Springboot +JWT

最新推荐文章于 2025-06-21 14:09:05 发布
最新推荐文章于 2025-06-21 14:09:05 发布
阅读量5.1k 收藏 18
点赞数 1
CC 4.0 BY-SA版权
分类专栏: JWT 文章标签: springboot JWT Auth Token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013363895/article/details/82496329
本文详细介绍如何在SpringBoot中集成JWT实现登录权限保护。包括JWT的简介、生成与解析Token的工具类、自定义过滤器实现权限控制及示例代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文主要是springboot 集成 JWT来实现登录权限保护.

先简单介绍一下JWT:

JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间以JSON对象安全地传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对来对JWT进行签名。
具体的JWT介绍可以查看官网:https://jwt.io/introduction/

 首先附上可以快速生成springboot项目的网址: https://start.spring.io/,当然也可以通过IDEA去生成一个springboot项目。

 其次是JWT官网提供的生成和解析Token 的链接: https://jwt.io/

 最后附上demo的地址:https://github.com/Jacob029049/JWT,有喜欢的朋友可以去clone

项目主要思路:1.login方法来获取Token ,然后把Token加到Header上

                         2.分别设置两个接口,filter过滤其中一个接口。来实现JWT权限的控制

 下面我贴上一些关键代码:

 1.登录获取Token,此处用户名密码写在配置文件里

    //login get token
    @RequestMapping("/login")
    public String Login(@RequestParam String username,@RequestParam String password){

        if (JWT_USER.equals(username) && JWT_PASSWORD.equals(password)){

            return jwtUtil.creatJwtToken();
        }
        return "NOK";
    }

  postman调用接口结果如下图:成功就返回Token

一个JWTToken 由 header,payload,signature三部分组成。

 2.下面是创建和解析JWTToken的Util工具类


import io.jsonwebtoken.*;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Service;

import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.security.Key;
import java.util.Base64;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.logging.Logger;

//jwt含有三部分:头部(header)、载荷(payload)、签证(signature)
/*
*(1)头部一般有两部分信息:声明类型、声明加密的算法(通常使用HMAC SHA256)
*(2)载荷该部分一般存放一些有效的信息。jwt的标准定义包含五个字段:
*    -iss:该JWT的签发者
    - sub: 该JWT所面向的用户
    - aud: 接收该JWT的一方
    - exp(expires): 什么时候过期,这里是一个Unix时间戳
    - iat(issued at): 在什么时候签发的

* (3)签证(signature) JWT最后一个部分。该部分是使用了HS256加密后的数据;包含三个部分:
* */

@Service("jwtUtil")
public class JWTUtil {

    private final Logger logger = Logger.getLogger(this.getClass().getName());

    @Value("${com.jwt.secret}")
    private  String SECRET;

    @Value("${com.jwt.issuer}")
    private  String JWT_ISSUER;

    public String creatJwtToken(){
        final SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        final long nowMillis = System.currentTimeMillis();
        //设置过期时间
        final long ttlMillis = 5 * 60 * 100000;
        final long expMillis = nowMillis + ttlMillis;

        final Date now = new Date(nowMillis);
        final Date exp = new Date(expMillis);

        //Create the Signature SecretKey
        final byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(Base64.getEncoder().encodeToString(SECRET.getBytes()));
        final Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

        final Map<String, Object> headerMap = new HashMap<String, Object>();
        headerMap.put("alg", "HS256");
        headerMap.put("typ", "JWT");

        //add JWT Parameters
        final JwtBuilder builder = Jwts.builder()
                                        .setHeaderParams(headerMap)
                                        .setIssuedAt(now)
                                        .setExpiration(exp)
                                        .setIssuer(JWT_ISSUER)
                                        .signWith(signatureAlgorithm, signingKey);

        logger.info("JWT[" + builder.compact()+ "]");
        return builder.compact();

