<em>Mac</em>Book项目 2009年学校开始实施<em>Mac</em>Book项目,所有师生配备一本<em>Mac</em>Book,并同步更新了校园无线网络。学校每周进行电脑技术更新,每月发送技术支持资料,极大改变了教学及学习方式。因此2011
2021-06-01 09:32:01
SpringBoot整合JWT Token的完整步驟
2021-09-22 13:00:24
背景
JWT全稱是:json web token。它將使用者資訊加密到 token 裡,伺服器不儲存任何使用者資訊。伺服器通過使用儲存的金鑰驗證 token 的正確性,只要正確即通過驗證。
優點
1.簡介:可以通過 URL POST 引數或者在 HTTP header 傳送,因為資料量小,傳輸速度也很快;
2.自包含:負載中可以包含使用者所需要的資訊,避免了多次查詢資料庫;
3.因為 Token 是以 JSON 加密的形式儲存在使用者端的,所以 JWT 是跨語言的,原則上任何 web 形式都支援;
4.不需要再伺服器端儲存對談資訊,特別適用於分散式微服務;
缺點
1.無法作廢已經發布的令牌;
2.不易應對資料過期;
一 JWT 訊息構成
1.1 組成
一個 Token 分三部分,按順序為
1.頭部(header)
2.載荷(payload)
3.簽證(signature)
三部分之間用.分割。例如:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIxYzdiY2IzMS02ODFlLTRlZGYtYmU3Yy0wOTlkODAzM2VkY2UiLCJleHAiOjE1Njk3Mjc4OTF9.wweMzyB3tSQK34Jmez36MmC5xpUh15Ni3vOV_SGCzJ8
1.2 header
JWT的頭部承載兩部分資訊:
1.宣告型別,這裡是JWT
2.宣告加密的演演算法,通常直接使用 HMAC SHA256
JWT裡驗證和簽名使用的演演算法列表如下:
| JWT | 演演算法名稱 |
| HS256 | HMAC256 |
| HS384 | HMAC384 |
| HS512 | HMAC512 |
| RS256 | RSA256 |
| RS384 | RSA384 |
| RS512 | RSA512 |
| ES256 | ECDSA256 |
| ES384 | ECDSA384 |
| ES512 | ECDSA512 |
1.3 playload
載荷就是存放有效資訊的地方。基本上填兩種型別的資料
1.標準中註冊的宣告的資料;
2.自定義資料;
由這兩部分內部做 base64 加密。
標準中註冊的宣告(建議但不強制使用)
iss: jwt簽發者
sub: jwt所面向的使用者
aud: 接收jwt的一方
exp: jwt的過期時間,這個過期時間必須要大於簽發時間
nbf: 定義在什麼時間之前,該jwt都是不可用的.
iat: jwt的簽發時間
jti: jwt的唯一身份標識,主要用來作為一次性token,從而回避重放攻擊。
自定義資料:存放我們想放在 token 中存放的 key-value 值;
1.4 signature
JWT的第三部分是一個簽證資訊,這個簽證資訊由三部分組成;
base64 加密後的 header 和 base64 加密後的 payload 連線組成的字串,然後通過 header 中宣告的加密方式進行加鹽 secret 組合加密,然後就構成了JWT的第三部分;
二 Spring Boot 和 JWT整合範例
依賴
2.1 專案依賴
<dependencies>
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.8.1</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.8.1</version>
</dependency>
<!-- redis -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<!-- lombok -->
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<scope>1.8.4</scope>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.47</version>
</dependency>
</dependencies>
2.2 自定義註解 @JwtToken
加上該註解的介面需要登入才能存取
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface JwtToken {
boolean required() default true;
}
2.3 JWT認證工具類 JwtUtil.java
主要用來生成簽名 校驗簽證和通過簽名獲取資訊
public class JwtUtil {
/**
* 過期時間5分鐘
*/
private static final long EXPIRE_TIME = 5 * 60 * 1000;
/**
* jwt 金鑰
*/
private static final String SECRET = "jwt_secret";
/**
* 生成簽名,五分鐘後過期
* @param userId
* @return
*/
public static String sign(String userId) {
try {
Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
Algorithm algorithm = Algorithm.HMAC256(SECRET);
return JWT.create()
// 將 user id 儲存到 token 裡面
.withAudience(userId)
// 五分鐘後token過期
.withExpiresAt(date)
// token 的金鑰
.sign(algorithm);
} catch (Exception e) {
return null;
}
}
/**
* 根據token獲取userId
* @param token
* @return
*/
public static String getUserId(String token) {
try {
String userId = JWT.decode(token).getAudience().get(0);
return userId;
} catch (JWTDecodeException e) {
return null;
}
}
/**
* 校驗token
* @param token
* @return
*/
public static boolean checkSign(String token) {
try {
Algorithm algorithm = Algorithm.HMAC256(SECRET);
JWTVerifier verifier = JWT.require(algorithm)
// .withClaim("username", username)
.build();
DecodedJWT jwt = verifier.verify(token);
return true;
} catch (JWTVerificationException exception) {
throw new RuntimeException("token 無效,請重新獲取");
}
}
}
2.4 攔截器攔截帶有註解的介面 JwtInterceptor.java
public class JwtInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) {
// 從 http 請求頭中取出 token
