JJWT是一个提供端到端的JWT创建和验证的Java库

依赖

        <dependency>

            <groupId>io.jsonwebtoken</groupId>

            <artifactId>jjwt</artifactId>

            <version>RELEASE</version>

        </dependency>

token的创建

setIssuedAt用于设置签发时间

signWith用于设置签名秘钥

        JwtBuilder builder = Jwts.builder().setId("111")

                .setSubject("小明")

                .setIssuedAt(newDate())

                .signWith(SignatureAlgorithm.HS256, "ld");

        String token = builder.compact();

token的解析

        String token = "~~~";

        Claims claims = Jwts.parser().setSigningKey("ld").parseClaimsJws(token).getBody();

        System.out.println("id:" + claims.getId());

        System.out.println("subject:" + claims.getSubject());

        System.out.println("IssuedAt:" + claims.getIssuedAt());

token过期校验

        long now = System.currentTimeMillis();  //当前时间

        long exp = now + 1000 * 60; //过期时间为1分钟

        JwtBuilder builder = Jwts.builder().setId("111")

                .setSubject("小明")

                .setIssuedAt(new Date())

                .signWith(SignatureAlgorithm.HS256, "ld")

                .setExpiration(new Date(exp));

当未过期时可以正常读取

当过期时会引发 io.jsonwebtoken.ExpiredJwtException 异常

自定义claims

        long now = System.currentTimeMillis();  //当前时间

        long exp = now + 1000 * 60; //过期时间为1分钟

        JwtBuilder builder = Jwts.builder().setId("111")

                .setSubject("小明")

                .setIssuedAt(new Date())

                .signWith(SignatureAlgorithm.HS256, "ld")

                .setExpiration(new Date(exp))

                .claim("role", "admin");

获取:

    claims.get("role")

示例

JWT工具类

@Data

public class JwtUtil {

    private String key; //密钥加盐

    private long ttl;   //过期时间

    /**

     * 生成JWT

     */

    public String createJWT(String id, String subject, String role) {

        long nowMillis = System.currentTimeMillis();

        Date now = new Date(nowMillis);

        JwtBuilder builder = Jwts.builder().setId(id)

                .setSubject(subject)

                .setIssuedAt(now)

                .signWith(SignatureAlgorithm.HS256, key).claim("role", role);

        if (ttl > 0) {

            builder.setExpiration(new Date(nowMillis + ttl));

        }

        return builder.compact();

    }

    /**

     * 解析JWT

     */

    public Claims parseJWT(String jwtStr) {

        return Jwts.parser()

                .setSigningKey(key)

                .parseClaimsJws(jwtStr)

                .getBody();

    }

}

添加配置

jwt:

  config:

    key: littledonkey

    ttl: 3600000

签发token

        //判断是否密码是否正确

        Admin loginAdmin = adminService.login(admin);

        if (loginAdmin == null) {

            return new Result(false, StatusCode.LOGINERROR, "登陆失败");

        }

        //签发token

        String token = jwtUtil.createJWT(admin.getId(), admin.getLoginname(), "admin");

        HashMap<String, String> map = new HashMap<>();

        map.put("token", token);

        map.put("role", "admin");

        return new Result(true, StatusCode.OK, "登陆成功", map);

使用拦截器方式实现token鉴权

org.springframework.web.servlet.handler.HandlerInterceptorAdapter这个适配器,

继承此类,可以非常方便的实现自己的拦截器。

三个方法分别实现预处理、后处理(调用了Service并返回ModelAndView,但未进行页面渲染)、返回处理(已经渲染了页面):

  1. 在preHandle中,可以进行编码、安全控制等处理
  2. 在postHandle中,有机会修改ModelAndView
  3. 在afterCompletion中,可以根据ex是否为null判断是否发生了异常,进行日志记录
添加拦截器

@Component

public class TokenInterceptor implements HandlerInterceptor {

    @Autowired

    private JwtUtil jwtUtil;

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        //获取请求头(如果有此请求头,表示token已经签发)

        String header = request.getHeader("tokenHeader");

        if (header != null || !"".equals(header)) {

            //解析请求头(防止伪造token,token内容以"token "作为开头)

            if (header.startsWith("token ")) {

                try {

                    Claims claims = jwtUtil.parseJWT(header.substring(6));

                    String role = (String) claims.get("role");

                    //为具有相关权限的用户添加权限到request域中

                    if ("admin".equals(role)) {

                        //拿到"admin_token"头信息,表示当前角色是admin

                        request.setAttribute("admin_token", header.substring(6));

                    }

                    if ("user".equals(role)) {

                        //拿到"user_token"头信息,表示当前角色是user

                        request.setAttribute("user_token", header.substring(6));

                    }

                } catch (Exception e) {

                    throw new RuntimeException("令牌不正确");

                }

            }

        }

        //所有请求都通过,具体权限在service层判断

        return true;

    }

}

注册拦截器

@Configuration

public class InterceptorConfig extends WebMvcConfigurationSupport {

    @Autowired

    private TokenInterceptor tokenInterceptor;

    @Override

    protected void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(tokenInterceptor)

                .addPathPatterns("/**")

                .excludePathPatterns("/login/**");

    }

}

service层验证

    public void deleteById(String id) {

        String admin_token = (String) request.getAttribute("admin_token");

        if(admin_token == null || "".equals(admin_token)){

            throw new RuntimeException("权限不足");

        }

        adminDao.deleteById(id);

    }

Java 的 JJWT 实现 JWT的更多相关文章

  1. Spring Security + JJWT 实现 JWT 认证和授权

    关于 JJWT 的使用,可以参考之前的文章:JJWT 使用示例 一.鉴权过滤器 @Component public class JwtAuthenticationTokenFilter extends ...

