Pengesahan dan kebenaran Java dengan JWT
Jul 29, 2025 am 12:07 AM
JWT adalah standard terbuka untuk penghantaran maklumat yang selamat. Di Java, pengesahan dan kebenaran dapat dicapai melalui Perpustakaan JJWT. 1. Tambah JJWT API, Impl dan Jackson Dependencies; 2. Buat kelas alat JWTutil untuk menjana, menghuraikan dan mengesahkan token; 3. Tulis jwtfilter untuk memintas permintaan dan sahkan token pembawa dalam tajuk kebenaran; 4. Daftar penapis pada boot musim bunga untuk melindungi laluan yang ditentukan; 5. Menyediakan antara muka log masuk untuk mengembalikan JWT selepas mengesahkan pengguna; 6. Antara muka yang dilindungi memperoleh identiti dan peranan pengguna untuk mengawal akses dengan menghuraikan token, dan akhirnya menyedari mekanisme keselamatan yang tidak terperinci dan extensible, yang sesuai untuk aplikasi sistem yang diedarkan. Perhatikan cadangan keselamatan seperti keselamatan utama, tamat tempoh dan penghantaran HTTPS.
Dalam pembangunan aplikasi web moden, menggunakan Java untuk melaksanakan pengesahan pengguna (pengesahan) dan kebenaran adalah keperluan umum. JWT (JSON Web Token) telah menjadi salah satu penyelesaian arus perdana untuk melaksanakan pengesahan keselamatan kerana sokongan yang tidak berkesudahan, berskala dan silang domain. Berikut ini menerangkan cara menggunakan JWT untuk menyelesaikan pengesahan dan kebenaran dalam aplikasi Java.
Apa itu JWT?
JWT adalah standard terbuka (RFC 7519) yang digunakan untuk menghantar maklumat dengan selamat sebagai objek JSON antara pihak. Ia biasanya digunakan untuk pengesahan dan pertukaran maklumat. JWT terdiri daripada tiga bahagian:
- Header : Mengandungi jenis token dan algoritma tandatangan (seperti HMAC SHA256)
- Muatan : Mengandungi tuntutan, seperti ID Pengguna, Peranan, Masa Tamat, dll.
- Tandatangan : Tandatangan Dua Bahagian Pertama Untuk Memastikan Data belum diganggu
Formatnya ialah: xxxxx.yyyyy.zzzzz
Proses asas
- Log masuk pengguna, serahkan nama pengguna dan kata laluan
- Kelayakan pengesahan pelayan, menjana JWT dan kembali kepada pelanggan
- Pelanggan membawa JWT dalam permintaan berikutnya (biasanya dalam tajuk
Authorization) - Pelayan mengesahkan kesahihan JWT dan memutuskan sama ada untuk memberi kuasa akses kepada sumber berdasarkan kenyataan di dalamnya.
Gunakan Java JWT untuk melaksanakan pengesahan dan kebenaran
1. Tambah kebergantungan (mengambil maven sebagai contoh)
Gunakan Perpustakaan JJWT untuk mengendalikan JWT:
<geterlihat>
<groupId> io.jsonwebtoken </groupId>
<stistfactid> jjwt-api </artifactid>
<versi> 0.11.5 </versi>
</ketergantungan>
<geterlihat>
<groupId> io.jsonwebtoken </groupId>
<stistfactid> jjwt-impl </artifactid>
<versi> 0.11.5 </versi>
<scope> runtime </scope>
</ketergantungan>
<geterlihat>
<groupId> io.jsonwebtoken </groupId>
<ctiFactId> JJWT-Jackson </artifactid>
<versi> 0.11.5 </versi>
<scope> runtime </scope>
</ketergantungan>Nota: JJWT 0.11 menyokong modulariti, yang memerlukan pengenalan API, IMPL dan Jackson sokongan.
