springboot中通过jwt令牌校验以及前端token请求头进行登录拦截实战

前言

大家从b站大学学习的项目侧重点好像都在基础功能的实现上,反而一个项目最根本的登录拦截请求接口都不会写,怎么拦截?为什么拦截?只知道用户登录时我后端会返回一个token,这个token是怎么生成的,我把它返回给前端干什么用?前端怎么去处理这个token?这个是我在学习过程中一知半解的,等开始做自己的项目时才知道原来还有这么多不会,本文就来讲解一下怎么去实现登录拦截请求校验的方法。

一、导入数据库表依赖

这里有一张常用的用户表作为本文的实战测试

CREATE TABLE `user` (`id` int(11) NOT NULL AUTO_INCREMENT,`username` varchar(50) NOT NULL COMMENT '用户名',`password` varchar(255) NOT NULL COMMENT '密码',`email` varchar(100) DEFAULT NULL COMMENT '邮箱',`create_time` datetime DEFAULT NULL COMMENT '创建时间',`login_time` datetime DEFAULT NULL COMMENT '最后一次登录时间',`avatar` varchar(255) DEFAULT NULL COMMENT '头像',PRIMARY KEY (`id`),UNIQUE KEY `username` (`username`) USING BTREE,UNIQUE KEY `email` (`email`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=33 DEFAULT CHARSET=utf8mb4 COMMENT='用户表';

运行然后连接。

二、登陆接口实现

@Api(tags = "用户相关接口")
@RestController
@RequestMapping("/user")
public class UserController {@Autowiredprivate UserService userService;@Autowiredprivate JwtProperties jwtProperties;@ApiOperation("用户登录")@PostMapping("/login")public Result login(@RequestBody User user) {user = userService.login(user);//登录成功后,生成jwt令牌Map<String, Object> claims = new HashMap<>();claims.put("userId", user.getId());String token = JwtUtil.createJWT(jwtProperties.getUserSecretKey(),jwtProperties.getUserTtl(),claims);UserLoginVo userLoginVo = UserLoginVo.builder().user(user).token(token).build();return Result.okResult(userLoginVo);}@ApiOperation("注册用户")@PostMappingpublic Result addUser(@RequestBody UserDto userDto) {userService.addUser(userDto);return Result.okResult();}@ApiOperation("更新用户信息")@PostMapping("/update")public Result uploadAvatar(User user) {userService.uploadAvatar(user);return Result.okResult();}@GetMapping("/test")public Result test() {return Result.okResult("test");}
}

写了几个常用的用户层接口用来测试,主要关注用户登录/login接口,其他的暂时无需理会。

配置JwtProperties 类

@Component
@ConfigurationProperties(prefix = "zwk.jwt")
@Data
public class JwtProperties {/*** 用户生成jwt令牌相关配置*/private String userSecretKey;private long userTtl;private String userTokenName;}

JwtProperties 对应的配置文件

zwk:jwt:# 设置jwt签名加密时使用的秘钥user-secret-key: zwkzwk# 设置jwt过期时间user-ttl: 7200000# 设置前端传递过来的令牌名称user-token-name: token

配置UserService 类

public interface UserService {void addUser(UserDto userDto);User login(User user);void uploadAvatar(User user);
}

UserService 的实现类

@Service
public class UserServiceImpl implements UserService {@Autowiredprivate UserMapper userMapper;/*** 新增用户* @param userDto*/public void addUser(UserDto userDto) {User user = new User();BeanUtils.copyProperties(userDto, user);//user.setEmail("123@qq.com");user.setCreateTime(new Date());user.setLoginTime(new Date());userMapper.insert(user);}public User login(User user) {String password = user.getPassword();final User user1 = userMapper.getUserByName(user.getUsername());if (user1 == null) {throw new RuntimeException("该用户名不存在");}//对密码进行md5加密//password = DigestUtils.md5DigestAsHex(password.getBytes());if (!password.equals(user1.getPassword())){throw new RuntimeException("密码错误");}return user1;}/*** 更新用户信息* @param user* @return*/@Overridepublic void uploadAvatar(User user) {userMapper.updateById(user);}
}

