文章目录
前言
登陆功能是每个系统的最基本功能,在SSM技术栈中,登陆状态验证一般会使用服务端的session,但是session并没有想象中的那么好用,经常会出现由于sessionid不一致导致的信息丢失,更好的解决方案就是使用JWT的Token生成。
一、JWT是什么?
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息,该信息可以被验证和信任,因为它是数字签名的,常用于单点登录。
JWT-token
JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是:头部,载荷,签名
- Header
头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象,示例:{“typ”:“JWT”,“alg”:“HS256”}
在头部指明了签名算法是HS256算法。 我们可以通过BASE64进行编码/解码:https://www.matools.com/base64/ - Payload
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分。
1.标准中注册的声明(建议但不强制使用):例如:sub表示jwt所面向的用户
2.公共的声明:可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.
3.私有的声明:私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
例如:定义一个payload:
{“sub”:“1234567890”,“name”:“John Doe”,“admin”:true}
然后将其进行base64加密,得到Jwt的第二部分:eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9 - Signature
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:header + payload + secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了
本次使用jwt的token生成来实现一个登陆状态的验证。
二、使用步骤
1.创建项目,导入依赖,配置、引入工具类
本次使用mybatis-plus的一键生成项目,具体的步骤可以查看我之前的文章mybatis-plus详解http://t.csdn.cn/F0QcR
引入依赖
<!-- jwt -->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-impl</artifactId>
<version>0.11.2</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-api</artifactId>
<version>0.11.2</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-jackson</artifactId>
<version>0.11.2</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-pool2</artifactId>
<version>2.7.0</version>
</dependency>
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-text</artifactId>
<version>1.8</version>
</dependency>
生成token的工具类:
package com.lzl.utils;
import io.jsonwebtoken.*;
import org.apache.commons.lang3.time.DateUtils;
import javax.crypto.spec.SecretKeySpec;
import java.security.Key;
import java.util.Date;
//jwt工具类
public class JwtHelper {
// 生成Jwt
public static String jwsWithHS(SignatureAlgorithm signatureAlgorithm, String userInfo, int num, String secret) {
Key key = new SecretKeySpec(secret.getBytes(), signatureAlgorithm.getJcaName());
Claims claims = Jwts.claims();
claims.setSubject(userInfo); // jwt的信息的本身
claims.setExpiration(DateUtils.addSeconds(new Date(), num)); //设置jwt多少秒过期
String jws = Jwts.builder()
.setClaims(claims).signWith(key, signatureAlgorithm).compact();
return jws;
}
// 校验Jwt
public static Jwt verifySign(String jws, String secret, SignatureAlgorithm signatureAlgorithm) {
Key key = new SecretKeySpec(secret.getBytes(), signatureAlgorithm.getJcaName());
Jwt jwt = Jwts.parserBuilder().setSigningKey(key).build().parse(jws);
return jwt;
}
}
本次使用的secret:
由于我们需要在controller中使用,所以把两个参数,密钥和加密方式配置在yml文件中
这个secret可以去https://jwt.io/网站生成
上边选择加密方法,下边输入你想加密的信息,左侧会显示出加密后的信息。
2.编写LoginController和UserController
package com.lzl.controller;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.lzl.pojo.User;
import com.lzl.service.UserService;
import com.lzl.utils.JwtHelper;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.HashMap;
import java.util.Map;
/**
* --效率,是成功的核心关键--
*
* @Author lzl
* @Date 2023/3/21 08:21
*/
@RestController
@RequestMapping("/login")
public class LoginController {
@Value("${jwt.secret}")
private String secret;
@Value("${jwt.signature-algorithm}")
private String algorithm;
@Autowired
private UserService service;
@RequestMapping("/verify")
public Map<String,Object> loginVerify(User user){
Map<String, Object> map = new HashMap<>();
//去库中查询
QueryWrapper<User> wrapper = new QueryWrapper<>();
wrapper.eq("username",user.getUsername())
.eq("password",user.getPassword());
User one = service.getOne(wrapper);
if(one != null){
