springboot集成JWT
SpringBoot集成Jwt(详细步骤+图解)
Jwt简介
JWT是JSON Web Token的缩写,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。JWT本身没有定义任何技术实现,它只是定义了一种基于Token的会话管理的规则,涵盖Token需要包含的标准内容和Token的生成过程,特别适用于分布式站点的单点登录(SSO) 场景。
JSON Web Token是目前最流行的跨域认证解决方案,,适合前后端分离项目通过Restful API进行数据交互时进行身份认证,他将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即可通过验证。
优点
1.简洁:可以通过URL、POST参数或者在HTTP header发送,数据量小,传输速度快。
2.自包含:负载中可以包含用户所需的信息,避免多次查询数据库。
3.因为Token是以JSON加密的形式保存在客户端,所以JWT是跨语言的,原则上任何web形式都支持。
4.不需要在服务端保存会话信息,特别适用于分布式微服务。
缺点
1 .无法作废已颁布的令牌。
2.不易应对数据过期。
Jwt构成
Header(头部):放有签名算法和令牌类型
Payload(负载):你在令牌上附带的信息:比如用户的姓名,这样以后验证了令牌之后就可以直接从这里获取信息而不用再查数据库了
Signature(签名):对前两部分的签名,防止数据篡改
(注:三部分用.隔开)
接下来是集成JWT的详细步骤
- 在项目的pom文件中加入Jwt依赖
com.auth0
java-jwt
3.4.0
- 创建用户实体类
package com.example.manageserve.controller.dto; import lombok.Data; //接收前端请求的参数 @Data public class UserDTO { private String username; private String password; private String nickname; private String token; }(注:自行创建所需的用户信息例如账号、密码,定义token变量)
- 创建TokenUtils(生成/验证)工具类
package com.example.manageserve.utils; import cn.hutool.core.date.DateUtil; import cn.hutool.core.util.StrUtil; import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.example.manageserve.entity.User; import com.example.manageserve.service.IUserService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Component; import org.springframework.web.context.request.RequestContextHolder; import org.springframework.web.context.request.ServletRequestAttributes; import javax.annotation.PostConstruct; import javax.servlet.http.HttpServletRequest; import java.util.Date; @Component public class TokenUtils { private static IUserService staticUserService; @Autowired private IUserService userService; @PostConstruct public void setUserService(){ staticUserService = userService; } //生成token public static String genToken(String userId, String sign) { return JWT.create().withAudience(userId) // 将 user id 保存到 token 里面,作为载荷 .withExpiresAt(DateUtil.offsetHour(new Date(), 2)) // 2小时后token过期 .sign(Algorithm.HMAC256(sign)); // 以 password 作为 token 的密钥 } //获取当前用户对象信息 public static User getCurrentUser(){ try { HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest(); String token = request.getHeader("token"); if (StrUtil.isNotBlank(token)){ String userId = JWT.decode(token).getAudience().get(0); return staticUserService.getById(Integer.valueOf(userId)); } } catch (Exception e) { return null; } return null; } } - 创建Jwt拦截器 JwtInterceptor(拦截所有请求验证token)
package com.example.manageserve.config.interceptor; import cn.hutool.core.util.StrUtil; import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.exceptions.JWTDecodeException; import com.auth0.jwt.exceptions.JWTVerificationException; import com.auth0.jwt.interfaces.JWTVerifier; import com.example.manageserve.common.Constants; import com.example.manageserve.entity.User; import com.example.manageserve.exception.ServiceException; import com.example.manageserve.service.IUserService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.method.HandlerMethod; import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class JwtInterceptor implements HandlerInterceptor { @Autowired private IUserService userService; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { String token = request.getHeader("token"); //如果不映射到方法直接通过 if(!(handler instanceof HandlerMethod)){ return true; } // 执行认证 if (StrUtil.isBlank(token)) { throw new ServiceException(Constants.CODE_401, "无token,请重新登录"); } // 获取 token 中的userId String userId; try { userId = JWT.decode(token).getAudience().get(0); } catch (JWTDecodeException j) { throw new ServiceException(Constants.CODE_401, "token验证失败"); } //根据token中的userid查询数据库 User user = userService.getById(userId); if (user == null) { throw new ServiceException(Constants.CODE_401, "用户不存在,请重新登录"); } // 用户密码加签验证 token JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build(); try{ jwtVerifier.verify(token); // 验证token } catch (JWTVerificationException e) { throw new ServiceException(Constants.CODE_401, "token验证失败,请重新登录"); } return true; } } - 将拦截器注入到SpirngMVC
package com.example.manageserve.config; import com.example.manageserve.config.interceptor.JwtInterceptor; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class InterceptorConfig implements WebMvcConfigurer { @Override public void addInterceptors (InterceptorRegistry registry){ registry.addInterceptor(jwtInterceptor()) .addPathPatterns("/**") //拦截所有请求,通过判断token是否合法来决定是否需要登录 .excludePathPatterns("/user/login","/user/register"); } @Bean public JwtInterceptor jwtInterceptor(){ return new JwtInterceptor(); } } - 创建Controller进行测试
