首页 博客正文

SpringBoot2.0 - 集成JWT实现token验证

麦洛 博客 2020-08-05 23:21:18 983 1 SpringBoot

一. 前言

目前web开发前后端已经算非常的普及了。前后端分离要求我们对用户会话状态要进行一个无状态处理。我们都知道通常管理用户会话是session。用户每次从服务器认证成功后,服务器会发送一个sessionid给用户,session是保存在服务端 的,服务器通过session辨别用户,然后做权限认证等。那如何才知道用户的session是哪个?这时候cookie就出场了,浏览器第一次与服务器建立连接的时候,服务器会生成一个sessionid返回浏览器,浏览器把这个sessionid存储到cookie当中,以后每次发起请求都会在请求头cookie中带上这个sessionid信息,所以服务器就是根据这个sessionid作为索引获取到具体session。

上面的场景会有一个痛点。对于前后端分离来说。比如前端都是部署在一台服务器的nginx上,后端部署在另一台服务器的web容器上。甚至 前端不能直接访问后端,中间还加了一层代理层。

大概如下所示:

也就是说前后端分离在应用解耦后增加了部署的复杂性。通常用户一次请求就要转发多次。如果用session 每次携带sessionid 到服务器,服务器还要查询用户信息。同时如果用户很多。这些信息存储在服务器内存中,给服务器增加负担。还有就是CSRF(跨站伪造请求攻击)攻击,session是基于cookie进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。还有就是sessionid就是一个特征值,表达的信息不够丰富。不容易扩展。而且如果你后端应用是多节点部署。那么就需要实现session共享机制。不方便集群应用。

二. JWT介绍

2.1 什么是JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。

2.2 JWT请求流程


image.png

  1. 用户使用账号和面发出post请求;

  2. 服务器使用私钥创建一个jwt;

  3. 服务器返回这个jwt给浏览器;

  4. 浏览器将该jwt串在请求头中向服务器发送请求;

  5. 服务器验证该jwt;

  6. 返回响应的资源给浏览器。

2.3 JWT的主要应用场景

身份认证在这种场景下,一旦用户完成了登陆,在接下来的每个请求中包含JWT,可以用来验证用户身份以及对路由,服务和资源的访问权限进行验证。由于它的开销非常小,可以轻松的在不同域名的系统中传递,所以目前在单点登录(SSO)中比较广泛的使用了该技术。 信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式,由于它的信息是经过签名的,可以确保发送者发送的信息是没有经过伪造的。

2.4 JWT的优点

1.简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快

2.自包含(Self-contained):负载中包含了所有用户所需要的信息,避免了多次查询数据库

3.因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持。

4.不需要在服务端保存会话信息,特别适用于分布式微服务。

2.5 JWT的结构

JWT是由三段信息构成的,将这三段信息文本用.连接一起就构成了JWT字符串。 就像这样:  eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT包含了三部分: Header 头部(标题包含了令牌的元数据,并且包含签名和/或加密算法的类型) Payload 负载 (类似于飞机上承载的物品) Signature 签名/签证

Header

JWT的头部承载两部分信息:token类型和采用的加密算法。

{ 
 "alg": "HS256",
  "typ": "JWT"
}

声明类型:这里是jwt 声明加密的算法:通常直接使用 HMAC SHA256

加密算法是单向函数散列算法,常见的有MD5、SHA、HAMC。  MD5(message-digest algorithm 5) (信息-摘要算法)缩写,广泛用于加密和解密技术,常用于文件校验。校验?不管文件多大,经过MD5后都能生成唯一的MD5值  SHA (Secure Hash Algorithm,安全散列算法),数字签名等密码学应用中重要的工具,安全性高于MD5  HMAC (Hash Message Authentication Code),散列消息鉴别码,基于密钥的Hash算法的认证协议。用公开函数和密钥产生一个固定长度的值作为认证标识,用这个标识鉴别消息的完整性。常用于接口签名验证

