JWT+AOP+自定义注解实现接口安全
前言: 又是一个人加班无聊的时间,把之前尝试的一个例子大概做一个总结,这是一个使用json web token实现的校验接口安全的例子。具体是方式是,后台使用jwt,用户登录后,服务端返回jwttoken,前端做cookie存储,同时将jwttoken和对应的userId放在每一个请求的header上,这里要做跨域处理。通过自定义的注解实现校验,校验结果以异常的形式抛出,定义全局的异常处理处理上面抛出的异常。这就是整体的思路,接下来是每部分的代码部分。
1.跨域处理(采用Cors,具体的使用方法可自行查找)
customFilter implements Filter
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,FilterChain filterChain) throws IOException, ServletException {
HttpServletResponse res = (HttpServletResponse) servletResponse;
HttpServletRequest request=(HttpServletRequest)servletRequest;
res.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin")); // request.getHeader("Origin")
System.out.println("request.getHeader(\"Origin\")="+request.getHeader("Origin"));
res.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
res.setHeader("Access-Control-Max-Age", "0");
res.setHeader("Access-Control-Allow-Headers", "Access-Control-Allow-Origin, Origin, jwttoken, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With, userId, token");// Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With, userId, token, jwttoken
res.setHeader("Access-Control-Allow-Credentials", "true");
res.setHeader("XDomainRequestAllowed","1");
filterChain.doFilter(servletRequest,servletResponse);
}
2. 在上面实现跨域之后,就可以开始自定义注解及AOP了。
自定义注解,应该不难吧。
@Target({ElementType.METHOD,ElementType.TYPE}) //目标是方法
@Retention(RetentionPolicy.RUNTIME) //注解会在class中存在,运行时可通过反射获取
@Inherited
@Documented //文档生成时,该注解将被包含在javadoc中,可去掉
public @interface xxxxxxx{
String desc() default "接口访问权限认证开始。。。。。。";
}
AOP
@Component
@Aspect
public class TokenAuth_JWT {
Map
// 声明一个切入点,有助与使用不同建议执行的方法
// 二种方法实现,一个是不适用pointcut 实现整个,二上使用pointcut
//@Pointcut("* com.ccdproject.controller.*.*(..))") //expression
@Pointcut("@annotation(com.ccdproject.springAop.TwtAuthorization)")
public void TokenAuthbefor2(){
System.out.println("这是一个切入点");
}
@ResponseBody
@Around("TokenAuthbefor2()")
public
Object Aroundadevice(ProceedingJoinPoint joinPoint) throws Throwable{
System.out.println("TokenAuth_JWT before");
// 获取拦截的请求参数
Object[] args = joinPoint.getArgs(); // 返回目标方法的参数(httpservletrequest request等等)
System.out.println("args="+args);
HttpServletRequest request=(HttpServletRequest)args[0];
String token = request.getHeader("jwttoken");
String username = request.getHeader("userId");
System.out.println("aroundadvice jwttoken:"+token);
Object retVal = null;
if(token == null || token == "") {
retVal = "1";
throw new AcessTokenException("token is null");
}else {
JwtUtil jutil = new JwtUtil();
Claims c =jutil.parseJWT(token);
if(c== null) { // 超时
retVal ="1" ;
throw new AcessTokenException("token time out") ;
}else if(c != null && c.get("uid", String.class).equals("XXXXXXX") && c.getIssuer().equals("XXXXXXXXX")) {//
retVal = joinPoint.proceed(); // 注意返回object
}else if(!username.equals(c.getSubject()) || username!=c.getSubject() ){
retVal= "1";
throw new AcessTokenException("illegal user");
}else{
retVal ="1" ;
throw new AcessTokenException("Other Error") ;
}
}
return retVal;
}
}
3.jwttoken的实现
创建jwttoken,及jwttoken的解密和jwttoken三部分的生成。
public String createJWT(String id, String subject, long ttlMillis) {
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; //指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。
long nowMillis = System.currentTimeMillis();//生成JWT的时间
Date now = new Date(nowMillis);
Map
claims.put("uid", "xxxxxxxx");
claims.put("user_name", subject);
claims.put("nick_name","xxxxxxxx");