这里主要是对用户登录时传过来的用户名和密码进行校验,校验通过后我们再重新回到控制层看看是怎么处理的。

 @ApiOperation("用户登录")@PostMapping("/login")public Result login(@RequestBody User user) {user = userService.login(user);//登录成功后,生成jwt令牌Map<String, Object> claims = new HashMap<>();claims.put("userId", user.getId());String token = JwtUtil.createJWT(jwtProperties.getUserSecretKey(),jwtProperties.getUserTtl(),claims);UserLoginVo userLoginVo = UserLoginVo.builder().user(user).token(token).build();return Result.okResult(userLoginVo);}
  • 如果登录成功,代码将生成一个 JWT(JSON Web Token)令牌。JWT 是一种紧凑的、自包含的方式,用于在客户端和服务器之间传递安全信息。在这个例子中,JWT 令牌包含了用户的 ID 信息。
  • claims 是一个 Map,用于存储 JWT 中的声明(Claims),这里存储了用户 ID。
  • JwtUtil.createJWT 方法用于创建 JWT 令牌,它接收三个参数:用户的密钥(jwtProperties.getUserSecretKey())、令牌的有效时间(jwtProperties.getUserTtl())和声明信息(claims)。

导入User类

@Data
@AllArgsConstructor
@NoArgsConstructor
public class User implements Serializable {private static final long serialVersionUID = 1L;/*** 主键*/@TableIdprivate Long id;/*** 用户名*/private String username;private String password;private String email;@JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss", timezone = "GMT+8")private Date createTime;@JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss", timezone = "GMT+8")private Date LoginTime;/*** 头像*/private String avatar;
}

导入UserLoginVo类

@Data
@NoArgsConstructor
@AllArgsConstructor
@Builder
public class UserLoginVo {private String token;private User user;
}

编写JwtUtil工具类,该类用来生成jwt令牌

public class JwtUtil {/*** 生成jwt* 使用Hs256算法, 私匙使用固定秘钥** @param secretKey jwt秘钥* @param ttlMillis jwt过期时间(毫秒)* @param claims    设置的信息* @return*/public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {// 指定签名的时候使用的签名算法,也就是header那部分SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;// 生成JWT的时间long expMillis = System.currentTimeMillis() + ttlMillis;Date exp = new Date(expMillis);// 设置jwt的bodyJwtBuilder builder = Jwts.builder()// 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的.setClaims(claims)// 设置签名使用的签名算法和签名使用的秘钥.signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))// 设置过期时间.setExpiration(exp);return builder.compact();}/*** Token解密** @param secretKey jwt秘钥 此秘钥一定要保留好在服务端, 不能暴露出去, 否则sign就可以被伪造, 如果对接多个客户端建议改造成多个* @param token     加密后的token* @return*/public static Claims parseJWT(String secretKey, String token) {// 得到DefaultJwtParserClaims claims = Jwts.parser()// 设置签名的秘钥.setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))// 设置需要解析的jwt.parseClaimsJws(token).getBody();return claims;}}

以上就是我们前期准备工作,然后发现好像还是没用,因为我们还没有做自定义拦截处理。我们首先对除了/user/login接口进行放行,其他接口全部拦截。

编写JwtTokenAdminInterceptor 类重写HandlerInterceptor方法

@Component
@Slf4j
public class JwtTokenAdminInterceptor implements HandlerInterceptor {@Autowiredprivate JwtProperties jwtProperties;/*** 校验jwt** @param request* @param response* @param handler* @return* @throws Exception*/public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//判断当前拦截到的是Controller的方法还是其他资源if (!(handler instanceof HandlerMethod)) {//当前拦截到的不是动态方法,直接放行return true;}//1、从请求头中获取令牌String token = request.getHeader(jwtProperties.getUserTokenName());//2、校验令牌try {log.info("jwt校验:{}", token);Claims claims = JwtUtil.parseJWT(jwtProperties.getUserSecretKey(), token);Long userId = Long.valueOf(claims.get("userId").toString());log.info("当前用户id:{}", userId);//3、通过,放行return true;} catch (Exception ex) {//4、不通过,响应401状态码response.setStatus(401);return false;}}
}

自定义拦截器WebMvcConfiguration

@Configuration
@Slf4j
public class WebMvcConfiguration extends WebMvcConfigurationSupport {@Autowiredprivate JwtTokenAdminInterceptor jwtTokenAdminInterceptor;/*** 注册自定义拦截器* @param registry*/protected void addInterceptors(InterceptorRegistry registry) {log.info("开始注册自定义拦截器...");registry.addInterceptor(jwtTokenAdminInterceptor).addPathPatterns("/user/**")   //表示拦截所以前缀带/user的请求.excludePathPatterns("/user/login");  //排除特定路径:excludePathPatterns("/user/login") 方法用于排除某些路径,//即使它们匹配前面指定的模式。在这个例子中,/user/login 路径不会被 jwtTokenAdminInterceptor 拦截。}/*** 设置静态资源映射* @param registry*/protected void addResourceHandlers(ResourceHandlerRegistry registry) {registry.addResourceHandler("/doc.html").addResourceLocations("classpath:/META-INF/resources/");registry.addResourceHandler("/webjars/**").addResourceLocations("classpath:/META-INF/resources/webjars/");}
}

