SpringBoot(九)jwt + 拦截器实现token验证

这篇具有很好参考价值的文章主要介绍了SpringBoot(九)jwt + 拦截器实现token验证。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

    前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证。     

    如果你是新手,且没看过我之前的一系列SpringBoot文章,建议至少看一下这一篇:

SpringBoot(四)SpringBoot搭建简单服务端_springboot做成服务_heart荼毒的博客-CSDN博客

    如果你想从头到尾系统地学习,欢迎关注我的专栏,持续更新:

https://blog.csdn.net/qq_21154101/category_12359403.html


目录

​​​​​​​一、服务端生成token

1、添加token依赖

2、token工具类

二、客户端携带token

1、注册时获取token

2、 请求时携带token

三、请求后验证token

1、token拦截器

2、注册token拦截器

3、客户端请求和验证

四、token的构成


​​​​​​​一、服务端生成token

    如何生成token,我们可以使用jwt来生成token。什么是jwt,JWT即Json Web Token, JWT是目前最流行的跨域认证解决方案, 是一个开放式标准(RFC 7519), 用于在各方之间以JSON对象安全传输信息。

1、添加token依赖

		<dependency>
			<groupId>com.auth0</groupId>
			<artifactId>java-jwt</artifactId>
			<version>3.4.1</version>
		</dependency>
		<dependency>
			<groupId>io.jsonwebtoken</groupId>
			<artifactId>jjwt</artifactId>
			<version>0.9.1</version>
		</dependency>

2、token工具类

    写一个工具类,用来生成和校验token

package com.zhaojun.server.util;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
public class JwtUtil {
    private static final String secret = "hand2020";
    private static final Long expiration = 1209600L;

    /**
     * 生成用户token,设置token超时时间
     */
    public static String createToken(String name) {
        //过期时间
        Date expireDate = new Date(System.currentTimeMillis() + expiration * 1000);
        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");
        String token = JWT.create()
                // 添加头部
                .withHeader(map)
                //可以将基本信息放到claims中
                //userName
                .withClaim("userName", name)
                //超时设置,设置过期的日期
                .withExpiresAt(expireDate)
                //签发时间
                .withIssuedAt(new Date())
                //SECRET加密
                .sign(Algorithm.HMAC256(secret));
        System.out.println(token);
        return token;
    }

    /**
     * 校验token并解析token
     */
    public static boolean verifyToken(String token) {
        DecodedJWT jwt;
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(secret)).build();
            jwt = verifier.verify(token);
            if (jwt.getExpiresAt().before(new Date())) {
                System.out.println("token过期");
                return false;
            }
        } catch (Exception e) {
            //解码异常则抛出异常
            System.out.println("token解析异常:" + e.getMessage());
            return false;
        }
        return true;
    }

}

二、客户端携带token

    因为一般token是放在header中的,直接在浏览器去访问是不能添加header的,当然可以借助postman等工具。我本身是做Android的,我直接基于okhttp快速写几个请求和简单的页面,包括之前的register和login。要实现的逻辑如下:

  • 注册新用户时生成token告诉客户端,客户端收到token后保存到本地
  • 客户端后续的所有请求,都在header中携带token
  • 服务端收到请求后,先校验token,token合法则放行

1、注册时获取token

    首先,我先注册个账号,账号为test,密码为123456,手机号为123456。如下示例代码,我使用okhttp写了一个注册请求。

    private void doRegister() {
        String name = mNameEditText.getText().toString();
        String password = mPasswordEditText.getText().toString();
        String phone = mPhoneEditText.getText().toString();
        if (TextUtils.isEmpty(name) || TextUtils.isEmpty(password) || TextUtils.isEmpty(phone)) {
            Toast.makeText(this, "用户名、手机号或密码为空", Toast.LENGTH_SHORT).show();
        }
        String url = URL + "name=" + name + "&password=" + password + "&phone=" + phone;
        new Thread(new Runnable() {
            @Override
            public void run() {
                OkHttpClient client = new OkHttpClient();
                Request request = new Request.Builder()
                        .url(url)
                        .build();
                try {
                    Response response = client.newCall(request).execute();
                    ResponseBody body = response.body();
                    if (body != null) {
                        String result = body.string();
                        Log.d("TTTT",result);
                        Gson gson = new Gson();
                        TypeToken<RegisterResult> typeToken = new TypeToken<RegisterResult>() {
                        };
                        RegisterResult registerResult = gson.fromJson(result, typeToken);
                        if (registerResult != null) {
                            String token = registerResult.getToken();
                            SPUtils.getInstance().put("token", token);
                        }
                    }
                } catch (Exception e) {
                    e.printStackTrace();
                }
            }
        }).start();
    }

