SpringBoot使用Jwt处理跨域认证问题的教程详解
更新时间:2020年06月17日 09:36:27 作者:陈大帅哥Ray
这篇文章主要介绍了SpringBoot使用Jwt处理跨域认证问题,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
在前后端开发时为什么需要用户认证呢?原因是由于HTTP协定是不存储状态的,这意味着当我们透过账号密码验证一个使用者时,当下一个request请求时他就把刚刚的资料忘记了。于是我们的程序就不知道谁是谁了。 所以为了保证系统的安全,就需要验证用户是否处于登陆状态。
一、JWT的组成
JWT由Header、Payload、Signature三部分组成,分别用.分隔。
下面就是一个jwt真实的样子,说白了就是一个字符串,但是里面却存储了很重要的信息。
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJyYXljaGVuIiwiaWQiOjIsIm5hbWUiOiJyYXkiLCJwYXNzd29yZCI6IjMyMSIsImlhdCI6MTU5MDI5OTU0OCwiZXhwIjoxNTkwMzg1OTQ4fQ.ORJNldDIfffg7D3_xu0_dBWb16y4fPLtw_r6qgScFpQ
Header:
第一部分是请求头由两部分组成,alg与typ,第一个指定的是算法,第二指定的是类型。
Payload
第二部分是主体信息组成,用来存储JWT基本信息,或者是我们的信息。
Signature
第三部分主要是给第一部分跟第二部进行签名使用的,用来验证是否是我们服务器发起的Token,secret是我们的密钥。
二、在springboot项目中使用jwt做验证
具体流程:
- 把用户的用户名和密码发到后端
- 后端进行校验,校验成功会生成token, 把token发送给客户端
- 客户端自己保存token, 再次请求就要在Http协议的请求头中带着token去访问服务端,和在服务端保存的token信息进行比对校验。
1.先引入jar包
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency>
2.使用工具类生成token和验证token(生成token方法中存入了用户的信息)
public class JwtUtils {
//发行者
public static final String SUBJECT="raychen";
//过期时间 一天
public static final long EXPIRE=1000*60*60*24;
//密钥
public static final String APPSECRET="raychen11";
/**
* 生成jwt
* @param user
* @return
*/
public static String geneJsonWebToken(User user){
if(user==null || user.getId()==null || user.getName()==null || user.getPassword()==null){
return null;
}
String token=Jwts.builder().setSubject(SUBJECT)
.claim("id",user.getId())
.claim("name",user.getName())
.claim("password",user.getPassword())
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis()+EXPIRE))
.signWith(SignatureAlgorithm.HS256,APPSECRET).compact();
return token;
}
/**
* 校验token
* @param token
* @return
*/
public static Claims checkJWT(String token){
//仿造的token或者已过期就会报错
try {
final Claims claims=Jwts.parser().setSigningKey(APPSECRET).parseClaimsJws(token).getBody();
return claims;
}catch (Exception e){
System.out.println("catch...");
}
return null;
}
}
3.自定义注解(进行token验证)
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface CheckToken {
boolean required() default true;
}
4.编写config,将后台所有请求先去拦截器(拦截器返回了true,用户才可以请求到接口)
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(authenticationInterceptor())
.addPathPatterns("/**"); // 拦截所有请求,通过判断是否有 @LoginRequired 注解 决定是否需要登录
}
@Bean
public AuthenticationInterceptor authenticationInterceptor() {
return new AuthenticationInterceptor();
}
}
5.定义拦截器(对需要token验证的请求,进行验证,验证成功返回true,失败返回false无法请求到接口)
public class AuthenticationInterceptor implements HandlerInterceptor {
public static final Gson gson=new Gson();
/**
* 进入controller之前进行拦截
* @param request
* @param response
* @param object
* @return
*/
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception {
// 如果不是映射到方法直接通过
if (!(object instanceof HandlerMethod)) {
return true;
}
HandlerMethod handlerMethod = (HandlerMethod) object;
Method method = handlerMethod.getMethod();
//检查是否有LoginToken注释,有则跳过认证