然后对接口进行登录测试

登录测试在这里插入图片描述

{"code": 200,"msg": "操作成功","data": {"token": "eyJhbGciOiJIUzI1NiJ9.eyJleHAiOjE3MjA2MDI3NzIsInVzZXJJZCI6MX0.Cf1ew-rPOkRYup5tird7nVD9xiHblNhYHwtdFHGQqV0","user": {"id": 1,"username": "kkk","password": "kkk123","email": "2765314967@qq.com","createTime": "2024-07-10 10:44:36","LoginTime": "2024-07-10 10:44:42","avatar": null,"loginTime": "2024-07-10 10:44:42"}}
}

可以看见,登录成功后我们成功向前端返回token令牌。

那么前端拿到了这个token令牌有什么用呢?

  1. 第一次登录的时候,前端调用后端的登录接口,发送用户名和密码
  2. 后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token
  3. 前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面
  4. 前端每次跳转路由,就判断localStorage中有无token,没有就跳转到登录页面,有则跳转到对应的路由页面
  5. 每次调后端接口,都要在请求头中加token
  6. 后端判断请求头中有无token,有token,就拿到token并验证token,验证成功就返回数据,验证失败(例如:token过期)就返回403,请求头中没有token也返回403
  7. 如果前端拿到状态码为403,就清除token信息并跳转到登录页面

这个时候我们再来测试其他接口,应为我们刚刚只放行了/user/login接口,其他接口是一律拦截的,我们看看直接请求会发生什么。
在这里插入图片描述
可以发现,当我们请求这个测试接口时,返回状态码401,和我们预想的一样,如图,就是我们刚刚写的JwtTokenAdminInterceptor
在这里插入图片描述
在这里插入图片描述
然后发现控制台的jwt为空,这就应对了我们前面所说的,当我们将token返回给前端之后,前端之后的每次请求都会把token携带到到请求头header里面传给后端,我们后端就可以通过HttpServletRequest获取请求头token,如图:在这里插入图片描述
然后根据我们后端自定义的拦截器看看是否需要对这个请求头进行判断,如果不需要判断,直接放放行,否则进行jwt校验。
那我们再次回到刚刚/user/test接口,我们刚刚也是由前端对该接口进行请求,但这个时候前端请求头里面的token为空,我们后端又对这个接口进行了拦截,所以校验自然失败,无法访问,这个时候我们再把登录时生成的token放在前端传给侯丹的请求头里,看看会发生什么.
在这里插入图片描述
在这里插入图片描述
可以看到,这个时候就能成功请求。再看看控制台
在这里插入图片描述
可以发现,后端拿到前端传过来的token后校验通过,并且还可以通过token获取用户id,我们再回过头看看最开始的问题,这个token有什么用,这个通过token获取用户id就是最明显的体现之一。
我们只需要通过在这里插入图片描述

Claims claims = JwtUtil.parseJWT(jwtProperties.getUserSecretKey(), token);Long userId = Long.valueOf(claims.get("userId").toString());

我讲的也不是很清楚,建议大家细看JwtTokenAdminInterceptorWebMvcConfiguration这两个类,方可大成。
等我我后续大成后再重新回来更新。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://xiahunao.cn/news/3227083.html

如若内容造成侵权/违法违规/事实不符,请联系瞎胡闹网进行投诉反馈,一经查实,立即删除!

相关文章

第3章.中央服务器的物联网模式--企业系统集成

第3章.中央服务器的物联网模式--企业系统集成

为了从物联网实施中获得最大价值&#xff0c;物联网系统需要与企业中的现有软件系统集成。事实上&#xff0c;与外部系统的集成允许网络世界和物理世界之间的交互——代表物理世界的物联网系统和驻留在网络/虚拟世界中的外部系统。用于此模式的符号如下图所示&#xff1a; 图3.…
阅读更多...
首批!蚂蚁数科通过中国信通院面向大模型的可信执行环境产品专项测试

首批!蚂蚁数科通过中国信通院面向大模型的可信执行环境产品专项测试

2024年6月17日&#xff0c;在中国信息通信研究院&#xff08;以下简称“信通院”&#xff09;组织的首批“面向大模型的增强型可信执行环境基础能力专项测试”中&#xff0c;蚂蚁数科摩斯顺利完成全部测试内容&#xff0c;成为首批完成此项测试的组织。 标准及测试介绍 《面向…
阅读更多...
【深度学习】图形模型基础(6):模型优化理论

