springboot整合jwt实现单点登录
jwt的结构:
一、令牌组成
1、标头(Header)
-- 标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法,例如
HMAC,SHA256或RSA,它会使用Base64编码组成JWT结构的第一部分。
{
“alg”:“HS256”,
"typ":"JWT"
}
2、有效载荷(Payload)
-- 令牌的第二部分是有效负责,其中包含声明,声明是有关实体(通常是用户)
和其他数据的声明,同样的,它会使用Base64编码组成jwt结构的第二部分。
3、签名(Signature)
因此,jwt通常如下所示:xxxxxx.yyyyyyy.zzzzzz 即:Header.Payload.Signature
4、Signature
前端两部分使用Base64进行编码的,即前端可以解开知道连的信息,Signatrue需要
使用编码后的header和payload以及我们提供的一个密钥,然后使用header中指定的
签名算法(HS256)进行签名,签名的作用是保证JWT没有被篡改过
如:
HMACSHA256(base64UrlEncode(header)*"."+base64UrlEncode(payload).secret)
签名目的:
最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被篡改,如果有人对头部
以及负载内容解码之后进行修改在进行编码,最后加上之前的签名组合形成新的jwt的话,那么服务器端会判断出新的头部和负载形成的签名和jwt附带的签名是不一样的,如果要对新的头部和负载进行签名,在不知道服务端加密时用的密钥的话,得出来的签名也是不一样的。
信息安全问题:
因为Base64是一种编码,是可逆的,所以在jwt中,不应该在负载里面加入任何敏感的数据,在上面的例子中,我们传输的是用户的username,id,这些值实际上不是敏感信息,一般情况下被知道也是安全的,但是像密码这样的内容就不能放到jwt中,如果将用户的密码放在jwt中,那么怀有恶意的第三方通过Base64解码就能很快地知道密码,因此jwt适合用于向web应用传输一些非密码信息,jwt还用来设计认证和授权系统,甚至实现单点登录。
放在一起:
输出是三个由点分隔的Base64-URL字符串,可以在HTML和HTTP环境中轻松传递这些字符串,于基于xml的标准(SMAL)相比,更加紧凑。
---简洁(compact)
---可以通过URL,POST参数或者在HTTP header发送,因为数量小,传输速度快,
----自包含(self-contained)
负载中包含了所有用户所需要的信息,避免了多次查询数据库。示例如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MjU1Nzk3NTEsInVzZXJuYW1lIjoiYWRtaW4ifQ.talbN1BwHvSZS-k2urNTfkxF-nAq3guLtaQK5Oy2wEM
使用jwt生成一个token的测试类:
1、在springboot项目中添加jwt的依赖
com.auth0
java-jwt
3.4.0
2、创建一个测试类
@Test
void contextLoads() {
Calendar instance = Calendar.getInstance();
instance.add(Calendar.SECOND,20);
// 标头的map参数可以穿也可以不传,他会有默认值
Map map = new HashMap();
String sign = JWT.create()
.withHeader(map)
.withClaim("userId", 1) //payload
.withClaim("username", "xiaochen")
.withExpiresAt(instance.getTime()) // 过期时间
.sign(Algorithm.HMAC256("kjkjk@"));// 签名
System.out.println(sign);
}
3、运行结果如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE2MjU2NzAyODUsInVzZXJJZCI6MSwidXNlcm5hbWUiOiJ4aWFvY2hlbiJ9.VgdUGM_qSz4om0Xqu8RxcHPDURz4Ra7ZLgcgx7H_C9g
4、编写JWTUtil工具类
public class JWTUtil {
private static final String SING = "!QAZWSX234EDCRFV45TGB6YHNUJM78KKI";
/**
* 生成token,header.payload.sing
* @return
*/
public static String getToken(Map map){
Calendar instance = Calendar.getInstance();
instance.add(Calendar.DATE,7); //默认7天过期
// 创建jwt builder
JWTCreator.Builder builder = JWT.create();
// 将map中的payload 放入
map.forEach((k,v)->{
builder.withClaim(k,v);
});
String token = builder.withExpiresAt(instance.getTime()) // 指定令牌过期时间
.sign(Algorithm.HMAC256(SING));// sign
return token;
}
/**
* 验证token 合法性
* @param token
*/
public static DecodedJWT verify(String token){
return JWT.require(Algorithm.HMAC256(SING)).build().verify(token);
}
}
5、springboot整合jwt
(1)、创建springboot项目,引入相关依赖
com.auth0
java-jwt
3.4.0
org.mybatis.spring.boot
mybatis-spring-boot-starter
org.projectlombok
lombok
com.alibaba
druid
mysql
mysql-connector-java
6、编写测试登录接口,此接口如果用户密码没有问题,会返回token
@GetMapping("/user/login")
public Map login(String username, String password){
log.info("用户名:"+username+" 密码:"+password);
Map map = new HashMap();
