SpringBoot 整合JWT实现基于自定义注解的-登录请求验证拦截(保姆级教学,附:源码)
学习目标:
Spring Boot 整合JWT实现基于自定义注解的 登录请求接口拦截
例:
- 一篇掌握 JWT 入门知识
1.1 在学习SpringBoot 整合JWT之前,我们先来说说JWT进行用户身份验证的流程
1:客户端使用用户名和密码请求登录 2:服务端收到请求,验证用户名和密码 3:验证成功后,服务端会签发一个token,再把这个token返回给客户端 4:客户端收到token后可以把它存储起来,比如放到cookie中 5:客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 6:服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据
1.2 而JWT就是上述流程当中token的一种具体实现方式,其全称是JSON Web Token,官网地址:https://jwt.io/ 并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。JWT的认证流程如下:
1:首先,前端通过Web表单将自己的用户名和密码发送到后端的接口,这个过程一般是一个POST请求。建议的方式是通过SSL加密的传输(HTTPS),从而避免敏感信息被嗅探 2:后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串 3:后端将JWT Token字符串作为登录成功的结果返回给前端。前端可以将返回的结果保存在浏览器中,退出登录时删除保存的JWT Token即可 4:前端在每次请求时将JWT Token放入HTTP请求头中的Authorization属性中(解决XSS和XSRF问题) 后端检查前端传过来的JWT Token,验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等 5:验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果
1.3 JWT结构
JWT由3部分组成:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用.进行连接形成最终传输的字符串
JWTString=Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)JWTString=Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)
1.3.1 Header
JWT头是一个描述JWT元数据的JSON对象,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统一写为JWT。最后,使用Base64 URL算法将上述JSON对象转换为字符串保存
{"alg": "HS256","typ": "JWT"
}
1.3.2 Payload
有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择
iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT
除以上默认字段外,我们还可以自定义私有字段,一般会把包含用户信息的数据放到payload中,如下例:
{"sub": "1234567890","name": "Helen","admin": true
}
请注意:默认情况下JWT是未加密的,因为只是采用base64算法,拿到JWT字符串后可以转换回原本的JSON数据,任何人都可以解读其内容,因此不要构建隐私信息字段,比如用户的密码一定不能保存到JWT中,以防止信息泄露。JWT只是适合在网络中传输一些非敏感的信息
JWT 解码工具:在线JWT Token解析解码工具_x@lijun的博客-CSDN博客
1.3.3 Signature
签名哈希部分是对上面两部分数据签名,需要使用base64编码后的header和payload数据,通过指定的算法生成哈希,以确保数据不会被篡改。首先,需要指定一个密钥(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用header中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名
HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret) HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)
在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用.分隔,就构成整个JWT对象
注意JWT每部分的作用,在服务端接收到客户端发送过来的JWT token之后:header和payload可以直接利用base64解码出原文,从header中获取哈希签名的算法,从payload中获取有效数据signature由于使用了不可逆的加密算法,无法解码出原文,它的作用是校验token有没有被篡改。服务端获取header中的加密算法之后,利用该算法加上secretKey对header、payload进行加密,比对加密后的数据和客户端发送过来的是否一致。注意secretKey只能保存在服务端,而且对于不同的加密算法其含义有所不同,一般对于MD5类型的摘要加密算法,secretKey实际上代表的是盐值
SpringBoot 整合JWT实现基于自定义注解的-实现一个登录请求验证拦截
1:创建数据库结构
CREATE TABLE `users` (`id` int NOT NULL AUTO_INCREMENT,`username` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL,`password` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL,PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci ROW_FORMAT=DYNAMIC;
2: 创建SpringBoot(2.3.5.RELEASE版本)工程,引入pom依赖
pom.xml
<!-- web --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><!-- MP --><dependency><groupId>com.baomidou</groupId><artifactId>mybatis-plus-boot-starter</artifactId><version>3.4.0</version></dependency><!-- mysql --><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId></dependency><!-- lombok --><dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId><optional>true</optional></dependency><!-- jwt --><dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.11.0</version></dependency><!-- hutool --><dependency><groupId>cn.hutool</groupId><artifactId>hutool-all</artifactId><version>5.8.12</version></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope><exclusions><exclusion><groupId>org.junit.vintage</groupId><artifactId>junit-vintage-engine</artifactId></exclusion></exclusions></dependency>
