亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

SpringBoot使用JWT實(shí)現(xiàn)登錄驗(yàn)證的方法示例

 更新時(shí)間:2019年06月04日 11:15:43   作者:wqh8522  
這篇文章主要介紹了SpringBoot使用JWT實(shí)現(xiàn)登錄驗(yàn)證的方法示例,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

什么是JWT

JSON Web Token(JWT)是一個(gè)開(kāi)放的標(biāo)準(zhǔn)(RFC 7519),它定義了一個(gè)緊湊且自包含的方式,用于在各方之間以JSON對(duì)象安全地傳輸信息。這些信息可以通過(guò)數(shù)字簽名進(jìn)行驗(yàn)證和信任??梢允褂妹孛埽ㄊ褂肏MAC算法)或使用RSA的公鑰/私鑰對(duì)來(lái)對(duì)JWT進(jìn)行簽名。
具體的jwt介紹可以查看官網(wǎng)的介紹:https://jwt.io/introduction/

jwt請(qǐng)求流程

引用官網(wǎng)的圖片


中文介紹:

  • 用戶使用賬號(hào)和面發(fā)出post請(qǐng)求;
  • 服務(wù)器使用私鑰創(chuàng)建一個(gè)jwt;
  • 服務(wù)器返回這個(gè)jwt給瀏覽器;
  • 瀏覽器將該jwt串在請(qǐng)求頭中像服務(wù)器發(fā)送請(qǐng)求;
  • 服務(wù)器驗(yàn)證該jwt;
  • 返回響應(yīng)的資源給瀏覽器

jwt組成

jwt含有三部分:頭部(header)、載荷(payload)、簽證(signature)

頭部(header)

頭部一般有兩部分信息:聲明類型、聲明加密的算法(通常使用HMAC SHA256)

頭部一般使用base64加密:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

解密后:

{
  "typ":"JWT",
  "alg":"HS256"
}

載荷(payload)

該部分一般存放一些有效的信息。jwt的標(biāo)準(zhǔn)定義包含五個(gè)字段:

  • iss:該JWT的簽發(fā)者
  • sub: 該JWT所面向的用戶
  • aud: 接收該JWT的一方
  • exp(expires): 什么時(shí)候過(guò)期,這里是一個(gè)Unix時(shí)間戳
  • iat(issued at): 在什么時(shí)候簽發(fā)的

這個(gè)只是JWT的定義標(biāo)準(zhǔn),不強(qiáng)制使用。另外自己也可以添加一些公開(kāi)的不涉及安全的方面的信息。

簽證(signature)

JWT最后一個(gè)部分。該部分是使用了HS256加密后的數(shù)據(jù);包含三個(gè)部分:

  • header (base64后的)
  • payload (base64后的)
  • secret 私鑰

secret是保存在服務(wù)器端的,jwt的簽發(fā)生成也是在服務(wù)器端的,secret就是用來(lái)進(jìn)行jwt的簽發(fā)和jwt的驗(yàn)證,所以,它就是你服務(wù)端的私鑰,在任何場(chǎng)景都不應(yīng)該流露出去。一旦客戶端得知這個(gè)secret, 那就意味著客戶端是可以自我簽發(fā)jwt了。

在SpringBoot項(xiàng)目中應(yīng)用

首先需要添加JWT的依賴:

  <dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.6.0</version>
  </dependency>

接下來(lái)在配置文件中添加JWT的配置信息:

##jwt配置
audience:
 clientId: 098f6bcd4621d373cade4e832627b4f6
 base64Secret: MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=
 name: restapiuser
 expiresSecond: 172800

配置信息的實(shí)體類,以便獲取jwt的配置:

@Data
@ConfigurationProperties(prefix = "audience")
@Component
public class Audience {

  private String clientId;
  private String base64Secret;
  private String name;
  private int expiresSecond;

}

JWT驗(yàn)證主要是通過(guò)攔截器驗(yàn)證,所以我們需要添加一個(gè)攔截器來(lái)驗(yàn)證請(qǐng)求頭中是否含有后臺(tái)頒發(fā)的token,這里請(qǐng)求頭的格式:這里bearer;后面就是服務(wù)器頒發(fā)的token

public class JwtFilter extends GenericFilterBean {

  @Autowired
  private Audience audience;