if (method.isAnnotationPresent(LoginToken.class)) {
LoginToken loginToken = method.getAnnotation(LoginToken.class);
if (loginToken.required()) {
return true;
}
}
//前面是不需要token验证的 从 http 请求头中取出 token
String token = request.getHeader("token");
//检查有没有需要用户权限的注解
if (method.isAnnotationPresent(CheckToken.class)) {
CheckToken checkToken = method.getAnnotation(CheckToken.class);
if (checkToken.required()) {
if(token!=null){
Claims claims= JwtUtils.checkJWT(token);
if(null==claims){
sendJsonMessage(response, JsonData.buildError("token有误"));
return false;
}
Integer userId= (Integer) claims.get("id");
String name = (String) claims.get("name");
request.setAttribute("userId",userId);
request.setAttribute("name",name);
return true;
}
//token为null的话 返回一段json给前端
sendJsonMessage(response, JsonData.buildError("请登录"));
return false;
}
}
//没有使用注解的方法 直接返回true
return true;
}
/**
* 响应数据给前端
* @param response
* @param obj
* @throws IOException
*/
public static void sendJsonMessage (HttpServletResponse response, Object obj) throws IOException {
response.setContentType("application/json; charset=utf-8");
PrintWriter writer = response.getWriter();
writer.print(gson.toJson(obj));
writer.close();
response.flushBuffer();
}
}
用户登录成功后,使用工具类生成token。token在服务端不做存储,直接将token返回给客户端,客户端下次请求服务端时,使用工具类来验证header里的token是否合法。
总结
到此这篇关于SpringBoot使用Jwt处理跨域认证问题的文章就介绍到这了,更多相关SpringBoot处理跨域认证内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
您可能感兴趣的文章:
- 详解Spring Boot实战之Filter实现使用JWT进行接口认证
- Vue+Jwt+SpringBoot+Ldap完成登录认证的示例代码
- Springboot集成Spring Security实现JWT认证的步骤详解
- SpringBoot整合SpringSecurity和JWT和Redis实现统一鉴权认证
- 详解SpringBoot如何使用JWT实现身份认证和授权
- 利用Springboot实现Jwt认证的示例代码
- springboot+jwt实现token登陆权限认证的实现
- SpringBoot整合SpringSecurity实现JWT认证的项目实践
- Spring Boot整合JWT实现认证与授权的项目实践
相关文章
这篇文章主要介绍了JAVA 反射机制的相关知识,文中讲解的非常细致,代码帮助大家更好的理解学习,感兴趣的朋友可以了解下2020-06-06
在Java编程中,for循环是遍历集合(如List、Set)的常用方式,本文主要介绍了Java在for循环内修改集合的常见陷阱与最佳实践,希望对大家有所帮助2025-06-06
Spring应用中使用acutator/refresh刷新属性不生效的问题分析及解决
在Spring应用收到/actuator/refresh的POST请求后,标注了@RefreshScope以及@ConfiguratioinProperties的bean会被Spring容器重新加载,但是,在实际应用中,并没有按照预期被Spring容器加载,本文将讨论导致这种未按预期刷新的一种原因,感兴趣的朋友可以参考下2024-01-01
SpringMVC中的DispatcherServlet初始化流程详解
这篇文章主要介绍了SpringMVC中的DispatcherServlet初始化流程详解,DispatcherServlet这个前端控制器是一个Servlet,所以生命周期和普通的Servlet是差不多的,在一个Servlet初始化的时候都会调用该Servlet的init()方法,需要的朋友可以参考下2023-12-12
这篇文章主要介绍了Java如何实现登录token令牌,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-05-05
SpringSecurity是通过过滤器链来完成的,接下来的验证码,可以尝试创建一个过滤器放到Security的过滤器链中,在自定义的过滤器中比较验证码,本文通过实例代码介绍SpringSecurity集成图片验证码的详细过程,感兴趣的朋友一起看看吧2023-12-12
本文主要介绍了mybatis-plus与mybatis共存的实现,文中根据实例编码详细介绍的十分详尽,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2022-03-03
有向图是具有方向性的图,由一组顶点和一组有方向的边组成,每条方向的边都连着一对有序的顶点。本文为大家介绍的是有向图的设计与实现,需要的可以参考一下2022-11-11
最近在设计自己的博客系统,涉及到用户注册与登录验证,所以下面这篇文章主要给大家介绍了关于Spring Boot用户注册验证的实现全过程,文中通过实例代码介绍的非常详细,需要的朋友可以参考下2022-01-01
这篇文章主要为大家详细介绍了java实现文件的上传功能,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2022-01-01
最新评论