百度360必应搜狗淘宝本站头条
虚拟机是什么网卡地址单元测试概念光标dos 命令大全
当前位置:网站首页 > 技术文章 > 正文

Java鉴权功能设计指南 - 使用Token和自定义注解

haoteby 2025-06-23 19:10 31 浏览

本文将介绍如何在Java中设计一个基于Token的鉴权功能。我们将使用JSON Web Token(JWT)作为Token的实现,因为它具有较好的安全性和易用性。我们还将使用自定义注解来实现鉴权验证。

  1. Token颁发

当用户登录成功后,我们需要颁发一个Token,表示用户已经过验证。以下是一个简单的Token颁发过程:

2.1 添加JWT库

首先,我们需要将JWT库添加到项目中。对于Maven项目,可以在pom.xml中添加以下依赖:

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

2.2 创建Token

使用JWT库,我们可以轻松创建Token。以下是一个简单的Token生成示例:

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

public class TokenUtils {
    private static final String SECRET_KEY = "your_secret_key";
    private static final long EXPIRATION_TIME = 86400000; // 1 day

    public static String createToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY)
                .compact();
    }
}
  1. 自定义注解实现鉴权验证

为了在需要鉴权验证的地方使用自定义注解,我们需要执行以下操作:

3.1 创建自定义注解

我们首先创建一个名为@RequireAuth的自定义注解:

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD, ElementType.TYPE})
public @interface RequireAuth {
}

3.2 实现鉴权拦截器

接下来,我们需要实现一个鉴权拦截器,该拦截器将在每个请求到达控制器之前执行。在拦截器中,我们可以执行以下操作:

  • 检查请求的方法或类上是否有@RequireAuth注解。
  • 如果有@RequireAuth注解,则从请求头中获取Token,并验证Token的有效性。

以下是一个基于Spring的鉴权拦截器示例:

import io.jsonwebtoken.Jwts;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.httpHttpServletResponse;
 import java.lang.reflect.Method;
public class AuthInterceptor implements HandlerInterceptor {
  private static final String SECRET_KEY = "your_secret_key";

@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    // 检查请求的方法或类上是否有@RequireAuth注解
    if (handler instanceof HandlerMethod) {
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        Class<?> declaringClass = method.getDeclaringClass();

        if (declaringClass.isAnnotationPresent(RequireAuth.class) || method.isAnnotationPresent(RequireAuth.class)) {
            // 从请求头中获取Token
            String token = request.getHeader("Authorization");

            // 验证Token的有效性
            if (token == null || !validateToken(token)) {
                response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized.");
                return false;
            }
        }
    }

    return true;
}

private boolean validateToken(String token) {
    try {
        Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token);
        return true;
    } catch (Exception e) {
        return false;
    }
}

3.3 注册鉴权拦截器

最后,我们需要将鉴权拦截器注册到Spring MVC配置中


import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new AuthInterceptor());
    }
}
  1. 使用自定义注解

现在,我们可以在需要鉴权验证的控制器方法或类上使用@RequireAuth注解:

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class MyController {

    @RequireAuth
    @GetMapping("/protected")
    public String getProtectedResource() {
        return "This is a protected resource.";
    }

    @GetMapping("/public")
    public String getPublicResource() {
        return "This is a public resource.";
    }
}
  1. 总结

本文介绍了如何在Java中设计一个基于Token的鉴权功能,并使用自定义注解实现验证。我们使用JWT作为Token的实现,并创建了一个名为@RequireAuth的自定义注解。通过实现鉴权拦截器,我们可以在请求到达控制器之前验证Token的有效性。最后,我们可以在需要鉴权验证的控制器方法或类上使用@RequireAuth注解。

这种方法允许我们轻松地为应用程序添加鉴权功能,并确保只有经过授权的用户才能访问受保护的资源。

相关推荐

如何为MySQL服务器和客户机启用SSL?

用户想要与MySQL服务器建立一条安全连接时,常常依赖VPN隧道或SSH隧道。不过,获得MySQL连接的另一个办法是,启用MySQL服务器上的SSL封装器(SSLwrapper)。这每一种方法各有其...

OpenVPN客户端配置_openvpn客户端配置文件解析

...

k8s 证书问题排查_k8s dashboard 证书

从去年开始一些老项目上陆陆续续出现一些列的证书问题,(证书原理这里就不说了,官方文档一堆)多数刚开始的表现就是节点的kubelet服务起不来,节点状态NotReady表现日志如下failed...

企业级网络互通方案:云端OpenVPN+爱快路由器+Win11互联实战

企业级网络互通方案:OpenVPN搭建公有云+爱快路由器+Win11三地互联实战指南「安全高效」三地局域网秒变局域网实施环境说明...

OpenV** Server/Client配置文件详解

Server配置详解...

接口基础认知:关键信息与合规前提

1.核心技术参数(必记)...

S交换机通过SSH登录设备配置示例(RADIUS认证+本地认证独立)

说明:●本示例只介绍设备的认证相关配置,请同时确保已在RADIUS服务器上做了相关配置,如设备地址、共享密钥、创建用户等配置。●通过不同的管理域来实现RADIUS认证与本地认证两种方式同时使用,两...

SSL证书如何去除私钥密码保护_ssl证书怎么取消

有时候我们在生成证书的时候可以加入了密码保护。然后申请到证书安装到了web服务器。但是这样可能会带来麻烦。每次重启apache或者nginx的时候,都需要输入密码。那么SSL证书如何去除私钥密码保护。...

SSL证书基础知识与自签名证书生成指南

一、证书文件类型解析...

S交换机通过SSH登录设备配置示例(RADIUS认证)

说明:本示例只介绍设备的认证相关配置,请同时确保已在RADIUS服务器上做了相关配置,如设备地址、共享密钥、创建用户等配置。假设已在RADIUS服务器上创建了用户名yc123,密码test#123。对...

HTTPS是什么?加密原理和证书。SSL/TLS握手过程

秘钥的产生过程非对称加密...

HTTPS TLS握手流程_进行tls握手

1.客户端向服务器发送`ClientHello`消息,包括支持的TLS版本、加密套件、随机数等信息。2.服务器收到`ClientHello`消息后,解析其中的信息,并根据配置选择一个加密套件。3....

Spring Boot 单点登录(SSO)实现_spring boot 单点登录jwt

SpringBoot单点登录(SSO)实现全指南单点登录(SingleSign-On,SSO)是一种身份验证机制,允许用户使用一组凭证登录多个相关但独立的系统。在微服务架构和企业级系统中,SS...

源码分享:在pdf上加盖电子签章_pdf如何加盖电子公章

在pdf上加盖电子签章,并不是只是加个印章图片,。而是要使用一对密钥中的私钥对文件进行签字。为啥要用私钥呢?很简单,因为公钥是公开的,其他人才可以用公钥为你证明,这个文件是你签的。这就是我们常说的:私...

微信支付商户API证书到期 怎么更换

微信支付商户API证书到期更换是一个非常重要的操作,需要仔细按照流程进行。如果证书过期,所有通过API的支付、退款等操作都会失败,将直接影响您的业务。请按照以下详细步骤进行操作:重要前提:分清...

一周热门