Payload

载荷就是存放有效信息的地方。 有效信息包含三个部分 1.标准中注册的声明 2.公共的声明 3.私有的声明

标准中注册的声明 (建议但不强制使用) :

iss: jwt签发者 sub: 面向的用户(jwt所面向的用户)

aud: 接收jwt的一方

exp: 过期时间戳(jwt的过期时间,这个过期时间必须要大于签发时间)

nbf: 定义在什么时间之前,该jwt都是不可用的.

iat: jwt的签发时间

jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明 :

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明 :

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

Signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成: header (base64后的) payload (base64后的) secret 这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。 密钥secret是保存在服务端的,服务端会根据这个密钥进行生成token和进行验证,所以需要保护好。**

三. SpringBoot整合JWT

3.1 项目创建

[外链图片转存失败(img-5dWo0Al9-1563417349558)(assets/1563416360452.png)]

pom文件中增加如下依赖:

<dependency>
   <groupId>com.auth0</groupId>
   <artifactId>java-jwt</artifactId>
   <version>3.5.0</version>
</dependency>

application.yml文件中增加如下配置:

#项目配置
server:
 port: 8089
 servlet:
   # 项目路径
   context-path: /milo

3.2 代码

[外链图片转存失败(img-pDTsg2WO-1563417349558)(assets/1563416875354.png)]

JwtUtil:

/**
* @author: Milogenius
* @create: 2019-07-08 10:24
* @description:
**/
public class JwtUtil {


   /**
    * 过期时间为一天
    * TODO 正式上线更换为15分钟
    */
   private static final long EXPIRE_TIME = 24*60*60*1000;

   /**
    * token私钥
    */
   private static final String TOKEN_SECRET = "joijsdfjlsjfljfljl5135313135";

   /**
    * 生成签名,15分钟后过期
    * @param username
    * @param userId
    * @return
    */
   public static String sign(String username,String userId){
       //过期时间
       Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
       //私钥及加密算法
       Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
       //设置头信息
       HashMap<String, Object> header = new HashMap<>(2);
       header.put("typ", "JWT");
       header.put("alg", "HS256");
       //附带username和userID生成签名
       return JWT.create().withHeader(header).withClaim("loginName",username)
               .withClaim("userId",userId).withExpiresAt(date).sign(algorithm);
   }


   public static boolean verity(String token){
       try {
           Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
           JWTVerifier verifier = JWT.require(algorithm).build();
           DecodedJWT jwt = verifier.verify(token);
           return true;
       } catch (IllegalArgumentException e) {
           return false;
       } catch (JWTVerificationException e) {
           return false;
       }

   }
}

User:

/**
* @author: Milogenius
* @create: 2019-07-08 11:23
* @description: 用户
**/
@Data
@NoArgsConstructor
@AllArgsConstructor
public class User {

   /**
    * 昵称
    */
   private String name;
   /**
    * 密码
    */
   private String password;
}

AjaxResult:

/**
* @author: milogenius
* @create: 2019/7/8 15:05
* @description:
**/
public class AjaxResult extends HashMap<String, Object>
{
   private static final long serialVersionUID = 1L;

   public static final String CODE_TAG = "code";

   public static final String MSG_TAG = "msg";

   public static final String DATA_TAG = "data";

   /**
    * 状态类型
    */
   public enum Type
   {
       /** 成功 */
       SUCCESS(0),
       /**失败*/
       FAIL(1),
       /** 警告 */
       WARN(301),
       /** 错误 */
       ERROR(500);
       private final int value;

       Type(int value)
       {
           this.value = value;
       }

       public int value()
       {
           return this.value;
       }
   }

   /** 状态类型 */
   private Type type;

   /** 状态码 */
   private int code;

   /** 返回内容 */
   private String msg;

   /** 数据对象 */
   private Object data;

   /**
    * 初始化一个新创建的 AjaxResult 对象,使其表示一个空消息。
    */
   public AjaxResult()
   {
   }