【深度学习】图形模型基础(6):模型优化理论

1.引言 在之前的讨论中&#xff0c;我们构建了一个理论模型来表达最优决策规则&#xff0c;这是建立在我们对数据的概率模型有充分理解的基础上的。相对地&#xff0c;经验风险最小化&#xff08;Empirical Risk Minimization, ERM&#xff09;策略则在缺乏精确概率模型的情况…
阅读更多...
MVC之 Controller 》》 ModelState ValidationMessageFor ValidationSummary

MVC之 Controller 》》 ModelState ValidationMessageFor ValidationSummary

ModelState是Controller的一个属性&#xff0c;可以被继承自System.Web.Mvc.Controller的那些类访问。它表示在一次POST提交中被提交到服务器的 键值对集合&#xff0c;每个记录到ModelState内的值都有一个错误信息集。尽管ModelState的名字中含有“Model”&#xff0c;但它只有…
阅读更多...
医疗器械FDA |FDA网络安全测试具体内容

医疗器械FDA |FDA网络安全测试具体内容

医疗器械FDA网络安全测试的具体内容涵盖了多个方面&#xff0c;以确保医疗器械在网络环境中的安全性和合规性。以下是根据权威来源归纳的FDA网络安全测试的具体内容&#xff1a; 一、技术文件审查 网络安全计划&#xff1a;制造商需要提交网络安全计划&#xff0c;详细描述产…
阅读更多...
FLinkCDC引起的生产事故(二)

FLinkCDC引起的生产事故(二)

背景&#xff1a; 最近在做实时数据的抽取工作&#xff0c;利用FLinkCDC实时抽取目标库Oracle的数据到Doris中&#xff0c;但是在抽取的过程中&#xff0c;会导致目标库的生产库数据库非常卡顿&#xff0c;为了避免对生产环境的数据库造成影响&#xff0c;对生产环境的数据库利…
阅读更多...
Java语言程序设计——篇三(1)

Java语言程序设计——篇三(1)

选择结构 概述选择单分支if语句例题讲解 双分支if-else语句例题讲解 条件运算符多分支的if-else语句例题讲解 嵌套的if语句例题讲解 switch语句结构例题讲解代码演示运行结果 概述 Java中的控制结构&#xff0c;包括&#xff1a; 1、选择结构( if、if-else、switch ) 2、循环结…
阅读更多...
Linux系统学习 —— 计算机基础(笔记篇)

Linux系统学习 —— 计算机基础(笔记篇)

一、电脑硬件 电脑硬件由输入&#xff0c;控制计算&#xff0c;输出三部分组成。 输入部分包括键鼠&#xff0c;读卡器&#xff08;外部接口&#xff09;&#xff0c;扫描仪&#xff08;打印机的扫描仪&#xff09;。计算控制部分包括CPU &#xff0c; 内存&#xff0c;硬盘&…
阅读更多...
眼外伤险失明辗转成都爱尔眼科就医保视力,患者复查送锦旗!

眼外伤险失明辗转成都爱尔眼科就医保视力,患者复查送锦旗!

近日患者王先生到成都爱尔眼科医院进行硅油取出后的二次复查&#xff08;硅油为眼底病手术中一种“填充物”&#xff09;&#xff0c;他激动地为蔡裕主任献上锦旗&#xff0c;感谢医生的救治避免了失明。 意外发生在半年之前&#xff0c;王先生不慎滑倒右眼磕碰到茶几边缘&…
阅读更多...
java算法day10

java算法day10

java算法day10 239滑动窗口最大值347前k个高频元素 239滑动窗口最大值 看灵神的题解学会的 精髓就在这张图 这个题用到了单调队列。首先知道为什么要使用单调队列&#xff0c;从这个问题来知道单调队列的好处。 首先就是我们模拟的窗口。滑动的这个过程显然就是一个队列元素…
阅读更多...
《梦醒蝶飞:释放Excel函数与公式的力量》10.3 IMABS函数

《梦醒蝶飞:释放Excel函数与公式的力量》10.3 IMABS函数

第一节 10.3 IMABS函数 10.3.1 函数简介 IMABS函数是Excel中的一个工程函数&#xff0c;用于计算复数的绝对值&#xff08;模&#xff09;。在工程和科学计算中&#xff0c;复数的模是一个重要的概念&#xff0c;表示复数在复平面上到原点的距离。 10.3.2 语法&#xff1a; …
阅读更多...
MT5016A-ASEMI逆变焊机专用MT5016A

