jwt 简介 json web token ,简要说明:前端传验证信息到后端,后端验证通过,返回一个对象,只不过这个对象是被加密的,这样后端就可以为无状态的,每次请求的时候,请求头带上token ,里面封装了对象的信息,我们只需要用拦截器进行拦截,解析token,后端就可以知道是谁登录了界面,可以设置相应的超时时间,超时时间不应太长或者太短,根据实际情况而定,超时用户就需要从新登录
优点: 减少服务器的压力,不用向以前一样将对象保存在session里面,或者是利用redis保存信息,因为redis也是要占用服务器的内存的。非常适合springcloud 微服务。
{
"alg": "HS256",
"typ": "JWT"
}
alg 表示签名算法,常用HS256 当然也有很多的支持的签名算法 具体支持可以参考jwt官网-》》进入官网鼠标往下一直挪,你就能看到了。https://jwt.io/
typ: token令牌的类型 jwt 统一写JWT
也是一个json 的对象,下面是官方字段:
当然你也可以定义一些其他的字段
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
但是由于jwt 默认是不加密的,所以不要保存敏感信息
Signature 部分是对前两部分的签名,防止数据篡改。
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.
)分隔,就可以返回给用户。
不同的颜色代表不同的部分。
好了不多说,上代码:
com.auth0
java-jwt
3.4.0
@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
/*user id*/
private String id;
private String username;
private String password;
}
我们 这里使用lombok 自动生成get set 方法 @AllArgsConstructor 生成包含所有参数的构造方法
@NoArgsConstructor 生成无参的构造方法 还可以有@getter @setter 你们懂得!别跑偏了 回到正题,好的对象我们已经建立好了
我们这里由于需要进行是否有token 的验证,比如登录不需要验证 ,登录以后需要访问的页面需要访问需要验证,所以定义两个注解,有人会想,使用aop不就行了,当然可以,但是在面对众多的接口的时候,aop进行管理是否会有一些不妥,我们这里使用自己定义的注解,需要进行验证的时候只需要添加注释,定义一个拦截器,在所有url访问的时候先看看是否有注解,有注解就进行验证是不是更加灵活呢!
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface PassToken {
boolean required() default true;
}
这个注解的作用是用来pass掉token 的 也就是不需要token验证的需求
@Target({ElementType.METHOD,ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserLoginToken {
boolean required() default true;
}
这个注解时候用来使用token 的,有的人也许就有点蒙了,可能没有接触过自定义注解,简单来介绍一下
用几个常见的注解源码来给你们介绍一下
熟不熟悉,对我就是抄的,哈哈,具体的意义可以开一下相关文档
@Target
:注解的作用目标
@Target(ElementType.TYPE)
——接口、类、枚举、注解@Target(ElementType.FIELD)
——字段、枚举的常量@Target(ElementType.METHOD)
——方法@Target(ElementType.PARAMETER)
——方法参数@Target(ElementType.CONSTRUCTOR)
——构造函数@Target(ElementType.LOCAL_VARIABLE)
——局部变量@Target(ElementType.ANNOTATION_TYPE)
——注解@Target(ElementType.PACKAGE)
——包
@Retention
:注解的保留位置
RetentionPolicy.SOURCE
:这种类型的Annotations
只在源代码级别保留,编译时就会被忽略,在class
字节码文件中不包含。RetentionPolicy.CLASS
:这种类型的Annotations
编译时被保留,默认的保留策略,在class
文件中存在,但JVM
将会忽略,运行时无法获得。RetentionPolicy.RUNTIME
:这种类型的Annotations
将被JVM
保留,所以他们能在运行时被JVM
或其他使用反射机制的代码所读取和使用。@Document
:说明该注解将被包含在javadoc
中@Inherited
:说明子类可以继承父类中的该注解
这样你是不是也可以自己定义注解了呢
好的我们继续
public class TokenUtil {
/**
* 生成token 的方法
* @param user
* @return
*/
public static String getToken(User user){
String token = "";
token = JWT.create().withAudience(user.getId())
.sign(Algorithm.HMAC256(user.getPassword()));
return token;
}
}
Algorithm.HMAC256()
:使用HS256
生成token
,密钥则是用户的密码,唯一密钥的话可以保存在服务端。withAudience()
存入需要保存在token
的信息,这里我把用户ID
存入token
中
public class AuthenticationInterceptor implements HandlerInterceptor {
@Autowired
UserService userService;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//进入方法之前进行的操作
//获取token
String token = request.getHeader("token");
//如果不是映射到方法直接通过
if(!(handler instanceof HandlerMethod)){
return true;
}
HandlerMethod handlerMethod = (HandlerMethod) handler;
Method method = handlerMethod.getMethod();
if(method.isAnnotationPresent(PassToken.class))
{
PassToken passToken = method.getAnnotation(PassToken.class);
if(passToken.required()){
return true;
}
}
String userId = null;
if(method.isAnnotationPresent(UserLoginToken.class))
{
UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class);
if(userLoginToken.required()){
if(token == null){
throw new RuntimeException("无token,请重新登录");
}
//获取token的userid
try{