   /**
    * 初始化一个新创建的 AjaxResult 对象
    *
    * @param type 状态类型
    * @param msg 返回内容
    */
   public AjaxResult(Type type, String msg)
   {
       super.put(CODE_TAG, type.value);
       super.put(MSG_TAG, msg);
   }

   /**
    * 初始化一个新创建的 AjaxResult 对象
    *
    * @param type 状态类型
    * @param msg 返回内容
    * @param data 数据对象
    */
   public AjaxResult(Type type, String msg, Object data)
   {
       super.put(CODE_TAG, type.value);
       super.put(MSG_TAG, msg);
       super.put(DATA_TAG, data);
   }

   /**
    * 返回成功消息
    *
    * @return 成功消息
    */
   public static AjaxResult success()
   {
       return AjaxResult.success("操作成功");
   }

   /**
    * 返回成功消息
    *
    * @param msg 返回内容
    * @return 成功消息
    */
   public static AjaxResult success(String msg)
   {
       return AjaxResult.success(msg, null);
   }

   /**
    * 返回成功消息
    *
    * @param msg 返回内容
    * @param data 数据对象
    * @return 成功消息
    */
   public static AjaxResult success(String msg, Object data)
   {
       return new AjaxResult(Type.SUCCESS, msg, data);
   }

   /**
    * 返回失败消息
    *
    * @return 成功消息
    */
   public static AjaxResult fail()
   {
       return AjaxResult.fail("操作失败");
   }

   /**
    * 返回失败消息
    *
    * @param msg 返回内容
    * @return 成功消息
    */
   public static AjaxResult fail(String msg)
   {
       return AjaxResult.fail(msg, null);
   }

   /**
    * 返回失败消息
    *
    * @param msg 返回内容
    * @param data 数据对象
    * @return 成功消息
    */
   public static AjaxResult fail(String msg, Object data)
   {
       return new AjaxResult(Type.FAIL, msg, data);
   }

   /**
    * 返回警告消息
    *
    * @param msg 返回内容
    * @return 警告消息
    */
   public static AjaxResult warn(String msg)
   {
       return AjaxResult.warn(msg, null);
   }

   /**
    * 返回警告消息
    *
    * @param msg 返回内容
    * @param data 数据对象
    * @return 警告消息
    */
   public static AjaxResult warn(String msg, Object data)
   {
       return new AjaxResult(Type.WARN, msg, data);
   }

   /**
    * 返回错误消息
    *
    * @return
    */
   public static AjaxResult error()
   {
       return AjaxResult.error("操作失败");
   }

   /**
    * 返回错误消息
    *
    * @param msg 返回内容
    * @return 警告消息
    */
   public static AjaxResult error(String msg)
   {
       return AjaxResult.error(msg, null);
   }

   /**
    * 返回错误消息
    *
    * @param msg 返回内容
    * @param data 数据对象
    * @return 警告消息
    */
   public static AjaxResult error(String msg, Object data)
   {
       return new AjaxResult(Type.ERROR, msg, data);
   }

   public Type getType()
   {
       return type;
   }

   public void setType(Type type)
   {
       this.type = type;
   }

   public int getCode()
   {
       return code;
   }

   public void setCode(int code)
   {
       this.code = code;
   }

   public String getMsg()
   {
       return msg;
   }

   public void setMsg(String msg)
   {
       this.msg = msg;
   }

   public Object getData()
   {
       return data;
   }

   public void setData(Object data)
   {
       this.data = data;
   }


}

LoginController:

/**
* @author: Milogenius
* @create: 2019-07-08 10:36
* @description:
**/
@Controller
@RequestMapping
@Slf4j
public class LoginController {

   @Autowired
   private IUserService userService;


