springboot+jwt作api的token認證
本篇和你們分享jwt(json web token)的使用,她主要用來生成接口訪問的token和驗證,其單獨結合springboot來開發api接口token驗證非常方便,因爲jwt的token中存儲有用戶的信息而且有加密,因此適用於分佈式,這樣直接吧信息存儲在用戶本地減速了服務端存儲sessiion或token的壓力;以下快速使用:web
1 <!--jwt--> 2 <dependency> 3 <groupId>io.jsonwebtoken</groupId> 4 <artifactId>jjwt</artifactId> 5 <version>0.9.0</version> 6 </dependency> 7 <!--阿里 FastJson依賴--> 8 <dependency> 9 <groupId>com.alibaba</groupId> 10 <artifactId>fastjson</artifactId> 11 <version>1.2.44</version> 12 </dependency>
通常使用jwt來達到3種結果:spring
- 生成token
- 驗證token是否有效
- 獲取token中jwt信息(主要用戶信息)
生成token
引入了jjwt依賴後,要生成token很方便;對於一個token來講,表明的是惟一而且不可逆的,所以咱們在生成時須要增長一些惟一數據進去,好比下面的id:json
1 long currentTime = System.currentTimeMillis(); 2 return Jwts.builder() 3 .setId(UUID.randomUUID().toString()) 4 .setIssuedAt(new Date(currentTime)) //簽發時間 5 .setSubject("system") //說明 6 .setIssuer("shenniu003") //簽發者信息 7 .setAudience("custom") //接收用戶 8 .compressWith(CompressionCodecs.GZIP) //數據壓縮方式 9 10 .signWith(SignatureAlgorithm.HS256, encryKey) //加密方式 11 .setExpiration(new Date(currentTime + secondTimeOut * 1000)) //過時時間戳 12 .addClaims(claimMaps) //cla信息 13 .compact();
經過uuid來標記惟一id信息;固然在對token加密時須要用到祕鑰,jwt非常方便她支持了不少中加密方式如:HS256,HS265,Md5等複雜及經常使用的加密方式;api
jwt生成的token中內容分爲3個部分:head信息,payload信息,sign信息,一般咱們要作的是往payload增長一些用戶信息(好比:帳號,暱稱,權限等,但不包含密碼);在對jwt的token有必定了解後,咱們來看下真實生成的token值:springboot
1 eyJhbGciOiJIUzI1NiIsInppcCI6IkdaSVAifQ.H4sIAAAAAAAAAFWMTQ7CIBSE7_LWkPDzaEsP4QnYINCIptX4INE0vbtg4sLlfPPN7HAtGWbwg1BKL4GrcbEcIwpujZF8iiEpjXFapAAG2ReYpUEcR2VxYED13Nb0ppLW3hP1eEnblqsQuiFfY0OhUrl3I70evweU_aFSejZhd7DlcDv5NTmYHUilHTD3rf_hAccHRTv--7YAAAA.i4xwoQtaWI0-dwHWN8uZ4DBm-vfli5bavYU9lRYxU5E
驗證token是否有效
token生成的時都會伴隨者有一個失效的時間,在這咱們能夠經過setExpiration函數設置過時時間,記住jwt的有效時間不是滑動的,也就是說不作任何處理時,當到達第一次設置的失效時間時,就基本沒用了,要獲取token是否過時可使用以下方式:app
1 public static boolean isExpiration(String token, String encryKey) { 2 try { 3 return getClaimsBody(token, encryKey) 4 .getExpiration() 5 .before(new Date()); 6 } catch (ExpiredJwtException ex) { 7 return true; 8 } 9 }
這裏使用了date的before來用獲取的過時時間和當前時間對比,判斷是否繼續有效,須要注意的是若是在token失效後再經過getClaimsBody(token, encryKey)獲取信息,此時會報ExpiredJwtException錯誤,咱們便可認爲過時。dom
獲取token中jwt信息(主要用戶信息)
一般咱們要把登陸用戶信息存儲在jwt生成的token中,這裏能夠經過 addClaims(claimMaps) 傳遞map來設置信息,反過來要獲取token中的用戶信息,咱們須要這樣作:分佈式
1 return Jwts.parser() 2 .setSigningKey(encryKey) 3 .parseClaimsJws(token) 4 .getBody();
此時body獲取出來是Claims類型,咱們須要從中獲取到用戶信息,須要注意的是在addClaims存儲信息的時候若是存儲的map值沒作過出來,那完整的實體對象存儲進去後會映射成一個LinkHasMap類型,以下:ide
所以一般會在存儲的時候json化,以下代碼:函數
1 claimMaps.forEach((key, val) -> { 2 claimMaps.put(key, JSON.toJSONString(val)); 3 });
再來就是經過get方法獲取咱們存儲進去的信息,並json反序列化:
1 /** 2 * 獲取body某個值 3 * 4 * @param token 5 * @param encryKey 6 * @param key 7 * @return 8 */ 9 public static Object getVal(String token, String encryKey, String key) { 10 return getJws(token, encryKey).getBody().get(key); 11 } 12 13 /** 14 * 獲取body某個值,json字符轉實體 15 * 16 * @param token 17 * @param encryKey 18 * @param key 19 * @param tClass 20 * @param <T> 21 * @return 22 */ 23 public static <T> T getValByT(String token, String encryKey, String key, Class<T> tClass) { 24 try { 25 String strJson = getVal(token, encryKey, key).toString(); 26 return JSON.parseObject(strJson, tClass); 27 } catch (Exception ex) { 28 return null; 29 } 30 }
