SpringBoot整合JWT的入门指南


Posted in Java/Android onJune 29, 2021
目录
  • 1.JWT
  • 2.JWT登录执行流程图
  • 3.为什么使用JWT?
  • 4.JWT的组成
  • 5.SpringBoot整合JWT
  • 测试
  • 总结

1.JWT

JWT(JSON Web Token),为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。将用户信息加密到token中,服务器不保存任何用户信息,服务器通过保存的密钥验证token的正确性。

优点

1.简介:可以通过 URL POST 参数或者在 HTTP header 发送,因为数据量小,传输速度也很快;

2.自包含:负载中可以包含用户所需要的信息,避免了多次查询数据库;

3.因为 Token 是以 JSON 加密的形式保存在客户端的,所以 JWT 是跨语言的,原则上任何 web 形式都支持;

4.不需要再服务端保存会话信息,特别适用于分布式微服务;

缺点

1.无法作废已经发布的令牌;

2.不易应对数据过期;

2.JWT登录执行流程图

SpringBoot整合JWT的入门指南

3.为什么使用JWT?

  • 在传统的用户登录认证中,因为http是无状态的,所以都是采用session+cokokie,用户登录成功,服务端会保存一个session,并给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带sessionId。cookie+session模式是保存在内存中,在分布式服务中会面临session共享问题,随着用户量得增加,开销就越来越大。而JWT不需要在服务端保存会话信息,特别适合分布式微服务。
  • 简洁:可以用过URL,POST参数或者在HTTP Header发送,因为数据量小,传输速度也快
  • JWT支持跨语言
  • 自包含: 载荷中包含了所有用户所需要的信息,避免了多次查询数据库。

4.JWT的组成

JWT由三部分构成,类似于如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJscyIsImV4cCI6MTYyNDU5Nzc5Nn0.4kwT1elZCb_k2D7AxbuFHM35VmBK4PcmLaqHhcHEq4_wVe8GVO8ODypGSKksTs-hraBopBCm2IC9EC2rO-GHng

第一部分为头部(header),承载两部分信息

声明类型(JWT)

声明加密算法,默认为HMAC SHA256

{
  "typ","JWT",
  "alg","HS256"
}

使用Base64加密后

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9 

第二部分为payload(载荷),存放有效信息的地方,这些有效信息分为三部分:

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

其中,标准中注册的声明 (建议但不强制使用)包括如下几个部分 :

  • iss: jwt签发者;
  • sub: jwt所面向的用户;
  • aud: 接收jwt的一方;
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间;
  • nbf: 定义在什么时间之前,该jwt都是不可用的;
  • iat: jwt的签发时间;
  • jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击

公共的声明部分:

公共的声明可以添加任何信息,一般添加用户的相关信息或其他业务需要的必要信息,但不建议添加铭感信息,因为在客户端可解密。

私有的声明部分:

私有的声明是提供者和消费者共同定义的声明,不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

第三部分为signature(签证)

var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

//密钥就是我们定义的secret,加密后得到签证
var signature = HMACSHA256(encodedString, '密钥');

5.SpringBoot整合JWT

引入依赖

<!--JWT-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.7.0</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>
          <!--StringUtils工具包-->
        <dependency>
            <groupId>commons-lang</groupId>
            <artifactId>commons-lang</artifactId>
            <version>2.6</version>
        </dependency>
        <!--ConfigurationProperties出现异常-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-configuration-processor</artifactId>
            <optional>true</optional>
        </dependency>

配置application.yml文件

server:
  port: 8888
spring:
  jwt:
    #过期时间
    expireTime: 1800000
    #加密密钥
    secret: lsyyp5201314
    #token返回头部
    header: LOGINTOKEN

JWT工具类

package org.best.util;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.TokenExpiredException;
import org.springframework.boot.context.properties.ConfigurationProperties;

import java.util.Date;

@ConfigurationProperties(prefix = "spring.jwt")
public class JWTUtils {

    public static String header;
    private static String secret;
    private static String expireTime;