  2. SpringBoot系列之前后端接口安全技术JWT

    @ 目录 1. 什么是JWT? 2. JWT令牌结构怎么样? 2.1 标头(Header) 2.2 有效载荷(Playload) 2.3 签名(Signature) 3. JWT原理简单介绍 4. J ...

  3. Java JWT: JSON Web Token

    Java JWT: JSON Web Token for Java and Android JJWT aims to be the easiest to use and understand libr ...

  4. 各类JWT库(java)的使用与评价

    [搬运工] 出处:http://andaily.com/blog/?p=956 在 https://jwt.io/ 网站中收录有各类语言的JWT库实现(有关JWT详细介绍请访问 https://jwt ...

  5. 手写jwt验证,实现java和node无缝切换

    前言 前端时间和我朋友写了一个简易用户管理后台,功能其实很简单,涉及到的技术栈有:vue+elementUI,java+spring MVC以及node+egg,数据库用的mysql,简单方便. 一开 ...

  6. 通过webgoat-xxe、jwt学习Java代码审计

    WebGoat-JWT JWT Tokens 01 概念 本课程将介绍如何使用JSON Web Token(JWT)进行身份验证,以及在使用JWT时需要注意的常见陷阱. 目标 教授如何安全地实现令牌的 ...

  7. spring cloud实战与思考(五) JWT之携带敏感信息

    需求: 需要将一些敏感信息保存在JWT中,以便提高业务处理效率. 众所周知JWT协议RFC7519使用Base64Url对Header和Payload的Json字符串进行编解码.A JWT is re ...

  8. 基于jwt和角色的访问控制解决方案

    0,主要解决两个问题:1身份验证(防止httpclient拼接请求),2权限控制 1,身份验证使用jwt,在java就是jjwt jwt可以比较好的整合restful,对无状态客户端比较友好,(用se ...

  9. JWT+Interceptor实现无状态登录和鉴权

    无状态登录原理 先提一下啥是有状态登录 单台tomcat的情况下:编码的流程如下 前端提交表单里用户的输入的账号密码 后台接受,查数据库, 在数据库中找到用户的信息后,把用户的信息存放到session ...

随机推荐

  1. Java-Class-@I:org.springframework.stereotype.Service

    ylbtech-Java-Class-@I:org.springframework.stereotype.Service 1.返回顶部   2.返回顶部 1. package com.ylbtech. ...

  2. JVM内核-原理、诊断与优化学习笔记(一):初识JVM

    文章目录 JVM的概念 JVM是Java Virtual Machine的简称.意为Java虚拟机 虚拟机 有哪些虚拟机 VMWare或者Visual Box都是使用软件模拟物理CPU的指令集 JVM ...

  3. kubernetes session and 容器root权限

    session保持 如何在service内部实现session保持呢?当然是在service的yaml里进行设置啦. 在service的yaml的sepc里加入以下代码: sessionAffinit ...

  4. linux centos 装g++安装不了

    今天需要编译一个项目的时候在装g++都装不上, [root@master hadoop]# yum install g++ Loaded plugins: fastestmirror, refresh ...

  5. uoj192 【UR #14】最强跳蚤

    题目 和成爷达成一致,被卡随机的话就是过了 考虑一个完全平方数的所有质因子次幂一定是偶数,于是对于每一条边我们都只保留其出现次数为奇数的质因子 注意到有一个点的\(w\leq 80\),于是考虑状压质 ...

  6. canvas绘制线和矩形

    ###canvas绘制矩形 HTML中的元素canvas只支持一种原生的图形绘制:矩形.所有其他的图形的绘制都至少需要生成一条路径 1.绘制矩形 canvas提供了三种方法绘制矩形: ----> ...

  7. Python: map和reduce

    可以先google一篇论文:MapReduce: SImplified Data Processing on Large Clusters 1. map map()函数接收2个参数:一个是函数,一个是 ...

  8. JavaScript工作原理

    HTML代码所表示的文档是一种静态文档,几乎没有交互功能,很难使页面成为动态页面.增加脚本语言,可使数据发送到服务器之前先进行处理和校验,动态地创建新的Web内容,更重要的是,引入脚本语言使我们有了事 ...

  9. Could not open file ..\obj\sys.o: No such file or directory解决办法

    一.你的keil的安装路径以及系统用户名是否带中文字符以及一些特殊字符.二.环境变量的值存在中文或者特殊字符了,解决方法如下: 1.在C盘建立一个新的文件夹,命名为英文,如qcl2.右击"此 ...

  10. LUOGU P1039 侦探推理 (字符串+模拟)

    传送门 解题思路 一道%你神题,\(string\)好强大啊..首先枚举一个周几,再枚举一个罪犯是谁,然后判断的时候就是枚举所有人说的话.定义\(fAKe[i]\)表示第\(i\)个人说的是真话还是假 ...