來到這裏一個Jwt的Util代碼基本就完成了,下面給出完整的代碼例子,僅供參考:
1 public class JwtUtil { 2 3 /** 4 * 獲取token - json化 map信息 5 * 6 * @param claimMaps 7 * @param encryKey 8 * @param secondTimeOut 9 * @return 10 */ 11 public static String getTokenByJson(Map<String, Object> claimMaps, String encryKey, int secondTimeOut) { 12 return getToken(claimMaps, true, encryKey, secondTimeOut); 13 } 14 15 /** 16 * 獲取token 17 * 18 * @param claimMaps 19 * @param isJsonMpas 20 * @param encryKey 21 * @param secondTimeOut 22 * @return 23 */ 24 public static String getToken(Map<String, Object> claimMaps, boolean isJsonMpas, String encryKey, int secondTimeOut) { 25 26 if (isJsonMpas) { 27 claimMaps.forEach((key, val) -> { 28 claimMaps.put(key, JSON.toJSONString(val)); 29 }); 30 } 31 long currentTime = System.currentTimeMillis(); 32 return Jwts.builder() 33 .setId(UUID.randomUUID().toString()) 34 .setIssuedAt(new Date(currentTime)) //簽發時間 35 .setSubject("system") //說明 36 .setIssuer("shenniu003") //簽發者信息 37 .setAudience("custom") //接收用戶 38 .compressWith(CompressionCodecs.GZIP) //數據壓縮方式 39 40 .signWith(SignatureAlgorithm.HS256, encryKey) //加密方式 41 .setExpiration(new Date(currentTime + secondTimeOut * 1000)) //過時時間戳 42 .addClaims(claimMaps) //cla信息 43 .compact(); 44 } 45 46 /** 47 * 獲取token中的claims信息 48 * 49 * @param token 50 * @param encryKey 51 * @return 52 */ 53 private static Jws<Claims> getJws(String token, String encryKey) { 54 return Jwts.parser() 55 .setSigningKey(encryKey) 56 .parseClaimsJws(token); 57 } 58 59 public static String getSignature(String token, String encryKey) { 60 try { 61 return getJws(token, encryKey).getSignature(); 62 } catch (Exception ex) { 63 return ""; 64 } 65 } 66 67 /** 68 * 獲取token中head信息 69 * 70 * @param token 71 * @param encryKey 72 * @return 73 */ 74 public static JwsHeader getHeader(String token, String encryKey) { 75 try { 76 return getJws(token, encryKey).getHeader(); 77 } catch (Exception ex) { 78 return null; 79 } 80 } 81 82 /** 83 * 獲取payload body信息 84 * 85 * @param token 86 * @param encryKey 87 * @return 88 */ 89 public static Claims getClaimsBody(String token, String encryKey) { 90 return getJws(token, encryKey).getBody(); 91 } 92 93 /** 94 * 獲取body某個值 95 * 96 * @param token 97 * @param encryKey 98 * @param key 99 * @return 100 */ 101 public static Object getVal(String token, String encryKey, String key) { 102 return getJws(token, encryKey).getBody().get(key); 103 } 104 105 /** 106 * 獲取body某個值,json字符轉實體 107 * 108 * @param token 109 * @param encryKey 110 * @param key 111 * @param tClass 112 * @param <T> 113 * @return 114 */ 115 public static <T> T getValByT(String token, String encryKey, String key, Class<T> tClass) { 116 try { 117 String strJson = getVal(token, encryKey, key).toString(); 118 return JSON.parseObject(strJson, tClass); 119 } catch (Exception ex) { 120 return null; 121 } 122 } 123 124 /** 125 * 是否過時 126 * 127 * @param token 128 * @param encryKey 129 * @return 130 */ 131 public static boolean isExpiration(String token, String encryKey) { 132 try { 133 return getClaimsBody(token, encryKey) 134 .getExpiration() 135 .before(new Date()); 136 } catch (ExpiredJwtException ex) { 137 return true; 138 } 139 } 140 141 public static String getSubject(String token, String encryKey) { 142 try { 143 return getClaimsBody(token, encryKey).getSubject(); 144 } catch (Exception ex) { 145 return ""; 146 } 147 } 148 }
