token令牌,过滤器,JWT,拦截器

2024-08-24 08:44

本文主要是介绍token令牌,过滤器,JWT,拦截器,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

令牌(token)技术

不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了

1.基本流程

用户使用用户名密码来请求服务器

服务器进行验证用户的信息

服务器通过验证发送给用户一个token

客户端存储token,并在每次请求时附送上这个token值

服务端验证token值,并返回数据

JWT (全称JSON WEB TOKEN)

1.导入jar包

<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-api</artifactId><version>0.12.6</version>
</dependency>
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-impl</artifactId><version>0.12.6</version><scope>runtime</scope>
</dependency>
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred --><version>0.12.6</version><scope>runtime</scope>
</dependency>

 这个jar包包含了上面三个

<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.12.6</version>
</dependency>

2.官网(https://jwt.io/) 

 3.格式

  • 以json格式传输共享数据(分为三部分,最后三个部分组成的完整json会使用Base64进行编码且以.分割

    • Header(头)

      • 用于记录令牌类型以及签名算法等信息

    • PayLoad(载荷)

      • 存储Http共享数据

    • Signature(签名)

      • 使用加密算法保证Header与PayLoad的安全性

 4.如何使用jwt(生成,校验)

package com.lu.tlias84;import io.jsonwebtoken.*;
import io.jsonwebtoken.security.Keys;
import org.junit.jupiter.api.Test;import javax.xml.crypto.Data;
import java.util.Date;public class TestJwt {@Testpublic void testGenerateJwtToken(){//1. 构建jwt对象JwtBuilder builder = Jwts.builder();//2. 指定header(一般不指定)//省略使用默认的jwt头//3. 往payload放置http需要共享的信息,并且指定过期时间builder.claim("username","count-l");builder.claim("password","count-l");Date date = new Date();builder.issuedAt(date);//token生效时间builder.expiration(new Date(date.getTime()+60*1000));//指定过期时间//4. 进行数字签名String key = "febaa5b6-b818-440a-ad8a-9606ffaafd0c";//第一个参数是数字签名(需要自己生成)//第二个参数 加密的签名算法,新版需要保证一定强度(HS256至少要32字节,HS384至少需要84字节,HS512至少要64字节)builder.signWith(Keys.hmacShaKeyFor(key.getBytes()), Jwts.SIG.HS256);//生成tokenString compact = builder.compact();System.out.println(compact);}@Testpublic void testVerifyJwtToken(){String key = "febaa5b6-b818-440a-ad8a-9606ffaafd0c";String token = "eyJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImNvdW50LWwiLCJwYXNzd29yZCI6ImNvdW50LWwiLCJpYXQiOjE3MjQzMTUyODUsImV4cCI6MTcyNDMxNTM0NX0.olJzzamV5Pi5qdKCU3p0F19SX_vaD2rSkiLXfrxenVo";//1.构建jwt解析对象JwtParserBuilder parser = Jwts.parser();//2.指定数字签名JwtParser build = parser.verifyWith(Keys.hmacShaKeyFor(key.getBytes())).build();//3.指定tokenClaims payload = build.parseSignedClaims(token).getPayload();System.out.println(payload.get("username"));System.out.println(payload.get("password"));}
}

 解析

public void testVerifyJwtToken(){String key = "febaa5b6-b818-440a-ad8a-9606ffaafd0c";String token = "eyJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImNvdW50LWwiLCJwYXNzd29yZCI6ImNvdW50LWwifQ.0HgzrDeIXEOixSV9-08lCLx0sX6m--3ShxYYUpJKhz4";//1.构建jwt解析对象JwtParserBuilder parser = Jwts.parser();//2.指定数字签名JwtParser build = parser.verifyWith(Keys.hmacShaKeyFor(key.getBytes())).build();//3.指定tokenClaims payload = build.parseSignedClaims(token).getPayload();System.out.println(payload.get("username"));System.out.println(payload.get("password"));
}