   @PostMapping("login")
   @ResponseBody
   public AjaxResult login (@RequestBody Map<String,String> map){
       String loginName = map.get("loginName");
       String passWord = map.get("passWord");
       //身份验证
      boolean isSuccess =  userService.checkUser(loginName,passWord);
       if (isSuccess) {
           //模拟数据库查询
        User user = userService.getUser(loginName);
           if (user != null) {
               //返回token
              String token = JwtUtil.sign(loginName, passWord);
               if (token != null) {
                   return AjaxResult.success("成功",token);
               }
           }
       }
       return AjaxResult.fail();
   }

   @PostMapping("getUser")
   @ResponseBody
   public AjaxResult getUserInfo(HttpServletRequest request, @RequestBody Map<String, String> map){
       String loginName = map.get("loginName");
       String token = request.getHeader("token");
       boolean verity = JwtUtil.verity(token);
       if (verity) {
           User user = userService.getUser(loginName);
           if (user != null) {
               return AjaxResult.success("成功", JSONObject.toJSONString(user));
           }
       }
       return AjaxResult.fail();
   }
}

IUserService:

/**
* @author: Milogenius
* @create: 2019-07-08 11:20
* @description:
**/
public interface IUserService {

   /**
    * 校验用户信息
    * @param loginName
    * @param passWord
    * @return
    */
   boolean checkUser(String loginName, String passWord);

   /**
    * 查询用户信息
    * @param loginName
    * @return
    */
   User getUser(String loginName);
}

UserServiceImpl:[为了方便,这里直接返回挡板数据]

/**
* @author: Milogenius
* @create: 2019-07-08 11:21
* @description:
**/
@Service
public class UserServiceImpl implements IUserService {
   @Override
   public boolean checkUser(String loginName, String passWord) {
       return true;
   }

   @Override
   public User getUser(String loginName) {
       User user = new User();
       user.setName("李四");
       user.setPassword("123");
       return user;
   }
}

3.3 测试

下面我们启动项目,用postman工具进行测试

3.3.1 登录接口

响应结果:

3.3.2 获取用户信息

响应结果:

参考文献:

1.SpringBoot集成JWT实现token验证

2.一文了解web无状态会话token技术JWT



版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,转载需标明出处。
如果您有更好的解答,欢迎留言评论。

本文链接:https://ruankaoti.com/post/135.html

评论

精彩评论

阅读更多

  • 速看!今天我才知道,UUID还分五个版本

    速看!今天我才知道,UUID还分五个版本

    通用唯一识别码(英语:Universally Unique Identifier,缩写:UUID)是用于计算机体系中以识别信息数目的一个128位标识符,还有相关的术语:全局唯一标识符(GUID)。根据标准方法生成,不依赖中央机构的注册和分配,UUID具有唯一性,这与其他大多数编号方案不同。重复UUID码概率接近零,可以忽略不计。UUID是由一组32位数的16进制数字所构成,故UUID理论上的总数为16^32=2^128,约等于3.4 x 10^38。也就是说若每纳秒(ns)产生1万亿个UUID,要花100亿年才会将...

    博客 2020-08-23 1073 0
  • SubList 分页

    SubList 分页

            分页在项目中经常使用,有时候会用查件进行分页,有时候进行第三方接口进行访问时,经常会有请求数量的限制,所以使用SubList就可以进行分页,代码如下:        int subSize = 1000;  //每页个数       ...

    博客 2020-08-19 705 1 JAVAMySQL
  • 最简单SpringBoot

    最简单SpringBoot

    最简单SpringBoot    本次最简单的SpringBoot项目主要有Application,Controller,properties,pom.xml组成,旨在用最简单的代码搭建一个简单易懂的SpringBoot项目,可以快速入门学习。DemoApplicationpackage com.example.demo; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfig...

  • 面对不计其数的技术栈,我们如何选择?

    面对不计其数的技术栈,我们如何选择?