map.put("username",one.getUsername());
//登录成功,生成token
String token = JwtHelper.jwsWithHS(
SignatureAlgorithm.forName(algorithm),
user.getUsername(),
3600,
secret
);
map.put("token",token);
}
return map;
}
}
package com.lzl.controller;
import com.lzl.pojo.User;
import com.lzl.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.List;
/**
* <p>
* 前端控制器
* </p>
*
* @author zhenLong
* @since 2023-03-20
*/
@RestController
@RequestMapping("/user")
public class UserController {
@Autowired
private UserService service;
@RequestMapping("/getAll")
public List<User> getUser(){
return service.list();
}
}
3.编写跨域拦截器和token验证拦截器
package com.lzl.interceptor;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
* --效率,是成功的核心关键--
* 拦截器,用于处理跨域请求
*
* @Author lzl
* @Date 2022/10/1 10:20
*/
public class CrossOriginInterceptor implements HandlerInterceptor {
//主要逻辑:在handler之前执行:抽取handler中的冗余代码
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
String origin = request.getHeader("Origin");
// 允许的跨域
response.setHeader("Access-Control-Allow-Origin",origin);
// 允许携带Cookie
response.setHeader("Access-Control-Allow-Credentials","true");
// 允许的请求头 预检请求需要这个设置
response.setHeader("Access-Control-Allow-Headers", "Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,Authorization,Access-Token,token");
response.setHeader("Access-Control-Expose-Headers", "*");//响应客户端的头部 允许携带Token 等等
response.setHeader("Access-Control-Max-Age", "3600"); // 预检请求的结果缓存时间
if (request.getMethod().equals("OPTIONS")){
return false;
}
return true;
}
//在handler之后执行:进一步的响应定制
@Override
public void postHandle(HttpServletRequest request,
HttpServletResponse response, Object handler,
ModelAndView modelAndView) throws Exception {
}
//在页面渲染完毕之后,执行:资源回收
@Override
public void afterCompletion(HttpServletRequest request,
HttpServletResponse response, Object handler, Exception ex)
throws Exception {
}
}
package com.lzl.interceptor;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;
/**
* --效率,是成功的核心关键--
* token验证拦截器
* @Author lzl
* @Date 2023/3/21 08:19
*/
public class VerifyTokenInterceptor implements HandlerInterceptor {
//在controller之前执行
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String token = request.getHeader("token");
/*
请求走到这,证明是非login方法(login方法已经被放行),验证token是否存在,不存在直接拦截
存在?验证是否有效,有效放行,无效拦截
*/
if (token == null){
response.setStatus(500);
Map<String, Object> map = new HashMap<>();
response.setContentType("application/json;charset=utf-8");
//is null or token unavailable
map.put("msg","登陆状态已过期");
map.put("code",500);
response.getWriter().write(new ObjectMapper().writeValueAsString(map));
return false;
}
return true;
}
}
4.全局拦截器配置
在springboot中配置拦截器需要对拦截器进行注册
package com.lzl.config;
import com.lzl.interceptor.CrossOriginInterceptor;
import com.lzl.interceptor.VerifyTokenInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
/**
* --效率,是成功的核心关键--
* 拦截器配置
*
* @Author lzl
* @Date 2023/1/26 14:12
*/
@Configuration
public class GlobalInterceptorConfig implements WebMvcConfigurer {
@Override //拦截器配置
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new CrossOriginInterceptor()) //拦截器跨域注册对象
.addPathPatterns("/**"); //指定要拦截的请求
registry.addInterceptor(new VerifyTokenInterceptor())//token验证拦截器
.addPathPatterns("/**")
.excludePathPatterns("/login/*"); //排除请求
}
}
三、业务逻辑
登陆状态验证的业务逻辑很简单,主要流程如下:
首先,用户没有登陆的情况下,用户无法访问除了login路径下的接口,以外的任何一个接口,访问的时候直接将页面重定向到登录页,若是前后端分离项目,则给前端返回错误状态码,让前端将用户跳转到登陆页。用户通过login接口输入正确的帐号和密码,后端生成一个token,并返回给前端,可以设置在请求头,或者以参数的形式传递,当前端拿到这个token时就可以访问登陆以外的页面了。
四、测试
当没有登陆状态时
访问login方法登陆,传回来一个token
携带token访问后端方法
访问成功
总结
这里只是对token简单的使用,在微服务架构中,token一般用于单点登陆验证,即登陆完成后,将token传到redis中存储,当访问除了登陆以外的其它服务时,去redis中查找。