3: application.properties 文件
server.port=8900
spring.application.name=jwtmybatis-plus.configuration.log-impl=org.apache.ibatis.logging.log4j2.Log4j2Impl
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.password=root
spring.datasource.url=jdbc:mysql://localhost:3306/peixun?serverTimezone=GMT%2B8
spring.datasource.username=root
4:JWTUtil 工具类
public class JWTUtils {private static final String APP_SECRET = "ukc8BDbRigUDaY6pZFfWus2jZWLPHOsdadasdasfdssfeweee";/*** 生成token* @param map 传入payload* @return 返回token*/public static String getToken(Map<String,String> map){Calendar instance = Calendar.getInstance();
// instance.add(Calendar.MILLISECOND,20);instance.add(Calendar.DAY_OF_WEEK,7);// 创建 JWT builderJWTCreator.Builder builder = JWT.create();// payloadmap.forEach(builder::withClaim);// 设置过期时间builder.withExpiresAt(instance.getTime());// 设置签名加密String token = builder.sign(Algorithm.HMAC256(APP_SECRET));return token;}/*** 验证token* @param token* @return*/public static void verify(String token){JWT.require(Algorithm.HMAC256(APP_SECRET)).build().verify(token);}/*** 获取token中payload* @param token* @return*/public static DecodedJWT getToken(String token){return JWT.require(Algorithm.HMAC256(APP_SECRET)).build().verify(token);}
}
5:封装统计返回结果类
Result
public class Result implements Serializable {/****/private static final long serialVersionUID = 1L;//状态码private Integer code;//响应消息private String msg;//响应数据private Object data;private Integer count;public Integer getCount() {return count;}public void setCount(Integer count) {this.count = count;}public Integer getCode() {return code;}public void setCode(Integer code) {this.code = code;}public String getMsg() {return msg;}public void setMsg(String msg) {this.msg = msg;}public Object getData() {return data;}public void setData(Object data) {this.data = data;}public Result(ResultCode resultCode,Object data) {this.code=resultCode.getCode();this.msg=resultCode.getMsg();this.data=data;}public Result(Integer code,String msg,Object data) {this.code=code;this.msg=msg;this.data=data;}}
ResultCode
public enum ResultCode {//成功SUCCESS(200,"成功"),PARAM_IS_INVALID(1001,"参数无效"),PARAM_IS_BLANK(1002,"参数为空"),PARAM_IS_ERROR(1004,"参数错误"),PARAM_IS_COMPLETE(1003,"参数缺失"),USER_LONGIN_ERROR(2001,"账号或密码错误"),USER_LONGIN_EXIST(2002,"用户不存在"),USER_LONGIN_EXISTD(2003,"用户已存在"),KHXX_EXISTD(2010,"客户信息已存在!"),USER_LONGIN_EXAMINE(2004,"用户待审核"),UPDATE_EXAMINE(2006,"修改申请已提交,等待管理员审核"),USER_LONGIN_STOP(2005,"用户已停用"),ERROR(500,"操作失败"),CUSTOMER_EXISTD(400,"客户信息已存在"),PHONE_ERROR(402,"验证码或者手机号错误"),PHONE_EXIST(405,"手机号为空"),PHONE_RETRY(405,"请2分钟后重试"),PHONE_FPRMATEXIST(406,"手机号错误"),SINE_ERROR(401,"用户信息已过期,请重新登录"),LONG_OVERTIME(406,"登录超时,请重新登录"),KHXX_HTJH_EXISTD(1005,"该类型的计划已存在"),USER_INSUFFICIENT_AUTHORITY(403,"权限不足"),FILE_NOTBLANK(2007,"上传文件不能为空"),FILE_MAXSIZE(2008,"上传文件不能超过2M"),FILE_ERRORSUFFIX(2009,"上传文件错误,只能上传文档或表格以及PDF格式");private Integer code;private String msg;public Integer getCode() {return code;}public void setCode(Integer code) {this.code = code;}public String getMsg() {return msg;}public void setMsg(String msg) {this.msg = msg;}ResultCode(Integer code,String msg){this.code=code;this.msg=msg;}}
