利用注解开发一个通用的JWT前置校验功能

设计的预期:

系统中并不是所有的应用都需要JWT前置校验,这就需要额外设计一个注解Annotation来标识这个方法需要JWT前置校验.例如:

@GetMapping("/dosth")

//加入自定义注解JwtToken,该Controller方法在运行前就需要进行JWT校验

//JWT校验通过执行Controller方法

//JWT校验未通过则直接返回校验失败

@JwtToken

public ResponseObject doSth(){

    return new ResponseObject("...");

}

开发步骤

1. pom.xml引入JJWT

<!--JJWT-->

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt-api</artifactId>

    <version>0.11.2</version>

</dependency>

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt-impl</artifactId>

    <version>0.11.2</version>

    <scope>runtime</scope>

</dependency>

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred -->

    <version>0.11.2</version>

    <scope>runtime</scope>

</dependency>

2. application.yml增加appkey秘钥

#JWT秘钥与Auth-Service保持一致

app:

  secretKey: 1234567890-1234567890-1234567890

3. 创建自定义注解@JwtToken

//这个注解只能用在方法上

@Target({ElementType.METHOD,ElementType.TYPE})

@Retention(RetentionPolicy.RUNTIME) //运行时注解生效

public @interface JwtToken {

    //当required=true说明请求必须包含token,未包含则报错

    //当required=false说明token不是必须的,不会中断请求的传递,交由后面的业务代码处理

    boolean required() default true;

}

4. 在ArticleController增加doSth测试方法

  @JwtToken //dosth进行jwt校验

  @GetMapping("/dosth")

  public ResponseObject dosth() {

    return new ResponseObject("业务处理成功");

  }

5. 创建TokenInterceptor实现代码拦截JWTToken业务验证逻辑

/**

 * 执行目标URI方法前,对存放在请求头中的Jwt进行校验,校验通过执行目标方法,校验失败则提示错误

 */

public class TokenInteceptor implements HandlerInterceptor {

    @Value("${app.secretKey}")

    private String appKey = null;

    /**

     * 在目标方法执行前先执行preHandle进行前置处理

     * @param request 原生请求对象

     * @param response 原生响应对象

     * @param handler 处理器对象

     * @return true-请求向后送达到Controller, false-中断请求立即产生响应

     * @throws Exception

     */

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        System.out.println("TokenInterceptor.preHandle()");

        // 如果不是映射到方法直接通过

        if(!(handler instanceof HandlerMethod)){

            return true;

        }

        HandlerMethod handlerMethod = (HandlerMethod) handler;

        //获取目标方法的Method对象

        Method method = handlerMethod.getMethod();

        response.setContentType("text/json;charset=utf-8");

        ObjectMapper objectMapper = new ObjectMapper();

        objectMapper.setSerializationInclusion(JsonInclude.Include.NON_NULL);

        //判断目标方法是否包含JwtToken注解

        if(method.isAnnotationPresent(JwtToken.class)){

            String token = request.getHeader("token");

            //判断请求头是否包含token属性,在拥有@JwtToken的方法处理时,未包含token则抛出安全异常

            if(token == null){

                JwtToken jwtToken = method.getAnnotation(JwtToken.class);

                if(jwtToken.required() == true) {

                    response.setStatus(401);//未认证

                    ResponseObject<Object> responseObject = new ResponseObject<>("SecurityException", "Token不存在,请检查请求头是否包含Token");

                    String json = objectMapper.writeValueAsString(responseObject);

                    response.getWriter().println(json);

                    return false;

                }

            }else{//token存在时验证JWT的有效性

                String base64Key = new BASE64Encoder().encode(appKey.getBytes());

                SecretKey key = Keys.hmacShaKeyFor(base64Key.getBytes());

                try {

                    Jws<Claims> claimsJws = Jwts.parserBuilder().setSigningKey(key).build().parseClaimsJws(token);

                    String userJson = claimsJws.getBody().getSubject();

                    System.out.println(userJson);

                    User user = objectMapper.readValue(userJson, User.class);

                    request.setAttribute("$user",user); //将当前登录用户对象保存到请求属性

                    return true;

