用springboot写token验证登录
时间: 2023-03-13 08:15:41 浏览: 100
使用springboot实现token验证登录需要使用JWT(JSON Web Token)技术,首先需要在Springboot项目中引入相关JWT依赖,然后实现登录API,利用JWT实现token认证,完成登陆功能。
相关问题
springboot使用token实现登录验证接口
可以使用Spring Security和JWT(JSON Web Token)来实现基于token的登录验证接口。下面是一个简单的示例:
1. 添加依赖
在pom.xml中添加以下依赖:
```
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
```
2. 配置Spring Security
在Spring Boot的配置类中添加以下代码:
```
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsServiceImpl userDetailsService;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/api/auth/**").permitAll()
.anyRequest().authenticated()
.and()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
http.addFilterBefore(authenticationJwtTokenFilter(), UsernamePasswordAuthenticationFilter.class);
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
authenticationManagerBuilder.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
}
@Bean
public JwtAuthenticationFilter authenticationJwtTokenFilter() {
return new JwtAuthenticationFilter();
}
}
```
这个配置类禁用了CSRF保护,允许所有用户访问“/api/auth/**”接口,其余接口需要进行认证。它还使用“JwtAuthenticationFilter”类来验证token。
3. 实现UserDetailsService
创建一个UserDetailsService的实现类,用于从数据库或其他数据源中获取用户信息。例如:
```
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private UserRepository userRepository;
@Override
@Transactional
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userRepository.findByUsername(username)
.orElseThrow(() -> new UsernameNotFoundException("User Not Found with username: " + username));
return UserDetailsImpl.build(user);
}
}
```
这里的“UserDetailsImpl”类是一个自定义的实现了UserDetails接口的类,用于封装用户信息。
4. 实现JwtUtils
创建一个JwtUtils类,用于生成和验证token。例如:
```
@Component
public class JwtUtils {
@Value("${jwt.secret}")
private String jwtSecret;
@Value("${jwt.expirationMs}")
private int jwtExpirationMs;
public String generateJwtToken(Authentication authentication) {
UserDetailsImpl userPrincipal = (UserDetailsImpl) authentication.getPrincipal();
return Jwts.builder()
.setSubject((userPrincipal.getUsername()))
.setIssuedAt(new Date())
.setExpiration(new Date((new Date()).getTime() + jwtExpirationMs))
.signWith(SignatureAlgorithm.HS512, jwtSecret)
.compact();
}
public boolean validateJwtToken(String authToken) {
try {
Jwts.parser().setSigningKey(jwtSecret).parseClaimsJws(authToken);
return true;
} catch (SignatureException e) {
logger.error("Invalid JWT signature: {}", e.getMessage());
} catch (MalformedJwtException e) {
logger.error("Invalid JWT token: {}", e.getMessage());
} catch (ExpiredJwtException e) {
logger.error("JWT token is expired: {}", e.getMessage());
} catch (UnsupportedJwtException e) {
logger.error("JWT token is unsupported: {}", e.getMessage());
} catch (IllegalArgumentException e) {
logger.error("JWT claims string is empty: {}", e.getMessage());
}
return false;
}
public String getUsernameFromJwtToken(String token) {
return Jwts.parser().setSigningKey(jwtSecret).parseClaimsJws(token).getBody().getSubject();
}
}
```
这里的“jwt.secret”和“jwt.expirationMs”分别是用于生成token的密钥和过期时间(以毫秒为单位)。
5. 实现JwtAuthenticationFilter
创建一个JwtAuthenticationFilter类,用于在每个请求上验证token。例如:
```
public class JwtAuthenticationFilter extends OncePerRequestFilter {
@Autowired
private JwtUtils jwtUtils;
@Autowired
private UserDetailsServiceImpl userDetailsService;
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
try {
String jwt = parseJwt(request);
if (jwt != null && jwtUtils.validateJwtToken(jwt)) {
String username = jwtUtils.getUsernameFromJwtToken(jwt);
UserDetails userDetails = userDetailsService.loadUserByUsername(username);
UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(authentication);
}
} catch (Exception e) {
logger.error("Cannot set user authentication: {}", e.getMessage());
}
filterChain.doFilter(request, response);
}
private String parseJwt(HttpServletRequest request) {
String headerAuth = request.getHeader("Authorization");
if (StringUtils.hasText(headerAuth) && headerAuth.startsWith("Bearer ")) {
return headerAuth.substring(7, headerAuth.length());
}
return null;
}
}
```
这个过滤器将从请求头中获取token,并使用JwtUtils类来验证token。如果token有效,则将用户信息设置为Spring Security的上下文中的认证信息。
6. 创建登录接口
创建一个登录接口,用于验证用户并生成token。例如:
```
@RestController
@RequestMapping("/api/auth")
public class AuthController {
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private JwtUtils jwtUtils;
@PostMapping("/signin")
public ResponseEntity<?> authenticateUser(@Valid @RequestBody LoginRequest loginRequest) {
