SpringBoot2-Jwt

使用Java实现JWT令牌生成与验证:以jose4j为例
原创 已于 2024-02-06 22:53:02 修改 · 522 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #服务器 #前端

于 2024-02-06 22:39:12 首次发布
本文介绍了如何使用jose4j库在Java中创建和验证JSONWebTokens(JWT),包括创建JWT工具类、设置Token参数、以及在登录和拦截器中应用JWT验证的过程。

1.官网

jwt.io/libraries

2.选jose4j

    pom

<dependency>
   <groupId>org.bitbucket.b_c</groupId>
   <artifactId>jose4j</artifactId>
   <version>0.9.4</version>
</dependency>

3.创建jwt工具

public class JwtUtil {

    private static  String secret = "e0e775bfcad04ecc94807b028dfca4d5";// "12345678123456781234567812345678"; // 注意密钥长短(最少32个字符)
    private static String Issuer = "QiXiao";
    private static String Audience = "WangPeng";

    public static String CreateToken(UserEntity user)  {

        try {
            JsonWebSignature jws = new JsonWebSignature();

            //Claim
            JwtClaims claims = new JwtClaims();
            claims.setIssuer(Issuer);  // who creates the token and signs it
            claims.setAudience(Audience); // to whom the token is intended to be sent
            claims.setExpirationTimeMinutesInTheFuture(10); // 过期时间
            claims.setGeneratedJwtId();                     // 为 JWT 设置一个自动生成的唯一 ID
            claims.setIssuedAtToNow();                      // 设置 Token 发布/创建 时间为当前时间
            claims.setNotBeforeMinutesInThePast(2);         // 设置生效时间为 2 分钟前
            claims.setSubject("Bearer"); // the subject/principal is whom the token is about
            claims.setClaim("UserSN", user.getSN());
            claims.setClaim("email","wang_peng_yl@126.com"); // additional claims/attributes about the subject can be added

            jws.setPayload(claims.toJson());

            //Header
            jws.setAlgorithmHeaderValue(AlgorithmIdentifiers.HMAC_SHA256);
            jws.setHeader("typ", "JWT");

            //签名
            Key hmacKey = CreateKey();
            jws.setKey(hmacKey);
            jws.setDoKeyValidation(false);

