Springboot + JWT 的 Token 登录验证

目录

        项目结构

一、 引入依赖

二、自定义Auth认证注解

三、 编写登录拦截器

四、定义跨域拦截器

五、 定义全局异常处理器

六、定义工具类

1. 统一错误状态码

2.统一响应类

3.Token工具类

七、 编写实体类

八、 定义控制器

1.定义登录控制器类

2 定义报错处理器

3 定义测试控制器

九、 配置类


项目结构

一、 引入依赖

         <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>4.4.0</version>
        </dependency>
​
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <version>2.7.6</version>
        </dependency>
​
        <dependency>
            <groupId>commons-lang</groupId>
            <artifactId>commons-lang</artifactId>
            <version>2.6</version>
        </dependency>
​
        <dependency>
            <groupId>com.google.guava</groupId>
            <artifactId>guava</artifactId>
            <version>16.0.1</version>
        </dependency>
​
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.1.0</version>
        </dependency>
​

二、自定义Auth认证注解

在需要认证的方法上添加该注解

package com.dev.jwt;
​
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
​
/**
 * 定义一个名为Auth的注解,用于标注需要授权的方法或类型。
 *
 * @Target 指定该注解可以应用于方法或类型的元素上。
 * @Retention 指定该注解在运行时是可见的。
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface Auth {
​
    /**
     * 是否需要授权的属性。
     * 默认值为true,表示该方法或类型需要授权才能访问。
     * 设置为false时表示不需要授权。
     */
    boolean require() default true;
}

三、 编写登录拦截器

  • 通过识别是否在接口上添加@Auth注解来确定是否需要登录才能访问。

  • 同时这里需要注意只拦截HandlerMethod类型,同时还要考虑放行BasicErrorController,因为基本的报错在这个控制器中,如果不放行,那么会看不到报错信息。

package com.dev.jwt;
​
​
import org.apache.commons.lang.StringUtils;
import org.springframework.boot.autoconfigure.web.servlet.error.BasicErrorController;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
​
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
​
/**
 * 登录拦截器类,实现 HandlerInterceptor 接口,用于拦截请求并进行登录验证。
 */
public class LoginInterceptor implements HandlerInterceptor {
​
    /**
     * Spring MVC 的 HandlerInterceptor 接口的实现类,用于处理请求的前置拦截。
     * 主要功能是进行权限验证,如果请求需要认证,且认证失败,则重定向到错误页面。
     *
     * @param request  HTTP 请求对象
     * @param response HTTP 响应对象
     * @param handler  处理请求的处理器对象,可能是 Controller 方法或其他类型的处理器
     * @return 是否继续处理请求,如果返回 false,则不会继续执行该请求的处理器方法
     * @throws Exception 如果处理过程中抛出异常
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 判断处理器是否为 HandlerMethod 类型,即是否为一个方法处理器
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            // 检查处理器方法所属的 bean 是否为 BasicErrorController 类型,如果是,则直接放行
            if (handlerMethod.getBean() instanceof BasicErrorController) {
                return true;
            }
            // 获取处理器方法上的 Auth 注解,用于判断该方法是否需要认证
            Auth auth = handlerMethod.getMethod().getAnnotation(Auth.class);
            // 如果存在 Auth 注解且要求认证
            if (auth != null && auth.require()) {
                // 从请求头中获取 token,用于认证
                String token = request.getHeader("token");
                // 如果 token 不为空且通过验证
                if (StringUtils.isNotBlank(token)) {
                    if (TokenUtil.verifyToken(token)) {
                        // 认证成功,继续处理请求
                        return true;
                    } else {
                        // 认证失败,重定向到 token 错误页面
                        request.getRequestDispatcher("/error/tokenError").forward(request, response);
                    }
                } else {
                    // 未提供 token,重定向到 token 缺失页面
                    request.getRequestDispatcher("/error/token").forward(request, response);
                }
            } else {
                // 不需要认证,继续处理请求
                return true;
            }
        } else {
            // 非 HandlerMethod 类型的处理器,直接放行
            return true;
        }
        // 如果执行到此处,表示拦截处理失败,不应继续处理请求
        return false;
    }
​
}