2. Buat kelas alat JWT
import io.jsonwebtoken.*;
import io.jsonwebtoken.security.keys;
import javax.crypto.secretkey;
import java.util.date;
jwtutil kelas awam {
SecretKey SecretKey Secrety_Key = kunci.secretKeyFor (signatureAlgorithm.hs256);
Expiration Long Static Long Static Private = 86400000; // 24 jam
// menjana jwt
rentetan statik awam GenerateToken (nama pengguna rentetan, peranan rentetan) {
kembali jwts.builder ()
.SetSubject (nama pengguna)
.claim ("peranan", peranan)
.SetIsedat (tarikh baru ())
.SetExpiration (tarikh baru (System.CurrentTimemillis () expiration_time)))
.signwith (rahsia_key)
.compact ();
}
// parse dan sahkan jwt
Tuntutan statik awam ParsetOken (Token String) {
Cuba {
kembali jwts.parserbuilder ()
.setsigningKey (rahsia_key)
.build ()
.parseclaimsjws (token)
.getBody ();
} tangkapan (expiredjwtException e) {
System.out.println ("token tamat tempoh");
kembali null;
} tangkapan (malformedjwtException | SignatureException e) {
System.out.println ("Token tidak sah");
kembali null;
}
}
// Dapatkan Nama Pengguna String Static Public GetUsernameFromToken (String Token) {
Tuntutan tuntutan = ParsetOken (token);
Pulangan Tuntutan! = Null? tuntutan.getSubject (): null;
}
// Dapatkan peranan rentetan statik awam getRoleFromToken (String Token) {
Tuntutan tuntutan = ParsetOken (token);
pulangan (string) tuntutan.get ("peranan");
}
// Sahkan sama ada token adalah boolean static boolean awam yang sah (token string, nama pengguna string) {
String tokenuserName = getUsernameFromToken (token);
kembali (tokenuserName! = null && tokenusername.equals (nama pengguna) && parsetOken (token)! = null);
}
}3. Permintaan Intercept: Melaksanakan Penapis (Penapis)
Buat JwtFilter untuk memintas permintaan dan sahkan JWT.
import javax.servlet.*;
import javax.servlet.http.httpservletrequest;
import javax.servlet.http.httpservletResponse;
import java.io.ioException;
Kelas awam JWTFilter melaksanakan penapis {
@Override
dofilter kekosongan awam (permintaan ServletRequest, respons servletResponse, rantai penapis)
melemparkan ioException, ServletException {
HttpservletRequest httprequest = (httpservletrequest) permintaan;
HttpservletResponse httpresponse = (httpservletResponse) respons;
String token = httprequest.getheader ("kebenaran");
jika (token! = null && token.startswith ("pembawa")) {
token = token.substring (7); // Keluarkan "pembawa"
String username = jwtutil.getUserNameRefromToken (token);
jika (nama pengguna! = null && jwtutil.istokenvalid (token, nama pengguna)) {
// Maklumat pengguna boleh disimpan dalam atribut permintaan atau konteks keselamatan
httprequest.setAttribute ("currentUser", username);
httprequest.setAttribute ("peranan", jwtutil.getRolefromToken (token));
chain.dofilter (permintaan, respons);
} else {
httpresponse.setStatus (httpservletResponse.sc_unuthorized);
httpresponse.getwriter (). tulis ("token tidak sah atau tamat");
}
} else {
httpresponse.setStatus (httpservletResponse.sc_unuthorized);
httpresponse.getwriter (). tulis ("token hilang");
}
}
}4. Konfigurasikan penapis (mengambil boot musim bunga sebagai contoh)
Jika anda menggunakan Spring Boot, anda boleh mendaftarkan penapis dalam kelas konfigurasi:
@Bean
public FilterRegistrationBean <Jwtfilter> jwtfilter () {
FilterRegistrationBean <Jwtfilter> pendaftaranBean = new FilterRegistrationBean <> ();
RegistrationBean.SetFilter (JWtFilter baru ());
RegistrationBean.AddurlPatterns ("/api/selamat/*"); // Laluan Pulangan Pulangan yang dilindungi;
}5. Contoh antara muka log masuk
@PostMapping ("/login")
Response PublicEntity <?> Login (@RequestBody userLogInRequest permintaan) {
// dipermudahkan: Malah, kata laluan pangkalan data hendaklah diperiksa untuk pengesahan penyulitan jika ("admin" .equals (request.getusername ()) && "kata laluan" .equals (request.getpassword ())) {
String token = jwTutil.GenerateToken (request.getUserName (), "admin");
kembali responseEntity.ok (). Body (map.of ("token", token));
}
kembali responseEntity.status (401) .body ("di bawah nama pengguna atau kata laluan");
}6. Contoh antara muka yang dilindungi
@GetMapping ("/selamat/data")
Response PublicEntity <?> GetSeCuredata (permintaan httpservletRequest) {
String user = (string) request.getAttribute ("currentUser");
Rentetan string = (string) request.getAttribute ("peranan");
jika ("admin" .equals (peranan)) {
Return ResponseEntity.OK ("Hello" pengguna ", anda mempunyai akses admin!");
} else {
kembali responseEntity.status (403) .body ("kebenaran tidak mencukupi");
}
}Nasihat Keselamatan
- Pengurusan Utama : Jangan Kunci Hardcode dalam Kod, Gunakan Pembolehubah Alam Sekitar atau Pusat Konfigurasi
- Masa tamat tempoh : Tetapkan masa tamat tempoh dengan munasabah. Adalah disyorkan untuk menggunakan token jangka pendek apabila operasi sensitif.
