Java -Authentifizierung und -autorisierung mit JWT
Jul 29, 2025 am 12:07 AM
JWT ist ein offener Standard für die sichere übertragung von Informationen. In Java kann Authentifizierung und Autorisierung über die JJWT -Bibliothek erreicht werden. 1. Fügen Sie JJWT API, Impl und Jackson -Abh?ngigkeiten hinzu; 2. Erstellen Sie die JWTUTIL -Werkzeugklasse, um das Token zu generieren, zu analysieren und zu überprüfen. 3. Schreiben Sie JWTFilter, um Anforderungen abzufangen, und überprüfen Sie das Tr?gertoken im Autorisierungsheader. V. 5. Geben Sie eine Anmeldeschnittstelle an, um JWT zurückzugeben, nachdem Sie den Benutzer überprüfen. 6. Die geschützte Schnittstelle erh?lt die Identit?t und Rolle des Benutzers für die Zugriffskontrolle durch Parsen des Tokens und realisiert letztendlich einen zustandslosen und erweiterbaren Sicherheitsmechanismus, der für verteilte Systemanwendungen geeignet ist. Achten Sie auf Sicherheitsvorschl?ge wie wichtige Sicherheit, Token -Ablauf und HTTPS -übertragung.
In der modernen Webanwendungsentwicklung ist die Verwendung von JAVA zur Implementierung der Benutzerauthentifizierung (Authentifizierung) und der Autorisierung eine übliche Voraussetzung. JWT (JSON Web Token) ist aufgrund seiner staatenlosen, skalierbaren und Cross-Dom?nen-Unterstützung zu einer der Mainstream-L?sungen für die Implementierung der Sicherheitsauthentifizierung geworden. Im Folgenden wird beschrieben, wie Sie JWT verwenden, um die Authentifizierung und Autorisierung in Java -Anwendungen zu vervollst?ndigen.
Was ist JWT?
JWT ist ein offener Standard (RFC 7519), mit dem Informationen als JSON -Objekt zwischen Parteien sicher übertragen werden. Es wird üblicherweise für die Authentifizierung und den Informationsaustausch verwendet. Ein JWT besteht aus drei Teilen:
- Header : Enth?lt Token -Typ und Signaturalgorithmus (wie HMAC SHA256)
- Nutzlast : Enth?lt Ansprüche wie Benutzer -ID, Rolle, Ablaufzeit usw.
- Signatur : Signatur die ersten beiden Teile, um sicherzustellen, dass die Daten nicht manipuliert wurden
Das Format ist: xxxxx.yyyyy.zzzzz
Grundprozess
- Benutzeranmeldung, Benutzername und Passwort senden
- Serverüberprüfungsanmeldeinformationen, Generieren Sie JWT und kehren zum Client zurück
- Der Kunde tr?gt das JWT in nachfolgenden Anfragen (normalerweise im
Authorization) - Der Server überprüft die Gültigkeit des JWT und entscheidet, ob der Zugriff auf die Ressource basierend auf den darin enthaltenen Aussagen autorisiert wird.
Verwenden Sie Java JWT, um Authentifizierung und Autorisierung zu implementieren
1. Fügen Sie Abh?ngigkeiten hinzu (wie ein Beispiel Maven einnehmen)
Verwenden Sie die JJWT -Bibliothek, um JWT zu verarbeiten:
<De vorangehen>
<gruppeID> io.jsonWebtoken </Groupid>
<artifactid> jjwt-api </artifactid>
<version> 0.11.5 </Version>
</abh?ngig>
<De vorangehen>
<gruppeID> io.jsonWebtoken </Groupid>
<artifactid> jjwt-impl </artifactid>
<version> 0.11.5 </Version>
<Scope> Laufzeit </Scope>
</abh?ngig>
<De vorangehen>
<gruppeID> io.jsonWebtoken </Groupid>
<artifactid> jjwt-jackson </artifactid>
<version> 0.11.5 </Version>
<Scope> Laufzeit </Scope>
</abh?ngig>Hinweis: JJWT 0.11 unterstützt die Modularit?t und erfordert die Einführung von API, Impl und Jackson -Unterstützung.