上述准备工作以及完成
6:pojo 实体类
@Data
public class Users {private String id;private String username;private String password;
}
7: annotation 自定义注解
/*** @author xia* @version 1.0* @Data 用来跳过验证的 PassToken* @date 2023/2/13 16:16*/
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {boolean required() default true;
}
/*** @author xia* @version 1.0* @DATA 用于登录后才能操作的token* @date 2023/2/13 16:16*/@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserLoginToken {boolean required() default true;
}
8:拦截器
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(jwtInterceptor()).excludePathPatterns("/user/**").addPathPatterns("/**");}@Beanpublic JWTInterceptor jwtInterceptor() {return new JWTInterceptor();}
}
@Component
@SuppressWarnings("all")
public class JWTInterceptor implements HandlerInterceptor {@AutowiredUser user;// 请求前到达之前拦截@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object)throws Exception {// 从请求头获取 tokenString token = request.getHeader("token");//首先映射是不是方法,如果不是则返回if(!(object instanceof HandlerMethod)){return true;}HandlerMethod handlerMethod=(HandlerMethod) object;Method method=handlerMethod.getMethod();//检查是否有passtoken注释,有则跳过认证if (method.isAnnotationPresent(PassToken.class)) {PassToken passToken = method.getAnnotation(PassToken.class);if (passToken.required()) {return true;}}// token 验证失败后的返回信息if (method.isAnnotationPresent(UserLoginToken.class)) {UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class);if (userLoginToken.required()) {if (StrUtil.isBlank(token)) {throw new RuntimeException( "无token,请重新登录");}// 获取 token 中的 user idint userId;try {DecodedJWT decode = JWT.decode(token);String id = decode.getClaim("id").asString();userId = Integer.parseInt(id);} catch (JWTDecodeException j) {throw new RuntimeException("401");}System.out.println(userId);Users users = user.findUserById(userId);if (users == null) {throw new RuntimeException("用户不存在,请重新登录");}try {// JWT 工具包验证 tokenJWTUtils.verify(token);return true;} catch (TokenExpiredException e) {throw new RuntimeException("Token已经过期!!!");} catch (SignatureVerificationException e){throw new RuntimeException("签名错误!!!");} catch (AlgorithmMismatchException e){throw new RuntimeException("加密算法不匹配!!!");} catch (Exception e) {e.printStackTrace();throw new RuntimeException("无效token~~");}}}return true;}
}
9:controller 层
@RestController
@Slf4j
@SuppressWarnings("all")
public class JwtController {@Resourceprivate UsersMapper mapper;// 认证@PassToken@PostMapping("/user/login")public Result login(@RequestBody Users user) {System.out.println("前端传来的用户数据:"+user);try {// 查询数据库QueryWrapper<Users> queryWrapper = new QueryWrapper<>();HashMap<String, Object> queryMap = new HashMap<>();queryMap.put("username", user.getUsername());queryMap.put("password", user.getPassword());queryWrapper.allEq(queryMap);Users userDb = mapper.selectOne(queryWrapper);// 认证失败if(userDb == null) {throw new RuntimeException("没有此用户。