AI 助理
文档备案控制台
开发者社区 开发与运维 文章 正文

SpringBoot通过拦截器和JWT令牌实现登录验证

2024-03-19 2496
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 该文介绍了JWT工具类、匿名访问注解、JWT验证拦截器的实现以及拦截器注册。使用`java-jwt`库生成和验证JWT,JwtUtil类包含generateToken和verifyToken方法。自定义注解`@AllowAnon`允许接口匿名访问。JwtInterceptor在Spring MVC中拦截请求,检查JWT令牌有效性。InterceptorConfig配置拦截器,注册并设定拦截与排除规则。UserController示例展示了注册、登录(允许匿名)和需要验证的用户详情接口。

1. Jwt 工具类

引入依赖

<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>4.4.0</version>
</dependency>

JwtUtil 类包含了两个静态方法:generateToken() 用于生成 JWT,verifyToken() 用于验证 JWT 

public class JwtUtil {
   

    //密钥
    private static final String SECRET_KEY = "xxxxxxxxx";

    // 过期时间60分钟
    private static final long EXPIRE_TIME = 60 * 60 * 1000;

    /**
     * 生成签名
     *
     * @param claims
     * @return
     */
    public static String generateToken(Map<String, Object> claims) {
   

        var jwtBuilder = JWT.create();

        // 设置传入的字典中的声明
        for (Map.Entry<String, Object> entry : claims.entrySet()) {
   
            jwtBuilder.withClaim(entry.getKey(), entry.getValue().toString());
        }

        //过期时间
        Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);

        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
        return jwtBuilder.withExpiresAt(date).sign(algorithm);


    }

    /**
     * 校验token是否正确
     *
     * @param token
     * @return
     */
    public static boolean verifyToken(String token) {
   
        try {
   
            if (token.startsWith("Bearer ")) {
   
                token = token.replace("Bearer ", "");
                return false;
            }

            Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
            DecodedJWT jwt = JWT.require(algorithm)
                    .build()
                    .verify(token);
            return true;
        } catch (Exception exception) {
   
            return false;
        }
    }

    /**
     * 获得token中的用户信息(无需secret解密也能获得)
     *
     * @param token
     * @return
     */
    public static String getUsername(String token) {
   
        try {
   
            if (token.startsWith("Bearer ")) {
   
                token = token.replace("Bearer ", "");
            }
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("userName").asString();
        } catch (JWTDecodeException e) {
   
            return null;
        }
    }
}

2. 匿名访问注解

自定义匿名访问注解,接口添加该注解,则跳过Jwt权限验证。

/**
 * 自定义注解
 * 允许匿名访问
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AllowAnon {
   
    boolean required() default true;
}

3. Jwt验证拦截器


public class JwtInterceptor implements HandlerInterceptor {
   

    /**
     * 在请求处理之前进行调用(Controller方法调用之前)
     *
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws IOException
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws IOException {
   

        System.out.println("Jwt Interceptor preHandle");

        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();

        //检查有没有允许匿名访问的注解
        if (method.isAnnotationPresent(AllowAnon.class)) {
   
            AllowAnon allowAnon = method.getAnnotation(AllowAnon.class);
            if (allowAnon.required()) {
   
                //允许匿名访问(无需权限)
                return true;
            }
        }

        String authorizationHeader = request.getHeader("Authorization");
        if (authorizationHeader == null || !authorizationHeader.startsWith("Bearer ")) {
   
            ResponseErrorMessage(response);
            return false;
        }
        String token = authorizationHeader.substring(7);
        try {
   
            //验证token
            if (JwtUtil.verifyToken(token)) {
   
                //验证成功
                return true;
            } else {
   
                //验证失败
                ResponseErrorMessage(response);
                return false;
            }
        } catch (Exception e) {
   
            ResponseErrorMessage(response);
            return false;
        }
    }

    /**
     * 请求处理之后进行调用,但是在视图被渲染之前(Controller方法调用之后)
     * preHandle方法处理之后这个方法会被调用,如果控制器Controller出现了异常,则不会执行此方法
     *
     * @param request
     * @param response
     * @param handler
     * @param modelAndView
     * @throws Exception
     */
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
   
        System.out.println("Jwt Interceptor postHandle");
    }

    /**
     * 不管有没有异常,这个afterCompletion都会被调用
     *
     * @param request
     * @param response
     * @param handler
     * @param ex
     * @throws Exception
     */
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
   
        System.out.println("Jwt Interceptor afterCompletion");
    }

    /**
     * 响应错误消息
     *
     * @param response
     * @throws IOException
     */
    private void ResponseErrorMessage(HttpServletResponse response) throws IOException {
   
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        response.setContentType("application/json; charset=UTF-8");
        response.getWriter().write("{\"success\":false,\"message\":\"授权失败\",\"data\":null}");
    }
}

4. 注册拦截器


//注册拦截器配置
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
   

    /**
     * 重写addInterceptors()实现拦截器
     * 配置:要拦截的路径以及不拦截的路径
     *
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
   

        System.out.println("InterceptorConfig addInterceptors");

        registry.addInterceptor(jwtInterceptor())  //配置拦截规则
                .addPathPatterns("/api/**")  // 拦截所有请求,通过判断token是否合法来决定是否需要登录
                .excludePathPatterns(
                        "/api/user/register"  //注册
                );//允许匿名访问放行的请求
    }

    @Bean
    public JwtInterceptor jwtInterceptor() {
   
        return new JwtInterceptor();
    }
}

5. 控制器

@RestController
@RequestMapping("/api/user")
public class UserController {
   

    /**
     * 注册(无需jwt验证,InterceptorConfig定义排除JwtInterceptor验证路由)
     *
     * @return
     */
    @PostMapping("register")
    public String register() {
   
        return "注册成功";
    }

    /**
     * 登录(无需jwt验证,添加AllowAnon允许匿名访问注解)
     *
     * @return
     */
    @AllowAnon
    @PostMapping("login")
    public String login() {
   
