SpringBoot使用JWT实现登陆验证
什么是JWT
JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间以JSON对象安全地传输信息。这些信息能够经过数字签名进行验证和信任。可使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对来对JWT进行签名。
具体的jwt介绍能够查看官网的介绍: https://jwt.io/introduction/
jwt请求流程
引用官网的图片
中文介绍:java
- 用户使用帐号和面发出post请求;
- 服务器使用私钥建立一个jwt;
- 服务器返回这个jwt给浏览器;
- 浏览器将该jwt串在请求头中像服务器发送请求;
- 服务器验证该jwt;
- 返回响应的资源给浏览器。
jwt组成
jwt含有三部分:头部(header)、载荷(payload)、签证(signature)web
头部(header)
头部通常有两部分信息:声明类型、声明加密的算法(一般使用HMAC SHA256)
头部通常使用base64加密:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
解密后:算法
{
"typ":"JWT",
"alg":"HS256"
}
载荷(payload)
该部分通常存放一些有效的信息。jwt的标准定义包含五个字段:编程
-
iss:该JWT的签发者 -
sub: 该JWT所面向的用户 -
aud: 接收该JWT的一方 -
exp(expires): 何时过时,这里是一个Unix时间戳 -
iat(issued at): 在何时签发的
这个只是JWT的定义标准,不强制使用。另外本身也能够添加一些公开的不涉及安全的方面的信息。json
签证(signature)
JWT最后一个部分。该部分是使用了HS256加密后的数据;包含三个部分:api
- header (base64后的)
- payload (base64后的)
- secret 私钥
secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,因此,它就是你服务端的私钥,在任何场景都不该该流露出去。一旦客户端得知这个secret, 那就意味着客户端是能够自我签发jwt了。跨域
在SpringBoot项目中应用
首先须要添加JWT的依赖:浏览器
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.6.0</version>
</dependency>
接下来在配置文件中添加JWT的配置信息:安全
##jwt配置 audience: clientId: 098f6bcd4621d373cade4e832627b4f6 base64Secret: MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY= name: restapiuser expiresSecond: 172800
配置信息的实体类,以便获取jwt的配置:服务器
@Data
@ConfigurationProperties(prefix = "audience")
@Component
public class Audience {
private String clientId;
private String base64Secret;
private String name;
private int expiresSecond;
}
JWT验证主要是经过拦截器验证,因此咱们须要添加一个拦截器来验证请求头中是否含有后台颁发的token,这里请求头的格式:这里bearer;后面就是服务器颁发的token
public class JwtFilter extends GenericFilterBean {
@Autowired
private Audience audience;
/**
* Reserved claims(保留),它的含义就像是编程语言的保留字同样,属于JWT标准里面规定的一些claim。JWT标准里面定好的claim有:
iss(Issuser):表明这个JWT的签发主体;
sub(Subject):表明这个JWT的主体,即它的全部人;
aud(Audience):表明这个JWT的接收对象;
exp(Expiration time):是一个时间戳,表明这个JWT的过时时间;
nbf(Not Before):是一个时间戳,表明这个JWT生效的开始时间,意味着在这个时间以前验证JWT是会失败的;
iat(Issued at):是一个时间戳,表明这个JWT的签发时间;
jti(JWT ID):是JWT的惟一标识。
* @param req
* @param res
* @param chain
* @throws IOException
* @throws ServletException
*/
@Override
public void doFilter(final ServletRequest req, final ServletResponse res, final FilterChain chain)
throws IOException, ServletException {
final HttpServletRequest request = (HttpServletRequest) req;
final HttpServletResponse response = (HttpServletResponse) res;
//等到请求头信息authorization信息
final String authHeader = request.getHeader("authorization");
if ("OPTIONS".equals(request.getMethod())) {
response.setStatus(HttpServletResponse.SC_OK);
chain.doFilter(req, res);
} else {
if (authHeader == null || !authHeader.startsWith("bearer;")) {
throw new LoginException(ResultEnum.LOGIN_ERROR);
}
final String token = authHeader.substring(7);
try {
if(audience == null){
BeanFactory factory = WebApplicationContextUtils.getRequiredWebApplicationContext(request.getServletContext());
audience = (Audience) factory.getBean("audience");
}
final Claims claims = JwtHelper.parseJWT(token,audience.getBase64Secret());
if(claims == null){
throw new LoginException(ResultEnum.LOGIN_ERROR);
}
request.setAttribute(Constants.CLAIMS, claims);
} catch (final Exception e) {
throw new LoginException(ResultEnum.LOGIN_ERROR);
}
chain.doFilter(req, res);
}
}
}
注册JWT拦截器,能够在配置类中,也能够直接在SpringBoot的入口类中
@Bean
public FilterRegistrationBean jwtFilter() {
final FilterRegistrationBean registrationBean = new FilterRegistrationBean();
registrationBean.setFilter(new JwtFilter());
//添加须要拦截的url
List<String> urlPatterns = Lists.newArrayList();
urlPatterns.add("/article/insert");
