玩轉 SpringBoot 2 之整合 JWT 下篇

前言

在《玩轉 SpringBoot 2 之整合 JWT 上篇》 中介紹了關於 JWT 相關概念和JWT 基本使用的操做方式。本文爲 SpringBoot 整合 JWT 的下篇，經過解決 App 用戶登陸 Session 問題的實戰操做，帶你更深刻理解 JWT。經過本文你還能夠了解到以下內容：

1. SpringBoot 使用攔截器的實際應用
2. SpringBoot 統一異常處理
3. SpringBoot 快速搭建 RESTful Api

關於生成JWT 操做請參考 《玩轉 SpringBoot 2 之整合 JWT 上篇》

實戰操做

登陸操做

登陸操做流程圖：

登陸操做流程介紹：

1. App 根據用戶名和密碼訪問登陸接口。
2. 若是用戶名和密碼錯誤則提示 App 用戶密碼輸入錯誤。
3. 若是用戶名和密碼正確則獲取用戶信息（表示登陸成功）並根據用戶信息生成 Token 並將其存入ServletContext 中。
4. 將生成的 Token 返回給 App。

登陸操做具體代碼：

@RestController
public class LoginController {
    Logger log = LoggerFactory.getLogger(LoginController.class);
    @Autowired
    private JWTService jwtService;
    
    @RequestMapping("/login")
    public ReturnMessage<Object> login(String loginName,String password,HttpServletRequest request) {
        if(valid(loginName,password)) {
            ReturnMessageUtil.error(CodeEnum.LOGINNAMEANDPWDERROR);
        }
        
        Map<String,String> userInfo = createUserInfoMap(loginName,password);
        String token = jwtService.createToken(userInfo, 1);
        
        ServletContext context = request.getServletContext();
        context.setAttribute(token, token);
        log.info("token:"+token);
        return ReturnMessageUtil.sucess(token);
    }
} 

    private Map<String,String> createUserInfoMap(String loginName, String password) {
        Map<String,String> userInfo = new HashMap<String,String>();
        userInfo.put("loginName", loginName);
        userInfo.put("password", password);
        return userInfo;
    }

    private boolean valid(String loginName, String password) {
        if(Objects.equal("ljk", loginName) && Objects.equal("123456", password) ) {
            return true;
        }
        return false;
    }

攔截操做

攔截操做流程圖：

攔截操做流程介紹：

1. 服務器獲取 （App訪問具體的Api 時攜帶的 Token）Token，若是 Token 爲空則提示 App Token不能爲空。
2. 若是 Token 不爲空則從 ServletContext 中獲取 Token，若是不存在則提示 App 該Token爲非法 Token ！
3. 若是 Token 不爲空而且 ServletContext 中存在該Token，須要判斷 Token 是否過時。若是未過時則放開攔截。
4. 若是Token 已通過期則提示 App Token已通過期，須要從新登陸。

攔截操做具體代碼：

public class LoginInterceptor implements HandlerInterceptor{
    
    Logger log = LoggerFactory.getLogger(LoginInterceptor.class);
    
    private JWTService jwtService;
    
    public LoginInterceptor(JWTService jwtService) {
        this.jwtService = jwtService;
    }
    
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
        
        log.info("Token Checkout processing");
        String token = request.getParameter("token");
        
        if (StringUtils.isEmpty(token)) {
            throw new JKException(CodeEnum.TOKENISEMPTY);
        }
        
        String tokenInServletContext = (String)request.getServletContext().getAttribute(token);
        if(StringUtils.isEmpty(tokenInServletContext)) {
            throw new JKException(CodeEnum.ILLEGALTOKEN);
        }
        