UserInfo userInfo = new UserInfo();
userInfo.setUsername(username);
userInfo.setPassword(password);
try {
UserInfo login = userInfoService.login(userInfo);
Map payload = new HashMap<>();
payload.put("id",login.getId()+"");
payload.put("name",login.getUsername());
// 生成jwt的令牌
String token = JWTUtils.getToken(payload);
map.put("state",true);
map.put("msg","认证成功");
map.put("token",token);
}catch (Exception e){
map.put("state",false);
map.put("msg",e.toString());
}
return map;
}
7、此接口正常返回值如下:
{"msg":"认证成功","state":true,"token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoibGFvd2FuZyIsImlkIjoiNSIsImV4cCI6MTYyNjcwNDQ1Mn0.zSkmjdWTJBig8tSRkzWF5FB65iJUL4PTohNgZaJqQSw"}8、编写测试token接口,此接口模拟的是一个有安全性要求的接口,必须验证用户登录才可以访问的接口。
@GetMapping(value = "/user/test")
public Map test(String token){
Map map = new HashMap<>();
log.info("输入的token为:{{}}",token);
try {
JWTUtils.verify(token);
map.put("state",true);
map.put("msg","请求成功!");
return map;
}catch (SignatureVerificationException e){
map.put("msg","无效签名!");
e.printStackTrace();
}catch (TokenExpiredException e){
map.put("msg","token过期!");
e.printStackTrace();
}catch (AlgorithmMismatchException e){
map.put("msg","token算法不一致");
e.printStackTrace();
}catch (Exception e){
map.put("msg","token无效!");
e.printStackTrace();
}
map.put("state",false);
return map;
} 9、测试结果如下:
{"msg":"请求成功!","state":true}
{"msg":"无效签名!","state":false}
{"msg":"token过期!","state":false}
{"msg":"token算法不一致!","state":false}
{"msg":"token无效!","state":false}10、在实际的项目开发中,我们不可能每个接口中都去写验证token的代码,我们通常会将token验证的代码放在一个拦截器中,通过拦截器拦截所有请求,在拦截器中验证一个请求是否带有token即是否登录,下面在項目中創建一個带有intercept包,在此包下定义一个拦截器JWTIntercept。
@Slf4j
public class JWTIntercept implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String token = request.getHeader("token");
Map map = new HashMap<>();
log.info("输入的token为:{{}}",token);
try {
JWTUtils.verify(token);
return true;
}catch (SignatureVerificationException e){
map.put("msg","无效签名!");
e.printStackTrace();
}catch (TokenExpiredException e){
map.put("msg","token过期!");
e.printStackTrace();
}catch (AlgorithmMismatchException e){
map.put("msg","token算法不一致");
e.printStackTrace();
}catch (Exception e){
map.put("msg","token无效!");
e.printStackTrace();
}
map.put("state",false);
// 将map转为json,然后将map的json数据返回给前端
String jsonStr = new ObjectMapper().writeValueAsString(map);
response.setContentType("application/json;charset=UTF-8");
response.getWriter().println(jsonStr);
return false;
}
} 11、創建一个config的包,在此包下创建一个拦截器的配置类InterceptConfig,此配置类用于让我们自定义的拦截器生效
@Configuration
public class InterceptConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new JWTIntercept())
.addPathPatterns("/user/test") // 正常情况下 拦截所有请求/**,因测试需要就先拦截/user/test
.excludePathPatterns("/user/login"); //放心登录接口,因为要通过登录获取token
}
}12、修改user/test接口,进行拦截器的验证
@GetMapping(value = "/user/test")
public Map test(String token){
Map map = new HashMap<>();
map.put("state",true);
map.put("msg","操作成功");
return map;
} 13、验证方式
a、调用此接口,如果返回token无效,然后调用登录接口拿到token之后,将此token值放入请求头中,在调用test接口,如果返回操作成功则拦截器生效。