base64编码 springboot_Spring Boot整合JWT实现用户认证(附源码)

最新推荐文章于 2024-07-08 20:52:16 发布
原创 最新推荐文章于 2024-07-08 20:52:16 发布 · 176 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#base64编码 springboot

JWT(Json Web Token)是一种用于安全地在用户和服务器之间传递信息的工具。它通过三个部分(Header、Payload和Signature)构成,允许在客户端存储认证信息,减轻服务器负担。本文详细介绍了JWT的工作原理、组成部分以及在SpringBoot应用中的实现,包括用户登录后的JWT生成和验证过程。通过示例代码展示了JWT的创建和验证方法,并提供了测试流程。

作者:LTLAYX

初探 JWT

什么是 JWT

JWT(Json Web Token),是一种工具,格式为 XXXX.XXXX.XXXX的字符串,JWT 以一种安全的方式在用户和服务器之间传递存放在 JWT 中的不敏感信息。

为什么要用 JWT

设想这样一个场景,在我们登录一个网站之后,再把网页或者浏览器关闭,下一次打开网页的时候可能显示的还是登录的状态,不需要再次进行登录操作,通过 JWT 就可以实现这样一个用户认证的功能。当然使用 Session 可以实现这个功能,但是使用 Session 的同时也会增加服务器的存储压力,而 JWT 是将存储的压力分布到各个客户端机器上,从而减轻服务器的压力。

JWT 长什么样

JWT 由 3 个子字符串组成,分别为 Header, Payload以及 Signature,结合 JWT 的格式即: Header.Payload.Signature。(Claim 是描述 Json 的信息的一个 Json,将 Claim 转码之后生成 Payload)。

Header

Header 是由以下这个格式的 Json 通过 Base64 编码(编码不是加密,是可以通过反编码的方式获取到这个原来的 Json,所以 JWT 中存放的一般是不敏感的信息)生成的字符串,Header 中存放的内容是说明编码对象是一个 JWT 以及使用 “SHA-256” 的算法进行加密(加密用于生成 Signature)

"typ":"JWT", 

"alg":"HS256" 

Claim

Claim 是一个 Json,Claim 中存放的内容是 JWT 自身的标准属性,所有的标准属性都是可选的,可以自行添加,比如:JWT 的签发者、JWT 的接收者、JWT 的持续时间等;同时 Claim 中也可以存放一些自定义的属性,这个自定义的属性就是在用户认证中用于标明用户身份的一个属性,比如用户存放在数据库中的 id,为了安全起见,一般不会将用户名及密码这类敏感的信息存放在 Claim 中。将 Claim 通过 Base64 转码之后生成的一串字符串称作 Payload。

"iss":"Issuer —— 用于说明该JWT是由谁签发的", 

"sub":"Subject —— 用于说明该JWT面向的对象", 

"aud":"Audience —— 用于说明该JWT发送给的用户", 

"exp":"Expiration Time —— 数字类型,说明该JWT过期的时间", 

"nbf":"Not Before —— 数字类型,说明在该时间之前JWT不能被接受与处理", 

"iat":"Issued At —— 数字类型,说明该JWT何时被签发", 

"jti":"JWT ID —— 说明标明JWT的唯一ID", 

"user-definde1":"自定义属性举例", 

"user-definde2":"自定义属性举例" 

Signature

Signature 是由 Header 和 Payload 组合而成,将 Header 和 Claim 这两个 Json 分别使用 Base64 方式进行编码,生成字符串 Header 和 Payload,然后将 Header 和 Payload 以 Header.Payload 的格式组合在一起形成一个字符串,然后使用上面定义好的加密算法和一个密匙(这个密匙存放在服务器上,用于进行验证)对这个字符串进行加密,形成一个新的字符串,这个字符串就是 Signature。

