您的位置:上海毫米网络优化公司 > 网站优化分享 >
相关推荐recommended
- Spring Boot 框架
- lua学习笔记20(lua中一些自带库的学习)
- 【docker】docker-compose部署mysql
- mysql的IN查询优化
- 【微服务】spring状态机模式使用详解
- uniapp实现事件级防抖
- pytorch超详细安装教程,Anaconda、PyTorch和PyC
- 【JavaScript+自然语言处理+HTML+CSS】实现Web端的
- Linux【OSMCTools 02】OpenStreetMap数据处
- SpringBoot集成EasyExcel 3.x:高效实现Excel
- 关于MYSQL的XA事务(分布式事务)的了解以及MySQL5.7.7对
- 基于SpringBoot+vue的高校学生成绩管理系统
- springboot与tomcat关系
- 若依(前后端分离版)部署全流程 | 宝塔部署SpringBoot项目踩
- 【MyBatis Plus】初识 MyBatis Plus,在 Spr
- mongodb 安装
- 前端文件上传(文件上传,分片上传,断点续传)
- Spring Boot基础 习题题库【附答案】4
- PostgreSQL的date
- 算法D11 | 栈和队列练习 | 20. 有效的括号 1047. 删除
- Hadoop集群安装部署
- Spring Boot中多线程的使用
- mysql中varchar长度为多少
- Python某城市酒店爬虫数据可视化分析和推荐查询系统
- 搭建第一个Web服务器(在eclipse或idea上部署Tomcat服
- SpringBoot项目Jar包加密防止反编译详细讲解(值得珍藏)
- MySQL三表联合查询语法
- 【Linux实践室】Linux高级用户管理实战指南:创建与删除用户组操
- Tc0.Springboot项目启动失败
- 实现:mysql-5.7.42 到 mysql-8.2.0 的升级(二
如何在springboot项目中使用JWT
作者:mmseoamin日期:2024-04-01
如何在springboot项目中使用JWT
- 1、JWT是什么
- 2、JWT的组成
- 3、JWT的用途
- 4、为什么使用JWT
- 5、如何在项目中使用JWT
- 1、引入依赖
- 2、生成token
- 3、开放路径
- 4、配置拦截器
- 5、使用
- 6、运行效果
1、JWT是什么
JWT的全称为:JSON Web Token ,它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
2、JWT的组成
JWT由三部分组成,它们之间用圆点(.)连接。这三部分分别是:
Header.Payload.Signature
- Header是一个描述JWT元数据的JSON对象,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256)。
- Payload是有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。
- Signature是对上面两部分数据签名,需要使用base64编码后的header和payload数据,通过指定的算法生成哈希,以确保数据不会被篡改。
- 完整的JWT如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiI0NDAxODQyMDAwMDAwMDAwMDAifQ.Q7bE35fu4ZrE8FHF9HJfwAEV_pAYOtzYGDw5EVAnGts
3、JWT的用途
- 客户端使用用户名和密码请求登录
- 服务端收到请求,验证用户名和密码
- 验证成功后,服务端会签发一个token,再把这个token返回给客户端
- 客户端收到token后可以把它存储起来,比如放到cookie中
- 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带
- 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据
4、为什么使用JWT
在不动产预约登记系统项目开发初期,我试图用session来保存暂时需要保存或者暂时生成的数据,例如保存用户的账号密码记住用户登录的状态、保存各行政区的预约号球数量、保存用户当天取消预约次数等。但是使用session应用于前后端分离项目存在一定的弊端,例如由于session是存在与服务器的物理内存中,所以在分布式系统中,这种方式将会失效、因为session认证本质基于cookie,由于基于Cookie,而cookie无法跨域,所以session的认证也无法跨域,对单点登录不适用。所以使用session来进行开发项目并可行。
在这时了解到了JWT。结合项目场景的使用,JWT能满足项目基本功能的开发,原因有一下几点:
- 因为JWT Token是以JSON加密形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。
- 不需要在服务端保存会话信息,也就是说不依赖于cookie和session,所以没有了传统session认证的弊端,特别适用于分布式微服务。
- 单点登录友好:使用Session进行身份认证的话,由于cookie无法跨域,难以实现单点登录。但是,使用token进行认证的话,token可以被保存在客户端的任意位置的内存中,不一定是cookie,所以不依赖cookie,不会存在这些问题。
- 适合移动端应用:使用Session进行身份认证的话,需要保存一份信息在服务器端,而且这种方式会依赖到Cookie(需要 Cookie保存 SessionId),所以不适合移动端。
5、如何在项目中使用JWT
1、引入依赖
com.auth0 java-jwt3.10.3 2、生成token
根据使用场景,需要将生成token的方法写到对应的类中。在开发不动产预约登记系统中,我将生成token的方法写在了用户的基类中:
public class Account {//用户信息 String id; String email; String username; String password; int cancelnum; public String getToken(Account account) { String token=""; token= JWT.create().withAudience(account.getId()) .sign(Algorithm.HMAC256(account.getPassword())); return token; } }为了确保token的唯一性,需要将用户的id以及password写入到token中进行加密.
