当前位置：首页 > news >正文

SpringBoot之JWT登录

news 文章来源：https://blog.csdn.net/qq_62592925/article/details/135844702 2025/5/8 18:52:35

JWT

JSON Web Token（JSON Web令牌）

是一个开放标准(rfc7519)，它定义了一种紧凑的、自包含的方式，用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任，因为它是数字签名的。jwt可以使用秘密〈使用HNAC算法）或使用RSA或ECDSA的公钥/私钥对进行签名。

通过JSON形式作为Web应用中的令牌，用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。

JWT登录流程

在这里插入图片描述
使用了JWT技术

流程：

1.前端通过表单的方式将用户的登录信息发送到后端

2.后端对登录的信息进行检验，合法的话生成JWT并与结果一起返回给前端

3.前端接收到返回结果进行响应并将JWT保存，前端可以将返回的结果保存在localStorage（浏览器本地缓存）或sessionStorage（session缓存）上，退出登录时前端删除保存的JWT即可

4.后续前端每次请求携带JWT进行，后端检查JWT 的合法性存在验证JWT的有效性。例如，检查签名是否正确﹔检查Token是否过期;检查Token的接收方是否是自己

5.验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作，返回相应结果。

使用练习

1.引入依赖

<!--引入JWT-->
<dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.10.0</version>
</dependency>

2.登录成功后，生成jwt令牌

  Map<String, Object> claims = new HashMap<>();claims.put(JwtClaimsConstant.EMP_ID, employee.getId());String token = JwtUtil.createJWT(jwtProperties.getAdminSecretKey(),jwtProperties.getAdminTtl(),claims);

3.在拦截器中配置token解析

//1、从请求头中获取令牌String token = request.getHeader(jwtProperties.getAdminTokenName());//2、校验令牌try {log.info("jwt校验:{}", token);Claims claims = JwtUtil.parseJWT(jwtProperties.getAdminSecretKey(), token);Long empId = Long.valueOf(claims.get(JwtClaimsConstant.EMP_ID).toString());log.info("当前员工id：{}", empId);BaseContext.setCurrentId(empId);//3、通过，放行return true;} catch (Exception ex) {//4、不通过，响应401状态码response.setStatus(401);return false;}

4.封装JWT使用工具类（生成token和解密token）

  /*** 生成jwt* 使用Hs256算法, 私匙使用固定秘钥** @param secretKey jwt秘钥* @param ttlMillis jwt过期时间(毫秒)* @param claims    设置的信息* @return*/public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {// 指定签名的时候使用的签名算法，也就是header那部分SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;// 生成JWT的时间long expMillis = System.currentTimeMillis() + ttlMillis;Date exp = new Date(expMillis);// 设置jwt的bodyJwtBuilder builder = Jwts.builder()// 如果有私有声明，一定要先设置这个自己创建的私有的声明，这个是给builder的claim赋值，一旦写在标准的声明赋值之后，就是覆盖了那些标准的声明的.setClaims(claims)// 设置签名使用的签名算法和签名使用的秘钥.signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))// 设置过期时间.setExpiration(exp);return builder.compact();}/*** Token解密** @param secretKey jwt秘钥 此秘钥一定要保留好在服务端, 不能暴露出去, 否则sign就可以被伪造, 如果对接多个客户端建议改造成多个* @param token     加密后的token* @return*/public static Claims parseJWT(String secretKey, String token) {// 得到DefaultJwtParserClaims claims = Jwts.parser()// 设置签名的秘钥.setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))// 设置需要解析的jwt.parseClaimsJws(token).getBody();return claims;}

SpringBoot之JWT登录

JWT

JWT登录流程

使用练习

相关文章：

SpringBoot之JWT登录

【备战蓝桥杯】——循环结构

【数据分享】1929-2023年全球站点的逐年平均气温数据（Shp\Excel\免费获取）

探索Pyecharts关系图绘制技巧：炫酷效果与创意呈现【第42篇—python：Pyecharts水球图】

蓝桥杯-循环节长度

Jython调用openwire库连接activemq转发topic订阅消息到另一个activemq 服务器上完整代码

面试经典题---30.串联所有单词的子串

字符串随机生成工具(开源)-Kimen(奇门)

UE4 CustomDepthMobile流程小记

Docker 基础篇

Idea上操作Git回退本地版本，怎么样保留已修改的文件，回退本地版本的四种方式代表什么?

vue3封装el-pagination分页组件

负载均衡下Webshell连接思路及难点

基于链表实现贪吃蛇游戏

Python网络爬虫实战——实验6：Python实现js逆向与加解密

【python】使用aiohttp库编写一个简单的异步服务器

新手使用代理IP接入代码教程

JVM问题排查手册

前端canvas项目实战——简历制作网站(三)——右侧属性栏(线条宽度样式)

字节跳动二面经典题目

微搭低代码从入门到精通01应用介绍

论文阅读《thanking frequency fordeepfake detection》

ArcgisForJs快速入门

【解决方法】git pull报错ssh: connect to host github.com port 22: Connection timed out

30天精通Nodejs--第三十天：项目实战-物联网应用

java 社区资源管理系统Myeclipse开发mysql数据库web结构java编程计算机网页项目

网络编程套接字(Socket)

C语言第十一弹---函数(下)

Unity读书系列《Unity3D游戏开发》——拓展编辑器（一）

【Git】项目管理笔记