SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题

时间  2019-11-29
标签 springboot2.0 springboot 整合 jwt 框架 解决 token 验证 问题 栏目 Spring 繁體版
原文   原文链接

本文源码:GitHub·点这里 || GitEE·点这里git

1、传统Session认证

一、认证过程

一、用户向服务器发送用户名和密码。
二、服务器验证后在当前对话(session)保存相关数据。
三、服务器向返回sessionId,写入客户端 Cookie。
四、客户端每次请求,须要经过 Cookie,将 sessionId 回传服务器。
五、服务器收到 sessionId,验证客户端。

二、存在问题

一、session保存在服务端,客户端访问高并发时,服务端压力大。
二、扩展性差,服务器集群,就须要 session 数据共享。

2、JWT简介

JWT(全称:JSON Web Token),在基于HTTP通讯过程当中,进行身份认证。github

一、认证流程

一、客户端经过用户名和密码登陆服务器;
二、服务端对客户端身份进行验证;
三、服务器认证之后,生成一个 JSON 对象,发回客户端;
四、客户端与服务端通讯的时候,都要发回这个 JSON 对象;
五、服务端解析该JSON对象,获取用户身份;
六、服务端能够没必要存储该JSON(Token)对象,身份信息均可以解析出来。

二、JWT结构说明

抓一只鲜活的Token过来。web

{
    "msg": "验证成功",
    "code": 200,
    "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.
              eyJzdWIiOiJhZG1pbiIsImlhdCI6iZEIj3fQ.
              uEJSJagJf1j7A55Wwr1bGsB5YQoAyz5rbFtF"
}

上面的Token被手动格式化了,其实是用"."分隔的一个完整的长字符串。算法

JWT结构spring

一、头部(header) 声明类型以及加密算法;
二、负载(payload) 携带一些用户身份信息;
三、签名(signature) 签名信息。

三、JWT使用方式

一般推荐的作法是客户端在 HTTP 请求的头信息Authorization字段里面。json

Authorization: Bearer <token>

服务端获取JWT方式springboot

String token = request.getHeader("token");

3、与SpringBoot2整合

一、核心依赖文件

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.7.0</version>
</dependency>

二、配置文件

server:
  port: 7009
spring:
  application:
    name: ware-jwt-token
config:
  jwt:
    # 加密密钥
    secret: iwqjhda8232bjgh432[cicada-smile]
    # token有效时长
    expire: 3600
    # header 名称
    header: token

三、JWT配置代码块

@ConfigurationProperties(prefix = "config.jwt")
@Component
public class JwtConfig {
    /*
     * 根据身份ID标识,生成Token
     */
    public String getToken (String identityId){
        Date nowDate = new Date();
        //过时时间
        Date expireDate = new Date(nowDate.getTime() + expire * 1000);
        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(identityId)
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }
    /*
     * 获取 Token 中注册信息
     */
    public Claims getTokenClaim (String token) {
        try {
            return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
        }catch (Exception e){
            e.printStackTrace();
            return null;
        }
    }
    /*
     * Token 是否过时验证
     */
    public boolean isTokenExpired (Date expirationTime) {
        return expirationTime.before(new Date());
    }
    private String secret;
    private long expire;
    private String header;
    // 省略 GET 和 SET
}

4、Token拦截案例

一、配置Token拦截器

@Component
public class TokenInterceptor extends HandlerInterceptorAdapter {
    @Resource
    private JwtConfig jwtConfig ;
    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response,
                             Object handler) throws Exception {
        // 地址过滤
        String uri = request.getRequestURI() ;
        if (uri.contains("/login")){
            return true ;
        }
        // Token 验证
        String token = request.getHeader(jwtConfig.getHeader());
        if(StringUtils.isEmpty(token)){
            token = request.getParameter(jwtConfig.getHeader());
        }
        if(StringUtils.isEmpty(token)){
            throw new Exception(jwtConfig.getHeader()+ "不能为空");
        }
        Claims claims = jwtConfig.getTokenClaim(token);
        if(claims == null || jwtConfig.isTokenExpired(claims.getExpiration())){
            throw new Exception(jwtConfig.getHeader() + "失效,请从新登陆");
        }
        //设置 identityId 用户身份ID
        request.setAttribute("identityId", claims.getSubject());
        return true;
    }
}

二、拦截器注册

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Resource
    private TokenInterceptor tokenInterceptor ;
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(tokenInterceptor).addPathPatterns("/**");
    }
}

三、测试接口代码

@RestController
public class TokenController {
    @Resource
    private JwtConfig jwtConfig ;
    // 拦截器直接放行,返回Token
    @PostMapping("/login")
    public Map<String,String> login (@RequestParam("userName") String userName,
                                     @RequestParam("passWord") String passWord){
        Map<String,String> result = new HashMap<>() ;
        // 省略数据源校验
        String token = jwtConfig.getToken(userName+passWord) ;
        if (!StringUtils.isEmpty(token)) {
            result.put("token",token) ;
        }
        result.put("userName",userName) ;
        return result ;
    }
    // 须要 Token 验证的接口
    @PostMapping("/info")
    public String info (){
        return "info" ;
    }
}

5、源代码地址

GitHub地址:知了一笑
https://github.com/cicadasmile/middle-ware-parent
码云地址:知了一笑
https://gitee.com/cicadasmile/middle-ware-parent

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程