请重新登录");}// 认证成功Map<String, String> tokenClaimsMap = new HashMap<>(); //用来存放payloadtokenClaimsMap.put("id",userDb.getId());tokenClaimsMap.put("username", userDb.getUsername());String token = JWTUtils.getToken(tokenClaimsMap);// 返回的数据return new Result(ResultCode.SUCCESS,token);} catch (Exception e) {// 认证失败,返回的数据e.printStackTrace();return new Result(ResultCode.ERROR,e);}}@UserLoginToken@GetMapping("/private/info")public String info(HttpServletRequest request){String token = request.getHeader("token");DecodedJWT tokenJWT = JWTUtils.getToken(token);System.out.println(tokenJWT.getClaim("username").asString());System.out.println(tokenJWT.getClaim("userId").asInt());return "这是一段私人信息。只有登录才能显示";}@UserLoginToken@GetMapping("/private/Test")public Result info(){String code = "这是一段私人信息。只有登录才能显示";return new Result(ResultCode.SUCCESS,code);}@PassToken()@PostMapping("/private/Test2")public Result info2(){String code = "这是一段普通信息。不登录也能显示";return new Result(ResultCode.SUCCESS,code);}
}
10: service 以及实现类
@Service
public interface User {Users findUserById(int userId);
}
@Service
public class UserService implements User{@Resourceprivate UsersMapper mapper;@Overridepublic Users findUserById(int userId) {Users users = mapper.selectById(userId);System.out.println("------------>"+ users);return users;}
}
11: mapper层
@Mapper
public interface UsersMapper extends BaseMapper<Users> {
}
启动项目,演示效果如下:
1:账号登录成功生成Token (登录请求,使用@PassToken() 注解 跳过token验证)
@PassToken@PostMapping("/user/login")public Result login(@RequestBody Users user) {System.out.println("前端传来的用户数据:"+user);try {// 查询数据库QueryWrapper<Users> queryWrapper = new QueryWrapper<>();HashMap<String, Object> queryMap = new HashMap<>();queryMap.put("username", user.getUsername());queryMap.put("password", user.getPassword());queryWrapper.allEq(queryMap);Users userDb = mapper.selectOne(queryWrapper);// 认证失败if(userDb == null) {throw new RuntimeException("没有此用户。请重新登录");}// 认证成功Map<String, String> tokenClaimsMap = new HashMap<>(); //用来存放payloadtokenClaimsMap.put("id",userDb.getId());tokenClaimsMap.put("username", userDb.getUsername());String token = JWTUtils.getToken(tokenClaimsMap);// 返回的数据return new Result(ResultCode.SUCCESS,token);} catch (Exception e) {// 认证失败,返回的数据e.printStackTrace();return new Result(ResultCode.ERROR,e);}
2:使用这个注解 :@UserLoginToken(登录需要验证)
@UserLoginToken@GetMapping("/private/info")public String info(HttpServletRequest request){String token = request.getHeader("token");DecodedJWT tokenJWT = JWTUtils.getToken(token);System.out.println(tokenJWT.getClaim("username").asString());System.out.println(tokenJWT.getClaim("userId").asInt());return "这是一段私人信息。只有登录才能显示";}@UserLoginToken@GetMapping("/private/Test")public Result info(){String code = "这是一段私人信息。只有登录才能显示";return new Result(ResultCode.SUCCESS,code);}
不携带Token 打印结果:
Token 错误:
3: 使用@PassToken() 放行请求 ,即不需要Token 也可登录
@PassToken()@PostMapping("/private/Test2")public Result info2(){String code = "这是一段普通信息。不登录也能显示";return new Result(ResultCode.SUCCESS,code);}
源码地址如下:
SpringBoot 整合 jwt: 学习token的1111
SpringBoot 整合JWT实现基于自定义注解的-登录请求验证拦截(保姆级教学,附:源码)相关推荐
- springboot+vue.js+mysql+基于VUE框架的商城综合项目自动化系统的实现 毕业设计-附源码051018
商城综合项目自动化系统 摘 要 目前电商系统商城项目管理极其频繁,迫切地需要自动化测试来代替人工繁琐而又重复的劳动.自动化测试相关的研究已经很多,但多数只是针对某一方面,比如单一接口或者单一页面或者性 ...