registrationBean.addUrlPatterns(urlPatterns.toArray(new String[urlPatterns.size()]));
return registrationBean;
}
登陆处理,也就是jwt的颁发
@PostMapping("login")
public ResultVo login(@RequestParam(value = "usernameOrEmail", required = true) String usernameOrEmail,
@RequestParam(value = "password", required = true) String password,
HttpServletRequest request) {
Boolean is_email = MatcherUtil.matcherEmail(usernameOrEmail);
User user = new User();
if (is_email) {
user.setEmail(usernameOrEmail);
} else {
user.setUsername(usernameOrEmail);
}
User query_user = userService.get(user);
if (query_user == null) {
return ResultVOUtil.error("400", "用户名或邮箱错误");
}
//验证密码
PasswordEncoder encoder = new BCryptPasswordEncoder();
boolean is_password = encoder.matches(password, query_user.getPassword());
if (!is_password) {
//密码错误,返回提示
return ResultVOUtil.error("400", "密码错误");
}
String jwtToken = JwtHelper.createJWT(query_user.getUsername(),
query_user.getId(),
query_user.getRole().toString(),
audience.getClientId(),
audience.getName(),
audience.getExpiresSecond()*1000,
audience.getBase64Secret());
String result_str = "bearer;" + jwtToken;
return ResultVOUtil.success(result_str);
}
这里将jwt的颁发处理抽离出来了,JWT工具类:
public class JwtHelper {
/**
* 解析jwt
*/
public static Claims parseJWT(String jsonWebToken, String base64Security){
try
{
Claims claims = Jwts.parser()
.setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))
.parseClaimsJws(jsonWebToken).getBody();
return claims;
}
catch(Exception ex)
{
return null;
}
}
/**
* 构建jwt
*/
public static String createJWT(String name, String userId, String role,
String audience, String issuer, long TTLMillis, String base64Security)
{
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
//生成签名密钥
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(base64Security);
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
//添加构成JWT的参数
JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")
.claim("role", role)
.claim("unique_name", name)
.claim("userid", userId)
.setIssuer(issuer)
.setAudience(audience)
.signWith(signatureAlgorithm, signingKey);
//添加Token过时时间
if (TTLMillis >= 0) {
long expMillis = nowMillis + TTLMillis;
Date exp = new Date(expMillis);
builder.setExpiration(exp).setNotBefore(now);
}
//生成JWT
return builder.compact();
}
}
最后,jwt可能会出现跨域的问题,因此最好添加一下对跨域的处理
@Configuration
public class CorsConfig {
@Bean
public FilterRegistrationBean corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
CorsConfiguration config = new CorsConfiguration();
config.setAllowCredentials(true);
config.addAllowedOrigin("*");
config.addAllowedHeader("*");
config.addAllowedMethod("OPTIONS");
config.addAllowedMethod("HEAD");
config.addAllowedMethod("GET");
config.addAllowedMethod("PUT");
config.addAllowedMethod("POST");
config.addAllowedMethod("DELETE");
config.addAllowedMethod("PATCH");
source.registerCorsConfiguration("/**", config);
final FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
bean.setOrder(0);
return bean;
}
@Bean
public WebMvcConfigurer mvcConfigurer() {
return new WebMvcConfigurerAdapter() {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**").allowedMethods("GET", "PUT", "POST", "GET", "OPTIONS");
}
};
}
}
参考:
相关文章
- 1. springboot+jwt 实现登陆验证
- 2. SpringBoot使用JWT实现登陆拦截验证
- 3. vue+egg+jwt实现登陆验证
- 4. SpringBoot整合JWT实现验证登录
- 5. springboot+shiro+jwt实现登陆+权限验证
- 6. Spring Boot使用JWT实现系统登陆验证
- 7. jwt验证登陆信息
- 8. springboot+jwt实现token验证
- 9. SpringBoot实现短信验证码登陆
- 10. Springboot实现短信验证登陆
- 更多相关文章...
- • XML 验证 - XML 教程
- • DTD 验证 - DTD 教程
- • ☆基于Java Instrument的Agent实现
- • Java Agent入门实战(一)-Instrumentation介绍与使用
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