总结

b71a21e1a1a63422e83295966be6a1ac.png

JWT 实现认证的原理

服务器在生成一个 JWT 之后会将这个 JWT 会以 Authorization : Bearer JWT 键值对的形式存放在 cookies 里面发送到客户端机器,在客户端再次访问收到 JWT 保护的资源 URL 链接的时候,服务器会获取到 cookies 中存放的 JWT 信息,首先将 Header 进行反编码获取到加密的算法,在通过存放在服务器上的密匙对 Header.Payload 这个字符串进行加密,比对 JWT 中的 Signature 和实际加密出来的结果是否一致,如果一致那么说明该 JWT 是合法有效的,认证成功,否则认证失败。

JWT 实现用户认证的流程图

e680baa38855b8efd4c9aed9d3efe026.png

JWT 的代码实现

这里的代码实现使用的是 Spring Boot(版本号:1.5.10)框架,以及 Apache Ignite(版本号:2.3.0)数据库。有关 Ignite 和 Spring Boot 的整合可以查看这里。

http://blog.youkuaiyun.com/ltl112358/article/details/79399026

代码说明:

代码中与 JWT 有关的内容如下:

  • config 包中 JwtCfg 类配置生成一个 JWT 并配置了 JWT 拦截的 URL

  • controller 包中 PersonController 用于处理用户的登录注册时生成 JWT,SecureController 用于测试 JWT

  • model 包中 JwtFilter 用于处理与验证 JWT 的正确性

  • 其余属于 Ignite 数据库访问的相关内容

c719482d265f715362d0a0d1b758cb90.png

JwtCfg 类

这个类中声明了一个 @Bean ,用于生成一个过滤器类,对 / secure 链接下的所有资源访问进行 JWT 的验证

/**

 * This is Jwt configuration which set the url "/secure/*" for filtering

 * @program: users

 * @create: 2018-03-03 21:18

 **/

@Configuration

public class JwtCfg {

    @Bean

    public FilterRegistrationBean jwtFilter() {

        final FilterRegistrationBean registrationBean = new FilterRegistrationBean();

        registrationBean.setFilter(new JwtFilter());

        registrationBean.addUrlPatterns("/secure/*");

        return registrationBean;

    }

}

JwtFilter 类

这个类声明了一个 JWT 过滤器类,从 Http 请求中提取 JWT 的信息,并使用了”secretkey” 这个密匙对 JWT 进行验证

/**

 * Check the jwt token from front end if is invalid

 * @program: users

 * @create: 2018-03-01 11:03

 **/

public class JwtFilter extends GenericFilterBean {

    public void doFilter(final ServletRequest req, final ServletResponse res, final FilterChain chain)

            throws IOException, ServletException {

        // Change the req and res to HttpServletRequest and HttpServletResponse

        final HttpServletRequest request = (HttpServletRequest) req;

        final HttpServletResponse response = (HttpServletResponse) res;

        // Get authorization from Http request

        final String authHeader = request.getHeader("authorization");

        // If the Http request is OPTIONS then just return the status code 200

        // which is HttpServletResponse.SC_OK in this code

        if ("OPTIONS".equals(request.getMethod())) {

            response.setStatus(HttpServletResponse.SC_OK);

            chain.doFilter(req, res);

        }

        // Except OPTIONS, other request should be checked by JWT

        else {

            // Check the authorization, check if the token is started by "Bearer "

            if (authHeader == null || !authHeader.startsWith("Bearer ")) {

                throw new ServletException("Missing or invalid Authorization header");

            }

            // Then get the JWT token from authorization

            final String token = authHeader.substring(7);

            try {

                // Use JWT parser to check if the signature is valid with the Key "secretkey"

                final Claims claims = Jwts.parser().setSigningKey("secretkey").parseClaimsJws(token).getBody();

                // Add the claim to request header

                request.setAttribute("claims", claims);

            } catch (final SignatureException e) {

                throw new ServletException("Invalid token");

            }

            chain.doFilter(req, res);

        }

    }

}

PersonController 类

这个类中在用户进行登录操作成功之后,将生成一个 JWT 作为返回

/**

 * @program: users

 * @create: 2018-02-27 19:28

 **/

@RestController

public class PersonController {

    @Autowired

    private PersonService personService;