            String jwt = jws.getCompactSerialization();
            System.out.println(jwt);
            return jwt
最低0.47元/天 解锁文章
SpringBoot 2.x系列教程20-集成jwt
松花江畔
10-13 418
目前的开发模式绝大部分场景是前后端分离的分工开发模式,前端工程师只负责前端页面的开发,后端工程师负责实现相应的业务逻辑,两者之间约定一套对外的api接口格式。在这样的开发模式下,对不同接口的权限校验必定不能缺少,目前针对前后端鉴权的实现机制主要有两种主流的实现方式,基于jwt的实现方案和oauth2的实现方案,两者实现的细节不同,但实现的思想大同小异。下面针对jwt的实现机制展开讲解。 jwt机制的实现原理 jwt(JSON Web Token), 为了在网络应用环境间传递声明而执行的一种基于 JSON
java与第三方对接,JWT实现单点登录
qq_44948905的博客
02-10 1325
【代码】java与第三方对接,实现单点登录。
SpringBoot2.2.6 整合Jwt实现前后端分离
04-23
SpringBoot2.2.6整合MyBatis3.5.4,利用JWT技术实现前后端分离 数据库采用的是MySQL
使用Spring Boot 2通过OAuth2JWT进行集中授权
最佳 Java 编程
06-11 729
本指南逐步介绍了使用Spring Boot 2创建集中式身份验证和授权服务器的过程,还将提供演示资源服务器。 如果您不熟悉OAuth2,建议您阅读此书。 先决条件 JDK 1.8 文本编辑器或您喜欢的IDE Maven 3.0+ 实施概述 对于这个项目,我们将通过Spring Boot使用Spring Security 5 。 如果您熟悉早期版本,那么《 Spring...
springboot2入门到实战 - JWT
qq_36115196的博客
02-28 928
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。
springboot-jwt-starter:用于无状态和基于令牌的身份验证应用程序的Spring Boot JWT入门工具包
01-29
_ _ _ _ _ _ _ ___ _ __ _ __(_)_ __ __ _| |__ ___ ___ | |_ (_)_ _| |_ ___| |_ __ _ _ __| |_ ___ _ __ / __| '_ \| '__| | '_ \ / _` | '_ \ / _ \ / _ \| __| | \ \ /\ / / __| / __| __/ _` | '__| __/ _ \ '...
Springboot 开发 -- 集成 JWT 构建安全的API接口服务
dazhong2012的专栏
05-29 3089
通过上述步骤,我们成功地在SpringBoot项目中集成了JWT,实现了API接口服务的身份验证。JWT提供了一种安全、高效的方式来处理身份验证和信息交换,特别适合于微服务和分布式系统。然而,需要注意的是,JWT不适用于需要高度安全的场景,如支付系统,因为JWT一旦发出,就无法撤销,除非等到它自然过期。此外,由于JWT通常存储在客户端,因此它们容易受到跨站脚本攻击(XSS)的影响。
springboot-react-jwt:JSON Web令牌React Spring Boot示例
02-05
JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地将信息作为JSON对象传输。 由于此信息是经过数字签名的,因此可以被验证和信任。 可以使用秘密(使用HMAC...
springboot-jwt:springboot-jwt
05-14
2. **JWT**:JWT是一种安全的身份认证和授权机制,它将用户信息编码为一个令牌,可以在客户端和服务器之间安全传递。JWT包含三部分:头部、载荷和签名。它无需存储会话信息在服务器端,减少了服务器负载,适用于...
springboot-oauth2-jwt-example:通过JWT令牌学习Oauth2
05-03
这个项目名为“springboot-oauth2-jwt-example”,它是一个示例应用,旨在帮助开发者了解如何将这些技术集成到自己的Java应用中。 **OAuth2** 是一个授权框架,它允许第三方应用在用户的许可下访问其私有资源,而...
spring boot2 +java-jwt轻量实现jwt
最新发布
wh_xia_jun的专栏
06-11 1033
简单说,verify就是:用和签发时相同的算法 + 密钥,重新生成签名,对比令牌里的签名(防篡改);同时检查令牌里的过期时间(防过期)。只有这两项(以及其他你配置的规则)都通过,才认为令牌合法,返回true;否则返回false。可以理解成:把 JWT 当成一张 “身份证”,verify先看身份证上的 “防伪标记”(签名)对不对 → 防篡改。再看 “有效期” 过没过期 → 防过期。都没问题,才承认这张 “身份证” 是真的。
干货|一个案例学会Spring Security 中使用 JWT!
江南一点雨的专栏
04-08 1502
在前后端分离的项目中,登录策略也有不少,不过 JWT 算是目前比较流行的一种解决方案了,本文就和大家来分享一下如何将 Spring Security 和 JWT 结合在一...
入门 - SpringBoot 2.x 使用 JWT
自强不息,厚德载物,未来可期
09-10 271
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法 一、跨域认证遇到的问题 由于多终端的出现,很多的站点通过 web api restful 的形式对外提供服务,采用了前后端分离模式进行开发,因而在身份验证的方式上可能与传统的基于 cookie 的 Session Id 的做法有所不同,除了面临跨域提交 cookie 的问题外,更重要的是...
玩转 SpringBoot 2 之整合 JWT 上篇
热门推荐
程序员小奎的博客
09-18 4万+
前言 该文主要带你了解什么是 JWT,以及JWT 定义和先关概念的介绍,并通过简单Demo 带你了解如何使用 SpringBoot 2 整合JWT。 介绍前在这里我们来探讨一下如何学习一门新的技术,我个人总结为 RSA。 R:read 去读官方文档 。 S:search 谷歌或百度先关技术文章或 github 去搜索先关信息。 A:ask 可以向技术大牛请教或和自己的同事同学进行探讨。...
玩转 SpringBoot 2 之整合 JWT 下篇
程序员小奎的博客
09-30 5076