四、定义跨域拦截器

这里是做前后端分离需要做的步骤,解决跨域的方式有好几种,这里使用拦截器的方式解决跨域问题。

package com.dev.jwt;
​
import org.springframework.web.servlet.HandlerInterceptor;
​
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
​
/**
 * 跨域拦截器类,用于处理跨域请求。
 * 实现HandlerInterceptor接口,提供预处理请求的能力。
 */
public class CrossInterceptorHandler implements HandlerInterceptor {
    /**
     * 在请求处理之前进行预处理。
     * 主要用于设置响应头,以允许来自特定源的跨域请求。
     *
     * @param request  HttpServletRequest对象,代表客户端的请求。
     * @param response HttpServletResponse对象,用于向客户端发送响应。
     * @param handler  将要处理请求的具体处理器对象。
     * @return 返回true表示继续处理请求,返回false表示中断请求处理。
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        // 设置响应头,允许来自https://example.com的跨域请求
        response.setHeader("Access-Control-Allow-Origin", "https://example.com");
        // 允许浏览器发送cookie
        response.setHeader("Access-Control-Allow-Credentials", "true");
        // 允许的HTTP方法
        response.setHeader("Access-Control-Allow-Methods", "POST, GET , PUT , OPTIONS");
        // 预检请求的缓存时间
        response.setHeader("Access-Control-Max-Age", "3600");
        // 允许的请求头
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with,accept,authorization,content-type");
        // 返回true,表示继续后续的处理流程
        return true;
    }
}
​

五、 定义全局异常处理器

为了项目的完整性,将这些常规的内容写上去。

package com.dev.jwt.handler;

import com.auth0.jwt.exceptions.TokenExpiredException;
import com.dev.jwt.model.emum.ResponseEnum;
import com.dev.jwt.utils.R;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestControllerAdvice;

/**
 * 全局异常处理器,用于捕获并处理应用程序中抛出的特定异常。
 * 使用@RestControllerAdvice注解,标识这个类是一个处理全局异常的控制器顾问。
 */
@RestControllerAdvice
public class GlobalExceptionHandler {

    /**
     * 日志记录器,用于记录异常信息。
     */
    public final Logger logger = LoggerFactory.getLogger(this.getClass());

    /**
     * 处理Token过期异常。
     * 当用户持有的Token过期时,此异常会被抛出。
     *
     * @param e Token过期异常的具体实例,包含详细的错误信息。
     * @return 返回一个封装了错误信息的响应对象。
     */
    @ExceptionHandler(TokenExpiredException.class)
    public R<?> handleTokenExpiredException(TokenExpiredException e) {
        // 记录token过期的错误信息
        logger.error("token 已过期");
        logger.error(e.getMessage());
        // 返回一个表示Token过期的错误响应
        return R.error(ResponseEnum.TOKEN_EX);
    }
}

六、定义工具类

1. 统一错误状态码

编写一个枚举类,统一项目的报错状态码

@AllArgsConstructor
@Getter
public enum ResponseEnum {
 
    SUCCESS(200, "操作成功"),
 
    FAIL(300,"获取数据失败"),
 
    USER_EX(301,"用户不存在,请重新登录"),
 
    ERROR(302,"错误请求"),
 
    USERNAME_PASSWORD_ERROR(303,"用户名或密码错误"),
 
    NO_TOKEN(400,"无token,请重新登录"),
 
    TOKEN_VERIFY_ERROR(401,"token验证失败,请重新登录"),
 
    TOKEN_EX(402,"token已过期");
 
    private final Integer code;
 
    private final String msg;
 
    public static ResponseEnum getResultCode(Integer code){
        for (ResponseEnum value : ResponseEnum.values()) {
            if (code.equals(value.getCode())){
                return value;
            }
        }
        return ResponseEnum.ERROR;
    }
}

2.统一响应类

@Data
public class R<T> implements Serializable {
 
    private static final long serialVersionUID = 56665257244236049L;
 
    private Integer code;
 
    private String message;
 
    private T data;
 
    private R() {
    }
 
    public static <T> R<T> ok(T data) {
        R<T> response = new R<>();
        response.setCode(ResponseEnum.SUCCESS.getCode());
        response.setMessage(ResponseEnum.SUCCESS.getMsg());
        response.setData(data);
        return response;
    }
 
    public static <T> R<T> error(Integer errCode, String errMessage) {
        R<T> response = new R<>();
        response.setCode(errCode);
        response.setMessage(errMessage);
        return response;
    }
 
    public static <T> R<T> error(ResponseEnum responseEnum) {
        R<T> response = new R<>();
        response.setCode(responseEnum.getCode());
        response.setMessage(responseEnum.getMsg());
        return response;
    }
}
​