    /**

     * User register with whose username and password

     * @param reqPerson

     * @return Success message

     * @throws ServletException

     */

    @RequestMapping(value = "/register", method = RequestMethod.POST)

    public String register(@RequestBody() ReqPerson reqPerson) throws ServletException {

        // Check if username and password is null

        if (reqPerson.getUsername() == "" || reqPerson.getUsername() == null

                || reqPerson.getPassword() == "" || reqPerson.getPassword() == null)

            throw new ServletException("Username or Password invalid!");

        // Check if the username is used

        if(personService.findPersonByUsername(reqPerson.getUsername()) != null)

            throw new ServletException("Username is used!");

        // Give a default role : MEMBER

        List<Role> roles = new ArrayList<Role>();

        roles.add(Role.MEMBER);

        // Create a person in ignite

        personService.save(new Person(reqPerson.getUsername(), reqPerson.getPassword(), roles));

        return "Register Success!";

    }

    /**

     * Check user`s login info, then create a jwt token returned to front end

     * @param reqPerson

     * @return jwt token

     * @throws ServletException

     */

    @PostMapping

    public String login(@RequestBody() ReqPerson reqPerson) throws ServletException {

        // Check if username and password is null

        if (reqPerson.getUsername() == "" || reqPerson.getUsername() == null

                || reqPerson.getPassword() == "" || reqPerson.getPassword() == null)

            throw new ServletException("Please fill in username and password");

        // Check if the username is used

        if(personService.findPersonByUsername(reqPerson.getUsername()) == null

                || !reqPerson.getPassword().equals(personService.findPersonByUsername(reqPerson.getUsername()).getPassword())){

            throw new ServletException("Please fill in username and password");

        }

        // Create Twt token

        String jwtToken = Jwts.builder().setSubject(reqPerson.getUsername()).claim("roles", "member").setIssuedAt(new Date())

                .signWith(SignatureAlgorithm.HS256, "secretkey").compact();

        return jwtToken;

    }

}

SecureController 类

这个类中只是用于测试 JWT 功能,当用户认证成功之后,/secure 下的资源才可以被访问

/**

 * Test the jwt, if the token is valid then return "Login Successful"

 * If is not valid, the request will be intercepted by JwtFilter

 * @program: users

 * @create: 2018-03-01 11:05

 **/

@RestController

@RequestMapping("/secure")

public class SecureController {

    @RequestMapping("/users/user")

    public String loginSuccess() {

        return "Login Successful!";

    }

}

代码功能测试

本例使用 Postman 对代码进行测试,这里并没有考虑到安全性传递的明文密码,实际上应该用 SSL 进行加密

  1. 首先进行一个新的测试用户的注册,可以看到注册成功的提示返回

fb740af263957d18a7b37de01427fdd4.png

  1. 再让该用户进行登录,可以看到登录成功之后返回的 JWT 字符串

7c6dfad4e17cc2eeacc57a519fad5e17.png

  1. 直接申请访问 / secure/users/user ,这时候肯定是无法访问的,服务器返回 500 错误

cdddef3a9537665584975a4e9b6cfe7c.png

  1. 将获取到的 JWT 作为 Authorization 属性提交,申请访问 / secure/users/user ,可以访问成功

7db969f0a84467780eb990624842f78e.png

示例代码

https://github.com/ltlayx/SpringBoot-Ignite

参考

http://blog.leapoahead.com/2015/09/06/understanding-jwt/ ↩
https://aboullaite.me/spring-boot-token-authentication-using-jwt/

(完)

推荐阅读

IDEA新特性:提前知道代码怎么走

还在担心写的一手烂SQL,送你4款工

瞬间几千次的重复提交,我用 SpringBoot+Redis 扛住了

爬了知乎“神回复”,笑得根本停不下来

这 17 个 JVM 参数,高级 Java 必须掌握!

