SpringBoot整合Jwt(注解&拦截器方式)

馋奶兔 提交于 2020-01-01 14:30:13

           Jwt是什么?   json web token。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。

优点

  1. 简洁: 可以通过URL、POST参数或者在HTTP header发送,因为数据量小,传输速度也很快;
  2. 自包含:负载中可以包含用户所需要的信息,避免了多次查询数据库;
  3. 因为Token是以JSON加密的形式保存在客户端的,所以JWT是跨语言的,原则上任何web形式都支持;
  4. 不需要在服务端保存会话信息,特别适用于分布式微服务。

不足

  1. 无法作废已颁布的令牌;
  2. 不易应对数据过期。

一、Jwt消息构成

1.1 组成: 一个token分3部分,按顺序为

  1. 头部(header), 2. 载荷(payload), 3. 签证(signature) 。 三部分之间用.号做分隔。例如:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIxYzdiY2IzMS02ODFlLTRlZGYtYmU3Yy0wOTlkODAzM2VkY2UiLCJleHAiOjE1Njk3Mjc4OTF9.wweMzyB3tSQK34Jmez36MmC5xpUh15Ni3vOV_SGCzJ8

1.2 header,Jwt的头部承载两部分信息:

  1. 声明类型,这里是Jwt, 2. 声明加密的算法 通常直接使用 HMAC SHA256

1.3 playload,载荷就是存放有效信息的地方。基本上填2种类型数据

  1. 标准中注册的声明的数据;2. 自定义数据。

由这2部分内部做base64加密。

  • 标准中注册的声明 (建议但不强制用)
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
  • 自定义数据:存放我们想放在token中存放的key-value值

1.4 signature, Jwt的第三部分是一个签证信息,这个签证信息由三部分组成

base64加密后的header和base64加密后的payload连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了Jwt的第三部分。

二、Springboot 集成Jwt

2.1 项目依赖,根据自己情况来。

<dependencies>
 <dependency>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-web</artifactId>
 </dependency>
 <dependency>
 <groupId>io.jsonwebtoken</groupId>
 <artifactId>jjwt</artifactId>
 <version>0.9.1</version>
 </dependency>
 <dependency>
 <groupId>com.auth0</groupId>
 <artifactId>java-jwt</artifactId>
 <version>3.8.1</version>
 </dependency>
 <!-- redis -->
 <dependency>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-data-redis</artifactId>
 </dependency>
 <!-- lombok -->
 <dependency>
 <groupId>org.projectlombok</groupId>
 <artifactId>lombok</artifactId>
 <scope>1.8.4</scope>
 </dependency>
 <dependency>
 <groupId>com.alibaba</groupId>
 <artifactId>fastjson</artifactId>
 <version>1.2.47</version>
 </dependency>
</dependencies>

2.2 自定义注解@JwtToken

加上该注解的接口需要登录才能访问, 目前常见的分布式微服务项目是直接在网管zuul 或者gateway 统一拦截解析处理jwt.

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface JwtToken {
 boolean required() default true;
}

2.3 Jwt 认证工具类JwtUtil.java

主要用来生成签名、校验签名和通过签名获取信息

public class JwtUtil {
 /**
 * 过期5分钟
 */
 private static final long EXPIRE_TIME = 5 * 60 * 1000;
 /**
 * jwt密钥
 */
 private static final String SECRET = "jwt_secret";
 /**
 * 生成签名,五分钟后过期
 */
 public static String sign(String userId) {
 try {
 Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
 Algorithm algorithm = Algorithm.HMAC256(SECRET);
 return JWT.create()
 // 将 user id 保存到 token 里面
 .withAudience(userId)
 // 五分钟后token过期
 .withExpiresAt(date)
 // token 的密钥
 .sign(algorithm);
 } catch (Exception e) {
 return null;
 }
 }
 /**
 * 根据token获取userId
 * @param token
 * @return
 */
 public static String getUserId(String token) {
 try {
 String userId = JWT.decode(token).getAudience().get(0);
 return userId;
 } catch (JWTDecodeException e) {
 return null;
 }
 }
 /**
 * 校验token
 * @param token
 * @return
 */
 public static boolean checkSign(String token) {
 try {
 Algorithm algorithm = Algorithm.HMAC256(SECRET);
 JWTVerifier verifier = JWT.require(algorithm)
 // .withClaim("username", username)
 .build();
 DecodedJWT jwt = verifier.verify(token);
 return true;
 } catch (JWTVerificationException exception) {
 throw new RuntimeException("token 无效,请重新获取");
 }
 }
}

2.4 拦截器拦截带有注解的接口  JwtInterceptor.java

public class JwtInterceptor implements HandlerInterceptor {
 @Override
 public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) {
 // 从 http 请求头中取出 token
 String token = httpServletRequest.getHeader("token");
 // 如果不是映射到方法直接通过
 if(!(object instanceof HandlerMethod)){
 return true;
 }
 HandlerMethod handlerMethod=(HandlerMethod)object;
 Method method=handlerMethod.getMethod();
 //检查有没有需要用户权限的注解
 if (method.isAnnotationPresent(JwtToken.class)) {
 JwtToken jwtToken = method.getAnnotation(JwtToken.class);
 if (jwtToken.required()) {
 // 执行认证
 if (token == null) {
 throw new RuntimeException("无token,请登录");
 }
 // 获取 token 中的 userId
 String userId = JwtUtil.getUserId(token);
 System.out.println("用户id:" + userId);
 // 验证 token
 JwtUtil.checkSign(token);
 }
 }
 return true;
 }
 @Override
 public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
 }
 @Override
 public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
 }
}
  • 注册拦截器:WebConfig.java
@Configuration
public class WebConfig implements WebMvcConfigurer {
 /**
 * 添加jwt拦截器
 */
 @Override
 public void addInterceptors(InterceptorRegistry registry) {
 registry.addInterceptor(jwtInterceptor())
 // 拦截所有请求,通过判断 @JwtToken注解 决定是否需要登录
 .addPathPatterns("/**");
 }

 /**
 * jwt拦截器
 * @return
 */
 @Bean
 public JwtInterceptor jwtInterceptor() {
 return new JwtInterceptor();
 }
}

2.5 全局异常捕获

@RestControllerAdvice
public class GlobalExceptionHandler {
 @ResponseBody
 @ExceptionHandler(Exception.class)
 public Object handleException(Exception e) {
 String msg = e.getMessage();
 if (msg == null || msg.equals("")) {
 msg = "服务器出错了!";
 }
 JSONObject jsonObject = new JSONObject();
 jsonObject.put("message", msg);
 return jsonObject;
 }
}

2.6 接口 JwtController.java

@RestController
@RequestMapping("/jwt")
public class JwtController {
 /**
 * 登录并获取token
 */
 @PostMapping("/login")
 public Object login( String userName, String passWord){
 JSONObject jsonObject=new JSONObject();
 // 检验用户存在(这里假设用户存在,制造uuid为用户id)
 String userId = UUID.randomUUID().toString();
 // 生成签名
 String token= JwtUtil.sign(userId);
 Map<String, String> userInfo = new HashMap<>();
 userInfo.put("userId", userId);
 userInfo.put("userName", userName);
 userInfo.put("passWord", passWord);
 jsonObject.put("token", token);
 jsonObject.put("user", userInfo);
 return jsonObject;
 }

 /**
 * 该接口需要带签名才能访问
 */
 @JwtToken
 @GetMapping("/getMessage")
 public String getMessage(){
 return "你已通过验证";
 }
}
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!