JWT工具类

package com.lu.tlias84.utils;import com.alibaba.fastjson.JSONObject;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtParser;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.security.Keys;import java.util.Date;/*** jwt token 生成与验证(解析)*/
public class JwtUtil {private JwtUtil(){}private static final String SIG = "febaa5b6-b818-440a-ad8a-9606ffaafd0c";/*** 生成token* @param username payload-用户名* @param password payload-密码* @param minutes token过期时间,以分钟为单位* @return token*/public static String generateToken(String username,String password,long minutes){//1.构建jwt对象//2.指定header(一般省略)//3.放置payload,以及过期时间和生效时间//4.进行数字签名//第一个参数是数字签名(需要自己生成)//第二个参数 加密的签名算法,新版需要保证一定强度(HS256至少要32字节,HS384至少需要84字节,HS512至少要64字节)//5.生成tokenDate now = new Date();String token = Jwts.builder().claim("username", username).claim("password", password).issuedAt(now).expiration(new Date(now.getTime() + 60 * 1000 * minutes)).signWith(Keys.hmacShaKeyFor(SIG.getBytes()), Jwts.SIG.HS256).compact();return token;}/*** 验证token* @param token 生成的令牌* @return payload中的用户信息*/public static JSONObject verifyToken(String token){//1.构建解析对象//2.指定数字签名//3.指定被签名后的tokenJwtParser parser = Jwts.parser().verifyWith(Keys.hmacShaKeyFor(SIG.getBytes())).build();Claims payload = parser.parseSignedClaims(token).getPayload();JSONObject jsonObject = new JSONObject();jsonObject.put("username", payload.get("username"));jsonObject.put("password", payload.get("password"));//TODO: 还没有完成token失效的处理以及 token字符串不和法的处理return jsonObject;}
}

使用

package com.lu.tlias84.service.impl;import com.alibaba.fastjson.JSONObject;
import com.lu.tlias84.entity.Emp;
import com.lu.tlias84.mapper.EmpMapper;
import com.lu.tlias84.po.LoginParam;
import com.lu.tlias84.service.LoginService;
import com.lu.tlias84.utils.JwtUtil;
import com.lu.tlias84.utils.ResultUtil;
import jakarta.annotation.Resource;
import org.springframework.stereotype.Service;import java.util.Objects;@Service
public class LoginServiceImpl implements LoginService {@Resourceprivate EmpMapper empMapper;@Overridepublic ResultUtil login(LoginParam loginParam) {Emp emp = empMapper.selectEmpByUsername(loginParam.getUsername());if (Objects.isNull(emp) || !emp.getPassword().equals(loginParam.getPassword())) {return ResultUtil.fail("用户名或者密码不正确");}String token = JwtUtil.generateToken(loginParam.getUsername(), loginParam.getPassword(), 30);JSONObject json = new JSONObject();json.put("id", emp.getId());json.put("username", emp.getUsername());json.put("password", emp.getPassword());json.put("token", token);return ResultUtil.success(json);}
}

过滤器 

1.filter

package com.lu.tlias84.filter;import com.alibaba.fastjson.JSONObject;
import com.lu.tlias84.entity.Emp;
import com.lu.tlias84.mapper.EmpMapper;
import com.lu.tlias84.utils.JwtUtil;
import com.lu.tlias84.utils.ResultUtil;
import jakarta.annotation.Resource;
import jakarta.servlet.*;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.apache.http.HttpStatus;
import org.springframework.stereotype.Component;import java.io.IOException;
import java.io.PrintWriter;
import java.util.Objects;/*** 登录过滤器,进行登录token拦截*/
@Slf4j
//@Component
public class LoginFilter implements Filter {@Resourceprivate EmpMapper empMapper;@Overridepublic void init(FilterConfig filterConfig) throws ServletException {Filter.super.init(filterConfig);log.info("初始化过滤器");}@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {log.info("开始执行http请求过滤");//参数向下转型成HttpServletRequest以及HttpServletResponseHttpServletRequest sRequest = (HttpServletRequest) request;HttpServletResponse sResponse = (HttpServletResponse) response;//放行登录接口String uri = sRequest.getRequestURI();if (uri.contains("login")) {chain.doFilter(request, response);return;}//获取请求头中的tokenString token = sRequest.getHeader("token");//判断是否有token->是否绕过登录if (Objects.isNull(token)) {writeErrorResponse(sResponse,"请先登录");return;}//校验token是否过期或者错误JSONObject jsonObject =null;try {jsonObject = JwtUtil.verifyToken(token);} catch (Exception e) {writeErrorResponse(sResponse,"token不合法");return;}//TODO: 使用jwt工具类验证token中的数据是否正确Emp emp = empMapper.selectEmpByUsername(jsonObject.getString("username"));if (Objects.isNull(emp) || !emp.getPassword().equals(jsonObject.getString("password"))) {writeErrorResponse(sResponse,"校验不正确");return;}//过滤链对象执行完过滤逻辑之后放行http请求,把request,response重新交给controller(servlet)chain.doFilter(request, response);log.info("过滤完成");}private static void writeErrorResponse(HttpServletResponse sResponse,String msg) throws IOException {//设置UTF-8编码sResponse.setContentType("application/json;charset=utf-8");sResponse.setCharacterEncoding("UTF-8");//设置响应状态码sResponse.setStatus(HttpStatus.SC_UNAUTHORIZED);PrintWriter writer = sResponse.getWriter();ResultUtil fail = ResultUtil.fail(msg);//使用fastjson把对象转成json字符串writer.write(JSONObject.toJSONString(fail));}@Overridepublic void destroy() {Filter.super.destroy();}
}

