被设计者设计成紧凑且安全的,特别适用分布式站点的单点登陆(SSO)。JWT申明一般被用来在身份提供者和服务提供者之间传递被认证的用户信息,以便于从资源服务器上获取资源,也可以增加一些额外的业务逻辑所必需的的声明信息,该token可直接被用于认证了...
基于springboot的手机app端支付宝实名认证
a1430490717的博客
07-17 2670
yml配置文件: alipay: APP_ID: 2021001166634591 APP_PRIVATE_KEY: ALIPAY_PUBLIC_KEY: maven依赖: <!-- https://mvnrepository.com/artifact/com.alibaba/fastjson --> <dependency> <groupId>com.alibaba</groupId>
springboot 集成腾讯云市场身份证实名认证
hyddhy的博客
09-21 1367
该接口文档地址:https://market.cloud.tencent.com/products/6841,公司在使用,目前没发现什么问题 //控制层 @PostMapping("/getAuth") @ApiOperation(value = "实名认证接口", notes = "") public GlobalReponse<Object> getAuth(@RequestBody AuthDTO authDTO) throws NoSuchAlgorithmExcep
SpringBoot集成Sa-Token框架权限认证全面指南
最新发布
本博客聚焦 YOLOv11 全流程落地,涵盖架构优化、数据集处理、训练技巧与多场景部署,兼及国产数据库、Java 开发与 AI 模型应用,内容兼顾理论与工程实践,为开发者提供系统干货,助力高效提升技术能力。
06-22 486
Sa-Token是一款轻量级Java权限认证框架,提供登录认证、权限控制、单点登录等功能。其核心优势在于简单易用、功能全面,特别适合前后端分离和微服务架构。框架采用分层设计,包含API层、实现层和适配层,支持Token管理和分布式会话。传统方案相比,Sa-Token具有更低的学习曲线和更好的RESTful支持。集成SpringBoot时仅需添加简单依赖和配置即可快速启用,提供Token有效期、并发登录等灵活配置项。通过注解和拦截器实现权限校验,内置自动续期等实用功能,是一款高效便捷的权限管理解决方案。
SpringBootVue-element-admin前后端分离项目实战
身份认证采用JWT(JSON Web Token)方案,替代传统的Session机制,实现无状态登录验证,适合分布式部署场景。前端通过axios后端进行HTTP通信,遵循RESTful API设计规范,如GET用于查询、POST用于新增、PUT用于更新...
SpringBoot实现身份证实名认证(阿里云实现)
zhouhengzhe的博客
01-05 1万+
文章目录1、功能展示2、购买API3、 API 文档 1、功能展示 地址:阿里云身份证实名认证 2、购买API 购买成功的结果: AppKey 图上面 AppSecret 图上面 AppCode 图上面 3、 API 文档 地址:api文档
SpringBoot集成身份证认证
xiao-啸
09-27 2778
SpringBoot集成身份证认证 1. 身份认证 此处我们升级为自动的认证过程,无需人工参 1.1 功能展示 我们输入真实姓名和身份证号就能验证,其技术在于阿里云的身份认证接口. https://market.aliyun.com/products/57000002/cmapi022049.html?spm=5176.730005-56956004.productlist.d_cmapi022049.744d123e6WmvqO&innerSource=search#sku=yuncode16
SpringBoot实现基于token的登录验证
qq_36816062的博客
09-17 9896
SpringBoot实现基于token的登录验证        基于token的登录验证实现原理:客户端通过用户名和密码调用登录接口,当验证数据库中存在该用户后,将用户的信息按照token的生成规则,生成一个字符串token,返回给客户端,客户端在调用其他接口的时候,需要在请求头上带上token,来验证登录信息        Demo实现代码如下: (因为除登录接口外,
springboot项目集成JWT实现身份认证(权鉴)
dhklsl的专栏
04-11 2096
springboot集成JWT实现身份认证
第二十七天 SpringBootWeb(三)登录认证(JWT令牌,过滤器拦截器)
HuanLe.的博客
04-02 1502
完善前一天 登录校验(过滤器Filter 拦截器Interceptor) 全局异常处理
SpringBoot集成JWT实现Token登录验证
热门推荐
Young_深情不及里子的博客
11-25 3万+
JSON Web令牌(JWT)是一种开放的标准(RFC 7519),它定义了一种紧凑而独立的方式在各方之间安全地传输信息为JSON对象。学习总结一下SpringBoot整合JWT的登录token验证,简单易理解哦~
springboot整合springsecurity单点登录:认证、校验思路
