SpringBoot集成JWT(极简版)

原创 已于 2022-10-10 21:17:29 修改 · 1.3w 阅读 · 183 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #java #spring

于 2022-09-30 18:55:26 首次发布
该博客介绍了如何在Spring Boot应用中集成JWT进行接口权限验证,包括设置统一接口前缀、引入JWT库、创建JWT工具类、定义拦截器以及配置自定义头以实现跨域访问。通过JWTInterceptor进行令牌验证,确保只有合法用户可以访问受保护的API。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

话不多说,直接上代码

接口统一前缀设置

import org.springframework.context.annotation.Configuration;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.servlet.config.annotation.PathMatchConfigurer;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements  WebMvcConfigurer {
    @Override
    public void configurePathMatch(PathMatchConfigurer configurer) {
        // 指定controller统一的接口前缀
        configurer.addPathPrefix("/api", clazz -> clazz.isAnnotationPresent(RestController.class));
    }
}

JWT POM依赖

<dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.10.3</version>
        </dependency>

JWT工具类TokenUtils.java

import cn.hutool.core.date.DateUtil;
import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.example.springboot.entity.Admin;
import com.example.springboot.service.IAdminService;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.annotation.PostConstruct;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.util.Date;

@Component
@Slf4j
public class TokenUtils {

    private static IAdminService staticAdminService;

    @Resource
    private IAdminService adminService;

    @PostConstruct
    public void setUserService() {
        staticAdminService = adminService;
    }

    /**
     * 生成token
     *
     * @return
     */
    public static String genToken(String adminId, String sign) {
        return JWT.create().withAudience(adminId) // 将 user id 保存到 token 里面,作为载荷
                .withExpiresAt(DateUtil.offsetHour(new Date(), 2)) // 2小时后token过期
                .sign(Algorithm.HMAC256(sign)); // 以 password 作为 token 的密钥
    }

    /**
     * 获取当前登录的用户信息
     *
     * @return user对象
     *  /admin?token=xxxx
     */
    public static Admin getCurrentAdmin() {
        String token = null;
        try {
            HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
            token = request.getHeader("token");
            if (StrUtil.isNotBlank(token)) {
                token = request.getParameter("token");
            }
            if (StrUtil.isBlank(token)) {
                log.error("获取当前登录的token失败, token: {}", token);
                return null;
            }
            String adminId = JWT.decode(token).getAudience().get(0);
            return staticAdminService.getById(Integer.valueOf(adminId));
        } catch (Exception e) {
            log.error("获取当前登录的管理员信息失败, token={}", token,  e);
            return null;
        }
    }
}

拦截器JwtInterceptor.java

import cn.hutool.core.util.StrUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.example.springboot.entity.Admin;
import com.example.springboot.exception.ServiceException;
import com.example.springboot.service.IAdminService;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
@Slf4j
public class JwtInterceptor implements HandlerInterceptor {

    private static final String ERROR_CODE_401 = "401";

    @Autowired
    private IAdminService adminService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        String token = request.getHeader("token");
        if (StrUtil.isBlank(token)) {
            token = request.getParameter("token");
        }

        // 执行认证
        if (StrUtil.isBlank(token)) {
            throw new ServiceException(ERROR_CODE_401, "无token,请重新登录");
        }
        // 获取 token 中的adminId
        String adminId;
        Admin admin;
        try {
            adminId = JWT.decode(token).getAudience().get(0);
            // 根据token中的userid查询数据库
            admin = adminService.getById(Integer.parseInt(adminId));
        } catch (Exception e) {
            String errMsg = "token验证失败,请重新登录";
            log.error(errMsg + ", token=" + token, e);
            throw new ServiceException(ERROR_CODE_401, errMsg);
        }
        if (admin == null) {
            throw new ServiceException(ERROR_CODE_401, "用户不存在,请重新登录");
        }

        try {
            // 用户密码加签验证 token
            JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(admin.getPassword())).build();
            jwtVerifier.verify(token); // 验证token
        } catch (JWTVerificationException e) {
            throw new ServiceException(ERROR_CODE_401, "token验证失败,请重新登录");
        }
        return true;
    }
}

