Spring Boot認證:整合Jwt
背景
Jwt全稱是:json web token。它將用戶信息加密到token裏,服務器不保存任何用戶信息。服務器經過使用保存的密鑰驗證token的正確性,只要正確即經過驗證。java
優勢
- 簡潔: 能夠經過
URL、POST參數或者在HTTP header發送,由於數據量小,傳輸速度也很快; - 自包含:負載中能夠包含用戶所須要的信息,避免了屢次查詢數據庫;
- 由於
Token是以JSON加密的形式保存在客戶端的,因此JWT是跨語言的,原則上任何web形式都支持; - 不須要在服務端保存會話信息,特別適用於分佈式微服務。
缺點
- 沒法做廢已頒佈的令牌;
- 不易應對數據過時。
1、Jwt消息構成
1.1 組成
一個token分3部分,按順序爲git
- 頭部(
header) - 載荷(
payload) - 簽證(
signature)
三部分之間用.號作分隔。例如:github
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIxYzdiY2IzMS02ODFlLTRlZGYtYmU3Yy0wOTlkODAzM2VkY2UiLCJleHAiOjE1Njk3Mjc4OTF9.wweMzyB3tSQK34Jmez36MmC5xpUh15Ni3vOV_SGCzJ8
複製代碼
1.2 header
Jwt的頭部承載兩部分信息:web
- 聲明類型,這裏是
Jwt - 聲明加密的算法 一般直接使用
HMAC SHA256
Jwt裏驗證和簽名使用的算法列表以下:redis
| JWS | 算法名稱 |
|---|---|
| HS256 | HMAC256 |
| HS384 | HMAC384 |
| HS512 | HMAC512 |
| RS256 | RSA256 |
| RS384 | RSA384 |
| RS512 | RSA512 |
| ES256 | ECDSA256 |
| ES384 | ECDSA384 |
| ES512 | ECDSA512 |
1.3 playload
載荷就是存放有效信息的地方。基本上填2種類型數據算法
- 標準中註冊的聲明的數據;
- 自定義數據。
由這2部份內部作base64加密。spring
- 標準中註冊的聲明 (建議但不強制使用)
iss: jwt簽發者
sub: jwt所面向的用戶
aud: 接收jwt的一方
exp: jwt的過時時間,這個過時時間必需要大於簽發時間
nbf: 定義在什麼時間以前,該jwt都是不可用的.
iat: jwt的簽發時間
jti: jwt的惟一身份標識,主要用來做爲一次性token,從而回避重放攻擊。
複製代碼
- 自定義數據:存放咱們想放在
token中存放的key-value值
1.4 signature
Jwt的第三部分是一個簽證信息,這個簽證信息由三部分組成 base64加密後的header和base64加密後的payload鏈接組成的字符串,而後經過header中聲明的加密方式進行加鹽secret組合加密,而後就構成了Jwt的第三部分。數據庫
2、Spring Boot和Jwt集成示例
示例代碼採用:json
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.8.1</version>
</dependency>
複製代碼
2.1 項目依賴
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.8.1</version>
</dependency>
<!-- redis -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<!-- lombok -->
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<scope>1.8.4</scope>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.47</version>
</dependency>
</dependencies>
複製代碼
2.2 自定義註解@JwtToken
加上該註解的接口須要登陸才能訪問springboot
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface JwtToken {
boolean required() default true;
}
複製代碼
2.3 Jwt 認證工具類JwtUtil.java
主要用來生成簽名、校驗簽名和經過簽名獲取信息
public class JwtUtil {
/** * 過時時間5分鐘 */
private static final long EXPIRE_TIME = 5 * 60 * 1000;
/** * jwt 密鑰 */
private static final String SECRET = "jwt_secret";
/** * 生成簽名,五分鐘後過時 * @param userId * @return */
public static String sign(String userId) {
try {
Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
Algorithm algorithm = Algorithm.HMAC256(SECRET);
return JWT.create()
// 將 user id 保存到 token 裏面
.withAudience(userId)
// 五分鐘後token過時
.withExpiresAt(date)
// token 的密鑰
.sign(algorithm);
} catch (Exception e) {
return null;
}
}
/** * 根據token獲取userId * @param token * @return */
public static String getUserId(String token) {
try {
String userId = JWT.decode(token).getAudience().get(0);
return userId;
} catch (JWTDecodeException e) {
return null;
}
}
/** * 校驗token * @param token * @return */
public static boolean checkSign(String token) {
try {
Algorithm algorithm = Algorithm.HMAC256(SECRET);
JWTVerifier verifier = JWT.require(algorithm)
// .withClaim("username", username)
.build();
DecodedJWT jwt = verifier.verify(token);
return true;
} catch (JWTVerificationException exception) {
throw new RuntimeException("token 無效,請從新獲取");
}
}
}
複製代碼
2.4 攔截器攔截帶有註解的接口
JwtInterceptor.java
public class JwtInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) {
// 從 http 請求頭中取出 token
String token = httpServletRequest.getHeader("token");
// 若是不是映射到方法直接經過
if(!(object instanceof HandlerMethod)){
return true;