在《玩转 SpringBoot 2 之整合 JWT 上篇》 中介绍了关于 JWT 相关概念和JWT 基本使用的操作方式。本文为 SpringBoot 整合 JWT 的下篇,通过解决 App 用户登录 Session 问题的实战操作,带你更深入理解 JWT。通过本文你还可以了解到如下内容: SpringBoot 使用拦截器的实际应用 SpringBoot 统一异常处理 SpringBoot 快速搭建 RESTful Api
SpringBoot2+Vue2实战(七)springboot集成jwt
m0_64393446的博客
06-30 404
JWT依赖UserDtoTokenUtilsrequest.js放开请求头,并从浏览器获取user对象TokenUtils生成tokenToken验证拦截器request.js加入token验证信息提示。
jwt 整合java,玩转springboot2.x之整合JWT
weixin_42425947的博客
03-11 224
1 如何学习jwt在这里我们来探讨一下如何学习一门新的技术,我个人总结为 RSA。1 R:read 去读官方文档 ,2 S:search 谷歌或百度先关技术文章或github 去搜索先关信息。3 A:ask:可以向技术大牛请教或和自己的同事同学进行探讨。首先让我们JWT 官网一探究竟。https://jwt.io2 jwt 介绍自己英文不好 使用百度翻译内容如下:JSON Web令牌(JWT)是一...
SpringBoot2整合JWT案例
hq.zheng的博客
04-10 193
三、验证是否配置成功。二、封装JWT工具类。
Spring Boot2 + Spring Security + JWT 实现项目级前后端分离认证授权
lovelichao12的专栏
03-14 6563
Spring Security 是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架 Shiro,它提供了更丰富的功能,扩展性更好,社区资源也比 Shiro 丰富。
springboot sa-token jwt
01-03
### 集成 SA-Token 和 JWT 实现 Spring Boot 身份验证 #### 1. 添加依赖项 为了在 Spring Boot 中集成 SA-Token 并使用 JWT 进行身份验证,首先需要添加必要的 Maven 或 Gradle 依赖项。 对于 Maven 用户,在 `pom.xml` 文件中加入以下内容: ```xml <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.28.0</version> </dependency> <!-- JSON 处理 --> <dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-databind</artifactId> </dependency> ``` 对于 Gradle 用户,则应在 `build.gradle` 文件内添加如下语句: ```groovy implementation 'cn.dev33:sa-token-spring-boot-starter:1.28.0' // JSON处理库 implementation 'com.fasterxml.jackson.core:jackson-databind:+' ``` #### 2. 创建自定义认证类 基于给定的 JWTToken 类[^2],可以创建一个新的 Java 类来扩展此功能并适应 SA-Token 的需求。下面是一个简单的例子: ```java import cn.dev33.satoken.stp.StpUtil; import org.springframework.security.authentication.AuthenticationProvider; import org.springframework.security.core.Authentication; public class CustomJwtAuthentication implements Authentication, AuthenticationProvider { private final String token; public CustomJwtAuthentication(String token) { this.token = token; } @Override public Object getPrincipal() { return StpUtil.getLoginIdByToken(token); } @Override public Object getCredentials() { return token; } // ...其他方法... } ``` 请注意,上述代码片段仅作为概念证明,并未完全实现所有接口中的抽象方法;实际应用时需补充完整逻辑。 #### 3. 配置 SA-Token 属性 编辑项目的 application.properties (或 .yml),设置一些基本参数以便更好地控制令牌行为: ```properties # 设置token名称,默认为satoken sa-token.token-name=satoken-jwt # 开启@SaCheckLogin注解校验登录状态的功能 sa-token.check-login.enable=true # 开启@SaCheckRole/@SaCheckPermission注解鉴权功能 sa-token.check-permission.enable=true ``` 通过这些配置选项,能够更灵活地管理应用程序的安全策略。 #### 4. 使用控制器保护 API 接口 最后一步是在 RESTful Web Service 控制器上添加适当的安全约束条件。例如,可以通过 `@PreAuthorize` 注解指定哪些角色有权访问特定资源: ```java @RestController @RequestMapping("/api/v1") public class MyController { @GetMapping("/protected-resource") @PreAuthorize("hasAuthority('ROLE_USER')") public ResponseEntity<String> protectedResource() { return new ResponseEntity<>("This is a protected resource", HttpStatus.OK); } } ``` 以上就是关于如何在一个典型的 Spring Boot 应用程序里集成了 SA-Token 及其与 JWT 结合使用的概述[^1]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wang_peng

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值