Spring Boot使用JWT认证

JSON Web Token（JWT）是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
JWT的组成
一个JWT实际上就是一个字符串，它由三部分组成，头部、载荷与签名。简单说明就到此为止，下面我们简单介绍如何使用JWT。
1、引入相关的包
在pom.xml中引入JWT的包，和SpringMVC包。

        
            org.springframework.boot
            spring-boot-starter-web
        
        
            com.auth0
            java-jwt
            3.8.0

2、定义加密的秘钥
这个可以省略，可以使用用户的密码作为加密秘钥。

public class ConstantKey {
    public static final String PICEA_JWT_KEY = "spring-boot-jwt-key~#^";
}

3、直接在控制类里面引入JWT生成方法
主要说明JWT.create()方法，注释中说明了
withAudience(name)// 将 user id 保存到 token 里面
withExpiresAt(new Date(System.currentTimeMillis() + 2 * 60 * 1000))//定义token的有效期
sign(Algorithm.HMAC256(ConstantKey.PICEA_JWT_KEY));// 加密秘钥，也可以使用用户保持在数据库中的密码字符串。
最后我们得到的JWT，其实是如下一串字符串。
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiJ6aGFuZ3NhbiIsImV4cCI6MTU1NTQ5MzI0OH0.FZISiYvyLJcrARe0nC8umMZ_MdR0YMkjMXI2mXYUncE

控制类的代码如下。

@RestController
public class PiceaContoller {

    @RequestMapping("/login")
    public Object login(String name, String password) throws Exception {
        /**
         * 这里为了简单，就不验证用户名和密码的正确性了，实际验证跟其他的方式一样，
         *         就是比对一下输入的用户名密码跟数据的数据是否一样
         */
        String token = "";
        token = JWT.create()
                .withAudience(name)// 将 user id 保存到 token 里面
                .withExpiresAt(new Date(System.currentTimeMillis() + 2 * 60 * 1000))//定义token的有效期
                .sign(Algorithm.HMAC256(ConstantKey.PICEA_JWT_KEY));// 加密秘钥，也可以使用用户保持在数据库中的密码字符串
        return token;
    }

    @RequestMapping("/queryPicea")
    public String queryPicea()  {
        String ret = "通过验证";
        return ret;
    }
}

4、使用拦截器实现认证
如果你对拦截器还不明白，请移步Spring Boot使用处理器拦截器HandlerInterceptor。

public class AuthenticationInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
        String token = httpServletRequest.getHeader("token");// 从 http 请求头中取出 token
        // 如果不是映射到方法直接通过
        if(!(object instanceof HandlerMethod)){
            return true;
        }
        HandlerMethod handlerMethod=(HandlerMethod)object;
        Method method=handlerMethod.getMethod();
        //检查方法名是否是“login”如果是则跳过，也可以加注解，用注解过滤不需要权限的方法
        if ("login".equals(method.getName())) {
           return true;
        }
        // 执行认证
        if (token == null) {
            throw new RuntimeException("无token，请重新登录");
        }
        // 获取 token 中的 name
        String name;
        try {
            name = JWT.decode(token).getAudience().get(0);
        } catch (JWTDecodeException j) {
            throw new RuntimeException("401");
        }
        // 验证 token
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(ConstantKey.PICEA_JWT_KEY)).build();
        try {
            jwtVerifier.verify(token);
        } catch (JWTVerificationException e) {
            throw new RuntimeException("401");
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }
    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }
}

5、建立InterceptorConfig注册拦截器

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**");
    }

    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }
}

6、进行功能测试
首先我们之间执行查询，这里测试需要使用到post工具了，我用的是ApiPost。
1）无token的情况，直接请求查询

Spring-boot-jwt-query.png

2）登录，获得token

Spring-boot-jwt-token.png

3）带着token请求

Spring-boot-jwt-query-token.png

其它注意

本文章样例：
工程名：spring-boot-jwt
GitHub：https://github.com/zzyjb/SpringBootLearning

Spring Boot使用JWT认证

其它注意

你可能感兴趣的:(Spring Boot使用JWT认证)