3、开放路径
@Override public void addInterceptors(InterceptorRegistry registry) { registry .addInterceptor(authorizeInterceptor) .addPathPatterns("/**");// 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录 }需要开放路径因为拦截器需要对全局路径进行扫描。
4、配置拦截器
public class AuthorizeInterceptor implements HandlerInterceptor { @Resource UserMapper mapper; String token; public String getToken() { return token; } public void setToken(String token) { this.token = token; } @Override public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception { String token = httpServletRequest.getHeader("token");// 从 http 请求头中取出 token // 如果不是映射到方法直接通过 if(!(object instanceof HandlerMethod)){ return true; } HandlerMethod handlerMethod=(HandlerMethod)object; Method method=handlerMethod.getMethod(); //检查是否有passtoken注释,有则跳过认证 if (method.isAnnotationPresent(PassToken.class)) { PassToken passToken = method.getAnnotation(PassToken.class); if (passToken.required()) { return true; } } //检查有没有需要用户权限的注解 if (method.isAnnotationPresent(UserLoginToken.class)) { UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class); if (userLoginToken.required()) { // 执行认证 if (token == null) { throw new RuntimeException("无token,请重新登录"); } // 获取 token 中的 user id String email; try { email = JWT.decode(token).getAudience().get(0); } catch (JWTDecodeException j) { throw new RuntimeException("401"); } Account account = mapper.findAccountByEmail(email); if (account == null) { throw new RuntimeException("用户不存在,请重新登录"); } // 验证 token JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(account.getPassword())).build(); try { jwtVerifier.verify(token); } catch (JWTVerificationException e) { throw new RuntimeException("401"); } return true; } } return true; } @Override public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception { } @Override public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception { } }5、使用
根据项目功能,需要在登录接口写入注解以进行生成token并返回。
@UserLoginToken @PostMapping("/login2")//登录接口 public Object login(@Pattern(regexp = EMAIL_REGEX) @Length(min = 10, max = 20) @RequestParam("email") String email, @Length(min = 6, max = 16) @RequestParam("password")String password,HttpSession session){ JSONObject jsonObject=new JSONObject(); Account account=service.login(email,password); if(account==null){ jsonObject.put("status",401); jsonObject.put("success",false); jsonObject.put("message","登录失败,账号或密码错误"); return jsonObject; }else { String token = account.getToken(account); jsonObject.put("status",200); jsonObject.put("success",true); jsonObject.put("Token", token); jsonObject.put("message", account); return jsonObject; } }6、运行效果
部分参考、引用:
https://blog.csdn.net/weixin_45070175/article/details/118559272
- 关注我们
- 扫描二维码
- 获取更多信息
- 精彩一手掌握
Copyright © 2014-2019 seo,上海网站优化_网络制作_网站seo排名_网站建设推广_上海网络公司 版权所有
沪ICP备19022315号
沪ICP备19022315号 