    /**
     * 生成token
     * @param sub 用户唯一信息
     * @return token
     */
    public  static   String createToken(String sub){
        return JWT
                .create()
                .withSubject(sub)
                .withExpiresAt(new Date(System.currentTimeMillis()+Long.parseLong(expireTime)))
                .sign(Algorithm.HMAC512(secret));
    }

    /**
     * 根据token获取用户信息
     * @param token
     * @return 用户信息
     */
    public static String validateToken(String token){
        return JWT
                .require(Algorithm.HMAC512(secret))
                .build()
                .verify(token)
                .getSubject();
    }

    /**
     * 检验Token是否需要刷新
     * @param token
     * @return
     */
    public static boolean refreshToken(String token) {
        Date expireDate = null;
        try {
            expireDate = JWT
                    .require(Algorithm.HMAC512(secret))
                    .build()
                    .verify(token)
                    .getExpiresAt();
        } catch (TokenExpiredException e) {
            return true;
        }
        return (expireDate.getTime()-System.currentTimeMillis())<0;
    }

    public void setHeader(String header) {
        this.header = header;
    }

    public String getSecret() {
        return secret;
    }

    public void setSecret(String secret) {
        this.secret = secret;
    }

    public String getExpireTime() {
        return expireTime;
    }

    public void setExpireTime(String expireTime) {
        this.expireTime = expireTime;
    }
}

自定义拦截器

package org.best.config;

import org.apache.commons.lang.StringUtils;
import org.best.common.TokenIsNullException;
import org.best.common.TokenValidateException;
import org.best.util.JWTUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class LoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String logintoken = request.getHeader("LOGINTOKEN");
        //如果token为空
        if (StringUtils.isBlank(logintoken)){
            throw new TokenIsNullException("请登录");
        }
        //校验Token
        String sub = JWTUtils.validateToken(logintoken);
        if (StringUtils.isBlank(sub)){
            throw new TokenValidateException("token校验失败");
        }

        //更新token有效期(生产新token)
        if (JWTUtils.refreshToken(logintoken)){
            String token = JWTUtils.createToken(sub);
            response.setHeader(JWTUtils.header,token);
        }

        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

注册拦截器

package org.best.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class MyWebMvcConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry
                .addInterceptor(new LoginInterceptor())
                .addPathPatterns("/find")
                .excludePathPatterns("/login");
    }
}

自定义异常

package org.best.common;

/**
 * Token校验异常
 */
public class TokenValidateException extends RuntimeException {
    public TokenValidateException() {
    }

    public TokenValidateException(String message) {
        super(message);
    }
}
package org.best.common;

/**
 * Token为空异常
 */
public class TokenIsNullException extends RuntimeException{
    public TokenIsNullException() {
    }

    public TokenIsNullException(String message) {
        super(message);
    }
}

自定义Controller

package org.best.controller;

import org.best.pojo.User;
import org.best.util.JWTUtils;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletResponse;

@RestController
public class LoginController {
    @GetMapping("/login")
    public String login(User user, HttpServletResponse response){
        //这里就不做数据库查询了

        //根据用户id生成token
        String token = JWTUtils.createToken(String.valueOf(user.getId()));
        //将token存入HTTP响应头中
        response.setHeader(JWTUtils.header,token);
        return user.toString();
    }