MT5016A-ASEMI逆变焊机专用MT5016A

编辑&#xff1a;ll MT5016A-ASEMI逆变焊机专用MT5016A 型号&#xff1a;MT5016A 品牌&#xff1a;ASEMI 封装&#xff1a;KBPC-4 批号&#xff1a;2024 现货&#xff1a;50000 正向电流&#xff08;Id&#xff09;&#xff1a;50A 反向耐压&#xff08;VRRM&#xff0…
阅读更多...
内存迎来革命性升级,只装一条就能组成双通道

内存迎来革命性升级,只装一条就能组成双通道

相信用过台式机的同学或多或少都遇到过一个情况&#xff0c;那就是按下开机键后&#xff0c;除了显示器不亮&#xff0c;哪儿都亮。 拿着自己的故障满世界发帖求助&#xff0c;得到最多的回答就是&#xff0c;断电拔下内存用橡皮擦擦擦金手指再装回。而这样的操作确实能解决大部…
阅读更多...
Java中的集合类有哪些?如何分类的?

Java中的集合类有哪些?如何分类的?

一、典型回答 Java的整个集合框架中&#xff0c;主要分为List、Set、Queue、Stack、Map等五种数据结构。其中&#xff0c;前四种数据结构都是单一元素的集合&#xff0c;而最后的Map则是以KV&#xff08;键值&#xff09;对的形式使用。 从继承关系上讲&#xff0c;List、Set、…
阅读更多...
odoo模型继承

odoo模型继承

odoo模型继承 模块化是Odoo一个非常重要的功能。一个模块通常定义一块业务内容&#xff0c;模块之间是可以交互的。所以从已有模块中去继承修改原有模块功能就很有必要。 Odoo中&#xff0c;模型之间也定义了一套继承的逻辑&#xff0c;目前有三种继承方 式&#xff1a; 1、…
阅读更多...
[图解]SysML和EA建模住宅安全系统-14-黑盒系统规约

[图解]SysML和EA建模住宅安全系统-14-黑盒系统规约

1 00:00:02,320 --> 00:00:07,610 接下来&#xff0c;我们看下一步指定黑盒系统需求 2 00:00:08,790 --> 00:00:10,490 就是说&#xff0c;把这个系统 3 00:00:11,880 --> 00:00:15,810 我们的目标系统&#xff0c;ESS&#xff0c;看成黑盒 4 00:00:18,030 --> …
阅读更多...
萌啦数据多少钱一个月,萌啦数据价格是多少

萌啦数据多少钱一个月,萌啦数据价格是多少

在跨境电商的浩瀚星海中&#xff0c;Ozon作为俄罗斯及独联体地区领先的电商平台&#xff0c;正吸引着越来越多的商家和创业者的目光。而“萌啦ozon数据”作为专注于Ozon平台数据分析与洞察的服务提供商&#xff0c;更是成为了众多商家在数据驱动决策道路上的得力助手。然而&…
阅读更多...
怎么选择渲染农场?渲染100邀请码1a12

怎么选择渲染农场?渲染100邀请码1a12

市面上的渲染农场那么多&#xff0c;到底选择哪一个呢&#xff1f;这次我给大家提供几个指标&#xff0c;以供参考。 1、机器性能&#xff1a;农场的机器性能会直接影响到渲染速度&#xff0c;速度越快项目就能越早完成&#xff0c;所以机器性能是重要的衡量指标。2、渲染价格…
阅读更多...
YOLOv5改进 | 注意力机制| 对密集和小目标友好的EVAblock【完整代码 + 小白轻松上手】

YOLOv5改进 | 注意力机制| 对密集和小目标友好的EVAblock【完整代码 + 小白轻松上手】

秋招面试专栏推荐 &#xff1a;深度学习算法工程师面试问题总结【百面算法工程师】——点击即可跳转 &#x1f4a1;&#x1f4a1;&#x1f4a1;本专栏所有程序均经过测试&#xff0c;可成功执行&#x1f4a1;&#x1f4a1;&#x1f4a1; 专栏目录&#xff1a; 《YOLOv5入门 改…
阅读更多...
七人共赢拼团模式的深度剖析与互助精神重塑

七人共赢拼团模式的深度剖析与互助精神重塑

在当今电商的浩瀚星海中&#xff0c;七人共赢拼团模式以其创新的合作框架与激励体系&#xff0c;正引领着消费与商业的新潮流。这一模式不仅优化了购物体验&#xff0c;更深刻诠释了互助共赢的核心理念。以下&#xff0c;我们将从直推奖励、自动补齐机制及团队荣耀奖三个方面&a…
阅读更多...
最新文章

Copyright @ 2022~2023