您的位置:上海毫米网络优化公司 > 网站优化分享 >
相关推荐recommended
- 『scrapy爬虫』03. 爬取多个页面(详细注释步骤)
- 【Rust】——Cargo工作空间
- Rust使用calamine读取excel文件,Rust使用rust
- 【微服务】spring状态机模式使用详解
- 运行springboot项目提示:java: 错误: 不支持发行版本
- Kafka 架构深入探索
- 使用vite+vue+flask实现一个简单的前后端交互效果
- 贪心算法(又叫贪婪算法)Greedy Algorithm
- Springboot之自定义注解
- 最详细的Keycloak教程(建议收藏):Keycloak实现手机号、
- Docker部署nginx,挂载,并配置nginx.conf
- 基于时域有限差分法的FDTD的计算电磁学算法-YEE网格下的更新公式推
- JSqlParser的使用
- Android Studio安装超详细步骤(包括SDK安装不成功,模拟
- jenkins+docker集成harbor实现可持续集成
- mysql workbench使用教程
- Spring-Kafka 3.0 消费者消费失败处理方案
- MySQL-视图:视图概述、创建、查看、更新、修改、删除
- 志愿服务管理小程序设计与实现 毕业设计-附源码97923
- Hadoop集群安装部署
- 【经典算法】LeetCode 64. 最小路径和(JavaCPytho
- 【Ambari】Ansible自动化部署大数据集群
- Linux上启动Nginx失败:Job for nginx.servi
- SpringAI初体验之HelloWorld
- Python江苏南京二手房源爬虫数据可视化系统设计与实现
- Spring AI与大模型Ollama如何集成整合?
- 92款超级漂亮的css按钮样式 复制即用
- Docker 安装 Nginx 部署前端项目
- STM32-SPI通信协议
- 大白话,visual studio code配置PHP+解决PHP缺少
如何在springboot项目中使用JWT
作者:mmseoamin日期:2024-04-01
如何在springboot项目中使用JWT
- 1、JWT是什么
- 2、JWT的组成
- 3、JWT的用途
- 4、为什么使用JWT
- 5、如何在项目中使用JWT
- 1、引入依赖
- 2、生成token
- 3、开放路径
- 4、配置拦截器
- 5、使用
- 6、运行效果
1、JWT是什么
JWT的全称为:JSON Web Token ,它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
2、JWT的组成
JWT由三部分组成,它们之间用圆点(.)连接。这三部分分别是:
Header.Payload.Signature
- Header是一个描述JWT元数据的JSON对象,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256)。
- Payload是有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。
- Signature是对上面两部分数据签名,需要使用base64编码后的header和payload数据,通过指定的算法生成哈希,以确保数据不会被篡改。
- 完整的JWT如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiI0NDAxODQyMDAwMDAwMDAwMDAifQ.Q7bE35fu4ZrE8FHF9HJfwAEV_pAYOtzYGDw5EVAnGts
3、JWT的用途
- 客户端使用用户名和密码请求登录
- 服务端收到请求,验证用户名和密码
- 验证成功后,服务端会签发一个token,再把这个token返回给客户端
- 客户端收到token后可以把它存储起来,比如放到cookie中
- 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带
- 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据
4、为什么使用JWT
在不动产预约登记系统项目开发初期,我试图用session来保存暂时需要保存或者暂时生成的数据,例如保存用户的账号密码记住用户登录的状态、保存各行政区的预约号球数量、保存用户当天取消预约次数等。但是使用session应用于前后端分离项目存在一定的弊端,例如由于session是存在与服务器的物理内存中,所以在分布式系统中,这种方式将会失效、因为session认证本质基于cookie,由于基于Cookie,而cookie无法跨域,所以session的认证也无法跨域,对单点登录不适用。所以使用session来进行开发项目并可行。
在这时了解到了JWT。结合项目场景的使用,JWT能满足项目基本功能的开发,原因有一下几点:
- 因为JWT Token是以JSON加密形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。
- 不需要在服务端保存会话信息,也就是说不依赖于cookie和session,所以没有了传统session认证的弊端,特别适用于分布式微服务。
- 单点登录友好:使用Session进行身份认证的话,由于cookie无法跨域,难以实现单点登录。但是,使用token进行认证的话,token可以被保存在客户端的任意位置的内存中,不一定是cookie,所以不依赖cookie,不会存在这些问题。
- 适合移动端应用:使用Session进行身份认证的话,需要保存一份信息在服务器端,而且这种方式会依赖到Cookie(需要 Cookie保存 SessionId),所以不适合移动端。
5、如何在项目中使用JWT
1、引入依赖
com.auth0 java-jwt3.10.3 2、生成token
根据使用场景,需要将生成token的方法写到对应的类中。在开发不动产预约登记系统中,我将生成token的方法写在了用户的基类中:
public class Account {//用户信息 String id; String email; String username; String password; int cancelnum; public String getToken(Account account) { String token=""; token= JWT.create().withAudience(account.getId()) .sign(Algorithm.HMAC256(account.getPassword())); return token; } }为了确保token的唯一性,需要将用户的id以及password写入到token中进行加密.