package com.example.manageserve.controller; import cn.hutool.core.util.StrUtil; import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper; import com.baomidou.mybatisplus.extension.plugins.pagination.Page; import com.example.manageserve.common.Constants; import com.example.manageserve.common.Result; import com.example.manageserve.controller.dto.UserDTO; import com.example.manageserve.utils.TokenUtils; import org.springframework.web.bind.annotation.*; import javax.annotation.Resource; import java.util.List; import com.example.manageserve.service.IUserService; import com.example.manageserve.entity.User; import org.springframework.web.bind.annotation.RestController; /** ** 前端控制器 *
* * @author zuozhe * @since 2023-01-12 */ @RestController @RequestMapping("/user") public class UserController { //写逻辑代码生成 @Resource private IUserService userService; //登录 @PostMapping("/login") public Result login(@RequestBody UserDTO userDTO) { String username = userDTO.getUsername(); String password = userDTO.getPassword(); if (StrUtil.isBlank(username) || StrUtil.isBlank(password)){ return Result.error(Constants.CODE_400,"参数错误"); } UserDTO dto = userService.login(userDTO); return Result.success(dto); } //注册 @PostMapping("/register") public Result register(@RequestBody UserDTO userDTO) { String username = userDTO.getUsername(); String password = userDTO.getPassword(); if (StrUtil.isBlank(username) || StrUtil.isBlank(password)){ return Result.error(Constants.CODE_400,"参数错误"); } return Result.success(userService.register(userDTO)); } //新增或者更新 @PostMapping public boolean save(@RequestBody User user) { return userService.saveOrUpdate(user); } //删除数据 @DeleteMapping("/{id}") public boolean delete(@PathVariable Integer id) { return userService.removeById(id); } //查询所有数据 @GetMapping public ListfindAll() { return userService.list(); } //根据id查询 @GetMapping("/id") public User findOne(@PathVariable Integer id) { return userService.getById(id); } //个人信息补充 @GetMapping("/username/{username}") public User findOne(@PathVariable String username) { QueryWrapper queryWrapper = new QueryWrapper<>(); queryWrapper.eq("username",username); return userService.getOne(queryWrapper); } //分页查询 @GetMapping("/page") public Page findPage(@RequestParam Integer pageNum, @RequestParam Integer pageSize, @RequestParam(defaultValue = "")String username, @RequestParam(defaultValue = "")String phone, @RequestParam(defaultValue = "")String buildingId){ QueryWrapper queryWrapper = new QueryWrapper<>(); if (!"".equals(username)){ queryWrapper.like("username",username); } if (!"".equals(phone)){ queryWrapper.like("phone",phone); } if (!"".equals(buildingId)){ queryWrapper.like("building_id",buildingId); } //获取当前用户信息 User currentUser = TokenUtils.getCurrentUser(); System.out.println(currentUser.getUsername()); return userService.page(new Page<> (pageNum , pageSize),queryWrapper); } } (注:有一些增删改查的业务可忽略)
-
前端request.js
import axios from 'axios'
import ElementUI from "element-ui";
import router from "@/router";
const request = axios.create({
baseURL: 'http://localhost:9090', // 注意!! 这里是全局统一加上了 '/api' 前缀,也就是说所有接口都会加上'/api'前缀在,页面里面写接口的时候就不要加 '/api'了,否则会出现2个'/api',类似 '/api/api/user'这样的报错,切记!!!
timeout: 5000
})
// request 拦截器
// 可以自请求发送前对请求做一些处理
// 比如统一加token,对请求参数统一加密
request.interceptors.request.use(config => {
config.headers['Content-Type'] = 'application/json;charset=utf-8';
let user = localStorage.getItem("user") ? JSON.parse(localStorage.getItem("user")) : {};
if (user){
config.headers['token'] = user.token; // 设置请求头
}
return config
}, error => {
return Promise.reject(error)
});
// response 拦截器
// 可以在接口响应后统一处理结果
request.interceptors.response.use(
response => {
let res = response.data;
// 如果是返回的文件
if (response.config.responseType === 'blob') {
return res
}
// 兼容服务端返回的字符串数据
if (typeof res === 'string') {
res = res ? JSON.parse(res) : res
}
//当权限验证不通过时给出提示
if (res.code === '401'){
ElementUI.Message({
message : res.msg,
type : 'error'
});
//重定向到登陆页面
router.replace({
path : '/Login'
})
}
return res;
},
error => {
console.log('err' + error) // for debug
return Promise.reject(error)
}
)
export default request
效果图
直接访问user页面回车
显示无token,请重新登录
