JWT简介
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。
JWT 格式组成:头部、负载、签名
header payload signature
头部:主要是描述签名算法
负载:主要描述是加密对象的信息,如用户的id等,也可以加些规范里面的东西,如 iss 签发者,exp 过期时间,sub 面向的用户
签名:主要是把前面两部分进行加密,防止别人拿到 token 进行 base 解密后篡改 token
SpringBoot和JWT的集成
- pom文件引入依赖
<dependency>
<groupId>com.auth0groupId>
<artifactId>java-jwtartifactId>
<version>3.4.0version>
dependency>- 实体类SysUser.java
@Data
@Accessors(chain = true)
@AllArgsConstructor
@NoArgsConstructor
@TableName("sys_user")
public class SysUser implements Serializable {
private static final long serialVersionUID = 798147584464604992L;
@TableId(type = IdType.AUTO)
private Integer userId;
/**
* 用户名
*/
private String username;
/**
* 密码
*/
private String password;
private Date createTime;
private Date updateTime;
/**
* 1:删除,0:正常
*/
private Integer isDelete;
}- Service接口
public interface SysUserService {
SysUser login(SysUserReq userReq);
SysUserResp info(int userId);
}- Impl:
@Slf4j
@Service("sysUserService")
public class SysUserServiceImpl implements SysUserService {
@Autowired
private SysUserDao sysUserDao;
@Autowired
private SysUserRoleDao sysUserRoleDao;
@Autowired
private SysRoleDao sysRoleDao;
@Override
public SysUser login(SysUserReq user) {
String password = user.getPassword();
user.setPassword(MD5Tools.string2MD5(password));
SysUser sysUser = new SysUser();
BeanUtils.copyProperties(user, sysUser);
QueryWrapper queryWrapper = new QueryWrapper<>(sysUser);
SysUser user1 = sysUserDao.selectOne(queryWrapper.eq("username", sysUser.getUsername()).eq("password", sysUser.getPassword()));
return user1;
}
@Override
public SysUserResp info(int userId) {
SysUser sysUser = sysUserDao.selectById(userId);
if (sysUser != null) {
List userRoles = sysUserRoleDao.selectList(new QueryWrapper().eq("user_id", userId));
if (userRoles != null && userRoles.size() > 0) {
SysUserResp sysUserResp = new SysUserResp();
sysUserResp.setName(sysUser.getUsername());
sysUserResp.setAvatar("https://wpimg.wallstcn.com/f778738c-e4f8-4870-b634-56703b4acafe.gif");
List roles = new ArrayList<>();
for (SysUserRole userRole : userRoles) {
SysRole sysRole = sysRoleDao.selectById(userRole.getRoleId());
if (sysRole != null) {
roles.add(sysRole.getRoleName());
}
}
sysUserResp.setRoles(roles);
return sysUserResp;
}
}
return null;
}
}- controller:
@Slf4j
@RestController
@RequestMapping("sysUser")
public class SysUserController {
/**
* 服务对象
*/
@Autowired
private SysUserService sysUserService;
@PostMapping("login")
public JsonResult login(@Valid @RequestBody SysUserReq userReq, HttpServletRequest request, HttpServletResponse response) {
try {
String randomText = (String) request.getSession().getAttribute("verifyCode");
if (!userReq.getRandomText().equalsIgnoreCase(randomText)) {
return JsonResultUtil.getErrorJson("验证码错误!");
}
SysUser user1 = sysUserService.login(userReq);
if (user1 == null) {
return JsonResultUtil.getErrorJson("用户名或密码错误");
} else {
//生成token
String token = TokenUtil.sign(user1);
TokenResp tokenResp = new TokenResp();
tokenResp.setToken(token);
tokenResp.setUserId(user1.getUserId());
return JsonResultUtil.getSuccessJson("登录成功", tokenResp);
}
} catch (Exception e) {
e.printStackTrace();
}
return JsonResultUtil.getErrorJson("登录失败");
}
@PostMapping("info")
public JsonResult info(@Valid @RequestBody TokenResp tokenResp, HttpServletRequest request, HttpServletResponse response) {
try {
SysUserResp sysUserResp = sysUserService.info(tokenResp.getUserId());
if (sysUserResp != null) {
return JsonResultUtil.getSuccessJson("获取用户信息成功", sysUserResp);
}
} catch (Exception e) {
e.printStackTrace();
}
return JsonResultUtil.getErrorJson("获取用户信息失败");
}
}- token工具类:
public class TokenUtil {
private static final long EXPIRE_TIME= 15*60*1000;
private static final String TOKEN_SECRET="token123"; //密钥盐
/**
* 签名生成
* @param user
* @return
*/
public static String sign(SysUser user){