d5eb2e10d0762b3f4eb60cb9e18711a5.png

好文!必须点赞
04 SS之JWTbase64
m0_46671240的博客
02-18 1289
Token是一项规范和标准(接口)JWT(JSON Web Token)是具体可以生成,校验,解析等动作Token的技术(实现)JWT只通过算法实现对Token合法性的验证,不依赖数据库存储系统,因此可以做到跨服务器验证,只要密钥和算法相同,不同服务器程序生成的Token可以互相验证。JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
SpringBoot+SpringSecurity+JWT实现认证和授权
热门推荐
oyc的博客
01-17 5万+
一、背景: 在 B/S 系统中,登录功基本都是依靠 Cookie 来实现的,用户登录成功之后主要需要客户端和服务端完成以下两项工作: (1)服务端将登录状态记录到 Session 中,或者签发Token; (2)客户端利用Cookie保存于服务端对应的 Session ID 或 Token。之后每次请求都会带上Cookie信息(包含Session ID或者Token),当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单点登录:单点登录(Single Sign On, S.
springboot整合jwt_Spring Boot整合JWT实现用户认证源码
weixin_39807954的博客
11-26 173
作者:LTLAYXhttps://dwz.cn/yv1Do6e3推荐阅读1. Java 性能优化:教你提高代码运行的效率2. 基于token的多平台身份认证架构设计3. select count(*)底层究竟做了什么?4. Springboot启动原理解析初探JWT什么是JWTJWT(Json Web Token),是一种工具,格式为XXXX.XXXX.XXXX的字符串,JWT以一种安全的方式在用...
SpringBoot框架接口数据加密(base64)传输(前后分离版本)
weixin_62108279的博客
12-14 2227
1.3 修改若依系统的request.js中的request拦截器-对config.data进行加密处理。记录技术,留下痕迹。如果有什么不合适的地方,请各位大佬留言指出,小弟改进!系统的request.js中引入base64
base64编码 springboot_实战SpringBoot集成JWT实现token验证(项目地址)
weixin_39621695的博客
12-31 109
JWT官网:https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的...
jwtbase64base64url
weixin_45543674的博客
02-15 5772
base64编码 效果:使用64个可打印的字符来表示二进制数据的方法。 A-Z a-z 0-9 + / 一共64个字符,本质上是进行表示,并不是加密(但如果打乱字符顺序,也可以达到加密的效果) 具体原理见博客:[一篇文章弄懂Base64编码原理_mijichui2153的博客-优快云博客]() base64Url编码 base64编码将’+’、’/‘替换成’-’、’_’,将=去掉,就成为了base64url编码,因为这三个字符在url有特殊意义。 JWT json web token JWT是一种用户认证
Spring Boot整合JWT实现用户认证
自古三楼出的博客
03-10 3万+
Spring Boot整合JWT实现用户认证 之前初学了一下Spring BootJWT的内容,写了几篇小文章,但是杂乱无章,就重新整理了一下自己学习的东西,尽量写的足够详细,给像我一样刚刚接触这个内容的新手一个参考。这里上代码的Github源码地址 ,参考的文献也在这里12 初探JWT 什么是JWT JWT(Json Web Token),是一种工具,格式为XXXX.XXXX...
精选资源
spring boot3.x结合spring security最新版实现jwt登录验证
09-02
JWT包含了三部分:Header、Payload和Signature,通过Base64编码后用`.`分隔,形成一个完整的Token。 接下来,我们将步骤化讲解如何在Spring Boot 3.x与Spring Security的集成中使用JWT: 1. **项目初始化**: - ...
springboot2.3.x整合JWT
胖虎儿的博客
11-28 6666
springboot整合JWT,让我们的校验不再困难
spring boot+spring security+jwt+vue整合前后端分离token权限认证项目详细过程代码 含AES加密
m0_47576928的博客
07-21 1572