3.Token工具类

通过TokenUtil可以生成token和验证token是否正确。

package com.dev.jwt;
​
import cn.hutool.core.date.DateUtil;
import cn.hutool.json.JSONObject;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
 
import java.util.Date;
 
​
/**
 * Token工具类,用于生成和验证JWT令牌。
 */
public class TokenUtil {
​
    /**
     * JWT加密的密钥。
     */
    private final static String ENCRYPT_KEY = "abc123";
​
    /**
     * JWT令牌的过期时间,单位为分钟。
     */
    private final static int EXPIRE_TIME = 1;
​
    /**
     * JWT令牌的发行者。
     */
    private static final String ISSUER = "zhangsan";
​
    /**
     * 生成JWT令牌。
     *
     * @param json 令牌中承载的信息,以JSONObject形式提供。
     * @return 生成的JWT令牌字符串。
     */
    public static String createToken(JSONObject json) {
        // 使用JWT创建一个令牌
        return JWT.create()
                // 设置令牌的主题,即json对象转换后的字符串 不要把密码封装进去,不安全
                .withSubject(json.toString())
                // 设置令牌的发行者
                .withIssuer(ISSUER)
                // 设置令牌的过期时间,以当前时间为基础加上设定的过期时间
                .withExpiresAt(DateUtil.offsetMinute(new Date(), EXPIRE_TIME))
                // 设置自定义的声明,这里以"test"为键,"123"为值
                .withClaim("test", "123")
                // 使用HMAC256算法对令牌进行签名加密
                .sign(Algorithm.HMAC256(ENCRYPT_KEY));
    }
​
    /**
     * 验证JWT令牌的有效性。
     *
     * @param token 待验证的JWT令牌字符串。
     * @return 如果令牌有效,则返回true;否则返回false。
     */
    public static boolean verifyToken(String token) {
        try {
            // 创建一个 JWT 验证器,使用 HMAC256 算法,密钥为 ENCRYPT_KEY,发行者为 ISSUER
            JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(ENCRYPT_KEY))
                    .withIssuer(ISSUER)
                    .build();
​
            // 对令牌进行验证
            jwtVerifier.verify(token);
            // 如果验证成功,返回 true
            return true;
        } catch (Exception e) {
            // 验证失败,打印异常信息,并返回false
            e.printStackTrace();
            return false;
        }
    }
}

七、 编写实体类

这里为了简单,并没有与数据库交互。

@Data
public class User {
    private String userName;
    private String password;
    private String token;
}

八、 定义控制器

1.定义登录控制器类

@RestController
@RequestMapping("/user")
public class LoginController {
    @PostMapping("/login")
    public R<User> login(String userName, String password) {
        if (StringUtils.isNotBlank(userName) && StringUtils.isNotBlank(password)) {
            if ("张三".equals(userName) && "123456".equals(password)) {
                User user = new User();
                JSONObject json = JSONUtil.createObj()
                        .put("name", "zhangsan");
                String token = TokenUtil.createToken(json);
                user.setToken(token);
                return R.ok(user);
            }
        }
        return R.error(ResponseEnum.USERNAME_PASSWORD_ERROR);
    }
}

2 定义报错处理器

 
@RestController
@RequestMapping("/error")
public class ErrorController {
 
    @PostMapping("/token")
    public R<?> token() {
        return R.error(ResponseEnum.NO_TOKEN);
    }
 
    @PostMapping("/tokenError")
    public R<?> tokenError() {
        return R.error(ResponseEnum.TOKEN_VERIFY_ERROR);
    }
}

3 定义测试控制器


@RestController
@RequestMapping("/test")
public class TestController {
 
    @Auth
    @PostMapping("/hello")
    public R<?> hello() {
        return R.ok("登录成功");
    }
 