userId = JWT.decode(token).getAudience().get(0);
}
catch (JWTDecodeException e){
throw new RuntimeException("401");
}
User user = userService.getUser(userId);
if(user==null){
throw new RuntimeException("用户不存在");
}
//验证token
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
try{
jwtVerifier.verify(token);
}catch (JWTVerificationException e){
throw new RuntimeException("401");
}
return true;
}
}
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
//方法处理之后但是并未渲染视图的时候进行的操作
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
//渲染视图之后进行的操作
}
}
method.isAnnotationPresent(PassToken.class) 这里就看到我们的注解的作用了,利用的是java 的反射机制,看是否有这样的注解,有进就行相关的操作
这里我们的token 是在请求头中被传过来的。
主要流程:
1.从 http
请求头中取出 token
,
2.判断是否映射到方法
3.检查是否有passtoken
注释,有则跳过认证
4.检查有没有需要用户登录的注解,有则需要取出并验证
5.认证通过则可以访问,不通过会报相关错误信息
拦截定义完成,需要自己去配置一下springmvc 的拦截器
@Configuration
public class WebMvcConfigration implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(authenticationInterceptor()).addPathPatterns("/**");
}
@Bean
public AuthenticationInterceptor authenticationInterceptor(){
return new AuthenticationInterceptor();
}
}
这里默认是拦截所有的请求
这里突然想到一个坑,有的博客会去用@EnableWebMvc这个注解,当你使用这个注解时候,会取消到springboot 的默认配置,所以请谨慎使用
接下来我们就到了正常的mvc阶段了,我这里我了简单就没有连接数据库,全部使用UserService 进行操作
public interface UserService {
User getUser(String id);
User getUserByName(String username);
}
@Service
public class UserServiceImpl implements UserService {
private List userList = new ArrayList<>();
public void getUserlist(){
User user1 = new User("1","liming","liming");
User user2 = new User("2","limin","liming");
User user3 = new User("3","limi","liming");
User user4 = new User("4","lim","liming");
User user5 = new User("5","li","liming");
this.userList.add(user1);
this.userList.add(user2);
this.userList.add(user3);
this.userList.add(user4);
this.userList.add(user5);
}
public UserServiceImpl(){
getUserlist();
}
@Override
public User getUser(String id) {
User user = null;
for (User usertest:userList
) {
if(usertest.getId().equals(id))
{
user = usertest;
}
}
return user;
}
public User getUserByName(String username){
for (User user:userList
) {
if(user.getUsername().equals(username)){
return user;
}
}
return null;
}
}
一个接口,一个实现类,恩恩,熟悉的感觉
进行重要的controller 的编写了
@RequestMapping("/api")
@RestController
public class UserController {
@Autowired
UserService userService;
@PassToken
@RequestMapping(value = "/login",method = RequestMethod.POST)
public Object login(@Valid User user ,BindingResult bindingResult){
if(bindingResult.hasErrors()){
throw new RuntimeException(bindingResult.getFieldError().toString());
}
User userforbase = userService.getUserByName(user.getUsername());
if(userforbase==null){
return JSONResultUtils.errorMsg("登录失败,用户不存在");
}
if(!userforbase.getPassword().equals(user.getPassword())){
return JSONResultUtils.errorMsg("登录失败,密码错误");
}
String token = TokenUtil.getToken(userforbase);
return token;
}
@UserLoginToken
@RequestMapping("/getmessage")
public String getmessage(){
return JSONResultUtils.ok("你已经通过验证");
}
}
这里应该有两个方法,login 使用来登录验证的 加上注解 就不需要token 字段
getmessage 使用来模拟我们那些需要token的方法,加上注解后,就需要token,如果没有就会报错
哦哦还有那个jsonResultUtils 是一个返回json的工具类 是我们想前端返回的时候进行的封装,一般包含的json数据是 status 状态
msg 内容 data 数据
接下来使用postman进行测试一下:
先进行一下无token的getmessage
好的我们已经获取到了token了
那我我们将token传入再尽心验证
成功!本人大白一个,如果有什么错误还需要你们的指正,当然那也感谢一下大神的帮助:
参考文章
https://www.cnblogs.com/shihaiming/p/9565835.html
http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html
感谢