准备前提条件:已搭好一个spring boot后台项目及vue前台项目 目录 一、后台 1、依赖 2、继承WebSecurityConfigurerAdapter适配器 3、自定义用户名密码校验 MyAuthenticationProvider 4、登录成功处理逻辑 CustomizeAuthenticationSuccessHandler 5、登录失败处理逻辑 CustomizeAuthenticationFailureHandler 6、匿名用户访问无权限资源时的异常处理 Customi
jwt认证基本使用,控制登录接口返回的数据格式,base64使用,自定义基于jwt认证
yikenaoguazi的博客
11-14 718
一.昨日回顾 1 分页功能 -三个类:普通分页,偏移分页,游标分页 -每个类中都有几个属性:查询的字段,每页显示的条数,每页最多显示的条数,游标分页中有个排序 -定义一个类,继承上面3个其中一个,重写字段 -继承了APIView:实例化得到分页对象,把要分页的数据传入,返回分页后的数据,序列化,可以按照自己定制的规则返回,也可也使用page.get_paginated_response(ser.data) -如果继承了ListModelMixin和GenericAPIVie
JWT令牌,常见加密算法,Base64笔记
没有
01-11 4237
JWT令牌: 是客户端和服务器进行数据安全传输的一种标准: 组成: 头 (指定签名的加密算法方式), 负载(主要子自定义信息内容), 签名(头部Base64+负载Base64通过加密算法和密钥生成的) 作用:防止令牌信息被篡改; JWT令牌优点: 1.jwt基于json,非常方便解析 2.可以在令牌中自定义丰富的内容,易扩展; 3、通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。 4、...
SpringSecurity】九、Base64JWT
llg___的博客
08-31 1215
JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。官方网址:https://jwt.io/调试页面:https://jwt.io/学习文档:https://jwt.io/introduction/授权:一次登录后,后续请求携带token,校验合法的token,则允许访问系统的资源。
twilio_15分钟内使用Twilio和Stormpath在Spring Boot中进行身份管理
最佳 Java 编程
06-28 424
twilio 建筑物身份管理,包括身份验证和授权? 尝试Stormpath! 我们的REST API和强大的Java SDK支持可以消除您的安全风险,并且可以在几分钟内实现。 注册 ,再也不会建立auth了! 今天,不到30秒左右的时间,我就能建立一个Twilio帐户并使用httpie向自己发送一条短信。 再花几分钟的时间(少于5分钟),我有一个Spring Boot应用程序在做同样的事情...
认证学习2 - Base认证讲解、代码实现、演示
weixin_39651356的博客
08-17 2225
Base认证讲解、代码实现、演示
springBoot 定义未登录拦截
iframe引用页面在父类页面调用函数只刷新子页面方法
12-12 714
登录验证 @ApiOperation(value="用户登录验证",notes = "用户登录验证") @RequestMapping("loginUser") public String getUsers(String username,String password,HttpServletRequest request) { Enumeration<String> hea...
扫码登录流程记录(base64转图片、倒计时)
qq_40224032的博客
03-31 195
1、首先从后端获取一个base64, 将它转为图片。( 顺便记录一下base64转文件 )反之 图片失效,重新获取图片地址,倒计时。2、获取当前时间,进行图片失效倒计时。收到返回数据即登录,关闭长连接,3、发起websocket连接。
WebApi中关于base64jwt的联合验证
weixin_30337251的博客
09-25 264
用到了如鹏的代码 jwt验证 1 public class MyAuthoFilterPostOrgInfoAttribute: AuthorizationFilterAttribute 2 { 3 public override void OnAuthorization(HttpActionContext actionContext) 4 ...
常见的认证方式
最新发布
Shoulen的博客
07-08 5428
介绍常用的认证方式 Basic、Digest、OAuth、Bearer,包括 OAuth常用模式、JWT Token 等
Spring Boot 2集成JWT实现安全认证演示
标题“jwt-spring-security-demo:复制自”所指向的项目是一个基于Spring Boot 2框架实现JWT(JSON Web Token)与Spring Security集成的身份认证与授权系统演示项目。该项目的核心目标是展示如何在现代Java后端开发中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值