2. Erstellen Sie die JWT -Toolklasse
importieren io.jsonWebtoken.*;
import IO.jsonWebtoken.security.keys;
importieren javax.crypto.secretkey;
import Java.util.date;
?ffentliche Klasse jwtutil {
private static Final SecretKey Secret_key = keys.secretkeyfor (SignatureAlgorithm.hs256);
private statische endgültige Langzeitablauf_Time = 86400000; // 24 Stunden
// JWT erzeugen
public static String GeneratEToken (String -Benutzername, String -Rolle) {
return jwts.builder ()
SETSUBJECT (Benutzername)
.Claim ("Rolle", Rolle)
.setISEDAT (neues Datum ())
.setExpiration (neues Datum (System.CurrentTimemillis () expiration_time))
.Signwith (Secret_key)
.kompakt();
}
// JWT analysieren und überprüfen
public statische Ansprüche parsetoken (String Token) {
versuchen {
Return jwts.parserbuilder ()
.SetsigningKey (Secret_key)
.bauen()
.Parseclaimsjws (Token)
.getBody ();
} catch (abgelaufenJwTexception e) {
System.out.println ("Token abgelaufen");
null zurückkehren;
} catch (MalmaleformedJwTexception | Signaturexception e) {
System.out.println ("Invalid Token");
null zurückkehren;
}
}
// Benutzername ?ffentliche statische String GetUnernamefromToken (String Token) {
Ansprüche Ansprüche = parsetoken (Token);
Returnansprüche! = NULL? Ansprüche.GetSubject (): NULL;
}
// die Rolle ?ffentliche statische String GetRolefromToken (String Token) {
Ansprüche Ansprüche = parsetoken (Token);
return (string) caells.get ("Rolle");
}
// überprüfen
String tokenusername = getUnernameFromToken (token);
return (tokenusername! = null && tokenusername.equals (Benutzername) && parsetoken (token)! = null);
}
}3.. Abfanganfragen: Implementieren von Filtern (Filter)
Erstellen Sie einen JwtFilter um Anforderungen abzufangen und JWT zu überprüfen.
Javax.servlet importieren.*;
importieren javax.servlet.http.httpServletRequest;
importieren javax.servlet.http.httpServletResponse;
importieren java.io.ioException;
?ffentliche Klasse JWTFilter implementiert Filter {
@Override
Public Void Dofilter (ServletRequest Request, ServletResponse -Antwort, Filterchain -Kette)
l?st ioException, ServletException {aus
HttpServletRequest httprequest = (httpServletRequest) Anfrage;
HttpServletResponse httpresponse = (httpServletResponse) Antwort;
String token = httprequest.Getheader ("Autorisierung");
if (token! = null && token.startswith ("Bearer")) {
token = token.substring (7); // "Tr?ger" entfernen
String username = jwtutil.getUnernameFromToken (Token);
if (Benutzername! = null && jwtutil.istokenvalid (Token, Benutzername)) {
// Benutzerinformationen k?nnen im Anforderungsattribut oder im Sicherheitskontext gespeichert werden
httprequest.setAttribute ("CurrentUser", Benutzername);
httprequest.setAttribute ("Rolle", jwtutil.getRolfromToken (Token));
chain.dofilter (Anfrage, Antwort);
} anders {
httpresponse.setStatus (httpServletResponse.sc_unauthorized);
httPresponse.getWriter (). Schreiben ("Ungültig oder abgelaufener Token");
}
} anders {
httpresponse.setStatus (httpServletResponse.sc_unauthorized);
httPresponse.getWriter (). Schreiben ("fehlendes Token");
}
}
}4. Konfigurieren Sie den Filter (Federstart als Beispiel)
Wenn Sie Spring Start verwenden, k?nnen Sie den Filter in der Konfigurationsklasse registrieren:
@Bohne
public filterregistrationBean <Jwtfilter> jwtfilter () {
FilterregistrationBean <Jwtfilter> RegistrierungBean = new FilterregistrationBean <> ();
RegistrierungBean.SetFilter (New JWTFilter ());
RegistrierungBean.addurlpatterns ("/api/sichere/*"); // geschützte Pfadrückgaberegistrierung;
}5. Beispiel für Login -Schnittstelle
@Postmapping ("/login")
public responseentity <?> Login (@RequestBody userLoginRequest -Anfrage) {{
// vereinfacht: Tats?chlich sollte das Datenbankkennwort zur Verschlüsselungsüberprüfung überprüft werden, wenn ("admin" .equals (request.getUnername ()) && "password" .equals (request.getPassword ()) {
String token = jwtutil.generatetoken (request.getUnername (), "admin");
return responseentity.ok (). body (map.of ("token", token));
}
return responseentity.status (401) .body ("unter Benutzername oder Passwort");
}6. Beschützter Grenzfl?chenbeispiel
@Getmapping ("/sicher/data")
public responseentity <?> GetSecuredata (httpServletRequest -Anfrage) {{
String user = (String) request.getAttribute ("currentUser");
String rol = (String) request.getAttribute ("rollen");
if ("admin" .equals (rolle)) {
return responseentity.ok ("Hallo" Benutzer ", Sie haben Administratorzugriff!");
} anders {
Return Responseentity.Status (403) .Body ("unzureichende Erlaubnis");
}
}Sicherheitsberatung
- Schlüsselverwaltung : Hardcode -Tasten in Code, verwenden Sie Umgebungsvariablen oder Konfigurationszentren nicht
- Token -Ablaufzeit : Legen Sie die Ablaufzeit vernünftig fest. Es wird empfohlen, kurzfristige Token bei sensiblen Operationen zu verwenden.
