springboot整合jwt实现token,简明笔记
1、什么是JWT
-
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。
-
它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。
-
JWT详细讲解请见 github:https://github.com/jwtk/jjwt
1.1传统Cookie+Session与JWT对比
① 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId。
cookie+session这种模式通常是保存在内存中,而且服务从单服务到多服务会面临的session共享问题,随着用户量的增多,开销就会越大。而JWT不是这样的,只需要服务端生成token,客户端保存这个token,每次请求携带这个token,服务端认证解析就可。
② JWT方式校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录,验证token更为简单。
1.2 JWT的组成
三部分:
- 第一部分为头部(header)
- 第二部分我们称其为载荷(payload)
- 第三部分是签证(signature) 由前两部分组成
各部分之间,用.分隔。
例如:
KV1QiLCJhbGciOiJIUzUxMiJ9.eyJzdWIiiwiaWF0IjoxNTY1NTk3MDUzLCJleHAiOjE1NjU2MDA2NTN9.afw5WFm-TwZltGWb1Xs6oBEk5QdaLzlHxDM73IOyeKPF_iN1bLvDAlB7UnSu-Z-Zs
2、引入依赖
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
3、编写工具类
编写工具类,静态方法,便于调用:
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import java.util.Calendar;
public class JwtUitls {
//token超时变量,N(秒)后
public static final int TOKEN_TIMEOUT = 60*60*1;
// 密钥
public static final String APP_SECRET = "xxx@#$%^&dong";
//生成token方法:传入用户名、用户ID 作为payload写入,便于后期解析
public static String createToken(int id,String name) {
Calendar instance=Calendar.getInstance();
instance.add(Calendar.SECOND,TOKEN_TIMEOUT);
String token=JWT.create()
.withClaim("uid",id) //payload,写入变量,用户ID
.withClaim("uname",name) //payload,写入变量,用户名
.withExpiresAt(instance.getTime()) //设置过期
.sign(Algorithm.HMAC256(APP_SECRET));//签名及算法
return token;
}
//验证token合法性
public static DecodedJWT verify(String token){
// 此处如果没有出异常,说明传入token合法且未过期
DecodedJWT verify=JWT.require(Algorithm.HMAC256(APP_SECRET)).build().verify(token);
return verify;
}
public static DecodedJWT getTokenInfo(String token){
try {
DecodedJWT verify=JWT.require(Algorithm.HMAC256(APP_SECRET)).build().verify(token);
return verify;
}catch (Exception e){
return null;
}
}
}
4、编写拦截器
import com.auth0.jwt.exceptions.AlgorithmMismatchException;
import com.auth0.jwt.exceptions.SignatureVerificationException;
import com.auth0.jwt.exceptions.TokenExpiredException;
import com.fd.demo.Uitls.JwtUitls;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;
public class JwtInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//获取请求头中传过来的token
String token = request.getHeader("X-Token");
Map<String, Object> map = new HashMap<>();
try {
//校验token
JwtUitls.verify(token);
return true;// 放行 令牌正常才会执行到这里
} catch (SignatureVerificationException e) {
//无效签名
map.put("msg", "无效签名");
} catch (TokenExpiredException e) {
//过期
map.put("msg", "token过期");
} catch (AlgorithmMismatchException e) {
//算法不一致
map.put("msg", "算法不一致");
} catch (Exception e) {
//token无效
map.put("msg", "无效token...");
}
map.put("code", 501);
// 把返回的map封装为JSON
String json = new ObjectMapper().writeValueAsString(map);
//设置响应类型和编码
response.setContentType("application/json;charset=UTF-8");
//返回响应
response.getWriter().println(json);
return false;
}
}
5、配置拦截器(配置类)
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
//添加拦截器方法 传入我们自己的拦截器 这里的拦截器,是使用的JWT定义的拦截器
registry.addInterceptor(new JwtInterceptor())
.addPathPatterns("/**") //拦截规则 所有
.excludePathPatterns("/api/user/login") //例外规则
.excludePathPatterns("/swagger-resources/**") //下面的例外规则,是swagger的
.excludePathPatterns("/webjars/**")
.excludePathPatterns("/v2/**")
.excludePathPatterns("/swagger-ui.html/**");
}
}
6、创建token
//登录逻辑 略。。
//登录验证成功
String token = JwtUitls.createToken(用户id, 用户名);
//返回创建好的token
7、校验token
//....
//获取请求来的token,调用工具类方法
DecodedJWT tokenInfo = JwtUitls.getTokenInfo(token);
if (tokenInfo!=null){
//token中解析payload
Integer uid = tokenInfo.getClaim("uid").asInt();
String uname = tokenInfo.getClaim("uname").asString()
}