    Hello,大家好,今天我们不分享技术文,来谈谈"一项技术是否值得长期投入"这一话题。笔者请两天在阿里巴巴中间件公众号看到一篇简锋老师的文章,感触颇深。首先我们要介绍一下文中的主人公:简锋章剑锋(简锋),开源界老兵,Github ID:@zjffdu,Apache Member,曾就职于 Hortonworks,目前在阿里巴巴计算平台事业部任高级技术专家,并同时担任 Apache Tez、Livy 、Zeppelin 三个开源项目的 PMC ,以及 Apache Pig 的 Committer。...

    博客 2020-08-17 644 0
  • linux查看端口被占用情况

    linux查看端口被占用情况

    Linux 查看端口占用情况可以使用 lsof 和 netstat 命令。 如果linux中没有这两个命令,则yum安装一下yum install -y lsofyum install -y net-toolslsof命令 lsof(list open files)是一个列出当前系统打开文件的工具。 一般格式为: lsof -i:端口号 例如查看8080端口的占用情况 可以看到端口8080已经被docker占用了 lsof命令输出详情 更多 lsof 的命令如下:lsof -i:8080:查看8080端口占用ls...

    博客 2020-08-14 612 0
  • java  File转成MultipartFile

    java File转成MultipartFile

    String strUrl = "C:\\Users\\Administrator\\Desktop\\json.xlsx"; File multipartFile = new File(strUrl); InputStream inputStreams = new FileInputStream(multipartFile); MultipartFile file = new MockMultipartFile(multipartFile.getName(), inputStreams);需要的依赖:<...

    博客 2020-08-12 580 0 JAVA文件管理
  • 什么是HTTP状态代码?

    什么是HTTP状态代码?

    HTTP状态代码是HTTP响应状态行的一部分。这些3位整数代码表示服务器对请求的处理结果状态码的第一位用于对响应进行分类:1xx:非正式2xx:成功,该请求已被理解并接受3xx:重定向,需要采取进一步的措施4xx:客户端错误,请求有问题5xx:服务器错误,请求已被接受,但由于服务器错误而导致处理失败常用的HTTP状态码这是Web应用程序和REST API中常用的状态代码列表。200 OK请求已成功,请求所希望的响应头或数据体将随此响应返回。出现此状态码是表示正常状态。201 Created请求已经被实现,而且有一个...

    博客 2020-08-11 650 0
  • git修改用户名和邮箱

    git修改用户名和邮箱

    运行之前,我们需要设置本地的环境(修改用户的命令也是如同下面),以确保云端和本地的git建立起联系,首先用git config命令来配置:git config --global user.name "yourgithubname" git config --global user.email "yourgithubemail"当想要查看自己的用户时,使用下面的命令:git config --global user.name git config --global user.email...

    博客 2020-08-06 643 0 JAVAIDEA
  • 如何将项目从码云clone到IntelliJ IDEA

    如何将项目从码云clone到IntelliJ IDEA

    前言开源项目现在受到越来越多人的关注,从而吸引众多优秀的程序员参与其中;这里我们来说说如何从码云clone自己喜欢的项目到本地.一.准备工作如果你是首次下载码云中的开源项目,需要安装Git;[Git-2.7.2-64-bit_for_windows在线下载,点击下载即可(* ̄︶ ̄)]http://dl.download.csdn.net/down11/20180422那么在这里,我们不在多叙软件的安装事宜,很简单!二.操作流程(1)我们需要复制地址,如图所示(2)在IDEA中配置Git。选择菜单“File-->...

    博客 2020-08-05 925 3 JAVAIDEA
  • SpringBoot2.0 - 集成JWT实现token验证

    一. 前言目前web开发前后端已经算非常的普及了。前后端分离要求我们对用户会话状态要进行一个无状态处理。我们都知道通常管理用户会话是session。用户每次从服务器认证成功后,服务器会发送一个sessionid给用户,session是保存在服务端 的,服务器通过session辨别用户,然后做权限认证等。那如何才知道用户的session是哪个?这时候cookie就出场了,浏览器第一次与服务器建立连接的时候,服务器会生成一个sessionid返回浏览器,浏览器把这个sessionid存储到cookie当中,以后每次发起...