                }catch (JsonProcessingException e){

                    e.printStackTrace();

                    response.setStatus(500);

                    ResponseObject<Object> responseObject = new ResponseObject<>(e.getClass().getSimpleName(), e.getMessage());

                    String json = objectMapper.writeValueAsString(responseObject);

                    response.getWriter().println(json);

                    return false;

                }catch (JwtException e){//Jwt校验失败是抛出异常

                    e.printStackTrace();

                    response.setStatus(401);

                    ResponseObject<Object> responseObject = new ResponseObject<>(e.getClass().getSimpleName(), e.getMessage());

                    String json = objectMapper.writeValueAsString(responseObject);

                    response.getWriter().println(json);

                    return false;

                }

            }

        }

        return true;

    }

}

6. 启动应用,

http://localhost:8100/dosth

7. 将Token中包含的用户数据与业务逻辑绑定,如果Token验证成功,TokenInterceptor会把用户信息转为User对象放入当前请求$user属性中

之后在list方法中,使用@RequestArrtibute()进行提取即可.

/**

 * 如果是VIP会员,可以查看所有普通文章与精选文章

 * 如果是普通会员,只能查看所有普通文章

 *

 * @return

 */

@GetMapping("/list")

@JwtToken(required = false)

public ResponseObject list(@RequestAttribute(value = "$user", required = false) User user) {

    //request.getAttribute()

    System.out.println(user);

    return new ResponseObject("0", "success", articleService.list(user));

}

ArticleService增加业务处理代码,根据用户级别查看不同的结果

/**

 * 如果是VIP会员,可以查看所有普通文章与精选文章

 * 如果是普通会员,只能查看所有普通文章

 * @return

 */

public List<Article> list(User user){

    int level = 0;

    if(user == null || user.getGrade().equals("normal")){

        level = 1;

    }else if(user.getGrade().equals("vip")){

        level = 2;

    }

    List<Article> list = articleMapper.list(level);

    for(Article article:list){

        ResponseObject<Video> videoResponseObject = videoFeignClient.findByArticleId(article.getArticleId());

        article.setVideo(videoResponseObject.getData());

    }

    return list;

}

ArticleMapper进行修改,增加level参数

@Mapper

public interface ArticleMapper {

    @Select("select * from article where article_type <= #{value} order by create_time desc")

    public List<Article> list(int level);

至此业务代码改造完毕

用户未登录或普通用户只能看到ArticleType=1的普通文章

而VIP身份用户则可以看到所有文章

}

SpringBoot利用自定义注解实现通用的JWT校验方案的更多相关文章

  1. java 编程基础:【注解】 提取注解信息,利用自定义注解编写测试类,注解绑定事件

    提取注解信息 使用注解修饰了类.方法.成员变量等成员之后,这些注解不会自己生效,必须由开发者提供相应工具来提取并处理注解信息.   Java使用java.lang.annotation.Annotat ...

  2. Springboot+Redisson自定义注解一次解决重复提交问题(含源码)

    前言   项目中经常会出现重复提交的问题,而接口幂等性也一直以来是做任何项目都要关注的疑难点,网上可以查到非常多的方案,我归纳了几点如下:   1).数据库层面,对责任字段设置唯一索引,这是最直接有效 ...

  3. ssm+redis 如何更简洁的利用自定义注解+AOP实现redis缓存

    基于 ssm + maven + redis 使用自定义注解 利用aop基于AspectJ方式 实现redis缓存 如何能更简洁的利用aop实现redis缓存,话不多说,上demo 需求: 数据查询时 ...

  4. 利用Spring AOP自定义注解解决日志和签名校验

    转载:http://www.cnblogs.com/shipengzhi/articles/2716004.html 一.需解决的问题 部分API有签名参数(signature),Passport首先 ...

  5. Java利用自定义注解、反射实现简单BaseDao

    在常见的ORM框架中,大都提供了使用注解方式来实现entity与数据库的映射,这里简单地使用自定义注解与反射来生成可执行的sql语句. 这是整体的目录结构,本来是为复习注解建立的项目^.^ 好的,首先 ...