3、开放路径
@Override public void addInterceptors(InterceptorRegistry registry) { registry .addInterceptor(authorizeInterceptor) .addPathPatterns("/**");// 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录 }需要开放路径因为拦截器需要对全局路径进行扫描。
4、配置拦截器
public class AuthorizeInterceptor implements HandlerInterceptor { @Resource UserMapper mapper; String token; public String getToken() { return token; } public void setToken(String token) { this.token = token; } @Override public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception { String token = httpServletRequest.getHeader("token");// 从 http 请求头中取出 token // 如果不是映射到方法直接通过 if(!(object instanceof HandlerMethod)){ return true; } HandlerMethod handlerMethod=(HandlerMethod)object; Method method=handlerMethod.getMethod(); //检查是否有passtoken注释,有则跳过认证 if (method.isAnnotationPresent(PassToken.class)) { PassToken passToken = method.getAnnotation(PassToken.class); if (passToken.required()) { return true; } } //检查有没有需要用户权限的注解 if (method.isAnnotationPresent(UserLoginToken.class)) { UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class); if (userLoginToken.required()) { // 执行认证 if (token == null) { throw new RuntimeException("无token,请重新登录"); } // 获取 token 中的 user id String email; try { email = JWT.decode(token).getAudience().get(0); } catch (JWTDecodeException j) { throw new RuntimeException("401"); } Account account = mapper.findAccountByEmail(email); if (account == null) { throw new RuntimeException("用户不存在,请重新登录"); } // 验证 token JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(account.getPassword())).build(); try { jwtVerifier.verify(token); } catch (JWTVerificationException e) { throw new RuntimeException("401"); } return true; } } return true; } @Override public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception { } @Override public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception { } }5、使用
根据项目功能,需要在登录接口写入注解以进行生成token并返回。
@UserLoginToken @PostMapping("/login2")//登录接口 public Object login(@Pattern(regexp = EMAIL_REGEX) @Length(min = 10, max = 20) @RequestParam("email") String email, @Length(min = 6, max = 16) @RequestParam("password")String password,HttpSession session){ JSONObject jsonObject=new JSONObject(); Account account=service.login(email,password); if(account==null){ jsonObject.put("status",401); jsonObject.put("success",false); jsonObject.put("message","登录失败,账号或密码错误"); return jsonObject; }else { String token = account.getToken(account); jsonObject.put("status",200); jsonObject.put("success",true); jsonObject.put("Token", token); jsonObject.put("message", account); return jsonObject; } }6、运行效果
部分参考、引用:
https://blog.csdn.net/weixin_45070175/article/details/118559272
- 关注我们
- 扫描二维码
- 获取更多信息
- 精彩一手掌握
Copyright © 2014-2019 seo,上海网站优化_网络制作_网站seo排名_网站建设推广_上海网络公司 版权所有
沪ICP备19022315号
沪ICP备19022315号 