    博客 2020-08-05 983 1 SpringBoot
  • 何为前后端分离?

    何为前后端分离?

    前言各位小伙伴大家好,又跟大家见面了,我就是那个白天晚上都在写代码的IT小白,白天忙于工作,晚上忙于整理公众号,你说小弟我容易吗。谁让我的心里只有学习呢!!!    为什么聊到这个前后端分离呢,其实在我17年大学毕业(ps:不小心暴露了年纪)的时候,其实就已经用到了前后端分离技术,当时后端的框架使用的是SpringMVC+iBatis,做了基于Maven多模块+Dubbo的SOA架构,前端采用的是基于Vue的element UI,前后端接口使用Swagger作为前后端开发API。开发方式甚爽,虽然我也写前端,但是前...

    博客 2020-08-05 1684 0
  • 简析数据库连接池

    简析数据库连接池

    连接池前言各位老友好,我是IT小白闯天下,今日我想带领大家学习的是,数据库连接池,每一位后台开发的朋友,后台作为前台的数据存储与支撑,对数据库操作是一个必不可少的开发过程,每次对数据库操作时都需要与数据库建立连接,那么使用数据库连接池可以高效率的完成数据库的数据连接对象管理,那么到底什么是数据库连接池呢?数据库连接池:数据库连接池负责分配、管理和释放数据库连接,它允许应用程序重复使用一个现有的数据库连接,而不是再重新建立一个;释放空闲时间超过最大空闲时间的数据库连接来避免因为没有释放数据库连接而引起的数据库连接遗漏...

    博客 2020-08-05 664 0 数据
  • 什么原因,导致你的企业还没有上云?

    什么原因,导致你的企业还没有上云?

    不论您经营任何类型的业务(大型企业,小型公司,甚至是个人品牌),目前尚未迁移到云中,那么这是您必须紧急纠正的错误。 本文研究了您应该采取行动的四个原因。我们都知道有理智的意图却没有及时采取行动是什么感觉。无论是一个急需的饮食调整,一个枯燥但重要的工作项目,还是一些日常的家务,你可以无限期地推迟一些事情,同时安慰自己,你最终会完成它。这是人类最令人沮丧的地方之一结果,你可能会拖延一些事情(甚至完全忘记它),继续你的日常生活——也就是说,直到一些事情把你从昏迷中摇醒,你意识到你真的应该已经采取行动了。更糟糕的是,罪魁祸...

    博客 2020-08-05 287 0
  • Istio 1.5:对开发人员有什么帮助?

    Istio 1.5:对开发人员有什么帮助?

    Istio是一个开源服务网格平台。 Idit Levine是Solo.io的创始人兼首席执行官,并与Istio广泛合作。 在本文中,她讲述了最新的Istio 1.5版本以及WebAssembly的新增功能为使用服务网格的开发人员带来的好处。在云原生技术生态系统中,首先出现的是容器和Kubernetes,然后是应用程序,开发人员和操作员如何与存储,网络和安全交互的挑战。 Service Mesh的出现尤其是为了解决分布式微服务的服务间通信挑战。 通过从业务逻辑中抽象网络代码,服务网格在每个服务旁边部署了sidecar...

    博客 2020-08-05 286 0
  • vue 改变data数据后,数据变化页面不刷新

    vue 改变data数据后,数据变化页面不刷新

    一  开发环境"vue": "^2.6.10""element-ui": "^2.11.1"二 翻车现场首先我们来看下要实现的需求,其实就是一个条件渲染但是当我改变data中的from.status的值时,页面并没有跟随刷新。对应form表单数据我是在mounted钩子函数中获取的    mounted() {     this.getDataList()    },...

    博客 2020-07-30 278 0
微信扫码,加入打卡学习群,分享学习资料

最近发表