String token = null;
try {
Date expiresAt = new Date(System.currentTimeMillis() EXPIRE_TIME);
token = JWT.create()
.withIssuer("auth0")
.withClaim("username", user.getUsername())
.withExpiresAt(expiresAt)
// 使用了HMAC256加密算法。
.sign(Algorithm.HMAC256(TOKEN_SECRET));
} catch (Exception e){
e.printStackTrace();
}
return token;
}
/**
* 签名验证
* @param token
* @return
*/
public static boolean verify(String token){
try {
JWTVerifier verifier = JWT.require(Algorithm.HMAC256(TOKEN_SECRET)).withIssuer("auth0").build();
DecodedJWT jwt = verifier.verify(token);
System.out.println("认证通过:");
System.out.println("issuer: " jwt.getIssuer());
System.out.println("username: " jwt.getClaim("username").asString());
System.out.println("过期时间: " jwt.getExpiresAt());
return true;
} catch (Exception e){
return false;
}
}
}- 拦截器:
@Component
public class TokenInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
if (request.getMethod().equals("OPTIONS")) {
response.setStatus(HttpServletResponse.SC_OK);
return true;
}
response.setCharacterEncoding("utf-8");
String token = request.getHeader("token");
if (token != null) {
boolean result = TokenUtil.verify(token);
if (result) {
System.out.println("通过拦截器");
return true;
}
}
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
PrintWriter out = null;
try {
JsonResult jsonResult = new JsonResult();
jsonResult.setCode(401);
jsonResult.setMessage("invalid token");
response.getWriter().append(JSON.toJSONString(jsonResult));
System.out.println("认证失败,未通过拦截器");
// response.getWriter().write("50000");
} catch (Exception e) {
e.printStackTrace();
response.sendError(500);
return false;
}
return false;
}
}- 配置拦截器:
/**
* 拦截器配置
*/
@Configuration
public class IntercepterConfig implements WebMvcConfigurer {
private TokenInterceptor tokenInterceptor;
//构造方法
public IntercepterConfig(TokenInterceptor tokenInterceptor){
this.tokenInterceptor = tokenInterceptor;
}
@Override
public void addInterceptors(InterceptorRegistry registry){
List excludePath = new ArrayList<>();
excludePath.add("/sysUser/login"); //注册
excludePath.add("/checkcode/getVerifyCode"); //注册
registry.addInterceptor(tokenInterceptor)
.addPathPatterns("/**")
.excludePathPatterns(excludePath);
WebMvcConfigurer.super.addInterceptors(registry);
}
}使用postMan测试
- 获取验证码
- 提交正确的用户名,密码和验证码,验证通过,可以获取到token信息。
- 通过token获取用户信息
- 获取用户信息不加token返回验证失败
内容出处:,
声明:本网站所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。文章链接:http://www.yixao.com/procedure/12366.html
赞 (0)
打赏
微信扫一扫
支付宝扫一扫
微信扫一扫
支付宝扫一扫
vue+element-ui项目搭建实战
上一篇
2020-10-13 08:20
CSRF原理及防范
下一篇
2020-10-13 08:23
相关推荐
-
防止数据重复提交的6种简易方法
有位朋友,某天突然问磊哥:在 Java 中,防止重复提交最简单的方案是什么? 这句话中包含了两个关键信息,第一:防止重复提交;第二:最简单。 于是磊哥问他,是单机环境还是分布式环境…
-
JavaScript语言编程的前提思想
无论是公司的同事还是外界的程序员朋友们,大部分人对JavaScript的高级应用不甚了解,已有的知识架构里会认为JavaScript仅仅是一门脚本语言,其作用是给页面做一些锦上添花的效果,比如表单验证等等。潜意识里也就不会用面向对象的思想去编写JavaScript代码,也很少会去深入了解prototype, closures等概念。
-
企业微信万亿级日志检索系统
背景 开发在定位问题时需要查找日志,但企业微信业务模块日志存储在本机磁盘,这会造成以下问题: 日志查找效率低下:一次用户请求涉及近十个模块,几十台机器,查找日志需要登录机器 gre…
-
5分钟上手Egg.js+nunjucks模板引擎快速开发SEO友好的官网项目
在日常的项目中,有时候还是不可避免的会维护一些jq官网项目等。面对此类需求,很多还是以前的老套路,前端写页面交给后端去套数据。很烦有木有~~而改动之后还得交给后端再次修改,时间和沟…
-
写出高性能SQL语句的35条方法
当删除表中的记录时,在通常情况下, 回滚段(rollback segments ) 用来存放可以被恢复的信息. 如果你没有COMMIT事务,ORACLE会将数据恢复到删除之前的状态(准确地说是恢复到执行删除命令之前的状况) 而当运用TRUNCATE时, 回滚段不再存放任何可被恢复的信息。
-
vuex里面的四大金刚:State,Mutations,Actions,Getters
vuex里面的四大金刚:State, Mutations,Actions,Getters 1.State—–声明一个state:vuex的状态管理,需要依赖…
-
基于 vue+mescroll 超精致下拉刷新和上拉加载组件Vue-Mescroll
今天给大家分享一个超赞的Vue下拉刷新和上拉加载组件VueMescroll。 mescroll 一个集成下拉刷新、上拉加载更多、无限滚动加载的js插件。支持vue和uni-app。…
-
Nginx:SSL的安装和配置
证书申请: 比如:阿里云提供期限为1年的免费证书。 SSL模块安装 查看是否已经安装了http_ssl_module模块 # 如未出现configure arguments: –w…
-
基于Redis实现分布式锁的思考
synchronized虽然能够解决同步问题,但是每次只有一个线程访问,并且synchronized锁属于JVM锁,仅适用于单点部署;然而分布式需要部署多台实例,属于不同的JVM线程对象
-
php在线打包工具源代码
一哥们要实现 php 的在线打包工具,随手在网上搜索了一个,但跟哥们的要求不一样,他的要求是在页面进行的变量传递过来的文件进行打包并在浏览器进行下载,但从网上找来的这个测试了下感觉…