2.流程图 

拦截器 

1.SpringBoot2.x

编写拦截器

实现HandlerInterceptorAdapter接口

配置拦截器

继承WebMvcConfigurer类器

2.SpringBoot3.x

编写拦截器

实现Handlerlnterceptor接口

package com.lu.tlias84.Interceptor;import com.alibaba.fastjson.JSONObject;
import com.lu.tlias84.entity.Emp;
import com.lu.tlias84.mapper.EmpMapper;
import com.lu.tlias84.utils.JwtUtil;
import com.lu.tlias84.utils.ResultUtil;
import jakarta.annotation.Resource;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.apache.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;import java.io.IOException;
import java.io.PrintWriter;
import java.util.Objects;/*** springboot提供的登录拦截器*/
@Component
public class LoginInterceptor implements HandlerInterceptor {@Resourceprivate EmpMapper empMapper;@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String token = request.getHeader("token");if (Objects.isNull(token)) {writeErrorResponse(response,"请先登录");return false;}JSONObject jsonObject =null;try {jsonObject = JwtUtil.verifyToken(token);} catch (Exception e) {writeErrorResponse(response,"token不合法");return false;}Emp emp = empMapper.selectEmpByUsername(jsonObject.getString("username"));if (Objects.isNull(emp) || !emp.getPassword().equals(jsonObject.getString("password"))) {writeErrorResponse(response,"校验不正确");return false;}return true;}private static void writeErrorResponse(HttpServletResponse sResponse,String msg) throws IOException {//设置UTF-8编码sResponse.setContentType("application/json;charset=utf-8");sResponse.setCharacterEncoding("UTF-8");//设置响应状态码sResponse.setStatus(HttpStatus.SC_UNAUTHORIZED);PrintWriter writer = sResponse.getWriter();ResultUtil fail = ResultUtil.fail(msg);//使用fastjson把对象转成json字符串writer.write(JSONObject.toJSONString(fail));}
}

配置拦截器

继承WebMvcConfigurationSupport类

package com.lu.tlias84.config;import com.lu.tlias84.Interceptor.LoginInterceptor;
import jakarta.annotation.Resource;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;/*** springboot配置类* 一般用来配置拦截器或者跨域配置。。** 过滤器(filter) 与拦截器(Interceptor)的区别:* 相同点:执行都在controller(servlet)之前* 不同点:*      1.技术提供方:过滤器->servlet提供 拦截器 ->spring*      2.执行顺序:先执行过滤器 后执行拦截器*      3.拦截力度:过滤器拦截力度粗 ->编码转换,时间格式转化*                拦截器拦截力度细 ->登录认证,接口日志记录*                *                */
@Configuration
//如果继承 extends WebMvcConfigurationSupport springboot 会自己处理时间
//如果想使用自定义的时间格式 implements WebMvcConfigurer
//public class WebMvcConfig extends WebMvcConfigurationSupport {
public class WebMvcConfig implements WebMvcConfigurer {@ResourceLoginInterceptor loginInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {//添加拦截器registry.addInterceptor(loginInterceptor)//添加拦截路径.addPathPatterns("/**")//排除路劲.excludePathPatterns("/login");}
}

面试题

1.过滤器和拦截器有什么区别

过滤器(filter) 与拦截器(Interceptor)的区别:
相同点:执行都在controller(servlet)之前
不同点:
     1.技术提供方:过滤器->servlet提供 拦截器 ->spring
     2.执行顺序:先执行过滤器 后执行拦截器
     3.拦截力度:过滤器拦截力度粗 ->编码转换,时间格式转化
                          拦截器拦截力度细 ->登录认证,接口日志记录

这篇关于token令牌,过滤器,JWT,拦截器的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1101996