        Map<String, Object> claims = new HashMap<>();
        claims.put("userId", "9");
        claims.put("userName", "usernine");

        //生成token
        var token = JwtUtil.generateToken(claims);

        return token;
    }

    /**
     * 详情(需要验证)
     *
     * @return
     */
    @GetMapping("detail")
    public void getUserDetail(@RequestHeader("Authorization") String token) {
   
        //获取当前用户名
        var username = JwtUtil.getUsername(token);
    }
}
文章标签:
Java
前端开发
Spring
关键词:
Spring Boot登录
jwt令牌
Spring Boot JWT
springboot jwt
jwt springboot
kouver
目录
相关文章
一位隐者
|
JSON 安全 Java
什么是JWT?如何使用Spring Boot Security实现它?
什么是JWT?如何使用Spring Boot Security实现它?
一位隐者
2272 5
WanderInk-20107
|
11月前
|
存储 Java 数据库
Spring Boot 注册登录系统:问题总结与优化实践
在Spring Boot开发中,注册登录模块常面临数据库设计、密码加密、权限配置及用户体验等问题。本文以便利店销售系统为例,详细解析四大类问题:数据库字段约束(如默认值缺失)、密码加密(明文存储风险)、Spring Security配置(路径权限不当)以及表单交互(数据丢失与提示不足)。通过优化数据库结构、引入BCrypt加密、完善安全配置和改进用户交互,提供了一套全面的解决方案,助力开发者构建更 robust 的系统。
WanderInk-20107
367 0
大数据文摘
|
XML JavaScript Java
SpringBoot集成Shiro权限+Jwt认证
本文主要描述如何快速基于SpringBoot 2.5.X版本集成Shiro+JWT框架,让大家快速实现无状态登陆和接口权限认证主体框架,具体业务细节未实现,大家按照实际项目补充。
大数据文摘
922 11
wljslmz
|
JSON 安全 算法
Spring Boot 应用如何实现 JWT 认证?
Spring Boot 应用如何实现 JWT 认证?
wljslmz
1518 8
wljslmz
|
安全 Java 数据安全/隐私保护
如何使用Spring Boot进行表单登录身份验证:从基础到实践
如何使用Spring Boot进行表单登录身份验证:从基础到实践
wljslmz
443 5
章为忠学架构
|
JSON 算法 安全
SpringBoot从入门到精通(三十四)如何集成JWT实现Token验证
近年来,随着前后端分离、微服务等架构的兴起,传统的cookie+session身份验证模式已经逐渐被基于Token的身份验证模式取代。接下来介绍如何在Spring Boot项目中集成JWT实现Token验证。
章为忠学架构
5743 1
SpringBoot从入门到精通(三十四)如何集成JWT实现Token验证
ben4
|
JSON 算法 Java
SpringBoot集成JWT实现token验证
JWT官网: https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。
ben4
4277 0
编程达人
|
Java
Java:SpringBoot集成JWT实现token验证
Java:SpringBoot集成JWT实现token验证
编程达人
317 0
Java:SpringBoot集成JWT实现token验证
计算机程序设计的泡泡Y2013070224
|
5月前
|
JavaScript Java 关系型数据库
基于springboot的项目管理系统
本文探讨项目管理系统在现代企业中的应用与实现,分析其研究背景、意义及现状,阐述基于SSM、Java、MySQL和Vue等技术构建系统的关键方法,展现其在提升管理效率、协同水平与风险管控方面的价值。
计算机程序设计的泡泡Y2013070224
446 43

热门文章

最新文章

  • 1
    SpringBoot三部曲之Controller 请求日志切面 AOP
  • 2
    Spring Boot 3 整合 Mybatis-Plus 动态数据源实现多数据源切换
  • 3
    Spring Boot 2.X(六):Spring Boot 集成 Redis
  • 4
    SpringBoot 日期&时间格式化处理
  • 5
    使用Spring Boot的Profile功能来实现不同环境使用不同的Nacos Namespace的配置
  • 6
    树莓派4B使用Docker部署SpringBoot项目——(三)使用Docker制作JDK8镜像
  • 7
    【SpringBoot技术专题】「开发实战系列」Undertow web容器的入门实战及调优方案精讲
  • 8
    SpringBoot 如何统一后端返回格式?
  • 9
    基于springboot架构 钉钉扫码登录第三方应用
  • 10
    Spring Boot项目中VO层设计:选择继承或组合的灵活实践
  • 1
    net core jwt的基本原理和实现
    314
  • 2
    session和JWT的应用及区别
    234
  • 3
    4.基础技术&API网关&JWT
    253
  • 4
    1天搞定SpringBoot+Vue全栈开发 (9)JWT跨域认证
    298
  • 5
    基于M实现的JWT解决方案
    265
  • 6
    前端的JWT怎么进行用户认证?
    240
  • 7
    Shiro + JWT 进行登录验证
    172
  • 8
    切图仔做全栈:React&Nest.js社区平台(一)——基础架构与邮箱注册、JWT登录实现
    400
  • 9
    Spring Security整合JWT
    454
  • 10
    Springboot+Spring security +jwt认证+动态授权
    537

    • 相关课程

    更多
  • 微服务+全栈在线教育实战项目演练(SpringCloud Alibaba+SpringBoot)
  • SpringBoot实战教程
  • SpringBoot快速掌握 - 核心技术
  • SpringBoot快速掌握 - 高级应用
  • Springboot项目云开发快速迁移

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    ECS账号安全防护最佳实践