JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
JWT的组成
一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。简单说明就到此为止,下面我们简单介绍如何使用JWT。
1、引入相关的包
在pom.xml中引入JWT的包,和SpringMVC包。
1
2
3
4
5
6
7
8
9
| <dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.8.0</version>
</dependency>
|
2、定义加密的秘钥
这个可以省略,可以使用用户的密码作为加密秘钥。
1
2
3
| public class ConstantKey {
public static final String PICEA_JWT_KEY = "spring-boot-jwt-key~#^";
}
|
3、直接在控制类里面引入JWT生成方法
主要说明JWT.create()方法,注释中说明了
withAudience(name) // 将 user id 保存到 token 里面withExpiresAt(new Date(System.currentTimeMillis() + 2 * 60 * 1000)) //定义token的有效期sign(Algorithm.HMAC256(ConstantKey.PICEA_JWT_KEY));// 加密秘钥,也可以使用用户保持在数据库中的密码字符串。
最后我们得到的JWT,其实是如下一串字符串。
1
| eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiJ6aGFuZ3NhbiIsImV4cCI6MTU1NTQ5MzI0OH0.FZISiYvyLJcrARe0nC8umMZ_MdR0YMkjMXI2mXYUncE
|
控制类的代码如下。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
| @RestController
public class PiceaContoller {
@RequestMapping("/login")
public Object login(String name, String password) throws Exception {
/**
* 这里为了简单,就不验证用户名和密码的正确性了,实际验证跟其他的方式一样,
* 就是比对一下输入的用户名密码跟数据的数据是否一样
*/
String token = "";
token = JWT.create()
.withAudience(name)// 将 user id 保存到 token 里面
.withExpiresAt(new Date(System.currentTimeMillis() + 2 * 60 * 1000))//定义token的有效期
.sign(Algorithm.HMAC256(ConstantKey.PICEA_JWT_KEY));// 加密秘钥,也可以使用用户保持在数据库中的密码字符串
return token;
}
@RequestMapping("/queryPicea")
public String queryPicea() {
String ret = "通过验证";
return ret;
}
}
|
4、使用拦截器实现认证
如果你对拦截器还不明白,请移步Spring Boot使用处理器拦截器HandlerInterceptor。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
| public class AuthenticationInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
String token = httpServletRequest.getHeader("token");
if(!(object instanceof HandlerMethod)){
return true;
}
HandlerMethod handlerMethod=(HandlerMethod)object;
Method method=handlerMethod.getMethod();
if ("login".equals(method.getName())) {
return true;
}
if (token == null) {
throw new RuntimeException("无token,请重新登录");
}
String name;
try {
name = JWT.decode(token).getAudience().get(0);
} catch (JWTDecodeException j) {
throw new RuntimeException("401");
}
JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(ConstantKey.PICEA_JWT_KEY)).build();
try {
jwtVerifier.verify(token);
} catch (JWTVerificationException e) {
throw new RuntimeException("401");
}
return true;
}
@Override
public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
}
}
|
5、建立InterceptorConfig注册拦截器
1
2
3
4
5
6
7
8
9
10
11
12
13
| @Configuration
public class InterceptorConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(authenticationInterceptor())
.addPathPatterns("/**");
}
@Bean
public AuthenticationInterceptor authenticationInterceptor() {
return new AuthenticationInterceptor();
}
}
|
转载自:https://www.jianshu.com/p/e52f9fbf8bb8