過濾器驗證token
有了基本的JwtUtil工具,咱們須要用到springboot項目中,通常來講對於登陸受權token驗證能夠經過過濾器來操做,這裏建立一個AuthenFilter,用於對post請求過來的token作驗證:
1 public class AuthenFilter implements Filter { 2 @Override 3 public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { 4 5 HttpServletRequest rq = (HttpServletRequest) servletRequest; 6 HttpServletResponse rp = (HttpServletResponse) servletResponse; 7 RpBase rpBase = new RpBase(); 8 try { 9 //只接受post 10 if (!rq.getMethod().equalsIgnoreCase("post")) { 11 filterChain.doFilter(servletRequest, servletResponse); 12 return; 13 } 14 15 String token = rq.getHeader("token"); 16 if (StringUtils.isEmpty(token)) { 17 rpBase.setMsg("無token"); 18 return; 19 } 20 21 //jwt驗證 22 MoUser moUser = JwtUtil.getValByT(token, WebConfig.Token_EncryKey, WebConfig.Login_User, MoUser.class); 23 if (moUser == null) { 24 rpBase.setMsg("token已失效"); 25 return; 26 } 27 28 System.out.println("token用戶:" + moUser.getNickName()); 29 30 filterChain.doFilter(servletRequest, servletResponse); 31 } catch (Exception ex) { 32 } finally { 33 if (!StringUtils.isEmpty(rpBase.getMsg())) { 34 rp.setCharacterEncoding("utf-8"); 35 rpBase.setCode(HttpStatus.BAD_REQUEST.value()); 36 rp.getWriter().write(JSON.toJSONString(rpBase)); 37 } 38 } 39 } 40 }
要是自定義過濾器AuthenFilter生效,還須要把她註冊到容器中,這裏經過編碼方式,固然還能夠經過@WebFilter註解來加入到容器中:
1 @Configuration 2 public class WebFilterConfig { 3 4 @Bean 5 public FilterRegistrationBean setFilter() { 6 7 FilterRegistrationBean registrationBean = new FilterRegistrationBean(); 8 registrationBean.setFilter(new AuthenFilter()); 9 registrationBean.addUrlPatterns("/api/*"); 10 registrationBean.setOrder(FilterRegistrationBean.LOWEST_PRECEDENCE); 11 12 return registrationBean; 13 } 14 }
注意addUrlPatterns匹配的是過濾器做用的url鏈接,根據需求而定;爲了驗證效果,這裏我建立了兩個接口getToken和t0,分別是獲取token和post查詢接口,代碼如是:
1 @RestController 2 public class TestController { 3 4 @PostMapping("/api/t0") 5 public String t0() throws MyException { 6 7 return UUID.randomUUID().toString(); 8 } 9 10 @GetMapping("/token/{userName}") 11 public String getToken(@PathVariable String userName) { 12 13 MoUser moUser = new MoUser(); 14 moUser.setUserName(userName); 15 moUser.setNickName(userName); 16 17 Map<String, Object> map = new HashMap<>(); 18 map.put(WebConfig.Login_User, moUser); 19 20 return JwtUtil.getTokenByJson(map, 21 WebConfig.Token_EncryKey, 22 WebConfig.Token_SecondTimeOut); 23 } 24 }
最終要獲經過head傳遞token值來訪問t01接口,獲得以下結果:
token在有效時間後訪問直接失敗,重新獲取token並訪問t01接口,獲得成功的信息:
相關文章
- 1. springboot+jwt作api的token認證
- 2. Laravel5.4 Api Token認證
- 3. API的 Signature(簽名)&Token(令牌) 認證
- 4. tp5使用jwt生成token,作api的用戶認證
- 5. token認證
- 6. flask token認證
- 7. JWT Token認證
- 8. Web Api Token驗證
- 9. Spring Security + JWT token 作權限認證
- 10. django restful token認證
- 更多相關文章...
- • MySQL默認值(DEFAULT) - MySQL教程
- • Spring中Bean的作用域 - Spring教程
- • RxJava操作符(十)自定義操作符
- • RxJava操作符(四)Combining
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