    @PostMapping("/hi")
    public R<?> hi() {
        return R.ok("登录成功");
    }
}

九、 配置类

将自定义的两个拦截器注册进去。

package com.dev.jwt.config;

import com.dev.jwt.interceptor.CrossInterceptorHandler;
import com.dev.jwt.interceptor.LoginInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * WebMvcConfigurer的实现类,用于自定义Spring MVC的配置,例如拦截器的设置。
 */
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    /**
     * 添加拦截器到应用中。
     *
     * @param registry 拦截器注册表,用于注册和管理拦截器。
     *
     * 本方法中,首先添加了一个处理跨域请求的拦截器CrossInterceptorHandler,应用到所有路径。
     * 接着添加了一个登录拦截器LoginInterceptor,应用到所有路径,但排除了/user/login和/error/**路径。
     * 这样配置是为了确保登录页面和错误页面不受登录拦截器的影响。
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new CrossInterceptorHandler()).addPathPatterns(new String[] {"/**"});
        registry.addInterceptor(new LoginInterceptor()).addPathPatterns("/**").excludePathPatterns("/user/login", "/error/**");
    }
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/801131.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

量化投资基础(二)之CAPM模型

点赞、关注&#xff0c;养成良好习惯 Life is short, U need Python 量化投资基础系列&#xff0c;不断更新中 资本资产定价模型&#xff08;Capital Asset Pricing Model,CAPM&#xff09;是由美国经济学家 威廉夏普&#xff08;William Sharpe&#xff09;于20世纪60年代基于…

小型数控车床对现代制造业的影响

小型数控车床作为现代制造业的重要生产工具&#xff0c;集成了计算机控制、精密机械、电子技术和自动化技术&#xff0c;为各种复杂零件的加工&#xff0c;在生产效率和精度上带来了显著提升&#xff0c;它是制造业中不可或缺的基础装备&#xff0c;在金属切削加工领域发挥着关…

数据库的管理

目录 远程连接的方式 修改数据库uuid流程 数据库的概念 关系型数据库 非关系型数据库 关系型数据和非关系型数据库优缺点 mysql的数据类型 数据库的管理 sql中的名词 sql语言的分类 1.DDL 创建库和表的语句 create 删除库 drop databases 2.DML: 插入数据 ins…

使用APEXSQL LOG解析sql server事务日志,进行审计与数据恢复

一 下载 https://download.csdn.net/download/sunke861/11449739 二 使用 解压安装包后&#xff0c;点击&#xff1a;ApexSQLLog.exe 2.1 连接数据库 连接要审计的数据库&#xff1a; 假如报错&#xff1a; 则点击ok关闭该窗口&#xff0c;然后点击左上方的New按钮&#xf…

IDEA创建普通Java项目

环境准备 Java环境 运行javac查看java环境是否安装完成 开发工具Intellij IDEA 下载地址&#xff1a;https://www.jetbrains.com/idea/download/?sectionwindows 创建项目 点击新建项目 填入项目名字&#xff0c;项目路径&#xff0c;选择maven,点击下面的创建 运行项目 …

数据库管理-第220期 Oracle的高可用-03(20240715)

数据库管理220期 2024-07-15 数据库管理-第220期 Oracle的高可用-03&#xff08;20240715&#xff09;1 AC/TAC2 配置Service3 用户权限4 端口开放总结 数据库管理-第220期 Oracle的高可用-03&#xff08;20240715&#xff09; 作者&#xff1a;胖头鱼的鱼缸&#xff08;尹海文…

半导体超纯水(UPW)全面监控检测项目及液体粒子计数器应用

超纯水 (UPW) 是经过高度纯化的水&#xff0c;去除了所有矿物质、颗粒、细菌、微生物和溶解的气体。在芯片厂里&#xff0c;它也经常会被混称为 DI Water&#xff08;去离子水&#xff09;&#xff0c;但国内通常把去离子水与超纯水分的比较开&#xff0c;其实去离子水是包含了…

智能可视采耳棒耳勺安全吗?六大选购技巧排忧解惑!

耳垢作为外耳道内腺的分泌物&#xff0c;如果不及时清理&#xff0c;可能会造成耳道的栓塞&#xff0c;进而引致耳痛、听力减弱、咳嗽等不适。而传统的耳勺由于其盲操作的特性&#xff0c;对于耳道非直线结构的清理存在诸多不便。所以市面上出现了可视挖耳勺&#xff0c;让我们…

【转盘案例-基本框架-创建按钮-按钮布局 Objective-C语言】

一、转盘案例的基本框架 1.我们先来看一下这个转盘啊 新建一个项目,Name:01-大转盘 把素材拷过来, 我们先把背景图片设置一下, 这张图片,可能会很大,跟你的屏幕呢,可能不成正比,这个时候呢,我们应该用拉伸的方式,去做,那么,这个控制器的背景,应该怎么去设置, 画…