  /**
   * Reserved claims(保留),它的含義就像是編程語(yǔ)言的保留字一樣,屬于JWT標(biāo)準(zhǔn)里面規(guī)定的一些claim。JWT標(biāo)準(zhǔn)里面定好的claim有:

   iss(Issuser):代表這個(gè)JWT的簽發(fā)主體;
   sub(Subject):代表這個(gè)JWT的主體,即它的所有人;
   aud(Audience):代表這個(gè)JWT的接收對(duì)象;
   exp(Expiration time):是一個(gè)時(shí)間戳,代表這個(gè)JWT的過(guò)期時(shí)間;
   nbf(Not Before):是一個(gè)時(shí)間戳,代表這個(gè)JWT生效的開(kāi)始時(shí)間,意味著在這個(gè)時(shí)間之前驗(yàn)證JWT是會(huì)失敗的;
   iat(Issued at):是一個(gè)時(shí)間戳,代表這個(gè)JWT的簽發(fā)時(shí)間;
   jti(JWT ID):是JWT的唯一標(biāo)識(shí)。
   * @param req
   * @param res
   * @param chain
   * @throws IOException
   * @throws ServletException
   */
  @Override
  public void doFilter(final ServletRequest req, final ServletResponse res, final FilterChain chain)
      throws IOException, ServletException {

    final HttpServletRequest request = (HttpServletRequest) req;
    final HttpServletResponse response = (HttpServletResponse) res;
    //等到請(qǐng)求頭信息authorization信息
    final String authHeader = request.getHeader("authorization");

    if ("OPTIONS".equals(request.getMethod())) {
      response.setStatus(HttpServletResponse.SC_OK);
      chain.doFilter(req, res);
    } else {

      if (authHeader == null || !authHeader.startsWith("bearer;")) {
        throw new LoginException(ResultEnum.LOGIN_ERROR);
      }
      final String token = authHeader.substring(7);

      try {
        if(audience == null){
          BeanFactory factory = WebApplicationContextUtils.getRequiredWebApplicationContext(request.getServletContext());
          audience = (Audience) factory.getBean("audience");
        }
        final Claims claims = JwtHelper.parseJWT(token,audience.getBase64Secret());
        if(claims == null){
          throw new LoginException(ResultEnum.LOGIN_ERROR);
        }
        request.setAttribute(Constants.CLAIMS, claims);
      } catch (final Exception e) {
        throw new LoginException(ResultEnum.LOGIN_ERROR);
      }

      chain.doFilter(req, res);
    }
  }
}

注冊(cè)JWT攔截器,可以在配置類中,也可以直接在SpringBoot的入口類中

public class JwtFilter extends GenericFilterBean {

  @Autowired
  private Audience audience;

  /**
   * Reserved claims(保留),它的含義就像是編程語(yǔ)言的保留字一樣,屬于JWT標(biāo)準(zhǔn)里面規(guī)定的一些claim。JWT標(biāo)準(zhǔn)里面定好的claim有:

   iss(Issuser):代表這個(gè)JWT的簽發(fā)主體;
   sub(Subject):代表這個(gè)JWT的主體,即它的所有人;
   aud(Audience):代表這個(gè)JWT的接收對(duì)象;
   exp(Expiration time):是一個(gè)時(shí)間戳,代表這個(gè)JWT的過(guò)期時(shí)間;
   nbf(Not Before):是一個(gè)時(shí)間戳,代表這個(gè)JWT生效的開(kāi)始時(shí)間,意味著在這個(gè)時(shí)間之前驗(yàn)證JWT是會(huì)失敗的;
   iat(Issued at):是一個(gè)時(shí)間戳,代表這個(gè)JWT的簽發(fā)時(shí)間;
   jti(JWT ID):是JWT的唯一標(biāo)識(shí)。
   * @param req
   * @param res
   * @param chain
   * @throws IOException
   * @throws ServletException
   */
  @Override
  public void doFilter(final ServletRequest req, final ServletResponse res, final FilterChain chain)
      throws IOException, ServletException {

    final HttpServletRequest request = (HttpServletRequest) req;
    final HttpServletResponse response = (HttpServletResponse) res;
    //等到請(qǐng)求頭信息authorization信息
    final String authHeader = request.getHeader("authorization");