相关文章

Redis中使用布隆过滤器解决缓存穿透问题

一、缓存穿透(失效)问题 缓存穿透是指查询一个一定不存在的数据,由于缓存中没有命中,会去数据库中查询,而数据库中也没有该数据,并且每次查询都不会命中缓存,从而每次请求都直接打到了数据库上,这会给数据库带来巨大压力。 二、布隆过滤器原理 布隆过滤器(Bloom Filter)是一种空间效率很高的随机数据结构,它利用多个不同的哈希函数将一个元素映射到一个位数组中的多个位置,并将这些位置的值置

布隆过滤器的详解与应用

一、什么是Bloom Filter Bloom Filter是一种空间效率很高的随机数据结构,它的原理是,当一个元素被加入集合时,通过K个Hash函数将这个元素映射成一个位阵列(Bit array)中的K个点,把它们置为1。检索时,我们只要看看这些点是不是都是1就(大约)知道集合中有没有它了:如果这些点有任何一个0,则被检索元素一定不在;如果都是1,则被检索元素很可能在。这就是布隆过滤器的基本思

请解释Java Web应用中的前后端分离是什么?它有哪些好处?什么是Java Web中的Servlet过滤器?它有什么作用?

请解释Java Web应用中的前后端分离是什么?它有哪些好处? Java Web应用中的前后端分离 在Java Web应用中,前后端分离是一种开发模式,它将传统Web开发中紧密耦合的前端(用户界面)和后端(服务器端逻辑)代码进行分离,使得它们能够独立开发、测试、部署和维护。在这种模式下,前端通常通过HTTP请求与后端进行数据交换,后端则负责业务逻辑处理、数据库交互以及向前端提供RESTful

Caused by: android.view.WindowManager$BadTokenException: Unable to add window -- token android.os.B

一个bug日志 FATAL EXCEPTION: main03-25 14:24:07.724: E/AndroidRuntime(4135): java.lang.RuntimeException: Unable to start activity ComponentInfo{com.syyx.jingubang.ky/com.anguotech.android.activity.Init

.NET 自定义过滤器 - ActionFilterAttribute

这个代码片段定义了一个自定义的 ASP.NET Core 过滤器(GuardModelStateAttribute),用于在控制器动作执行之前验证模型状态(ModelState)。如果模型状态无效,则构造一个 ProblemDetails 对象来描述错误,并返回一个 BadRequest 响应。 代码片段: /// <summary>/// 验证 ModelState 是否有效/// </

【NodeJS】Unexpected token (109:0) 返回错误码500

刚开始报错是这样的: Unexpected token call 是什么我没看懂,但我发现 span.label.lable-success 后面的 #[i+1] 写错了,应该是 #{i+1} 改成完这个错误后又是一个错误提示: What? Unexpected token (109:0) 返回错误码500是什么鬼 我先将自己这段源码的 - if ... - else 检查下

解决OAuth Token,点击退出登录报404问题

首先,认证服务器发送请求 http://auth.test.com:8085/logout?redirect_uri=http://admin.test.com:8080’ 退出后报404无法跳转到网站首页,这个时候增加一个参数redirect_uri指定退出成功后跳转的路径,因为是自定义的,所以需在认证服务器做一些处理 找到源码默认实现接口DefaultLogoutPageGeneratingF

OAuth2 Token实现授权码模式

文章目录 OAuth2 授权:Resource owner password(密码模式)OAuth2 授权:Authorization code grant授权码模式,适用于浏览器模式OAuth2:Implicit(简化授权模式)OAuth:Client credentials(客户端证书)授权码模式使用案例 OAuth2 授权:Resource owner password(密

【SpringMVC学习09】SpringMVC中的拦截器

Springmvc的处理器拦截器类似于Servlet 开发中的过滤器Filter,用于对处理器进行预处理和后处理。本文主要总结一下springmvc中拦截器是如何定义的,以及测试拦截器的执行情况和使用方法。 1. springmvc拦截器的定义和配置 1.1 springmvc拦截器的定义 在springmvc中,定义拦截器要实现HandlerInterceptor接口,并实现该接口中提供的

水处理过滤器运行特性及选择原则浅谈

过滤属于流体的净化过程中不可缺的处理环节,主要用于去除流体中的颗粒物或其他悬浮物。水处理过滤器的原理是利用有孔介质,从流体中去除污染物,使流体达到所需的洁净度水平。         水处理过滤器的滤壁是有一定厚度的,也就是说过滤器材具有深度,以“弯曲通 道”的形式对去除污染物起到了辅助作用。过滤器是除去液体中少量固体颗粒的设备,当流体进入置有一定规格滤网的滤筒后,其杂质被阻挡,而