    }

    public Claims parseJWTToken(String token)
    {
        Claims claims = null;
        try
        {
            claims = Jwts.parser().setSigningKey(DatatypeConverter.parseBase64Binary(SECRET)).parseClaimsJws(token)
                    .getBody();
        }
        catch (ExpiredJwtException | UnsupportedJwtException | MalformedJwtException | SignatureException
                | IllegalArgumentException e)
        {
            logger.info("Parse JWT errror " + e.getMessage());
            return null;
        }
        return claims;
    }
}
creatJwtToken() 主要是set Header(一般都是 alg:HS256,typ:JWT);set Claims(此处可以自定义,也可以用标准定义);sign(signatureAlgorithm,secretKey )secretKey是否要用base64再次编码看实际情况

需要在pom.xml里添加maven引用:

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.6.0</version>
        </dependency>

3.自己实现的filter类的doFilter方法:

public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;

        //secretKey
        String SECRET = PropertyUtil.getProperty("com.jwt.secret","12345678");
        String JWT_ISSUER = PropertyUtil.getProperty("com.jwt.issuer","87654321");

        final byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(Base64.getEncoder().encodeToString(SECRET.getBytes()));

        //请求头上的token
        String jsonTokenWeb = request.getHeader(TOKEN_HEADER);

        HttpResponseBean responseWsBean = new HttpResponseBean();

        //exp 、iss、sign、 validate
        try {
            Claims claims = Jwts.parser().setSigningKey(apiKeySecretBytes).parseClaimsJws(jsonTokenWeb)
                    .getBody();
            String iss = Objects.isNull(claims.get("iss"))?null:String.valueOf(claims.get("iss"));
            if (!JWT_ISSUER.equals(iss)){
                setResponseWsBean(responseWsBean, HTTP_STATUS_ERROR, HTTP_TOKEN_MESSAGE_INVALID + "issuer is incorrect. ");
                response.getWriter().write(JSONObject.fromObject(responseWsBean).toString());
            }else{
                //validate pass
                filterChain.doFilter(request,response);
            }
        }catch (Exception e){
            logger.info("parse jwttoken error :"+ e.getMessage());
            setResponseWsBean(responseWsBean, HTTP_STATUS_ERROR, HTTP_TOKEN_MESSAGE_INVALID + e.getMessage());
            response.getWriter().write(JSONObject.fromObject(responseWsBean).toString());
        }

    }

主要是获取header上的Token信息,然后进行解析来判断时间,签名等是否一致,当然自定义的用户权限需要自己去判断,如果有权限就放行,不行的话就返回response到接口。

4.最后接口进行验证,此处我设置的url过滤的是(/home/*)

(1) http://localhost:8081/hello/welcome 返回结果正常,无论加不加header Token

(2) http://localhost:8081/home/welcome 没有添加token情况:(此处Token添加后,如若超过exp截止时间,或者签名被他人修改等,也会返回错误)

(3) http://localhost:8081/home/welcome 添加header Token情况,并且token验证有效

如果文中有什么错误,欢迎指出,以免更多的人被误导。谢谢。

 