    if ("OPTIONS".equals(request.getMethod())) {
      response.setStatus(HttpServletResponse.SC_OK);
      chain.doFilter(req, res);
    } else {

      if (authHeader == null || !authHeader.startsWith("bearer;")) {
        throw new LoginException(ResultEnum.LOGIN_ERROR);
      }
      final String token = authHeader.substring(7);

      try {
        if(audience == null){
          BeanFactory factory = WebApplicationContextUtils.getRequiredWebApplicationContext(request.getServletContext());
          audience = (Audience) factory.getBean("audience");
        }
        final Claims claims = JwtHelper.parseJWT(token,audience.getBase64Secret());
        if(claims == null){
          throw new LoginException(ResultEnum.LOGIN_ERROR);
        }
        request.setAttribute(Constants.CLAIMS, claims);
      } catch (final Exception e) {
        throw new LoginException(ResultEnum.LOGIN_ERROR);
      }

      chain.doFilter(req, res);
    }
  }
}

登錄處理,也就是jwt的頒發(fā)

 @PostMapping("login")
  public ResultVo login(@RequestParam(value = "usernameOrEmail", required = true) String usernameOrEmail,
             @RequestParam(value = "password", required = true) String password,
             HttpServletRequest request) {
    Boolean is_email = MatcherUtil.matcherEmail(usernameOrEmail);
    User user = new User();
    if (is_email) {
      user.setEmail(usernameOrEmail);
    } else {
      user.setUsername(usernameOrEmail);
    }
    User query_user = userService.get(user);
    if (query_user == null) {
      return ResultVOUtil.error("400", "用戶名或郵箱錯(cuò)誤");
    }
    //驗(yàn)證密碼
    PasswordEncoder encoder = new BCryptPasswordEncoder();
    boolean is_password = encoder.matches(password, query_user.getPassword());
    if (!is_password) {
      //密碼錯(cuò)誤,返回提示
      return ResultVOUtil.error("400", "密碼錯(cuò)誤");
    }
   
    String jwtToken = JwtHelper.createJWT(query_user.getUsername(),
                      query_user.getId(),
                      query_user.getRole().toString(),
                      audience.getClientId(),
                      audience.getName(),
                      audience.getExpiresSecond()*1000,
                      audience.getBase64Secret());

    String result_str = "bearer;" + jwtToken;
    return ResultVOUtil.success(result_str);
  }

這里將jwt的頒發(fā)處理抽離出來(lái)了,JWT工具類:

public class JwtHelper {

  /**
   * 解析jwt
   */
  public static Claims parseJWT(String jsonWebToken, String base64Security){
    try
    {
      Claims claims = Jwts.parser()
          .setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))
          .parseClaimsJws(jsonWebToken).getBody();
      return claims;
    }
    catch(Exception ex)
    {
      return null;
    }
  }

  /**
   * 構(gòu)建jwt
   */
  public static String createJWT(String name, String userId, String role,
                  String audience, String issuer, long TTLMillis, String base64Security)
  {
    SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

    long nowMillis = System.currentTimeMillis();
    Date now = new Date(nowMillis);

    //生成簽名密鑰
    byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(base64Security);
    Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

    //添加構(gòu)成JWT的參數(shù)
    JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")
        .claim("role", role)
        .claim("unique_name", name)
        .claim("userid", userId)
        .setIssuer(issuer)
        .setAudience(audience)
        .signWith(signatureAlgorithm, signingKey);
    //添加Token過(guò)期時(shí)間
    if (TTLMillis >= 0) {
      long expMillis = nowMillis + TTLMillis;
      Date exp = new Date(expMillis);
      builder.setExpiration(exp).setNotBefore(now);
    }

    //生成JWT
    return builder.compact();
  }
}

最后,jwt可能會(huì)出現(xiàn)跨域的問(wèn)題,所以最好添加一下對(duì)跨域的處理

@Configuration
public class CorsConfig {

  @Bean
  public FilterRegistrationBean corsFilter() {
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);
    config.addAllowedOrigin("*");
    config.addAllowedHeader("*");
    config.addAllowedMethod("OPTIONS");
    config.addAllowedMethod("HEAD");
    config.addAllowedMethod("GET");
    config.addAllowedMethod("PUT");
    config.addAllowedMethod("POST");
    config.addAllowedMethod("DELETE");
    config.addAllowedMethod("PATCH");
    source.registerCorsConfiguration("/**", config);
    final FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
    bean.setOrder(0);
    return bean;
  }