- java计算机毕业设计ssm基于Vue的校园电脑租赁系统设计与开发19xy6(附源码、数据库)
java计算机毕业设计ssm基于Vue的校园电脑租赁系统设计与开发19xy6(附源码.数据库) 项目运行 环境配置: Jdk1.8 + Tomcat8.5 + Mysql + HBuilderX(We ...
- 毕业设计-基于SSM框架大学教务管理平台项目开发实战教程(附源码)
文章目录 1.项目简介 2.项目收获 3.项目技术栈 4.测试账号 5.项目部分截图 6.常见问题 毕业设计-基于SSM框架大学教务管理平台项目实战教程-附源码 课程源码下载地址:https://do ...
- Springboot整合多数据源(自定义注解+aop切面实现)
原理: 通过后台配置多个数据源,自定义注解,通过aop配置注解切面,前端调用需要传递数据源参数,根据判断数据源参数,调用相应的service或mapper方法. 实现: 准备俩个数据库:俩张表 表sq ...
- springboot基于web模式的师资管理系统的设计与实现 毕业设计-附源码040928
springboot师资管理系统设计与实现 摘 要 随着互联网趋势的到来,各行各业都在考虑利用互联网将自己推广出去,最好方式就是建立自己的互联网系统,并对其进行维护和管理.在现实运用中,应用软件的工作 ...
- 基于SpringBoot的医院门诊管理系统,高质量毕业论文范例-可直接参考使用,附源码和数据库脚本,项目导入运行视频教程,论文撰写教程
1.项目技术栈 前端必学三个基础HTML.CSS.JS,基本每个B/S架构项目都要用到,基础中的基础.此外项目页面使用thymeleaf等前端框架技术. 后端使用Java主流的框架SpringBoot ...
- SpringBoot做的两个系统,一个时间定时任务(quartz),一个微信签到(附源码)
简单的两个SpringBoot Demo ps:有什么不懂的可以直接提出来,我可以一一解答,如quartz如何对SpringBoot进行依赖注入等等这些问题都可以的,需要的话我收集问题专门写一篇文章解 ...
- 基于Spring+SpringMVC+Mybatis的分布式敏捷开发系统架构(附源码)
点击上方 好好学java ,选择 星标 公众号重磅资讯,干货,第一时间送达 今日推荐:推荐19个github超牛逼项目!个人原创100W +访问量博客:点击前往,查看更多 作者:zheng gitee ...
- 基于Java开发一套完整的区块链系统(附源码)
来源:https://blog.csdn.net/victory_long 前言 近几年区块链概念越来越火,特别是区块链技术被纳入国家基础设施建设名单后,各大企业也开始招兵买马,对区块链技术进行研究, ...
最新文章
- 技术图文:Numpy 一维数组 VS. Pandas Series
- 【建模】可视化描绘现实世界-三种模型转换
- 【工作经验分享】java图片转文字
- C++学习之路 | PTA(天梯赛)—— L2-007 家庭房产 (25分)(带注释)(并查集)(精简)
- linux下通过gprs模块拨号上网(转)
- poj1066--Treasure Hunt(规范相交)
- c# listbox使用
- 《高等代数学》(姚慕生),习题1.4:行列式的展开和转置
- Linux将一个文件夹或文件夹下的所有内容复制到另一个文件夹
- linux用cat建文件,如何使用Linux cat命令
- YOLOv4 改进 | 记录如何一步一步改进YOLOv4到自己的数据集(性能、速度炸裂)
- 估计四川长虹的beta系数
- 不想工作了怎么破?那就去这4个地方看一看
- 用vue简单写一个音乐播放器
- 【Pytorch基础教程34】EGES召回模型
- 计算机科学与技术专业为什么要学物理,「物理」一定要好的14个大学专业
- Should we ban guns 英语禁枪议论文
- 2022全新直播短视频系统源码+附教程/可二开可采集
- 编译原理———词法分析器
- 《花开半夏》--4 生死之间的吻(1)