    注册成功后,可以看到后端返回了如下的json:

springboot token拦截器,SpringBoot,spring boot,后端,java

2、 请求时携带token

    如下示例代码,我使用okhttp写了一个header带token的请求,这个token就是之前注册时返回保存到本地的。

    private void tokenLogin() {
        new Thread(new Runnable() {
            @Override
            public void run() {
                OkHttpClient client = new OkHttpClient();
                Request request = new Request.Builder()
                        .url(url)
                        .addHeader("token", SPUtils.getInstance().getString("token"))
                        .build();
                try {
                    Response response = client.newCall(request).execute();
                    ResponseBody body = response.body();
                    if (body != null) {
                        String result = body.string();
                        Log.d("TTTT", result);
                        Gson gson = new Gson();
                        TypeToken<LoginResult> typeToken = new TypeToken<LoginResult>() {
                        };
                        LoginResult loginResult = gson.fromJson(result, typeToken);
                        if (loginResult != null) {
                            int code = loginResult.getCode();
                            if (code != 0) {
                                runOnUiThread(new Runnable() {
                                    @Override
                                    public void run() {
                                        startLoginActivity();
                                    }
                                });
                            }
                        }
                    }
                } catch (Exception e) {
                    Log.d("TTTT",e.getMessage());
                }
            }
        }).start();
    }

三、请求后验证token

    万事俱备,生成和请求携带token都做好了。接下来,需要在后端实现一个token拦截器,拦截除注册接口以外的任何请求。如果token校验通过则直接放行,否则拦截并返回错误信息。在这里定义了两种:token为空和token不合法。

1、token拦截器

package com.zhaojun.server.interceptor;

import com.zhaojun.server.util.JwtUtil;
import com.zhaojun.server.util.TextUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;

public class TokenInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        HttpServletResponseWrapper wrapper = new HttpServletResponseWrapper(response);
        String token = request.getHeader("token");
        if (TextUtils.isEmpty(token)) {
            wrapper.sendRedirect("fail/token/null");
            System.out.println("null token");
            return false;
        }
        if (!JwtUtil.verifyToken(token)) {
            wrapper.sendRedirect("fail/token/invalid");
            System.out.println("invalid token");
            return false;
        }
        System.out.println("valid token");
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("拦截器处理结束...");
        HandlerInterceptor.super.postHandle(request, response, handler, modelAndView);
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("请求结束...");
        HandlerInterceptor.super.afterCompletion(request, response, handler, ex);
    }
}

2、注册token拦截器

    非常不建议直接对所有的url都进行拦截,仅拦截需要的请求就好了。

package com.zhaojun.server.interceptor;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class MyWebMvcConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new TokenInterceptor())
                .addPathPatterns("/login")
                .excludePathPatterns("/register");
    }
}

3、客户端请求和验证

客户端发起header携带token的请求后,可以看到,验证成功:

springboot token拦截器,SpringBoot,spring boot,后端,java

使用浏览器进行不带token的请求后,重定向:

springboot token拦截器,SpringBoot,spring boot,后端,java

四、token的构成

    接下来,我们来看下token的构成。这是我访问我之前的注册接口http://localhost:8080/register?name=abc&phone=13456789123&password=123456,使用jwt生成的一个token 

springboot token拦截器,SpringBoot,spring boot,后端,java​​​​​​​

      如下这一坨xx.xx.xx的就是token了:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyTmFtZSI6ImFiYyIsImV4cCI6MTY5MjAxMjcwOCwiaWF0IjoxNjkwODAzMTA4fQ.rmUx9SCSR_5NI9-BTc6T4UxDTge2ZPTqhEvnEgS5OvM

    token的组成是这样的:header(头).payload(负载).signature(签名),header和payload都是base64编码,可以直接使用base64工具解析。当然,也可以去如下网站解析token开发工具箱 - JWT 在线解密 

springboot token拦截器,SpringBoot,spring boot,后端,java

     signature是签名部分,直接使用base64解析是不行的。需要通过密钥进行解密,密钥也就是我上面jwtUtils代码中的secret。

注意:payload是可以被解析的,因此,withClaim方法不要放关键信息,例如密码等,否则就直接暴露给别人了。

    本篇介绍了如何使用jwt生成和验证token,以及通过Android端发起header带token的请求去验证了token拦截器的执行过程。在最后,也简单介绍了token的构成,尤其需要注意的是,token的前两段是明文,里面不要放用户密码等隐私的信息。文章来源地址https://www.toymoban.com/news/detail-763698.html

