0to1使用JWT实现登录认证

2024-09-05 22:12

本文主要是介绍0to1使用JWT实现登录认证,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

1 引言

JSON Web Token(缩写JWT)是目前流行的跨域认证解决方案,其本质上也是一种token,但是JWT通过纯算法验证合法性,因此无需在服务器存储token数据或者保存用户状态,降低了服务器消耗,也便于系统之间解耦。本章主要讲解使用JWT实现登录认证,并使用redis解决JWT无法主动失效的问题。

2 代码

下面列出关键代码进行介绍,源码链接在文章最后。

2.1 pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><groupId>com.zeroone</groupId><artifactId>zeroone</artifactId><version>1.0</version><properties><maven.compiler.source>17</maven.compiler.source><maven.compiler.target>17</maven.compiler.target><project.build.sourceEncoding>UTF-8</project.build.sourceEncoding></properties><!--  为Spring Boot项目提供一系列默认的配置和依赖管理--><parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>3.3.2</version><relativePath/></parent><dependencies><!--  Spring Boot核心依赖--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter</artifactId></dependency><!-- Spring Boot单元测试和集成测试的依赖--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope></dependency><!-- Spring Boot构建Web应用程序的依赖--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><!-- redis --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId></dependency><!-- mysql驱动--><dependency><groupId>com.mysql</groupId><artifactId>mysql-connector-j</artifactId></dependency><!-- mybatis-plus核心依赖--><dependency><groupId>com.baomidou</groupId><artifactId>mybatis-plus-spring-boot3-starter</artifactId><version>3.5.7</version></dependency><!-- 阿里数据库连接池 --><dependency><groupId>com.alibaba</groupId><artifactId>druid-spring-boot-3-starter</artifactId><version>1.2.23</version></dependency><!-- 阿里JSON解析库--><dependency><groupId>com.alibaba.fastjson2</groupId><artifactId>fastjson2</artifactId><version>2.0.52</version></dependency><!-- Jwt --><dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>4.4.0</version></dependency></dependencies></project>

2.2 TokenService.java

这个就是jwt管理token的类,为了解决JWT无法主动失效的问题,使用redis存储每个用户最后登录时生成的jwtId,然后每次访问都比较header中的token是否最新的。注意:在header中,key为Authorization,value为"Bearer "+token。

package com.zeroone.service;import com.alibaba.fastjson2.JSON;
import com.alibaba.fastjson2.JSONObject;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.zeroone.common.RedisKey;
import com.zeroone.entity.sys.User;
import jakarta.servlet.http.HttpServletRequest;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Service;import java.util.Date;
import java.util.Map;
import java.util.UUID;
import java.util.concurrent.TimeUnit;/*** Jwt服务*/
@Service("TokenService")
public class TokenService {@Autowiredprotected HttpServletRequest request;@AutowiredRedisTemplate<String, String> redisTemplate;/*** 令牌秘钥*/public static final Algorithm algorithm = Algorithm.HMAC512("C9FEE9EAD0F74457B3438AB8CB9CA9A7C9FEE9EAD0F74457B3438AB8CB9CA9A7C9FEE9EAD0F74457B3438AB8CB9CA9A7");/*** 令牌有效期,毫秒*/public static final long EXPIRATION = 60 * 60 * 1000;/*** 用户信息存储标识*/public static final String USER_INFO = "USER_INFO";/*** 从header中解析出token** @return token*/public String getTokenFromHeader() {String token = request.getHeader("Authorization");if (null != token) {token = token.replace("Bearer ", "");}return token;}/*** 生成token** @param user 用户信息* @return token*/public String createToken(User user) {user.setPassword(null);//私密信息不放入token中String jwtId = UUID.randomUUID().toString();//存储当前用户最新的jwtIdredisTemplate.opsForValue().set(RedisKey.USER_JWTID + user.getId(), jwtId, EXPIRATION, TimeUnit.MILLISECONDS);//设置JWTId,设置户信息,设置过期时间,返回tokenreturn JWT.create().withJWTId(jwtId).withClaim(USER_INFO, JSON.toJSONString(user)).withExpiresAt(new Date(System.currentTimeMillis() + EXPIRATION)).sign(algorithm);}/*** 验证token,并返回用户信息** @return 用户信息*/public User verifyToken() {try {String token = getTokenFromHeader();//获取claimsMap<String, Claim> claims = JWT.require(algorithm).build().verify(token).getClaims();String jwtId = claims.get("jti").asString();//从claims中解析出jwtIdString userStr = claims.get(USER_INFO).asString();//从claims中解析出用户信息User user = JSONObject.parseObject(userStr, User.class);String jwtIdLast = redisTemplate.opsForValue().get(RedisKey.USER_JWTID + user.getId());//取出该用户最新的jwtId//比较jwtId,如果不一致则说明该token已废弃。if (null != jwtIdLast && jwtIdLast.equals(jwtId)) {return user;}} catch (Exception e) {return null;}return null;}/*** 获取用户信息** @return 用户信息*/public User getUserInfo() {try {String token = getTokenFromHeader();String userStr = JWT.require(algorithm).build().verify(token).getClaims().get(USER_INFO).asString();return JSONObject.parseObject(userStr, User.class);} catch (Exception e) {return null;}}/*** 使用户token失效*/public void deleteToken() {User uer = getUserInfo();if (null != uer) {redisTemplate.delete(RedisKey.USER_JWTID + uer.getId());}}}