String token = httpServletRequest.getHeader("token");
// 如果不是對映到方法直接通過
if(!(object instanceof HandlerMethod)){
return true;
}
HandlerMethod handlerMethod=(HandlerMethod)object;
Method method=handlerMethod.getMethod();
//檢查有沒有需要使用者許可權的註解
if (method.isAnnotationPresent(JwtToken.class)) {
JwtToken jwtToken = method.getAnnotation(JwtToken.class);
if (jwtToken.required()) {
// 執行認證
if (token == null) {
throw new RuntimeException("無token,請重新登入");
}
// 獲取 token 中的 userId
String userId = JwtUtil.getUserId(token);
System.out.println("使用者id:" + userId);
// 驗證 token
JwtUtil.checkSign(token);
}
}
return true;
}
@Override
public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
}
}
註冊攔截器:WebConfig.java
@Configuration
public class WebConfig implements WebMvcConfigurer {
/**
* 新增jwt攔截器
* @param registry
*/
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(jwtInterceptor())
// 攔截所有請求,通過判斷是否有 @JwtToken 註解 決定是否需要登入
.addPathPatterns("/**");
}
/**
* jwt攔截器
* @return
*/
@Bean
public JwtInterceptor jwtInterceptor() {
return new JwtInterceptor();
}
}
2.5 全域性異常捕獲
@RestControllerAdvice
public class GlobalExceptionHandler {
@ResponseBody
@ExceptionHandler(Exception.class)
public Object handleException(Exception e) {
String msg = e.getMessage();
if (msg == null || msg.equals("")) {
msg = "伺服器出錯";
}
JSONObject jsonObject = new JSONObject();
jsonObject.put("message", msg);
return jsonObject;
}
}
2.6 介面 JwtController.java
@RestController
@RequestMapping("/jwt")
public class JwtController {
/**
* 登入並獲取token
* @param userName
* @param passWord
* @return
*/
@PostMapping("/login")
public Object login( String userName, String passWord){
JSONObject jsonObject=new JSONObject();
// 檢驗使用者是否存在(為了簡單,這裡假設使用者存在,並製造一個uuid假設為使用者id)
String userId = UUID.randomUUID().toString();
// 生成簽名
String token= JwtUtil.sign(userId);
Map<String, String> userInfo = new HashMap<>();
userInfo.put("userId", userId);
userInfo.put("userName", userName);
userInfo.put("passWord", passWord);
jsonObject.put("token", token);
jsonObject.put("user", userInfo);
return jsonObject;
}
/**
* 該介面需要帶簽名才能存取
* @return
*/
@JwtToken
@GetMapping("/getMessage")
public String getMessage(){
return "你已通過驗證";
}
}
2.7 Postman測試介面
2.7.1 在沒有token的情況下存取jwt/getMessage 介面
2.7.2 先登入,再存取jwt/getMessage介面
登入:
攜帶token再次請求jwt/getMessage介面
總結
到此這篇關於SpringBoot整合JWT Token的文章就介紹到這了,更多相關SpringBoot整合JWT Token內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com!
相關文章
-
黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列
综合看Anker超能充系列的性价比很高,并且与不仅和iPhone12/苹果<em>Mac</em>Book很配,而且适合多设备充电需求的日常使用或差旅场景,不管是安卓还是Switch同样也能用得上它,希望这次分享能给准备购入充电器的小伙伴们有所
2021-06-01 09:31:42
-
吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距!
除了L4WUDU与吴亦凡已经多次共事,成为了明面上的厂牌成员,吴亦凡还曾带领20XXCLUB全队参加2020年的一场音乐节,这也是20XXCLUB首次全员合照,王嗣尧Turbo、陈彦希Regi、<em>Mac</em> Ova Seas、林渝植等人全部出场。然而让
2021-06-01 09:31:34
-
IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢?
目前应用IPFS的机构:1 谷歌<em>浏览器</em>支持IPFS分布式协议 2 万维网 (历史档案博物馆)数据库 3 火狐<em>浏览器</em>支持 IPFS分布式协议 4 EOS 等数字货币数据存储 5 美国国会图书馆,历史资料永久保存在 IPFS 6 加
2021-06-01 09:31:24
-
有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊
开拓者的车机是兼容苹果和<em>安卓</em>,虽然我不怎么用,但确实兼顾了我家人的很多需求:副驾的门板还配有解锁开关,有的时候老婆开车,下车的时候偶尔会忘记解锁,我在副驾驶可以自己开门:第二排设计很好,不仅配置了一个很大的
2021-06-01 09:30:48
-
iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎?
不仅是<em>安卓</em>手机,苹果手机的降价力度也是前所未有了,iPhone12也“跳水价”了,发布价是6799元,如今已经跌至5308元,降价幅度超过1400元,最新定价确认了。iPhone12是苹果首款5G手机,同时也是全球首款5nm芯片的智能机,它
2021-06-01 09:30:45