拦截器设置

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.PathMatchConfigurer;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements  WebMvcConfigurer {

    @Autowired
    JwtInterceptor jwtInterceptor;

    @Override
    public void configurePathMatch(PathMatchConfigurer configurer) {
        // 指定controller统一的接口前缀
        configurer.addPathPrefix("/api", clazz -> clazz.isAnnotationPresent(RestController.class));
    }

	// 加自定义拦截器JwtInterceptor,设置拦截规则
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor).addPathPatterns("/api/**");
    }
}

设置自定义头配置



import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class CorsConfig {


    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*"); // 1 设置访问源地址
        corsConfiguration.addAllowedHeader("*"); // 2 设置访问源请求头
        corsConfiguration.addAllowedMethod("*"); // 3 设置访问源请求方法
        source.registerCorsConfiguration("/**", corsConfiguration); // 4 对接口配置跨域设置
        return new CorsFilter(source);
    }
}
Springboot集成JWT实现登录注册
weixin_52938172的博客
06-27 375
记录一下使用Springboot集成JWT实现登录注册,以后有用到直接copy即可。
SpringBoot整合JWT
桐花思雨
03-24 395
JWT 概述 JWT 是什么 JWT 全称 JSON Web Token,是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准 它将用户信息加密到 Token 里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证 Token 的正确性,只要正确即通过验证 JWT 详细讲解请见 github:https://github.com/jwtk/jjwt ...
SpringBoot 集成 JWT
最新发布
diekedieke的博客
05-30 201
3、创建拦截器用于拦截需要进行权限校验的请求。4、配置类,就是对哪些请求进行拦截。2、创建JWT工具类。
SpringBoot集成JWT
SHENG_Z的博客
06-06 615
介绍SpringBoot集成JWT步骤及注意事项,干货满满
SPRINGBOOT+JWT
07-16
最新springboot+jwt校验案例,完整代码,下载即用,最新springboot+jwt校验案例,完整代码,下载即用,
SpringBoot集成JWT快速入门Demo
04-10
编译器本:IntelliJ IDEA 2020.3.2 x64 JDK本:java 1.8.0_111 SpringBoot集成JWT快速入门Demo,演示jwt生成与验证等功能,可以通过swaggler或者Postman进行测试。
SpringBoot集成JWT生成token及校验方法过程解析
08-19
SpringBoot集成JWT生成token及校验方法过程解析 本文主要介绍了SpringBoot集成JWT生成token及校验方法的过程解析,通过示例代码详细介绍了JWT token的生成和校验过程,为读者提供了详细的Reference和学习价值。 一...
springboot集成jwt
01-25
**SpringBoot集成JWT详解** SpringBoot是一个轻量级的Java框架,它化了Spring应用程序的创建和部署。JWT(Json Web Token)则是一种用于在各方之间安全地传输信息的开放标准,广泛应用于身份验证和授权场景。在...
jwtspringboot整合
06-03
jwtspringboot整合,jwtspringboot整合,jwtspringboot整合,jwtspringboot整合
Spring-SpringBootSecurity-JWT
02-16
Spring-SpringBootSecurity-JWT
springboot整合security与jwt
08-05
springboot2.0整合security与jwt, 还整合了redis,与swagger-ui
SpringBoot使用JWT实现登录验证的方法示例
08-25
主要介绍了SpringBoot使用JWT实现登录验证的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot继承JWT token实现权限的验证(从头开始)
aabbbccc6788123的博客
05-27 2799