        try {
             jwtService.verifyToken(token);
        } catch (AlgorithmMismatchException  e) {
            log.error("Token Checkout processing AlgorithmMismatchException 異常！"+e.getLocalizedMessage());
            throw new JKException(CodeEnum.ILLEGALTOKEN);
        }catch (TokenExpiredException  e) {
            log.info("token已通過期");
            throw new JKException(CodeEnum.EXPIRETOKEN);
        }catch (SignatureVerificationException  e) {
            log.error("Token Checkout processing SignatureVerificationException 異常！"+e.getLocalizedMessage());
            throw new JKException(CodeEnum.ILLEGALTOKEN);
         }catch (Exception e) {
            log.error("Token Checkout processing 未知異常！"+e.getLocalizedMessage());
            throw e;
        }
        
        return true;
    }
}

退出操做

退出操做流程介紹：

訪問退出接口並傳遞登陸生成的 Token，而後將 ServletContext中的 Token 刪除。

退出操做具體代碼：

@GetMapping("/logout")
    public ReturnMessage<?> logout(String token,String issuer,HttpServletRequest request) {
        ServletContext context = request.getServletContext();
        context.removeAttribute(token);
        return ReturnMessageUtil.sucess();
    }

公共代碼

IndexController App 訪問測試Api，具體代碼以下：

@RestController
public class IndexController {
    
    @GetMapping("index")
    public ReturnMessage index() {
        return ReturnMessageUtil.sucess();
    }
}

統一異常次處理的 Handle

@RestControllerAdvice
public class ExceptionHandle {
    private final static Logger logger = LoggerFactory.getLogger(ExceptionHandle.class);
    @ExceptionHandler(value = Exception.class)
    //@ResponseBody
    public ReturnMessage<Object> handle(HttpServletResponse response, Exception exception) {
         response.setCharacterEncoding("utf-8");
        if(exception instanceof JKException) {
            JKException sbexception = (JKException)exception;
            return ReturnMessageUtil.error(sbexception.getCode(), sbexception.getMessage());
        }else {
            logger.error("系統異常 {}",exception);
            return ReturnMessageUtil.error(-1, "未知異常"+exception.getMessage());
        }
    }
}

JWTService 工具類 代碼能夠在個人GitHub上進行查看，具體地址請查看下面代碼示例章節。

測試

這裏使用PostMan 進行測試，固然你也能夠選用你順手的工具進行測試哈！

訪問 http://localhost:8080/sbe/login?loginName=ljk&password=123456 進行登陸獲取Token，以下圖所示date字段的值就是登陸成功後生成的 Token。

訪問 http://localhost:8080/sbe/index?token=具體token值，以下圖所示訪問成功！

若是不攜帶 Token 會提示Token不能爲空，以下圖所示：

若是輸入不存在的 Token 則提示 非法Token！，以下圖所示：

http://localhost:8080/sbe/logout?token=具體token值 進行退出，以下圖所示：

退出後再次使用已經退出的Token 訪問，會提示非法Token 以下圖所示：

小結

登陸操做經過 JWT 生成Token 返回給App，攔截操做（也能夠理解成校驗操做）經過攔截器（HandlerInterceptor）來進行實現。最後退出操做是經過將Token 保存ServletContent 中，退出其實就是將 Token 從 ServletContent 中刪除。

本文主旨是經過簡單實現，帶你瞭解 App 認證過程處理方式，對於攔截部分你也能夠經過 Filter 或 Aop 來進行實現。Token 存儲也能夠考慮使用Redis來實現，還有一個問題就是：JWT 續期問題本文並無實現（JWT 過時時間延期問題）。這個部分就當成一個做業，歡迎你們在評論區說說你的解決方案？

代碼示例

本文並無對 JWTService 工具類、統一異常處理、攔截器使用搭建進行詳細介紹，若是你想直接查看本文所有源碼，請在個人GitHub 倉庫 SpringbootExamples 中的 spring-boot-2.x-jwt 模塊進行查看。

GitHub：https://github.com/zhuoqianmingyue/springbootexamples

同時你也能夠經過查看我關於攔截器、統一異常處理、搭建 RESTful Api 詳細教程總結本身完成相關的實現：

• 玩轉 SpringBoot 2 快速整合攔截器
• 玩轉 SpringBoot 2 快速整合 | RESTful Api 篇
• SpringBoot 2 快速整合 | 統一異常處理