qq_53596115的博客
03-19 635
springsecurity单点登录,认证及校验代码实现,逻辑。
springboot2.0企业中台实战之权限统一管理应用统一授权 (dubbo分布式系统实战)
12-07
本课程是一门具有很强实践性质的“项目实战”课程,即“企业中台系统实战”,其中主要包含三大块核心内容,如下图所示(右键可以在新标签页中打开图片放大查看): 即主要包含以下三大块内容: ① 企业内部应用系统菜单资源和操作权限的统一管理; ② 分布式应用系统通信时的统一授权,即基于AccessToken的授权认证; ③ 分布式服务/系统通信时的两大方式(基于dubbo rpc协议和基于http协议的restful api实战)。   值得一提的是,这套中台系统由于讲解了如何统一管理企业内部各大应用系统的“菜单资源列表”、“操作权限”,故而本门课程的“代码实战”是建立在之前debug录制的“企业权限管理平台”这套课程的基础之上的,故而在这里debug建议没有项目开发基础的小伙伴可以先去学习我的那套“企业权限管理平台”的实战课程,之后再来学习我的这套中台系统的实战才不会很吃力(课程链接:)   本课程的课程大纲如下图所示(右键可以在新标签页中打开图片放大查看):   除此之外,这套“中台系统”由于统一管理了企业内部各大应用系统的“菜单资源和操作权限”以及“应用系统之间通信时的统一授权”,故而难免需要涉及到“中台系统”“中台子系统”、“中台子系统”“中台子系统”之间的通信(即分布式服务之间的通信),在这里我们是采用“dubbo + zookeeper”的方式加以落地实现的,详情如下图所示(右键可以在新标签页中打开图片放大查看):   而众所周知,作为一款知名以及相当流行的分布式服务调度中间件,dubbo现如今已经晋升为Apache顶级的开源项目,未来也仍将成为“分布式系统”开发实战的一大利器,如下图所示为dubbo底层核心系统架构图(右键可以在新标签页中打开图片放大查看): 而在这门“中台系统实战”的课程中,我们也将始终贯彻、落地dubbo的这一核心系统架构图,即如何将中台系统开发的服务注册/发布到注册中心zookeeper,中台子系统如何订阅/消费/调度中台系统发布在zookeeper的接口服务,中台子系统在走http协议调度通信时dubbo如何进行拦截、基于token认证接口的调用者等等,这些内容我们在课程中将一一得到代码层面的实战落地!   下图为本课程中涉及到的分布式系统/服务之间 采用“http协议restfulapi”方式通信时的Token授权、认证的流程图(右键可以在新标签页中打开图片放大查看): 而不夸张地说,基于AccessToken的授权、认证方式在现如今微服务、分布式时代系统系统在通信期间最为常用的“授权方式”了,可想而知,掌握其中的流程思想是多么的重要!   以下为本门课程的部分截图(右键可以在新标签页中打开图片放大查看):     核心技术列表: 值得一提的是,由于本门课程是一门真正介绍“中台思想”以及将“中台思想”和“分布式系统开发实战”相结合落地的课程,故而在学完本门课程之后,可以掌握到的核心技术自然是相当多的。主要由SpringBoot2.0、SpringMVC、Mybatis、Dubbo、ZooKeeper、Redis、OkHttp3、Guava-Retrying重试机制、JWT(Json Web Token)、Shiro、分布式集群session共享、Lombok、StreamAPI、Dubbo-Filter以及ServiceBean等等。如下图所示(右键可以在新标签页中打开图片放大查看):
java--Springboot 拦截器、异常类处理和定时器相关基础
weixin_45686583的博客
03-30 700
Springboot 拦截器、异常类和定时器相关基础 拦截器用于拦截controller中被访问的路径,false表示拦截 true代表放行。 拦截器的配置: package cn.zbw.interceptor; import org.springframework.lang.Nullable; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterce
springboot后台开发记录————token的使用
qq_44112824的博客
09-30 2239
springboot后台开发记录————token的使用 一、token的作用 sessiontoken都是用来保持会话,功能相同; 而在前后端分离的项目中,使用token能够降低服务器压力,登录成功后,服务端会在响应主体中将{token:‘字符串’}返回给客户端。客户端通过cookie、sessionStorage、localStorage都可以进行存储。再次请求时不会默认携带,需要在请求拦截器位置给请求头中添加认证字段Authorization携带token信息,服务器端就可以通过token信息查找用
springboot 加入token安全认证 手把手教程
qq_42017966的博客
08-26 4778
springboot 加入token安全认证 手把手教程
评论 130
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天罡gg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值