- TEFRESH -Token : Kann die Benutzererfahrung mit dem Aktualisierungs -Token -Mechanismus verbessern
- HTTPS : Stellen Sie sicher
- Vermeiden Sie sensible Informationen : Speichern Sie keine sensiblen Daten wie Passw?rter in der JWT -Nutzlast
Zusammenfassen
Die Verwendung von JWT zur Implementierung der Authentifizierung und Autorisierung in Java ist nicht kompliziert, der Kern ist:
- Generieren Sie Token nach erfolgreichem Anmeldung
- Der Kunde tr?gt eine Token -Anfrage
- Der Server überprüft das Token über Filter und extrahiert Benutzerinformationen
- Implementieren Sie die Autorisierungskontrolle gem?? der Rolle
Dieser Mechanismus eignet sich für verteilte und Microservice -Architekturen, wodurch der Overhead von Serverspeichersitzungen vermieden wird.
Grunds?tzlich ist es nicht kompliziert, aber es ist leicht, Details wie Ausnahmehandhabung und wichtige Sicherheit zu ignorieren.
Das obige ist der detaillierte Inhalt vonJava -Authentifizierung und -autorisierung mit JWT. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Hei?e KI -Werkzeuge
Undress AI Tool
Ausziehbilder kostenlos
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Clothoff.io
KI-Kleiderentferner
Video Face Swap
Tauschen Sie Gesichter in jedem Video mühelos mit unserem v?llig kostenlosen KI-Gesichtstausch-Tool aus!
Hei?er Artikel
Hei?e Werkzeuge
Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor
SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen
Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung
Dreamweaver CS6
Visuelle Webentwicklungstools
SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)
Hei?e Themen
1597
29
1487
72
Ein Entwicklerleitfaden für Java Project Management zu Maven für Java
Jul 30, 2025 am 02:41 AM
Maven ist ein Standardwerkzeug für Java -Projektmanagement und -aufbau. Die Antwort liegt in der Tatsache, dass Pom.xml verwendet wird, um Projektstruktur, Abh?ngigkeitsmanagement, Konstruktionslebenszyklusautomation und Plug-in-Erweiterungen zu standardisieren. 1. Verwenden Sie POM.xml, um Gruppen, Artefaktid, Version und Abh?ngigkeiten zu definieren; 2. Master -Kernbefehle wie MVNClean, Compile, Test, Paket, Installation und Bereitstellen; Fn. V. 5.
Aufbau erholsamer APIs in Java mit Jakarta EE
Jul 30, 2025 am 03:05 AM
Setupamaven/GradleProjectWithjax-rsdependencies-?hnlich Jersey; 2. CreatearestresourcEUntationSuchas@pathand@Get; 3.ConfiguretheApplicationviaApplicationSubclitsorweb.xml;
Wie benutze ich Java Messagedigest für Hashing (MD5, SHA-256)?
Jul 30, 2025 am 02:58 AM
Um Hash -Werte mit Java zu generieren, kann es über die MessagedIGest -Klasse implementiert werden. 1. Holen Sie sich eine Instanz des angegebenen Algorithmus wie MD5 oder SHA-256; 2. Rufen Sie die Methode .update () auf, um die zu verschlüsselnden Daten zu übergeben. 3. Nennen Sie die Methode .Digest (), um ein Hash -Byte -Array zu erhalten. 4. Umwandeln Sie das Byte -Array in eine hexadezimale Zeichenfolge zum Lesen; Lesen Sie für Eingaben wie gro?e Dateien in Stücken und rufen Sie .update () mehrmals auf. Es wird empfohlen, SHA-256 anstelle von MD5 oder SHA-1 zu verwenden, um die Sicherheit zu gew?hrleisten.