  @Bean
  public WebMvcConfigurer mvcConfigurer() {
    return new WebMvcConfigurerAdapter() {
      @Override
      public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**").allowedMethods("GET", "PUT", "POST", "GET", "OPTIONS");
      }
    };
  }
}

以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

相關(guān)文章

  • IntelliJ IDEA失焦自動(dòng)重啟服務(wù)的解決方法

    IntelliJ IDEA失焦自動(dòng)重啟服務(wù)的解決方法

    在使用 IntelliJ IDEA運(yùn)行 SpringBoot 項(xiàng)目時(shí),你可能會(huì)遇到一個(gè)令人困擾的問(wèn)題,一旦你的鼠標(biāo)指針離開(kāi)當(dāng)前IDE窗口,點(diǎn)擊其他位置時(shí), IDE 窗口會(huì)失去焦點(diǎn),你的 SpringBoot 服務(wù)就會(huì)自動(dòng)重啟,所以本文給大家介紹了IntelliJ IDEA失焦自動(dòng)重啟服務(wù)的解決方法
    2023-10-10
  • Java redisson實(shí)現(xiàn)分布式鎖原理詳解

    Java redisson實(shí)現(xiàn)分布式鎖原理詳解

    這篇文章主要介紹了Java redisson實(shí)現(xiàn)分布式鎖原理詳解,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下
    2020-02-02
  • 解決rocketmq-client日志保存路徑的問(wèn)題

    解決rocketmq-client日志保存路徑的問(wèn)題

    這篇文章主要介紹了解決rocketmq-client日志保存路徑的問(wèn)題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2021-07-07
  • java書店系統(tǒng)畢業(yè)設(shè)計(jì) 總體設(shè)計(jì)(1)

    java書店系統(tǒng)畢業(yè)設(shè)計(jì) 總體設(shè)計(jì)(1)

    這篇文章主要介紹了java書店系統(tǒng)畢業(yè)設(shè)計(jì),第一步系統(tǒng)總體設(shè)計(jì),具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下
    2016-10-10
  • spring緩存cache的使用詳解

    spring緩存cache的使用詳解

    這篇文章主要介紹了spring緩存cache的使用詳解,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2021-10-10
  • Spring6.x對(duì)調(diào)度和異步執(zhí)行的注解支持示例詳解

    Spring6.x對(duì)調(diào)度和異步執(zhí)行的注解支持示例詳解

    這篇文章主要為大家介紹了Spring6.x對(duì)調(diào)度和異步執(zhí)行的注解支持示例詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2023-11-11
  • springboot使用@value注入配置失敗的解決

    springboot使用@value注入配置失敗的解決

    這篇文章主要介紹了springboot使用@value注入配置失敗的解決方案,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2021-09-09
  • Java死鎖代碼實(shí)例及產(chǎn)生死鎖必備的四個(gè)條件

    Java死鎖代碼實(shí)例及產(chǎn)生死鎖必備的四個(gè)條件

    這篇文章主要介紹了Java死鎖代碼實(shí)例及產(chǎn)生死鎖必備的四個(gè)條件,Java 發(fā)生死鎖的根本原因是,在申請(qǐng)鎖時(shí)發(fā)生了交叉閉環(huán)申請(qǐng),synchronized在開(kāi)發(fā)中最好不要嵌套使用,容易導(dǎo)致死鎖,需要的朋友可以參考下
    2024-01-01
  • Mybatis參數(shù)處理的幾種方法小結(jié)

    Mybatis參數(shù)處理的幾種方法小結(jié)

    在Mybatis中如何處理參數(shù)是一個(gè)非常重要的環(huán)節(jié),本文將詳細(xì)介紹 Mybatis 的參數(shù)處理機(jī)制,包括傳入?yún)?shù)和返回參數(shù)的處理方式,具有一定的參考價(jià)值,感興趣的可以了解一下
    2023-08-08
  • Java中常見(jiàn)死鎖與活鎖的實(shí)例詳解

    Java中常見(jiàn)死鎖與活鎖的實(shí)例詳解

    這篇文章主要介紹了Java中常見(jiàn)死鎖與活鎖的實(shí)例詳解,小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧
    2018-11-11

最新評(píng)論