    @GetMapping("/find")
    public String find(){
        return "success";
    }
}

测试

登录接口

SpringBoot整合JWT的入门指南

我们来测试下find 接口 ,不带token会出现啥情况

SpringBoot整合JWT的入门指南

带上token

SpringBoot整合JWT的入门指南

总结

到此这篇关于SpringBoot整合JWT的文章就介绍到这了,更多相关SpringBoot整合JWT内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Java/Android 相关文章推荐
Spring Bean的实例化之属性注入源码剖析过程
Jun 13 Java/Android
一篇文章带你复习java知识点
Jun 28 Java/Android
Spring Boot两种全局配置和两种注解的操作方法
Jun 29 Java/Android
mybatis中sql语句CDATA标签的用法说明
Jun 30 Java/Android
Java比较两个对象中全部属性值是否相等的方法
Aug 07 Java/Android
Java SSM配置文件案例详解
Aug 30 Java/Android
Java实现房屋出租系统详解
Oct 05 Java/Android
剑指Offer之Java算法习题精讲二叉树的构造和遍历
Mar 21 Java/Android
Java 获取Word中所有的插入和删除修订的方法
Apr 06 Java/Android
Java版 单机五子棋
May 04 Java/Android
Qt数据库应用之实现图片转pdf
Jun 01 Java/Android
向Spring IOC 容器动态注册bean实现方式
Jul 15 Java/Android
jackson json序列化实现首字母大写,第二个字母需小写
Java数组与堆栈相关知识总结
分析JVM源码之Thread.interrupt系统级别线程打断
Jun 29 #Java/Android
Jackson 反序列化时实现大小写不敏感设置
Jun 29 #Java/Android
Maven学习----Maven安装与环境变量配置教程
Spring Boot两种全局配置和两种注解的操作方法
Spring Boot 实现敏感词及特殊字符过滤处理
Jun 29 #Java/Android
You might like
PHP 压缩文件夹的类代码
2009/11/05 PHP
php实现图片等比例缩放代码
2015/07/23 PHP
读jQuery之十三 添加事件和删除事件的核心方法
2011/08/23 Javascript
js实现字符串的16进制编码不加密
2014/04/25 Javascript
轻量级网页遮罩层jQuery插件用法实例
2015/07/31 Javascript
网页从弹窗页面单选框传值至父页面代码分享
2015/09/29 Javascript
Bootstrap Fileinput文件上传组件用法详解
2016/05/10 Javascript
基于AngularJs + Bootstrap + AngularStrap相结合实现省市区联动代码
2016/05/30 Javascript
jQuery 中ajax异步调用的四种方式
2016/06/28 Javascript
浅谈JavaScript中的this指针和引用知识
2016/08/05 Javascript
详解js界面跳转与值传递
2016/11/22 Javascript
JS实现选定指定HTML元素对象中指定文本内容功能示例
2017/02/13 Javascript
简单谈谈原生js的math对象
2017/06/27 Javascript
ztree简介_动力节点Java学院整理
2017/07/19 Javascript
完美解决iview 的select下拉框选项错位的问题
2018/03/02 Javascript
JavaScript面向对象程序设计创建对象的方法分析
2018/08/13 Javascript
Vux+Axios拦截器增加loading的问题及实现方法
2018/11/08 Javascript
layui实现下拉复选功能的例子(包括数据的回显与上传)
2019/09/24 Javascript
vue-video-player 解决微信自动全屏播放问题(横竖屏导致样式错乱问题)
2020/02/25 Javascript
vue通过过滤器实现数据格式化
2020/07/20 Javascript
[01:08]2014DOTA2展望TI 剑指西雅图LGD战队专访
2014/06/30 DOTA
简述Python中的面向对象编程的概念
2015/04/27 Python
Odoo中如何生成唯一不重复的序列号详解
2018/02/10 Python
Python 硬币兑换问题
2019/07/29 Python
关于ZeroMQ 三种模式python3实现方式
2019/12/23 Python
Python标准库itertools的使用方法
2020/01/17 Python
Pytest框架之fixture的详细使用教程
2020/04/07 Python
Selenium环境变量配置(火狐浏览器)及验证实现
2020/12/07 Python
详解CSS3 Media Queries中媒体属性的使用
2016/02/29 HTML / CSS
英国设计师珠宝网站:Joshua James Jewellery
2020/03/01 全球购物
全球性的众包图形设计市场:DesignCrowd
2021/02/02 全球购物
教师自荐书
2013/10/08 职场文书
药学职务聘任书
2014/03/29 职场文书
学生党员一帮一活动总结
2014/07/08 职场文书
领导班子整改方案和个人整改措施
2014/10/25 职场文书
银行竞聘报告范文
2014/11/06 职场文书