在开发后端接口时,数据的直接暴露可能会导致安全问题。为了应对这种情况,我们需要在访问接口时进行拦截验证,以确保只有经过身份验证的用户才能访问数据。为实现这一目的,我们需要编写一个拦截器,用于检查每次请求中是否携带有效的token(即身份验证令牌)。只有当用户携带有效token时,才能进行数据访问操作;否则,将对请求进行拦截并禁止访问敏感数据。通过编写拦截器实现身份验证,我们能够提高系统的安全性并保护数据免受未经授权的访问。这种做法有助于规避潜在的安全风险,有效保障系统的信息安全。
Springboot 开发 -- 集成 JWT 构建安全的API接口服务
dazhong2012的专栏
05-29 3011
通过上述步骤,我们成功地在SpringBoot项目中集成JWT,实现了API接口服务的身份验证。JWT提供了一种安全、高效的方式来处理身份验证和信息交换,特别适合于微服务和分布式系统。然而,需要注意的是,JWT不适用于需要高度安全的场景,如支付系统,因为JWT一旦发出,就无法撤销,除非等到它自然过期。此外,由于JWT通常存储在客户端,因此它们容易受到跨站脚本攻击(XSS)的影响。
SpringBoot集成Jwt(详细步骤+图解)
热门推荐
撸码社区的博客
04-16 3万+
SpringBoot集成Jwt(详细步骤+图解) Jwt介 JSON Web Token是目前最流行的跨域认证解决方案,,适合前后端分离项目通过Restful API进行数据交互时进行身份认证 Jwt构成(.隔开) eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MTkxNjQ4NjEsInVzZXJuYW1lIjoiYWRtaW4ifQ.fo5a-H_C7XG3fSnNdCEMzM2QmrF5c7yypzoSxGzgJOo Header(头部):放有签名
springboot封装jwt工具类
kanglujie的博客
12-14 977
springboot里使用jwt。封装jwt工具类,使用异常处理响应jwt错误信息
程序员jwt
03-20
### 关于 JWT 的相关知识与实现方法 #### JSON Web Token (JWT) 基本概念 JSON Web Token (JWT) 是一种开放标准 (RFC 7519),用于在网络应用环境之间安全地传输信息。它是一种紧凑、URL 安全的表示形式,可以被签名和加密以确保其真实性以及隐私性[^1]。 JWT 主要由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。这三部分通过点号 `.` 进行分隔,形成最终的令牌字符串。 - **Header**: 包含令牌类型及其使用的算法。 - **Payload**: 存储声明(Claims),即实际的数据或元数据。 - **Signature**: 通过对前两部分进行哈希计算并使用密钥签名生成,验证令牌的真实性。 #### 微服务中的 JWT 认证授权实践 在微服务架构中,JWT 被广泛应用于用户身份认证和权限管理。例如,在基于 Spring Cloud Gateway 和 Spring Security OAuth2 构建的系统中,可以通过 JWT 来完成统一的身份认证和授权功能[^2]。这种方案通常结合 RBAC(角色基础访问控制)模型实现动态权限控制,从而满足复杂的业务需求。 以下是单的 JWT 验证逻辑流程: 1. 用户登录成功后,服务器生成一个带有有效期限的 JWT 并返回给客户端。 2. 客户端每次发起请求时携带该 JWT 至 Authorization Header 中。 3. 后台接收到请求后解析 JWT,并校验其合法性及过期时间。 #### Java 程序中如何构造 HTTP 请求发送 JWT 如果需要利用 HttpClient 工具包向远程接口传递包含 JWT 的请求,则可按照如下方式进行操作[^3]: ```java import org.apache.http.client.methods.CloseableHttpResponse; import org.apache.http.client.methods.HttpGet; import org.apache.http.impl.client.CloseableHttpClient; import org.apache.http.impl.client.HttpClients; public class JwtExample { public static void main(String[] args) throws Exception { String jwtToken = "your.jwt.token.here"; // 替换为真实的 token try (CloseableHttpClient httpClient = HttpClients.createDefault()) { HttpGet request = new HttpGet("https://example.com/api/resource"); // 设置 header 添加 Bearer Token request.addHeader("Authorization", "Bearer " + jwtToken); try (CloseableHttpResponse response = httpClient.execute(request)) { System.out.println(response.getStatusLine()); } } } } ``` 此代码片段展示了一个基本的 GET 请求示例,其中包含了如何设置 `Authorization` 头部字段来附带 JWT。 --- ###
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员青戈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值