SPRINGBOOT+JWT
07-16
最新springboot+jwt校验案例,完整代码,下载即用,最新springboot+jwt校验案例,完整代码,下载即用,
基于springboot+jwt实现刷新token过程解析
08-19
基于SpringBoot+JWT实现刷新Token过程解析 标题解析 本文主要介绍了基于SpringBootJWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于...
Spring Boot + jwt
weixin_63831348的博客
06-20 3892
Spring Boot + jwt
SpringBoot 登录时使用 Token
最新发布
weixin_52578852的博客
06-21 589
Service@Override// 这里应该从数据库查询用户信息// 这里为了简单,使用硬编码的用户名和密码} else {这个教程展示了如何在 SpringBoot 中使用 JWT 实现基于 Token 的认证。实际应用中,你可能还需要:将用户信息存储在数据库中,添加刷新 token 的功能,实现更完善的错误处理,添加更多的安全配置。
springboot+jwt
while(life)++;
05-06 437
流程: 1.用户访问login接口,验证用户身份信息,并生成token绑定用户信息,token返回前端 2.前端把token存入request header中访问后端接口即可成功,否则提示无权访问 代码部分: 1.JwtUtil类 (生成token,校验token等) /* * * @Author qy * <p> JWT工具类 </p> * @Param * @Return */ public class JwtUtil { // Token过期时间30分钟
Springboot+JWT
while(life)++;
10-21 592
JWT(JSON WEB TOKEN)是一种标准,用来在前后端或者系统间以JSON对象安全的传输信息,该信息是可以被验证和信任的,因为它是数字签名的。可以使用HMAC或RSA或ECDSA的公钥/私钥进行签名。
SpringBoot整合JWT
jakelihua
08-15 2317
JSON Web TokenJWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式来在各方之间安全地传输信息。它是一个基于 JSON 格式的令牌,由三个部分组成:头部(Header)、载荷(Payload)、签名(Signature)。其中,每一部分都使用 Base64 编码,形成一个使用点进行分隔的字符串。
springboot + jwt + websocket + 拦截
09-02
在IT行业中,Spring Boot、JWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统中实现的一种中间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
springboot+mybatis-plus+jwt+redis的简易后端框架
04-10
一个简单的后端框架,实现步骤可以根据文章 ...2.springboot+JWT+redis实现token身份令牌验证(附代码)(超详细) https://blog.youkuaiyun.com/pengpm/article/details/124077041?spm=1001.2014.3001.5501
Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案.zip
02-04
本方案主要涉及Spring Boot、Apache Shiro、JSON Web Token (JWT)、Redis以及Mybatis等技术,它们共同构建了一个高效且灵活的身份验证和令牌刷新机制。下面我们将深入探讨这个方案的各个组件及其作用。 首先,...
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
Spring-SpringBootSecurity-JWT
02-16
Spring-SpringBootSecurity-JWT
SpringBoot集成Jwt(详细步骤+图解)
wenjiangwang的专栏
12-21 3577
https://blog.youkuaiyun.com/weixin_67958017/article/details/128856282
SpringbootJWT
沉迷写代码的程序猿的博客
03-22 4358
文章目录SpringbootJWT一、JWT简介1、JWT的优势2、JWT的结构2.1、标头(Header)2.2、有效负荷(Payload)2.3、签名(Signature)二、SpringBoot整合JWT SpringbootJWT 一、JWT简介 JWT,是指JSON Web Token,也就指通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。 1、JWT的优势 在JavaWeb阶段,经常使用ses
Spring Boot整合JWT实现用户认证
05-03 1915
Spring Boot整合JWT实现用户认证[toc] 初探JWT 什么是JWT JWT(Json Web Token),是一种工具,格式为XXXX.XXXX.XXXX的字符串,JWT以一种安全的方式在用户和服务器之间传递存放在JWT中的不敏感信息。 为什么要用JWT 设想这样一个场景,在我们登录一个网站之后,再把网页或者浏览器关闭,下一次打开网页的时候可能显示的还是登录的状态,不需要再次进行登录...
springboot2.0整合jwt
大海无量的博客
12-03 3200
1.添加依赖: &lt;!--token生成--&gt; &lt;dependency&gt; &lt;groupId&gt;io.jsonwebtoken&lt;/groupId&gt; &lt;artifactId&gt;jjwt&lt;/artifactId&gt; &lt;version&gt;0.9.0&lt;/version&gt; &lt
springboot + jwt
09-07
要在 Spring Boot 中使用 JWT,你可以使用一些第三方库,如 jjwt、Nimbus JOSE + JWT 等。这些库提供了一些便捷的方法来生成、解析和验证 JWT。 你可以在 Spring Boot 中配置一个拦截器或过滤器来验证请求中的 JWT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值