2.3 LoginServiceImpl.java

登录和退出

package com.zeroone.service.sys;import com.zeroone.entity.sys.User;
import com.zeroone.service.BaseService;
import com.zeroone.utils.Param;
import org.springframework.stereotype.Service;@Service("UserService")
public class LoginServiceImpl extends BaseService implements LoginService {@Overridepublic Object webLogin(Param info) {String account = info.getStringNotNull("account").trim();String password = info.getStringNotNull("password").trim();//TODO 验证通过User user = new User();user.setId(1L);user.setName("张三");user.setAccount("12345678901@qq.com");user.setPhone("12345678901");String token = tokenService.createToken(user);return token;}@Overridepublic void logout() {tokenService.deleteToken();}
}

2.4 WebMvcConfigurerImpl.java

注册组件类,如拦截器等。

package com.zeroone.config.spring;import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;import java.util.ArrayList;
import java.util.List;/*** SpringMvc(组件注册:拦截器、静态资源……)*/
@Configuration
public class WebMvcConfigurerImpl implements WebMvcConfigurer {@Autowiredprivate MyHandlerInterceptor myHandlerInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {List<String> patterns = new ArrayList<>();patterns.add("/download/**");patterns.add("/upload/**");patterns.add("/error");patterns.add("/");registry.addInterceptor(myHandlerInterceptor).addPathPatterns("/**").excludePathPatterns(patterns);}@Overridepublic void addResourceHandlers(ResourceHandlerRegistry registry) {}}

2.4 MyHandlerInterceptor.java

拦截器类,在拦截器中验证token是否合法

package com.zeroone.config.spring;import com.zeroone.common.HttpCode;
import com.zeroone.config.exception.MyRuntimeException;
import com.zeroone.service.TokenService;
import com.zeroone.entity.sys.User;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;/*** SpringMvc 拦截器*/
@Component
public class MyHandlerInterceptor implements HandlerInterceptor {Logger log = LoggerFactory.getLogger(getClass());@AutowiredTokenService tokenService;/*** 完成页面的render后调用*/@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object object, Exception exception) throws Exception {}/*** 在调用controller具体方法后拦截*/@Overridepublic void postHandle(HttpServletRequest request, HttpServletResponse response, Object object, ModelAndView modelAndView) throws Exception {}/*** 在调用controller具体方法前拦截*/@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception {String origin = request.getHeader("Origin");// 设置头信息,以支持跨域请求response.setHeader("Access-Control-Allow-Origin", origin);response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");response.setHeader("Access-Control-Max-Age", "3600");response.setHeader("Access-Control-Allow-Headers", "Content-Type,token,Cookie");response.setHeader("Access-Control-Allow-Credentials", "true");response.setContentType("text/html;charset=utf-8");response.setCharacterEncoding("utf-8");if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {return true;}String ip = request.getRemoteAddr();String url = request.getRequestURI();// 打印日志log.info("[" + ip + "]" + url);// 判断是否是开放的请求if (isPassUrl(url)) {return true;}User userInfo = tokenService.verifyToken();// 判断是否已登录if (null != userInfo) {return true;} else {throw new MyRuntimeException(HttpCode.UNAUTHORIZED_CODE, "请重新登陆!");}}/*** 是否是开放的url*/private boolean isPassUrl(String url) {switch (url) {case "/web/login":// WEB登录return true;case "/web/logout":// WEB登出return true;}return false;}}

3 测试

1 启动项目访问:http://localhost:8080/UserController/listAllMaster。可以看到提示"请重新登陆!"。
在这里插入图片描述
2 调用http://localhost:8080/web/login登录。将返回的token信息,放入前面接口的header中,可以看到正常返回了,说明认证成功。
在这里插入图片描述
在这里插入图片描述

5 源码

Gitee代码链接

这篇关于0to1使用JWT实现登录认证的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1140209

相关文章

Security OAuth2 单点登录流程

单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一注销(single sign-off)就是指

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数

Makefile简明使用教程

文章目录 规则makefile文件的基本语法:加在命令前的特殊符号:.PHONY伪目标: Makefilev1 直观写法v2 加上中间过程v3 伪目标v4 变量 make 选项-f-n-C Make 是一种流行的构建工具,常用于将源代码转换成可执行文件或者其他形式的输出文件(如库文件、文档等)。Make 可以自动化地执行编译、链接等一系列操作。 规则 makefile文件

hdu1043(八数码问题,广搜 + hash(实现状态压缩) )

利用康拓展开将一个排列映射成一个自然数,然后就变成了普通的广搜题。 #include<iostream>#include<algorithm>#include<string>#include<stack>#include<queue>#include<map>#include<stdio.h>#include<stdlib.h>#include<ctype.h>#inclu

使用opencv优化图片(画面变清晰)

文章目录 需求影响照片清晰度的因素 实现降噪测试代码 锐化空间锐化Unsharp Masking频率域锐化对比测试 对比度增强常用算法对比测试 需求 对图像进行优化,使其看起来更清晰,同时保持尺寸不变,通常涉及到图像处理技术如锐化、降噪、对比度增强等 影响照片清晰度的因素 影响照片清晰度的因素有很多,主要可以从以下几个方面来分析 1. 拍摄设备 相机传感器:相机传

【C++】_list常用方法解析及模拟实现

相信自己的力量,只要对自己始终保持信心,尽自己最大努力去完成任何事,就算事情最终结果是失败了,努力了也不留遗憾。💓💓💓 目录   ✨说在前面 🍋知识点一:什么是list? •🌰1.list的定义 •🌰2.list的基本特性 •🌰3.常用接口介绍 🍋知识点二:list常用接口 •🌰1.默认成员函数 🔥构造函数(⭐) 🔥析构函数 •🌰2.list对象

【Prometheus】PromQL向量匹配实现不同标签的向量数据进行运算

✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,阿里云开发者社区专家博主,CSDN全栈领域优质创作者,掘金优秀博主,51CTO博客专家等。 🏆《博客》:Python全栈,前后端开发,小程序开发,人工智能,js逆向,App逆向,网络系统安全,数据分析,Django,fastapi