当前位置: 移动技术网 > IT编程>开发语言>Java > SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题

SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题

2019年07月11日  | 移动技术网IT编程  | 我要评论

杜蕾斯女孩,弱智皇后不好欺,海运运价

github源码地址:知了一笑
https://github.com/cicadasmile/middle-ware-parent

一、传统session认证

1、认证过程

1、用户向服务器发送用户名和密码。
2、服务器验证后在当前对话(session)保存相关数据。
3、服务器向返回sessionid,写入客户端 cookie。
4、客户端每次请求,需要通过 cookie,将 sessionid 回传服务器。
5、服务器收到 sessionid,验证客户端。

2、存在问题

1、session保存在服务端,客户端访问高并发时,服务端压力大。
2、扩展性差,服务器集群,就需要 session 数据共享。

二、jwt简介

jwt(全称:json web token),在基于http通信过程中,进行身份认证。

1、认证流程

1、客户端通过用户名和密码登录服务器;
2、服务端对客户端身份进行验证;
3、服务器认证以后,生成一个 json 对象,发回客户端;
4、客户端与服务端通信的时候,都要发回这个 json 对象;
5、服务端解析该json对象,获取用户身份;
6、服务端可以不必存储该json(token)对象,身份信息都可以解析出来。

2、jwt结构说明

抓一只鲜活的token过来。

{
    "msg": "验证成功",
    "code": 200,
    "token": "eyj0exaioijkv1qilcjhbgcioijiuzuxmij9.
              eyjzdwiioijhzg1pbiisimlhdci6izeij3fq.
              uejsjagjf1j7a55wwr1bgsb5yqoayz5rbftf"
}

上面的token被手动格式化了,实际上是用"."分隔的一个完整的长字符串。

jwt结构

1、头部(header) 声明类型以及加密算法;
2、负载(payload) 携带一些用户身份信息;
3、签名(signature) 签名信息。

3、jwt使用方式

通常推荐的做法是客户端在 http 请求的头信息authorization字段里面。

authorization: bearer <token>

服务端获取jwt方式

string token = request.getheader("token");

三、与springboot2整合

1、核心依赖文件

<dependency>
    <groupid>io.jsonwebtoken</groupid>
    <artifactid>jjwt</artifactid>
    <version>0.7.0</version>
</dependency>

2、配置文件

server:
  port: 7009
spring:
  application:
    name: ware-jwt-token
config:
  jwt:
    # 加密密钥
    secret: iwqjhda8232bjgh432[cicada-smile]
    # token有效时长
    expire: 3600
    # header 名称
    header: token

3、jwt配置代码块

@configurationproperties(prefix = "config.jwt")
@component
public class jwtconfig {
    /*
     * 根据身份id标识,生成token
     */
    public string gettoken (string identityid){
        date nowdate = new date();
        //过期时间
        date expiredate = new date(nowdate.gettime() + expire * 1000);
        return jwts.builder()
                .setheaderparam("typ", "jwt")
                .setsubject(identityid)
                .setissuedat(nowdate)
                .setexpiration(expiredate)
                .signwith(signaturealgorithm.hs512, secret)
                .compact();
    }
    /*
     * 获取 token 中注册信息
     */
    public claims gettokenclaim (string token) {
        try {
            return jwts.parser().setsigningkey(secret).parseclaimsjws(token).getbody();
        }catch (exception e){
            e.printstacktrace();
            return null;
        }
    }
    /*
     * token 是否过期验证
     */
    public boolean istokenexpired (date expirationtime) {
        return expirationtime.before(new date());
    }
    private string secret;
    private long expire;
    private string header;
    // 省略 get 和 set
}

四、token拦截案例

1、配置token拦截器

@component
public class tokeninterceptor extends handlerinterceptoradapter {
    @resource
    private jwtconfig jwtconfig ;
    @override
    public boolean prehandle(httpservletrequest request,
                             httpservletresponse response,
                             object handler) throws exception {
        // 地址过滤
        string uri = request.getrequesturi() ;
        if (uri.contains("/login")){
            return true ;
        }
        // token 验证
        string token = request.getheader(jwtconfig.getheader());
        if(stringutils.isempty(token)){
            token = request.getparameter(jwtconfig.getheader());
        }
        if(stringutils.isempty(token)){
            throw new exception(jwtconfig.getheader()+ "不能为空");
        }
        claims claims = jwtconfig.gettokenclaim(token);
        if(claims == null || jwtconfig.istokenexpired(claims.getexpiration())){
            throw new exception(jwtconfig.getheader() + "失效,请重新登录");
        }
        //设置 identityid 用户身份id
        request.setattribute("identityid", claims.getsubject());
        return true;
    }
}

2、拦截器注册

@configuration
public class webconfig implements webmvcconfigurer {
    @resource
    private tokeninterceptor tokeninterceptor ;
    public void addinterceptors(interceptorregistry registry) {
        registry.addinterceptor(tokeninterceptor).addpathpatterns("/**");
    }
}

3、测试接口代码

@restcontroller
public class tokencontroller {
    @resource
    private jwtconfig jwtconfig ;
    // 拦截器直接放行,返回token
    @postmapping("/login")
    public map<string,string> login (@requestparam("username") string username,
                                     @requestparam("password") string password){
        map<string,string> result = new hashmap<>() ;
        // 省略数据源校验
        string token = jwtconfig.gettoken(username+password) ;
        if (!stringutils.isempty(token)) {
            result.put("token",token) ;
        }
        result.put("username",username) ;
        return result ;
    }
    // 需要 token 验证的接口
    @postmapping("/info")
    public string info (){
        return "info" ;
    }
}

五、源代码地址

github地址:知了一笑
https://github.com/cicadasmile/middle-ware-parent
码云地址:知了一笑
https://gitee.com/cicadasmile/middle-ware-parent


您可能感兴趣的文章:

如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网