到了这里,关于SpringBoot(九)jwt + 拦截器实现token验证的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • springboot实现拦截器

    内容:继承 HandlerInterceptorAdapter 并实现 WebMvcConfigurer , 拦截器中的方法将preHandle-Controller-postHandle-affterCompletion的顺序执行。 注意:只有preHandle方法返回true时后面的方法才会执行。当拦截器链存在多个拦截器时,postHandle在所有拦截器内的所有拦截器返回成功时才会调用,而

    2024年02月02日
    浏览(47)
  • SpringBoot Redis 注解 拦截器来实现接口幂等性校验

    幂等性, 通俗的说就是一个接口, 多次发起同一个请求, 必须保证操作只能执行一次 比如:订单接口, 不能多次创建订单 支付接口, 重复支付同一笔订单只能扣一次钱 支付宝回调接口, 可能会多次回调, 必须处理重复回调 普通表单提交接口, 因为网络超时等原因多次点击提

    2024年01月19日
    浏览(62)
  • SpringBoot定义拦截器+自定义注解+Redis实现接口防刷(限流)

    在拦截器Interceptor中拦截请求 通过地址+请求uri作为调用者访问接口的区分在Redis中进行计数达到限流目的 定义参数 访问周期 最大访问次数 禁用时长 代码实现 定义拦截器:实现HandlerInterceptor接口,重写preHandle()方法 注册拦截器:配置类实现WebMvcConfigurer接口,重写addIntercep

    2024年02月05日
    浏览(59)
  • Springboot 自定义 Mybatis拦截器,实现 动态查询条件SQL自动组装拼接(玩具)

    ps:最近在参与3100保卫战,战况很激烈,刚刚打完仗,来更新一下之前写了一半的博客。 该篇针对日常写查询的时候,那些动态条件sql 做个简单的封装,自动生成(抛砖引玉,搞个小玩具,不喜勿喷)。 来看看我们平时写那些查询,基本上都要写的一些动态sql:   一个字段

    2024年02月12日
    浏览(48)
  • SpringBoot中接口幂等性实现方案-自定义注解+Redis+拦截器实现防止订单重复提交

    SpringBoot+Redis+自定义注解实现接口防刷(限制不同接口单位时间内最大请求次数): SpringBoot+Redis+自定义注解实现接口防刷(限制不同接口单位时间内最大请求次数)_redis防刷_霸道流氓气质的博客-CSDN博客 以下接口幂等性的实现方式与上面博客类似,可参考。 什么是幂等性? 幂等

    2024年02月15日
    浏览(55)
  • 【SpringBoot篇】Interceptor拦截器 | 拦截器和过滤器的区别

    拦截器(Interceptor)是一种软件设计模式,用于在应用程序处理请求或响应时对其进行拦截和修改。拦截器可以在整个应用程序中使用,用于执行跨越多个层的通用任务,如身份验证、授权、缓存、日志记录、性能计量等。 在Web开发中,拦截器通常用于在请求到达控制器之前

    2024年02月04日
    浏览(62)
  • Springboot中创建拦截器

    目录 目的 实现过程         1、创建拦截器         2、注册拦截器 完整代码         在Springboot项目中创建拦截器,在进入Controller层之前拦截请求,可对拦截到的请求内容做响应处理,如:校验请求参数、验证证书等操作;         首先自定义创建一个类,然后

    2024年02月13日
    浏览(44)
  • Springboot如何配置拦截器

    在 Spring Boot 中,配置拦截器需要继承 HandlerInterceptorAdapter 类,并重写其中的 preHandle()、postHandle()、afterCompletion() 等方法。下面是一个详细的实例: 首先,我们创建一个拦截器类 MyInterceptor,继承 HandlerInterceptorAdapter 类,并在其中重写 preHandle() 方法: 其中,preHandle() 方法用于

    2024年02月13日
    浏览(46)
  • 全面了解SpringBoot拦截器

    在本文中,我们将详细介绍SpringBoot中的拦截器,包括拦截器的概念、作用、实现方式、执行顺序、生命周期以及高级应用。最后,我们还将探讨拦截器的性能优化策略和常见问题。 拦截器(Interceptor)是一种特殊的组件,它可以在请求处理的过程中对请求和响应进行拦截和处

    2024年02月17日
    浏览(49)
  • springboot 拦截器的配置

    编写拦截器 对于前后端分离架构 preHandle 会在方法执行前执行,按照拦截器顺序执行 postHandle 会在方法return前执行,按照拦截器顺序逆序执行 afterCompletion 方法return 之后执行 ,按照拦截器顺序逆序执行 拦截器注册

    2024年02月15日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包