SecretKey key = JwtUtil.generalKey();//生成签名的时候使用的秘钥secret,这个方法本地封装了的,一般可以从本地配置文件中读取,切记这个秘钥不能外露哦。它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
//下面就是在为payload添加各种标准声明和私有声明了
JwtBuilder builder = Jwts.builder() //这里其实就是new一个JwtBuilder,设置jwt的body
.setClaims(claims) //如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
.setId(id) //设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。
.setIssuedAt(now) //iat: jwt的签发时间
.setSubject(subject) //sub(Subject):代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可以存放什么userid,roldid之类的,作为什么用户的唯一标志。
.setIssuer("xxxxxxxxx")
.signWith(signatureAlgorithm, key);//设置签名使用的签名算法和签名使用的秘钥
if (ttlMillis >= 0) {
long expMillis = nowMillis + ttlMillis;
Date exp = new Date(expMillis);
builder.setExpiration(exp); //设置过期时间
}
System.out.println("builder.compact()="+builder.compact());
return builder.compact(); //就开始压缩为xxxxxxxxxxxxxx.xxxxxxxxxxxxxxx.xxxxxxxxxxxxx这样的jwt
}
/**
* 解密jwt
* @param jwt
* @return
* @throws Exception
*/
public Claims parseJWT(String jwt) {
Claims claims;
try {
SecretKey key = generalKey(); //签名秘钥,和生成的签名的秘钥一模一样
claims = Jwts.parser() //得到DefaultJwtParser
.setSigningKey(key) //设置签名的秘钥
.parseClaimsJws(jwt).getBody();//设置需要解析的jwt
} catch (ExpiredJwtException e) {
claims = null;
}
return claims;
}
/**
* 由字符串生成加密key
* @return
*/
public static SecretKey generalKey(){
String stringKey = Constant.JWT_SECRET;//本地配置文件中加密的密文7786df7fc3a34e26a61c034d5ec8245d
byte[] encodedKey = Base64.decodeBase64(stringKey);//本地的密码解码[B@152f6e2
System.out.println("encodedKey="+encodedKey);//[B@152f6e2
// System.out.println(Base64.encodeBase64URLSafeString(encodedKey));//7786df7fc3a34e26a61c034d5ec8245d
SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");// 根据给定的字节数组使用AES加密算法构造一个密钥,使用 encodedKey中的始于且包含 0 到前 leng 个字节这是当然是所有。(后面的文章中马上回推出讲解Java加密和解密的一些算法)
return key;
}
4.现在就可以来做测试了
/**
* 测试 jwt
* @param args
* @throws Exception
*/
@自定义注解
@ResponseBody
@RequestMapping("/testjwt")
public Map
Map
CreateJWT cj = new CreateJWT();
JwtUtil jutil = new JwtUtil();
String ab=cj.createJWT("xxxxxx", "xxxxx", 6000000); // 1.6个小时有效区
System.out.println("ab="+ab);
//eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOiJEU1NGQVdEV0FEQVMuLi4iLCJzdWIiOiJ7aWQ6MTAwLG5hbWU6eGlhb2hvbmd9IiwidXNlcl9uYW1lIjoiYWRtaW4iLCJuaWNrX25hbWUiOiJEQVNEQTEyMSIsImV4cCI6MTUxNzgzNTE0NiwiaWF0IjoxNTE3ODM1MDg2LCJqdGkiOiJqd3QifQ.ncVrqdXeiCfrB9v6BulDRWUDDdROB7f-_Hg5N0po980
String jwt="eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOiJzemtlbmx1Y2suY29tIiwic3ViIjoiRXJpYyIsInVzZXJfbmFtZSI6IkVyaWMiLCJuaWNrX25hbWUiOiJrb3lpMDAwMCIsImlzcyI6InN6a2VubHVjay5jb20iLCJleHAiOjE1MjY5MDA4MzksImlhdCI6MTUyNjg5NDgzOSwianRpIjoic3prZW5sdWNrLmNvbSJ9.-VQpobwbYQsHaODfp8ZFv3QKpQUaMRvvvoqxcu8iRSw";
Claims c=jutil.parseJWT(jwt);//注意:如果jwt已经过期了,这里会抛出jwt过期异常。可以令cliam = null处理
System.out.println("c.getId()="+c.getId());//jwt
System.out.println("c.getIssuedAt()="+c.getIssuedAt());//Mon Feb 05 20:50:49 CST 2018
System.out.println("c.getSubject()"+c.getSubject());//{id:100,name:xiaohong}
System.out.println("c.getIssuer()"+c.getIssuer());//null
System.out.println("c.getExpiration()="+c.getExpiration()); // 过期时间
System.out.println("c.get(\"uid\", String.class)"+c.get("uid", String.class));//DSSFAWDWADAS...
ret.put("c.getId()", c.getId());
ret.put("c.getIssuedAt()", c.getIssuedAt());
return ret;
}
5.总结一下遇到的问题,
(1)前端保存至cookie中,没取出来的问题,很尴尬,不过总算取出来了
(2)因为jwt放在header上,所以每个接口一定带上request,因为需要在aop中获取request,校验header上的jwttoken及userId。
只要结果中生成jwttoken的参数和解析jwttoken中的参数一致就表示成功了,哈哈,简单的写一下,下班咯~~~~~~~~~~~~