Entwicklung einer Blockchain -Anwendung in Java
Jul 30, 2025 am 12:43 AM
Verstehen Sie die Kernkomponenten von Blockchain, einschlie?lich Bl?cken, Hashs, Kettenstrukturen, Konsensmechanismen und Unver?nderlichkeit; 2. Erstellen Sie eine Blockklasse, die Daten, Zeitstempel, frühere Hash und Nonce enth?lt, und implementieren Sie die SHA-256-Hash-Berechnung und den Nachweis des Arbeitsabbaus; 3.. Erstellen Sie eine Blockchain -Klasse, um Blocklisten zu verwalten, den Genesis -Block initialisieren, neue Bl?cke hinzufügen und die Integrit?t der Kette überprüfen. V. 5. Optionale Verbesserungsfunktionen umfassen Transaktionsunterstützung, P2P -Netzwerk, digitale Signatur, Restapi und Datenpersistenz; 6. Sie k?nnen Java-Blockchain-Bibliotheken wie Hyperledgerfabric, Web3J oder Corda zur Er?ffnung auf Produktionsebene verwenden
Python Property Decorator Beispiel
Jul 30, 2025 am 02:17 AM
@Property Decorator wird verwendet, um Methoden in Eigenschaften umzuwandeln, um die Les-, Einstellungs- und L?schsteuerung von Eigenschaften zu implementieren. 1. Grundnutzung: Definieren Sie nur schreibgeschützte Attribute über @Property, wie z. B. Bereich berechnet auf dem Radius und direkt zugegriffen; 2. Erweiterte Verwendung: Verwenden Sie @name.setter und @name.deleter, um die überprüfung der Attributzuweisung und L?schvorg?nge zu implementieren; 3. Praktische Anwendung: Führen Sie die Datenüberprüfung in Setzen durch, z. B. BankAccount, um sicherzustellen, dass der Restbetrag nicht negativ ist. 4. Benennungsspezifikation: Die internen Variablen sind vorangestellt, Eigenschaftennamen sind mit den Attributen überein, und eine einheitliche Zugriffskontrolle wird zur Verbesserung der Codesicherheit und -wartbarkeit verwendet.
CSS -Beispiel für Dunkelmodus umschalten
Jul 30, 2025 am 05:28 AM
Verwenden Sie zun?chst JavaScript, um die Einstellungen für Benutzersysteme und lokal gespeicherte Themeneinstellungen zu erhalten und das Seitenthema zu initialisieren. 1. Die HTML -Struktur enth?lt eine Schaltfl?che zum Ausl?sen von Themenwechsel. 2. CSS verwendet: root, um helle Themenvariablen zu definieren, .Dark-Mode-Klasse definiert dunkle Themenvariablen und wendet diese Variablen über var () an. 3.. JavaScript erkennt bevorzuge-farbige Scheme und liest LocalStorage, um das ursprüngliche Thema zu bestimmen. 4. Schalten Sie die Dark-Mode-Klasse im HTML-Element beim Klicken auf die Schaltfl?che und speichern Sie den aktuellen Status vor LocalStorage. 5. Alle Farb?nderungen werden mit einer übergangsanimation von 0,3 Sekunden begleitet, um den Benutzer zu verbessern
CSS -Dropdown -Menü Beispiel
Jul 30, 2025 am 05:36 AM
Ja, ein gemeinsames CSS-Dropdown-Menü kann mit reinem HTML und CSS ohne JavaScript implementiert werden. 1. Verwenden Sie verschachtelte UL und Li, um eine Menüstruktur zu erstellen. 2. Verwenden Sie die: Hover Pseudo-Klasse, um die Anzeige und das Verstecken von Pulldown-Inhalten zu steuern. 3.. Setzen Sie Position: Relativ für Eltern -Li, und das Untermenü wird unter Verwendung von Position positioniert: absolut; 4. Das untergeordnete Standards ist angezeigt: Keine, die angezeigt wird: Block, wenn sie schwebend sind; 5. Multi-Level-Pulldown kann durch Verschachtelung, kombiniert mit dem übergang und Fade-In-Animationen erzielt und an mobile Terminals mit Medienabfragen angepasst werden. Die gesamte L?sung ist einfach und erfordert keine JavaScript -Unterstützung, was für gro?e geeignet ist
Python Get MAC -Adressbeispiel
Jul 30, 2025 am 02:59 AM
Verwenden Sie das UUID-Modul, um die MAC-Adresse der ersten Netzwerkkarte der Maschine über die Plattform zu erhalten, ohne dass eine Bibliothek von Drittanbietern erforderlich ist, und konvertieren Sie es in ein Standardformat über uUid.getNode (). 2. Subprozess verwenden, um Systembefehle wie IPConfig oder IfConfig aufzurufen und diese mit regelm??iger Extraktion aller Netzwerkkarten -MAC -Adressen zu kombinieren. 3.. Verwenden Sie die Bibliothek von Drittanbietern GetMac, rufen Sie Get_MAC_ADdress () nach der Installation auf, um den Mac zu erhalten, der die Abfrage nach Schnittstelle oder IP unterstützt, jedoch zus?tzliche Abh?ngigkeiten erfordert. Zusammenfassend wird die UUID -Methode empfohlen, wenn keine externe Bibliothek ben?tigt wird. Wenn Sie flexibel Multi-Network-Karteninformationen erhalten müssen, k?nnen Sie die Subprozessl?sung verwenden, damit Sie die Abh?ngigkeit GetMA installieren k?nnen.