}
HandlerMethod handlerMethod=(HandlerMethod)object;
Method method=handlerMethod.getMethod();
//檢查有沒有須要用戶權限的註解
if (method.isAnnotationPresent(JwtToken.class)) {
JwtToken jwtToken = method.getAnnotation(JwtToken.class);
if (jwtToken.required()) {
// 執行認證
if (token == null) {
throw new RuntimeException("無token,請從新登陸");
}
// 獲取 token 中的 userId
String userId = JwtUtil.getUserId(token);
System.out.println("用戶id:" + userId);
// 驗證 token
JwtUtil.checkSign(token);
}
}
return true;
}
@Override
public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
}
}
複製代碼
- 註冊攔截器:
WebConfig.java
@Configuration
public class WebConfig implements WebMvcConfigurer {
/** * 添加jwt攔截器 * @param registry */
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(jwtInterceptor())
// 攔截全部請求,經過判斷是否有 @JwtToken 註解 決定是否須要登陸
.addPathPatterns("/**");
}
/** * jwt攔截器 * @return */
@Bean
public JwtInterceptor jwtInterceptor() {
return new JwtInterceptor();
}
}
複製代碼
2.5 全局異常捕獲
@RestControllerAdvice
public class GlobalExceptionHandler {
@ResponseBody
@ExceptionHandler(Exception.class)
public Object handleException(Exception e) {
String msg = e.getMessage();
if (msg == null || msg.equals("")) {
msg = "服務器出錯";
}
JSONObject jsonObject = new JSONObject();
jsonObject.put("message", msg);
return jsonObject;
}
}
複製代碼
2.6 接口
JwtController.java
@RestController
@RequestMapping("/jwt")
public class JwtController {
/** * 登陸並獲取token * @param userName * @param passWord * @return */
@PostMapping("/login")
public Object login( String userName, String passWord){
JSONObject jsonObject=new JSONObject();
// 檢驗用戶是否存在(爲了簡單,這裏假設用戶存在,並製造一個uuid假設爲用戶id)
String userId = UUID.randomUUID().toString();
// 生成簽名
String token= JwtUtil.sign(userId);
Map<String, String> userInfo = new HashMap<>();
userInfo.put("userId", userId);
userInfo.put("userName", userName);
userInfo.put("passWord", passWord);
jsonObject.put("token", token);
jsonObject.put("user", userInfo);
return jsonObject;
}
/** * 該接口須要帶簽名才能訪問 * @return */
@JwtToken
@GetMapping("/getMessage")
public String getMessage(){
return "你已經過驗證";
}
}
複製代碼
2.7 Postman測試接口
2.7.1 在沒token的狀況下訪問jwt/getMessage接口
- 請求方式:
GET - 請求參數:無
- 請求地址:http://localhost:8080/jwt/getMessage
- 返回結果:
{
"message": "無token,請從新登陸"
}
複製代碼
2.7.2 先登陸,在訪問jwt/getMessage接口
- 登陸請求及結果,詳見下圖:
登陸後獲得簽名如箭頭處
- 在請求頭加上簽名,而後再請求
jwt/getMessage接口
請求經過,測試成功!
2.7.3 過時後再次訪問
咱們設置的簽名過時時間是五分鐘,五分鐘後再次訪問
jwt/getMessage接口,結果以下:
經過結果,咱們發現時間到了,簽名失效,說明該方案經過。
3、總結
3.1 示例源碼
3.2 技術交流
關注公衆號,瞭解更多:
相關文章
- 1. Spring Boot整合JWT實現用戶認證
- 2. spring-boot 整合 JWT+SpringSecurity 進行登陸認證
- 3. Spring Boot整合JWT實現用戶認證(附源碼)
- 4. spring boot 整合 spring security 登陸認證
- 5. spring boot整合JWT例子
- 6. SpringBoot2.0整合SpringSecurity實現WEB JWT認證
- 7. SpringBoot、SpringSecurity、Vue整合JWT認證
- 8. SpringBoot整合SpringSecurity實現JWT認證
- 9. spring boot 整合 spring security與jwt
- 10. spring boot整合spring security以及JWT
- 更多相關文章...
- • MyBatis與Spring的整合實例 - MyBatis教程
- • Spring整合Redis詳細步驟 - Redis教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
- • Docker容器實戰(七) - 容器眼光下的文件系統
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. Spring Boot整合JWT實現用戶認證
- 2. spring-boot 整合 JWT+SpringSecurity 進行登陸認證
- 3. Spring Boot整合JWT實現用戶認證(附源碼)
- 4. spring boot 整合 spring security 登陸認證
- 5. spring boot整合JWT例子
- 6. SpringBoot2.0整合SpringSecurity實現WEB JWT認證
- 7. SpringBoot、SpringSecurity、Vue整合JWT認證
- 8. SpringBoot整合SpringSecurity實現JWT認證
- 9. spring boot 整合 spring security與jwt
- 10. spring boot整合spring security以及JWT