  6. springboot aop 自定义注解方式实现完善日志记录(完整源码)

    版权声明:本文为博主原创文章,欢迎转载,转载请注明作者.原文超链接 一:功能简介 本文主要记录如何使用aop切面的方式来实现日志记录功能. 主要记录的信息有: 操作人,方法名,参数,运行时间,操作类型 ...

  7. springboot aop 自定义注解方式实现一套完善的日志记录(完整源码)

    https://www.cnblogs.com/wenjunwei/p/9639909.html https://blog.csdn.net/tyrant_800/article/details/78 ...

  8. (转)利用Spring AOP自定义注解解决日志和签名校验

    一.需解决的问题 部分API有签名参数(signature),Passport首先对签名进行校验,校验通过才会执行实现方法. 第一种实现方式(Origin):在需要签名校验的接口里写校验的代码,例如: ...

  9. Springboot使用自定义注解实现简单参数加密解密(注解+HandlerMethodArgumentResolver)

    前言 我黄汉三又回来了,快半年没更新博客了,这半年来的经历实属不易,疫情当头,本人实习的公司没有跟员工共患难, 直接辞掉了很多人.作为一个实习生,本人也被无情开除了.所以本人又得重新准备找工作了. 算 ...

随机推荐

  1. (七)React Ant Design Pro + .Net5 WebApi:后端环境搭建-日志、异常处理

    一.日志 日志具有帮助开发者快速的定位问题,记录各种信息,配合其他分析框架使用等等功能,收集日志的各类框架如:Log4net.NLog.Exceptionless.Serilog等等,百度或园子里介绍 ...

  2. 『现学现忘』Docker常用命令 — 21、容器常用命令(三)

    目录 13.进入正在运行的容器并以命令行交互 (1)方式一 (2)方式二 (3)attach和exec的区别 14.从容器内拷贝文件到主机上 15.Docker常用命令小结 (1)容器生命周期管理 ( ...

  3. Mysql 8.0 配置主从备份

    my.ini文件的位置 mysql 8.0安装完过后没有my.ini疑惑了我好久,最后发现,配置文件在,C盘的一个隐藏文件夹里面 具体路径如下图 主库配置 修改主库INI文件 在[mysqld]节点添 ...

  4. Applied-Social-Network-Analysis-in-Python 相关笔记4

    模型数据越多,Average系数就越小. perferential attachment model 有比较小的平均路径长度,但有着小的cc. rewire:重新连接 如果仅看这个共同的邻居数的话,数 ...

  5. 快速整明白Redis中的字典到底是个啥

    字典简介 字典是一种用于保存键值对的数据结构,可以通过键值对中的键快速地查找到对应的值.在Redis所使用的C语言中,并没有内置字典,所以Redis自己实现了字典. 整个Redis数据库的所有的键和值 ...

  6. python 生产数据表脚本

    # -*- coding: utf-8 -*-import re"""建立相关表的字段从源表创建指定的MySQL建表脚本"""# 目标表名称 ...

  7. SpringCloud-Consul

    1. Consul 简介 Consul是 HashiCorp 公司推出的开源工具,用于实现分布式系统的服务发现与配置.与其它分布式服 务注册与发现的方案,Consul 的方案更"一站式&qu ...

  8. 切换阿里巴巴开源镜像站镜像——Kali镜像

    参考链接: 阿里巴巴开源镜像站 镜像切换参考链接:阿里云Kali镜像源 安装Kali Linux系统参考链接:使用VMware虚拟机安装kali Linux 一.打开终端命令窗口 二.进入source ...

  9. DDOS反射攻击

    0x01 环境 包含3台主机 attact 作为攻击方,使用Centos7.2 reflect 作为流量放大器,安装有dns .ntp .memcached三种可以放大流量的服务 windows_se ...

  10. 内网渗透----Linux下信息收集

    基础信息 1.系统类型 cat /etc/issue查看系统名称 Lsb-release查看系统名称.版本号 2. 内核版本 uname –a 查看所有信息 ls /root |grep vmlinu ...