JWT实战
JWT使用
1. 引入依赖
<!--引入jwt-->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
2.生成 token
Calendar instance = Calendar.getInstance(); //90s 过期 instance.add(Calendar.SECOND, 90); //生成令牌 String token = JWT.create() .withClaim("userId", 12)//设置用户 id .withClaim("username", "张三")//设置自定义用户名 .withExpiresAt(instance.getTime())//设置过期时间 // 下面的括号中的是 密钥 secret ,记住不要直接写在代码中 .sign(Algorithm.HMAC256("token!Q2W#E$RW"));//设置签名 保密 复杂 //输出令牌 System.out.println(token);输出
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOlsicGhvbmUiLCIxNDMyMzIzNDEzNCJdLCJleHAiOjE1OTU3Mzk0NDIsInVzZXJuYW1lIjoi5byg5LiJIn0.aHmE3RNqvAjFr_dvyn_sD2VJ46P7EGiS5OBMO_TI5jg
3. 解析 token 、签名 得到数据
// verify =》 验证 // 需要将我们进行 加密的算法,以及 secret 密钥 进行提供 JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("token!Q2W#E$RW")).build(); //验证 token,失败的话,会抛出异常信息, decode 破译 DecodedJWT decodedJWT = jwtVerifier.verify(token); // 解析 token 验证通过之后,里面的值 // 存的是时候是什么类型,取得时候就是什么类型,否则取不到值。 System.out.println("用户ID: " + decodedJWT.getClaim("userId").asInt()); System.out.println("用户名: " + decodedJWT.getClaim("username").asString()); System.out.println("过期时间: "+decodedJWT.getExpiresAt());
4. verify 验证失败,异常信息
SignatureVerificationException: 签名不一致异常TokenExpiredException: 令牌过期异常AlgorithmMismatchException: 算法不匹配异常InvalidClaimException: 失效的 payload 异常
JWT封装工具类
public class JWTUtils {
private static String TOKEN = "token!Q@W3e4r";
/**
* 生成token
* @param map 传入payload,需要进行 claim 声明的用户的信息
* @return 返回token
*/
public static String getToken(Map<String,String> map){
JWTCreator.Builder builder = JWT.create();
//lambda 的表达式
map.forEach((k,v)->{
builder.withClaim(k,v);
});
Calendar instance = Calendar.getInstance();
//7s 过期
instance.add(Calendar.SECOND,7);
builder.withExpiresAt(instance.getTime());
return builder.sign(Algorithm.HMAC256(TOKEN));
}
/**
* 验证token
* @param token
* @return
*/
public static void verify(String token){
// 如果验证通过,则不会把报错,否则会报错
JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);
}
/**
* 获取token中payload
* @param token
* @return
*/
//该方法其实多余了,可以直接在 verify() 方法中进行 返回 DecodeJWT
public static DecodedJWT getToken(String token){
return JWT.require(Algorithm.HMAC256(TOKEN)).build().verify(token);
}
}
SpringBoot整合JWT
1. 搭建环境
依赖
<!--引入jwt-->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.4.0</version>
</dependency>
<!--引入mybatis-->
<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
<version>2.1.3</version>
</dependency>
<!--引入lombok-->
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.18.12</version>
</dependency>
<!--引入druid-->
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>1.1.19</version>
</dependency>
<!--引入mysql-->
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.38</version>
</dependency>
配置
server.port=8989
spring.application.name=jwt
spring.datasource.type=com.alibaba.druid.pool.DruidDataSource
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/jwt?characterEncoding=UTF-8
spring.datasource.username=root
spring.datasource.password=root
mybatis.type-aliases-package=com.baizhi.entity
mybatis.mapper-locations=classpath:com/baizhi/mapper/*.xml
logging.level.com.baizhi.dao=debug
2. 测试
@RestController
@Slf4j
public class UserController {
@Autowired
private UserService userService;
@GetMapping("/user/login")
public Map<String,Object> login(User user) {
//响应前端,response
Map<String,Object> result = new HashMap<>();
log.info("用户名: [{}]", user.getName());
log.info("密码: [{}]", user.getPassword());
try {
User userDB = userService.login(user);
//用户信息,用来 claim 声明
Map<String, String> map = new HashMap<>();//用来存放payload
map.put("id",userDB.getId());
map.put("username", userDB.getName());
String token = JWTUtils.getToken(map);
result.put("state",true);
result.put("msg","登录成功!!!");
result.put("token",token); //成功返回token信息
} catch (Exception e) {
e.printStackTrace();
result.put("state","false");
result.put("msg",e.getMessage());
}
return result;
}
}
校验 token
注意哈:这里只是返回 token 到前端页面,而不是保存 token 到客户端,那是前端干的事
-
该方法需要在请求 api 接口之前进行校验,看当前的请求是否具有资格访问
因为,每一个接口都需要进行校验,所以每一个接口都需要下面的代码,就会显示的很冗余
@PostMapping("/test/test")
public Map<String, Object> test(String token) {
Map<String, Object> map = new HashMap<>();
try {
///验证 token
JWTUtils.verify(token);
map.put("msg", "验证通过~~~");
map.put("state", true);
} catch (TokenExpiredException e) {
map.put("state", false);
map.put("msg", "Token已经过期!!!");
} catch (SignatureVerificationException e){
map.put("state", false);
map.put("msg", "签名错误!!!");
} catch (AlgorithmMismatchException e){
map.put("state", false);
map.put("msg", "加密算法不匹配!!!");
} catch (Exception e) {
e.printStackTrace();
map.put("state", false);
map.put("msg", "无效token~~");
}
return map;
}
3. 优化 token 的校验
上面已经提到过了,因为每一个 api 接口的请求之前,都需要进行 token 的有效性的校验,所以每一个接口都写一遍的话,就显示的 代码很冗余
解决方法:
- java web 项目:通过
拦截器进行实现,拦截请求,进行提前校验 token(校验token代码放到拦截器中)- Cloud 项目:通过
gateway网关进行校验 token (校验token代码放到网关中)
拦截器优化
public class JWTInterceptor implements HandlerInterceptor{
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//token 一般都是放到 请求request的 header 中,比如 Authentication
String token = request.getHeader("token");
Map<String,Object> map = new HashMap<>();
try {
//验证 token
JWTUtils.verify(token);
//true 代表的是,请求放行
return true;
} catch (TokenExpiredException e) {
map.put("state", false);
map.put("msg", "Token已经过期!!!");
} catch (SignatureVerificationException e){
map.put("state", false);
map.put("msg", "签名错误!!!");
} catch (AlgorithmMismatchException e){
map.put("state", false);
map.put("msg", "加密算法不匹配!!!");
} catch (Exception e) {
e.printStackTrace();
map.put("state", false);
map.put("msg", "无效token~~");
}
//返回前端的异常信息,转换为 Json 格式
String json = new ObjectMapper().writeValueAsString(map);
response.setContentType("application/json;charset=UTF-8");
response.getWriter().println(json);
return false;
}
}
Config 拦截器的配置生效
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new JwtTokenInterceptor()).
excludePathPatterns("/user/**") // 放行,一般放行 登录 方法,login,还有生成 token 方法
.addPathPatterns("/**"); // 拦截除了"/user/**的所有请求路径
}
}
本文来自博客园,作者:小小俊少,转载请注明原文链接:https://www.cnblogs.com/xxjs168/articles/17490118.html
