SpringBoot2.0 整合 JWT 框架，解決Token跨域驗證問題

本文源碼：GitHub·點這裏 || GitEE·點這裏

1、傳統Session認證

一、認證過程

一、用戶向服務器發送用戶名和密碼。
二、服務器驗證後在當前對話（session）保存相關數據。
三、服務器向返回sessionId，寫入客戶端 Cookie。
四、客戶端每次請求，須要經過 Cookie，將 sessionId 回傳服務器。
五、服務器收到 sessionId，驗證客戶端。

二、存在問題

一、session保存在服務端，客戶端訪問高併發時，服務端壓力大。
二、擴展性差，服務器集羣，就須要 session 數據共享。

2、JWT簡介

JWT(全稱：JSON Web Token)，在基於HTTP通訊過程當中，進行身份認證。

一、認證流程

一、客戶端經過用戶名和密碼登陸服務器；
二、服務端對客戶端身份進行驗證；
三、服務器認證之後，生成一個 JSON 對象，發回客戶端；
四、客戶端與服務端通訊的時候，都要發回這個 JSON 對象；
五、服務端解析該JSON對象，獲取用戶身份；
六、服務端能夠沒必要存儲該JSON（Token）對象，身份信息均可以解析出來。

二、JWT結構說明

抓一隻鮮活的Token過來。

{
    "msg": "驗證成功",
    "code": 200,
    "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.
              eyJzdWIiOiJhZG1pbiIsImlhdCI6iZEIj3fQ.
              uEJSJagJf1j7A55Wwr1bGsB5YQoAyz5rbFtF"
}

上面的Token被手動格式化了，其實是用"."分隔的一個完整的長字符串。

JWT結構

一、頭部（header) 聲明類型以及加密算法；
二、負載（payload) 攜帶一些用戶身份信息；
三、簽名（signature) 簽名信息。

三、JWT使用方式

一般推薦的作法是客戶端在 HTTP 請求的頭信息Authorization字段裏面。

Authorization: Bearer <token>

服務端獲取JWT方式

String token = request.getHeader("token");

3、與SpringBoot2整合

一、核心依賴文件

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.7.0</version>
</dependency>

二、配置文件

server:
  port: 7009
spring:
  application:
    name: ware-jwt-token
config:
  jwt:
    # 加密密鑰
    secret: iwqjhda8232bjgh432[cicada-smile]
    # token有效時長
    expire: 3600
    # header 名稱
    header: token

三、JWT配置代碼塊

@ConfigurationProperties(prefix = "config.jwt")
@Component
public class JwtConfig {
    /*
     * 根據身份ID標識，生成Token
     */
    public String getToken (String identityId){
        Date nowDate = new Date();
        //過時時間
        Date expireDate = new Date(nowDate.getTime() + expire * 1000);
        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(identityId)
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }
    /*
     * 獲取 Token 中註冊信息
     */
    public Claims getTokenClaim (String token) {
        try {
            return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
        }catch (Exception e){
            e.printStackTrace();
            return null;
        }
    }
    /*
     * Token 是否過時驗證
     */
    public boolean isTokenExpired (Date expirationTime) {
        return expirationTime.before(new Date());
    }
    private String secret;
    private long expire;
    private String header;
    // 省略 GET 和 SET
}

4、Token攔截案例

一、配置Token攔截器

@Component
public class TokenInterceptor extends HandlerInterceptorAdapter {
    @Resource
    private JwtConfig jwtConfig ;
    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response,
                             Object handler) throws Exception {
        // 地址過濾
        String uri = request.getRequestURI() ;
        if (uri.contains("/login")){
            return true ;
        }
        // Token 驗證
        String token = request.getHeader(jwtConfig.getHeader());
        if(StringUtils.isEmpty(token)){
            token = request.getParameter(jwtConfig.getHeader());
        }
        if(StringUtils.isEmpty(token)){
            throw new Exception(jwtConfig.getHeader()+ "不能爲空");
        }
        Claims claims = jwtConfig.getTokenClaim(token);
        if(claims == null || jwtConfig.isTokenExpired(claims.getExpiration())){
            throw new Exception(jwtConfig.getHeader() + "失效，請從新登陸");
        }
        //設置 identityId 用戶身份ID
        request.setAttribute("identityId", claims.getSubject());
        return true;
    }
}

二、攔截器註冊

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Resource
    private TokenInterceptor tokenInterceptor ;
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(tokenInterceptor).addPathPatterns("/**");
    }
}

三、測試接口代碼

@RestController
public class TokenController {
    @Resource
    private JwtConfig jwtConfig ;
    // 攔截器直接放行，返回Token
    @PostMapping("/login")
    public Map<String,String> login (@RequestParam("userName") String userName,
                                     @RequestParam("passWord") String passWord){
        Map<String,String> result = new HashMap<>() ;
        // 省略數據源校驗
        String token = jwtConfig.getToken(userName+passWord) ;
        if (!StringUtils.isEmpty(token)) {
            result.put("token",token) ;
        }
        result.put("userName",userName) ;
        return result ;
    }
    // 須要 Token 驗證的接口
    @PostMapping("/info")
    public String info (){
        return "info" ;
    }
}

5、源代碼地址

GitHub地址：知了一笑
https://github.com/cicadasmile/middle-ware-parent
碼雲地址：知了一笑
https://gitee.com/cicadasmile/middle-ware-parent