逆向案例二十——请求头参数加密,某政府农机购置与应用补贴申请办理服务系统,sm3和sm4的加密

网址&#xff1a;农机购置与应用补贴申请办理服务系统 抓包分析&#xff0c;发现请求头参数有加密&#xff0c;表单有加密&#xff0c;返回的数据也是加密的。 请求头Source是固定的&#xff0c;其他的Sign,以及Timsestamp是加密的 请求载荷也是加密的 返回的数据也是加密的。…

ValueError和KeyError: ‘bluegrass’的问题解决

项目场景&#xff1a; 项目相关背景&#xff1a; 问题描述 遇到的问题1&#xff1a; KeyError: ‘bluegrass’ 不能识别某标签 遇到的问题2&#xff1a; xml etree.fromstring(xml_str) ValueError: Unicode strings with encoding declaration are not supported. Please …

Go语言--广播式并发聊天服务器

实现功能 每个客户端上线&#xff0c;服务端可以向其他客户端广播上线信息&#xff1b;发送的消息可以广播给其他在线的客户支持改名支持客户端主动退出支持通过who查找当前在线的用户超时退出 流程 变量 用户结构体 保存用户的管道&#xff0c;用户名以及网络地址信息 typ…

MongoDB自学笔记(一)

一、MongoDB简介 MongoDB是一款基于C开发的文档型数据库。与传统的关系型数据库有所不同&#xff0c;MongoDB面向的是文档&#xff0c;所谓的文档是一种名为BSON &#xff08;Binary JSON&#xff1a;二进制JSON格式&#xff09;是非关系数据库当中功能最丰富&#xff0c;最像…

【conftest】和【fixtures】

一、 conftest.py 文件 作用&#xff1a;存放case的前提条件和后置条件配置函数&#xff1b;一般该类函数都会使用fixture装饰&#xff08;fixture该篇第二点会介绍&#xff09;&#xff1b;使用conftest里面的函数时不需要导入 conftest.py 这个文件。只需将函数名作为变量传入…

Python实现人脸识别

直接上代码&#xff1a; import face_recognition import time from PIL import Image, ImageDraw def faceRecognition(fileName): # 加载图片image face_recognition.load_image_file(fileName)# 人脸定位beginTime time.time()face_locations face_recognition.face_lo…

SEO:6个避免被搜索引擎惩罚的策略-华媒舍

在当今数字时代&#xff0c;搜索引擎成为了绝大多数人获取信息和产品的首选工具。为了在搜索结果中获得良好的排名&#xff0c;许多网站采用了各种优化策略。有些策略可能会适得其反&#xff0c;引发搜索引擎的惩罚。以下是彭博社发稿推广的6个避免被搜索引擎惩罚的策略。 1. 内…

【python】pandas报错:UnicodeDecodeError详细分析,解决方案以及如何避免

✨✨ 欢迎大家来到景天科技苑✨✨ &#x1f388;&#x1f388; 养成好习惯&#xff0c;先赞后看哦~&#x1f388;&#x1f388; &#x1f3c6; 作者简介&#xff1a;景天科技苑 &#x1f3c6;《头衔》&#xff1a;大厂架构师&#xff0c;华为云开发者社区专家博主&#xff0c;…

Spring Security Oauth2源码分析

Spring Security Oauth2源码分析 前言一&#xff1a;客户端OAuth2授权请求的入口1、DefaultOAuth2AuthorizationRequestResolver类OAuth2AuthorizationRequest类authorizationRequestUri 的构建机制redirectUri 3、OAuth2AuthorizationRequestRedirectFilter类 二&#xff1a;O…

IDEA实现SpringBoot项目的自打包自发布自部署

目录 前言 正文 操作背景 自发布 自部署 尾声 &#x1f52d; Hi,I’m Pleasure1234&#x1f331; I’m currently learning Vue.js,SpringBoot,Computer Security and so on.&#x1f46f; I’m studying in University of Nottingham Ningbo China&#x1f4eb; You can reach…

服务器数据恢复—raid5阵列热备盘同步失败导致lun不可用的数据恢复案例

服务器存储数据恢复环境&#xff1a; 华为S5300存储中有一组由16块FC硬盘组建的RAID5磁盘阵列&#xff08;包含一块热备盘&#xff09;。 服务器存储故障&#xff1a; 该存储中的RAID5阵列1块硬盘由于未知原因离线&#xff0c;热备盘上线并开始同步数据&#xff0c;数据同步到…