- Refresh Token : Boleh meningkatkan pengalaman pengguna dengan mekanisme Token Refresh
- Https : pastikan keselamatan lapisan pengangkutan dan menghalang token daripada dicuri
- Elakkan maklumat sensitif : Jangan simpan data sensitif seperti kata laluan dalam muatan JWT
Meringkaskan
Menggunakan JWT untuk melaksanakan pengesahan dan kebenaran di Java tidak rumit, inti adalah:
- Menjana tanda selepas log masuk dengan jayanya
- Pelanggan membawa permintaan token
- Pelayan mengesahkan token melalui penapis dan mengekstrak maklumat pengguna
- Melaksanakan kawalan kebenaran mengikut peranan
Mekanisme ini sesuai untuk seni bina yang diedarkan dan microservice, mengelakkan overhead sesi penyimpanan pelayan.
Pada dasarnya semua ini, tidak rumit tetapi mudah untuk mengabaikan butiran, seperti pengendalian pengecualian dan keselamatan utama.
Atas ialah kandungan terperinci Pengesahan dan kebenaran Java dengan JWT. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
Panduan Pemaju untuk Maven untuk Pengurusan Projek Java
Jul 30, 2025 am 02:41 AM
Maven adalah alat standard untuk pengurusan dan pembinaan projek Java. Jawapannya terletak pada hakikat bahawa ia menggunakan pom.xml untuk menyeragamkan struktur projek, pengurusan pergantungan, automasi kitaran hayat pembinaan dan sambungan pemalam; 1. Gunakan pom.xml untuk menentukan kumpulan, artifactid, versi dan kebergantungan; 2. Perintah teras utama seperti mvnclean, penyusun, ujian, pakej, memasang dan menggunakan; 3. Gunakan DependencyManagement dan Pengecualian untuk Menguruskan Versi Ketergantungan dan Konflik; 4. Mengatur aplikasi besar melalui struktur projek multi-modul dan diuruskan secara seragam oleh POM induk; 5.
Membina API Restful di Jawa dengan Jakarta EE
Jul 30, 2025 am 03:05 AM
SetupaMaven/gradleprojectwithjax-rsdependencyiSejersey; 2.createarescresourceUsingAnnotationssuchas@pathand@get; 3.configuretheapplicationviaapplicationsubclassorweb.xml;
Bagaimana cara menggunakan java messagedigest untuk hashing (MD5, SHA-256)?
Jul 30, 2025 am 02:58 AM
Untuk menjana nilai hash menggunakan Java, ia boleh dilaksanakan melalui kelas MessageDigest. 1. Dapatkan contoh algoritma yang ditentukan, seperti MD5 atau SHA-256; 2. Panggil kaedah .Update () untuk lulus dalam data untuk disulitkan; 3. Panggil kaedah .digest () untuk mendapatkan pelbagai hash byte; 4. Tukar array byte ke dalam rentetan heksadesimal untuk membaca; Untuk input seperti fail besar, baca dalam ketulan dan panggilan .Update () beberapa kali; Adalah disyorkan untuk menggunakan SHA-256 dan bukannya MD5 atau SHA-1 untuk memastikan keselamatan.
