踩坑之路---JWT验证
- 使用JWT验证客户的携带的token
- 客户端在请求接口时,需要在request的head中携带一个token令牌
- 服务器拿到这个token解析获取用户资源,这里的资源是非重要的用户信息
目前我的理解,用于校验的几种方式
1. 拦截器
2. SpringSecurity验证(目前没有弄懂)
3. shiro拦截验证
拦截器
配置好拦截器后,过滤掉无需验证的接口,其他的接口在请求的时候,获取其token然后解析是否是正确的客户端资源
SrpingSecurity
SpringSecurity就麻烦多了...此处省略1000字
Shiro自定义认证
shiro在自定义realm中有两个方法,一个是认证,一个是授权,在其认证的方法内验证其token
重点
上面说的只是个流程,最主要的是jwt怎么做token的编码和解码的
long expire = 680090;
String = "123";
这里有两个需要注意的地方,就是设置过期时间和盐
过期时间是验证token的有效时间,在自己手动设置过期时间内是有效的,超过此时间,jwt就无法解析其token了
其次是盐,这是个字符串常量,也可以动态生成盐,放入数据库中在验证的时候获取解析,这里需要将其词符串设置成Base64编码,不然会解析错误..(大坑)这里使用的是apache的codec来编码字符串,也可使用java自带的Base64工具编码
生成token
/** * 生成jwt token */ public String generateToken(long userId) { Date nowDate = new Date(); //过期时间 Date expireDate = new Date(nowDate.getTime() + expire * 1000); SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS512; //生成加密密钥 return Jwts.builder() .setHeaderParam("typ", "JWT") .setSubjectsecret(userId+"") .setIssuedAt(nowDate) .setExpiration(expireDate) .signWith(signatureAlgorithm, new String(org.apache.commons.codec.binary.Base64.encodeBase64(secret.getBytes()))) .compact(); }
ps: 在这里传入的是用户id,这在解码后通过getSubject()方法可以获取到,如果需要传入用户的多个信息也可以设置成
.claim("info",userInfo)
.claim("id",userId)
获取
@Test public void jwt(){ String s = generateToken(1,"小明"); System.out.println(s); Claims claimByToken = getClaimByToken(s); System.out.println(claimByToken.get("info")+"--"+claimByToken.get("id")); } resut: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.eyJpbmZvIjoi5bCP5piOIiwiaWQiOjEsImlhdCI6MTU0NDg4NTQyOCwiZXhwIjoxNTQ1NTY1NTE4fQ.4SvjebEFd4lixC1jHgyMpQrlPoQz8DI0BTFYsGY0GsPKx_dc7GfDLR2qd_mi46mLpDvJ0HCatfEmhb7w7y9xrA 小明--1
解析token
/** * 解析token * * @param token * @return */ public Claims getClaimByToken(String token) { String secret = "123"; try { SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS512; return Jwts.parser() .setSigningKey(new String(org.apache.commons.codec.binary.Base64.encodeBase64("123".getBytes()))) .parseClaimsJws(token) .getBody(); }catch (Exception e){ System.out.println("jwt 解密失败"); return null; } }
ps:目前解决了基本问题,shiro+jwt 就很NICE-__-
至于SpringSecurity:还是要多多学习了.....
平凡是我的一个标签