SpringBoot整合shiro+jwt+redis - 无状态token登录（二）授权篇

更多最新技术文章欢迎大家访问我的个人博客○( ＾皿＾)っ豆腐别馆

上文总览篇中，相信大家已经对接下来要做的事情有了总体思路及印象。总言之我们要做的就只有两件事，一是授权，二即是鉴权。
　　让我们先从授权开始，何为授权？在这里简单地来讲就是要颁发token。何时颁发？毫无疑问，无非就是在登录/注册成功之后。至于上文中提到的根据RefreshToken自动刷新AccessToken，我将之归置为token刷新，代码实现于后续篇章说明。

一、Maven配置

    com.auth0
    java-jwt
    ${java-jwt.version}

二、Application配置

server:
  port: 8001

spring:
  application:
    name: springboot-shiro-jwt-sso
  # profiles: springboot-shiro-jwt-sso

  ## Redis配置 - start
  redis:
    # Redis数据库索引（默认为0）
    database: 1
    # Redis服务器地址
    host: 127.0.0.1
    # Redis服务器连接端口
    port: 6379
    # Redis服务器连接密码（默认为空）
    # password: "doufuplus"
    # 连接超时时间（毫秒）
    timeout: 5000
    jedis:
      pool:
        # 连接池最大连接数（使用负值表示没有限制）
        max-active: 8
        # 连接池最大阻塞等待时间（使用负值表示没有限制）
        max-wait: -1
        # 连接池中的最大空闲连接
        max-idle: 8
        # 连接池中的最小空闲连接
        min-idle: 0
  ## Redis配置 - end


  ## 时间格式配置 - start
  jackson:
    serialization:
      write-dates-as-timestamps: true
  ## 时间格式配置 - end


## product配置 - start
info:
  app.name: springboot-shiro-jwt-sso
  company.name: doufuplus
  build.artifactId: $project.artifactId$
  build.modelVersion: $project.modelVersion$
## product配置 - end


## 日志配置 - start
logging:
  level:
    com.nfgj.medical.service: DEBUG
## 日志配置 - end


## 其它配置 - start
config:
  # JWT认证加密私钥(Base64加密)
  encrypt-jwtKey: U0JBUElOENhspJrzkyNjQ1NA
  # AccessToken过期时间(秒)
  accessToken-expireTime: 600
  # RefreshToken过期时间(秒)
  refreshToken-expireTime: 604800
## 其它配置 - end

三、颁发Token

token的颁发并未有什么难度，主要是生成AccessToken放置于Header给前端。再生成RefreshToken保存于服务端即可。此处使用redis保存。

/**
 * 登录
 * 转载请注明出处，更多技术文章欢迎大家访问我的个人博客站点：https://www.doufuplus.com
 *
 * @author 丶doufu
 * @date 2019/08/03
 */
@PostMapping("/login")
public Result login(String account, String password, HttpServletResponse response) {

    try {
        if (!("doufuplus".equals(account) && "123456".equals(password))) {
            return new Result(ResultCode.PASSWORD_ERROR, "account or password error.");
        }

        // 清除可能存在的shiro权限信息缓存
        if (redis.hasKey(RedisConstant.PREFIX_SHIRO_CACHE + account)) {
            redis.del(RedisConstant.PREFIX_SHIRO_CACHE + account);
        }

        // 设置RefreshToken，时间戳为当前时间戳，直接设置即可(不用先删后设，会覆盖已有的RefreshToken)
        String currentTimeMillis = String.valueOf(System.currentTimeMillis());
        redis.set(RedisConstant.PREFIX_SHIRO_REFRESH_TOKEN + account, currentTimeMillis,
                Integer.parseInt(refreshTokenExpireTime));

        // 从Header中Authorization返回AccessToken，时间戳为当前时间戳
        String token = JwtUtil.sign(account, currentTimeMillis);
        response.setHeader("Authorization", token);
        response.setHeader("Access-Control-Expose-Headers", "Authorization");

        return new Result().OK();
    } catch (Exception e) {
        e.printStackTrace();
        return new Result(ResultCode.ERROR, e.getMessage());
    }
}

四、清除Token

没有买卖就没有伤害，有登录就会有退出。token的清除主要是做两件事：

1. 清除可能存在的shiro权限信息
2. 清除RefreshToken

/**
 * 退出
 * 转载请注明出处，更多技术文章欢迎大家访问我的个人博客站点：https://www.doufuplus.com
 *
 * @author 丶doufu
 * @date 2019/08/03
 */
@RequestMapping("/logout")
public Result logout() {
    try {
        String token = "";
        // 获取头部信息
        Enumeration headerNames = request.getHeaderNames();
        while (headerNames.hasMoreElements()) {
            String key = (String) headerNames.nextElement();
            String value = request.getHeader(key);
            if ("Authorization".equalsIgnoreCase(key)) {
                token = value;
            }
        }
        // 校验token
        if (StringUtils.isBlank(token)) {
            return new Result(ResultCode.PARAM_ERROR);
        }
        String account = JwtUtil.getClaim(token, JwtConstant.ACCOUNT);
        if (StringUtils.isBlank(account)) {
            return new Result(ResultCode.NOT_LOGIN, "token失效或不正确.");
        }
        // 清除shiro权限信息缓存
        if (redis.hasKey(RedisConstant.PREFIX_SHIRO_CACHE + account)) {
            redis.del(RedisConstant.PREFIX_SHIRO_CACHE + account);
        }
        // 清除RefreshToken
        redis.del(RedisConstant.PREFIX_SHIRO_REFRESH_TOKEN + account);

        return new Result().OK();
    } catch (Exception e) {
        e.printStackTrace();
        return new Result(ResultCode.ERROR, e.getMessage());
    }
}

五、演示说明

1. 登录成功，返回10200
   登录成功-1.png

2. 查看Header，Authorization返回AccessToken信息
   登录成功-2.png