Membangunkan aplikasi blockchain di Java
Jul 30, 2025 am 12:43 AM
Memahami komponen teras blockchain, termasuk blok, hash, struktur rantai, mekanisme konsensus dan kebolehubahan; 2. Buat kelas blok yang mengandungi data, cap waktu, hash dan nonce sebelumnya, dan melaksanakan pengiraan hash SHA-256 dan bukti perlombongan kerja; 3. Membina kelas blockchain untuk menguruskan senarai blok, memulakan blok Kejadian, menambah blok baru dan sahkan integriti rantai; 4. Tulis blockchain ujian utama, tambah blok data transaksi pada giliran dan status rantai output; 5. Fungsi peningkatan pilihan termasuk sokongan transaksi, rangkaian P2P, tandatangan digital, Restapi dan ketekunan data; 6. Anda boleh menggunakan perpustakaan blok Java seperti Hyperledgerfabric, Web3J atau Corda untuk pembukaan peringkat pengeluaran
Contoh penghias harta python
Jul 30, 2025 am 02:17 AM
@Property Decorator digunakan untuk menukar kaedah ke dalam sifat untuk melaksanakan bacaan, penetapan dan kawalan penghapusan sifat. 1. Penggunaan Asas: Tentukan atribut baca sahaja melalui @property, seperti kawasan yang dikira berdasarkan radius dan diakses secara langsung; 2. Penggunaan Lanjutan: gunakan @name.setter dan @name.deleter untuk melaksanakan pengesahan tugasan atribut dan operasi penghapusan; 3. Aplikasi Praktikal: Melaksanakan pengesahan data dalam setter, seperti BankAccount untuk memastikan bahawa baki tidak negatif; 4. Penamaan Spesifikasi: Pembolehubah dalaman adalah prefixed, nama kaedah harta selaras dengan atribut, dan kawalan akses bersatu digunakan untuk meningkatkan keselamatan kod dan penyelenggaraan.
CSS Dark Mode Togol Contoh
Jul 30, 2025 am 05:28 AM
Pertama, gunakan JavaScript untuk mendapatkan pilihan sistem pengguna dan tetapan tema yang disimpan di dalam negara, dan memulakan tema halaman; 1. Struktur HTML mengandungi butang untuk mencetuskan Topik Switching; 2. CSS menggunakan: Root untuk menentukan pembolehubah tema yang cerah, kelas mod-mode mentakrifkan pembolehubah tema gelap, dan menggunakan pembolehubah ini melalui VAR (); 3. JavaScript mengesan lebih suka skema-skema dan membaca LocalStorage untuk menentukan tema awal; 4. Tukar kelas mod gelap pada elemen HTML apabila mengklik butang, dan menjimatkan keadaan semasa ke LocalStorage; 5. Semua perubahan warna disertakan dengan animasi peralihan 0.3 saat untuk meningkatkan pengguna
Contoh Menu Dropdown CSS
Jul 30, 2025 am 05:36 AM
Ya, menu drop-down CSS biasa boleh dilaksanakan melalui HTML dan CSS tulen tanpa JavaScript. 1. Gunakan UL dan Li bersarang untuk membina struktur menu; 2. Gunakan: Hover pseudo-Class untuk mengawal paparan dan menyembunyikan kandungan tarik-turun; 3. Tetapkan Kedudukan: Relatif untuk Ibu Bapa Li, dan submenu diletakkan menggunakan kedudukan: mutlak; 4. Submenu mungkir untuk memaparkan: Tiada, yang menjadi paparan: blok apabila melayang; 5. Multi-level pull-down boleh dicapai melalui bersarang, digabungkan dengan peralihan, dan menambah animasi pudar, dan disesuaikan dengan terminal mudah alih dengan pertanyaan media. Penyelesaian keseluruhannya mudah dan tidak memerlukan sokongan JavaScript, yang sesuai untuk besar
Python Dapatkan Contoh Alamat MAC
Jul 30, 2025 am 02:59 AM
Gunakan modul UUID untuk mendapatkan alamat MAC kad rangkaian pertama mesin di seluruh platform, tanpa memerlukan perpustakaan pihak ketiga, dan menukarnya menjadi format standard melalui uuid.getNode (); 2. Gunakan subprocess untuk memanggil arahan sistem seperti ipconfig atau ifconfig, dan menggabungkannya dengan pengekstrakan tetap semua alamat kad rangkaian MAC, yang sesuai untuk senario di mana banyak maklumat kad rangkaian perlu diperoleh; 3. Gunakan perpustakaan pihak ketiga getMac, hubungi get_mac_address () selepas pemasangan untuk mendapatkan MAC, yang menyokong pertanyaan melalui antara muka atau IP, tetapi memerlukan ketergantungan tambahan; Ringkasnya, jika tiada perpustakaan luaran diperlukan, kaedah UUID disyorkan. Jika anda perlu fleksibel mendapatkan maklumat kad pelbagai rangkaian, anda boleh menggunakan penyelesaian subprocess untuk membolehkan anda memasang getma ketergantungan.