Authentication authentication = authenticationManager.authenticate(
new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword()));
SecurityContextHolder.getContext().setAuthentication(authentication);
String jwt = jwtUtils.generateJwtToken(authentication);
return ResponseEntity.ok(new JwtResponse(jwt));
}
}
```
这个接口将使用AuthenticationManager来验证用户信息,并使用JwtUtils类来生成token。如果验证成功,则返回一个包含token的JwtResponse对象。
7. 测试接口
现在可以测试接口了。使用POST方法向“/api/auth/signin”发送以下JSON数据:
```
{
"username": "your_username",
"password": "your_password"
}
```
如果验证成功,则会返回一个包含token的JSON响应。以后,可以在每个请求中将token作为“Authorization”请求头的值发送。
springboot使用token实现登录验证及退出
好的,我可以为你提供关于 Spring Boot 使用 Token 实现登录验证和退出的方法。
1. 登录验证
在用户登录成功后,服务器端生成一个 Token,并将 Token 返回给客户端。客户端在之后的请求中携带 Token,服务器端通过解析 Token 来验证用户的身份。
具体实现如下:
1.1 在用户登录成功后,生成 Token 并将 Token 返回给客户端
可以使用 JWT(JSON Web Token)生成 Token。JWT 由三部分组成:Header、Payload 和 Signature。Header 和 Payload 中存储用户信息,Signature 用于验证 Token 的合法性。
生成 Token 的代码如下:
```java
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
public class JwtUtils {
private static final long EXPIRATION_TIME = 3600000; // Token 过期时间,这里设置为 1 小时
private static final String SECRET_KEY = "secret"; // 加密密钥,可以自定义
// 生成 Token
public static String generateToken(String username) {
Date now = new Date();
Date expiration = new Date(now.getTime() + EXPIRATION_TIME);
String token = Jwts.builder()
.setSubject(username)
.setIssuedAt(now)
.setExpiration(expiration)
.signWith(SignatureAlgorithm.HS256, SECRET_KEY)
.compact();
return token;
}
}
```
1.2 在之后的请求中携带 Token
可以在请求的 Header 中添加 Authorization 字段,将 Token 的值设置为其 value。例如:
```
Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ1c2VybmFtZSIsImlhdCI6MTYyMDE4NzY5MywiZXhwIjoxNjIwMTkxMjkzfQ.GgO3x8D6R2pZahVn0v6zv9vKW9VlLDhUSJ5sCwGqjyQ
```
1.3 在服务器端验证 Token
可以使用 Spring Security 的 JwtAuthenticationFilter 过滤器来验证 Token。JwtAuthenticationFilter 继承自 OncePerRequestFilter,每个请求只会被该过滤器执行一次。
```java
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;
import org.springframework.util.StringUtils;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
public class JwtAuthenticationFilter extends BasicAuthenticationFilter {
private static final String HEADER_AUTHORIZATION = "Authorization";
private static final String TOKEN_PREFIX = "Bearer ";
private static final String SECRET_KEY = "secret"; // 加密密钥,需要与生成 Token 的密钥一致
public JwtAuthenticationFilter(AuthenticationManager authenticationManager) {
super(authenticationManager);
}
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
String authorizationHeader = request.getHeader(HEADER_AUTHORIZATION);
if (StringUtils.hasText(authorizationHeader) && authorizationHeader.startsWith(TOKEN_PREFIX)) {
String token = authorizationHeader.substring(TOKEN_PREFIX.length());
try {
Claims claims = Jwts.parser()
.setSigningKey(SECRET_KEY)
.parseClaimsJws(token)
.getBody();
String username = claims.getSubject();
Authentication authentication = new UsernamePasswordAuthenticationToken(username, null, null);
SecurityContextHolder.getContext().setAuthentication(authentication);
} catch (Exception e) {
// Token 验证失败,可以根据具体情况进行处理
}
}
chain.doFilter(request, response);
}
}
```
2. 退出登录
在用户退出登录时,服务器端需要删除 Token。
具体实现如下:
```java
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.util.StringUtils;
import javax.servlet.http.HttpServletRequest;
public class JwtUtils {
private static final String HEADER_AUTHORIZATION = "Authorization";
private static final String TOKEN_PREFIX = "Bearer ";
private static final String SECRET_KEY = "secret"; // 加密密钥,需要与生成 Token 的密钥一致
// 获取当前用户的用户名
public static String getCurrentUsername() {
return SecurityContextHolder.getContext().getAuthentication().getName();
}
// 从请求中获取 Token
public static String getTokenFromRequest(HttpServletRequest request) {
String authorizationHeader = request.getHeader(HEADER_AUTHORIZATION);
if (StringUtils.hasText(authorizationHeader) && authorizationHeader.startsWith(TOKEN_PREFIX)) {
return authorizationHeader.substring(TOKEN_PREFIX.length());
}
return null;
}
// 验证 Token 是否有效
public static boolean validateToken(String token) {
try {
Jwts.parser()
.setSigningKey(SECRET_KEY)
.parseClaimsJws(token);
return true;
} catch (Exception e) {
return false;
}
}
// 删除 Token
public static void deleteToken(String token) {
// 可以将 Token 存储到数据库或 Redis 中,然后在这里进行删除
}
}
```
在用户退出登录时,调用 deleteToken 方法即可删除 Token。
希望这些信息对你有所帮助,如果还有其他问题,欢迎随时提出。