springboot+jwt實現token登陸權限認證的實現

一 前言

此篇文章的內容也是學習不久，終于到周末有時間碼一篇文章分享知識追尋者的粉絲們，學完本篇文章，讀者將對token類的登陸認證流程有個全面的了解，可以動態搭建自己的登陸認證過程；對小項目而已是個輕量級的認證機制，符合開發需求；

二 jwt實現登陸認證流程

用戶使用賬號和面發出post請求 服務器接受到請求后使用私鑰創建一個jwt，這邊會生成token 服務器返回這個jwt給瀏覽器 瀏覽器需要將帶有token的jwt放入請求頭 每次手到客戶端請求，服務器驗證該jwt的token 驗證成功返回響應的資源給瀏覽器。否則異常處理

三 相關介紹jwt

3.1jwt 組成

JWT的token由三段信息構成的，將這三段信息文本用.連接一起就構成了JWT字符串；

Header 頭部(包含了令牌的元數據，并且包含簽名和或加密算法的類型) Payload 負載 Signature 簽名/簽證

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1ODI4OTc4NDUsInVzZXJuYW1lIjoienN6eHoifQ.vyiExkFWCCmQA3PFYL0jJfIiYGWubngqB0WcgmtHOxg

3.2 jwt優點

簡潔(Compact): 可以通過URL，POST參數或者在HTTP header發送，數據量小，傳輸速度快 自包含(Self-contained)：負載中包含了所有用戶所需要的信息，避免多次查詢數據庫 .因為Token是以JSON加密的形式保存在客戶端的，所以JWT是跨語言支持； 不需要在服務端保存會話信息，適用于分布式與微服務；

四 jwt用戶登陸發放token

4.1 pom.xml

項目構件如下

springboot 2.1; jwt 3.4.0; maven 3.5 jdk1.8 postman接口測試

<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <optional>true</optional> </dependency> </dependencies>

4.2jwt工具類

jwt工具類中有三個方法，分別是生成數字簽名用于用戶首次登陸時發送jwt給客戶端；其次是校驗方法，用于攔截器攔截所有規則內的url，每個請求都必須帶有服務器發送的jwt，經過驗證后才放行請求；最后一個獲得用戶名的方法用于查詢密鑰，在驗證jwt時作為參數傳入；

/* * * @Author lsc * <p> JWT工具類 </p> * @Param * @Return */public class JwtUtil { // Token過期時間30分鐘 public static final long EXPIRE_TIME = 30 * 60 * 1000; /* * * @Author lsc * <p> 校驗token是否正確 </p> * @Param token * @Param username * @Param secret * @Return boolean */ public static boolean verify(String token, String username, String secret) { try { // 設置加密算法 Algorithm algorithm = Algorithm.HMAC256(secret); JWTVerifier verifier = JWT.require(algorithm) .withClaim('username', username) .build(); // 效驗TOKEN DecodedJWT jwt = verifier.verify(token); return true; } catch (Exception exception) { return false; } } /* * * @Author lsc * <p>生成簽名,30min后過期 </p> * @Param [username, secret] * @Return java.lang.String */ public static String sign(String username, String secret) { Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME); Algorithm algorithm = Algorithm.HMAC256(secret); // 附帶username信息 return JWT.create() .withClaim('username', username) .withExpiresAt(date) .sign(algorithm); } /* * * @Author lsc * <p> 獲得用戶名 </p> * @Param [request] * @Return java.lang.String */ public static String getUserNameByToken(HttpServletRequest request) { String token = request.getHeader('token'); DecodedJWT jwt = JWT.decode(token); return jwt.getClaim('username') .asString(); }}

4.3 用戶實體

實體中包含用戶名，和密碼，一切從簡；

/** * @Author lsc * <p> </p> */@Datapublic class SysUser { private String username; private String password;}

4.4Controller

表現層代碼用戶用戶登陸認證，認證成功后發放token給客戶端；

/** * @Author lsc * <p> </p> */@RestControllerpublic class SysUserController { @PostMapping(value = '/login') public Map<String, Object> login(@RequestBody SysUser sysUser){ Map<String, Object> map = new HashMap<>(); String username = sysUser.getUsername(); String password = sysUser.getPassword(); // 省略 賬號密碼驗證 // 驗證成功后發送token String token = JwtUtil.sign(username,password); if (token != null){ map.put('code', '200'); map.put('message','認證成功'); map.put('token', token); return map; } map.put('code', '403'); map.put('message','認證失敗'); return map; }}

4.5 測試

測試url http://localhost:8080/login

postman post請求測試參數如下

{ 'username': 'zszxz', 'password': 'zszxz'}

返回內容如下

{ 'code': '200', 'message': '認證成功', 'token': 'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1ODI4OTc4NDUsInVzZXJuYW1lIjoienN6eHoifQ.vyiExkFWCCmQA3PFYL0jJfIiYGWubngqB0WcgmtHOxg'}

五 jwt登陸攔截認證

基于前面已經實現jwt登錄認證后發放token給客戶端；本節內容就是將token放入請求頭中發送請求給服務器；服務器使用攔截器攔截請求對token進行驗證；驗證成功請求通過，否則請求資源失??；

5.1自定義攔截器

自定義攔截器JwtInterceptor，實現HandlerInterceptor接口，每次請求到達之前都會驗證token是否有效；

/** * @Author lsc * <p>token驗證攔截器 </p> */@Componentpublic class JwtInterceptor implements HandlerInterceptor { @Autowired SysUserService sysUserService; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 從 http 請求頭中取出 token String token = request.getHeader('token'); // 如果不是映射到方法直接通過 if(!(handler instanceof HandlerMethod)){ return true; } if (token != null){ String username = JwtUtil.getUserNameByToken(request); // 這邊拿到的 用戶名 應該去數據庫查詢獲得密碼，簡略，步驟在service直接獲取密碼 boolean result = JwtUtil.verify(token,username,sysUserService.getPassword()); if(result){ System.out.println('通過攔截器'); return true; } } return false; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { }}

5.2 service

/** * @Author lsc * <p> 模擬查詢數據庫獲得賬號密碼 </p> */@Servicepublic class SysUserService { public String getPassword(){ return 'zszxz'; }}

5.3攔截器配置

攔截器配置中主要定義攔截請求規則，將攔截器注入WebMvcConfigurer；cors跨域處理；

/* * * @Author lsc * <p>攔截器配置 </p> * @Param * @Return */@Configurationpublic class InterceptorConfig implements WebMvcConfigurer { /* * * @Author lsc * <p> 設置攔截路徑 </p> * @Param [registry] * @Return void */ @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(authenticationInterceptor()) .addPathPatterns('/**') .excludePathPatterns('/login'); } /* * * @Author lsc * <p> 將攔截器注入context </p> * @Param [] * @Return com.zszxz.jwt.interceptor.JwtInterceptor */ @Bean public JwtInterceptor authenticationInterceptor() { return new JwtInterceptor(); } /* * * @Author lsc * <p>跨域支持 </p> * @Param [registry] * @Return void */ @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping('/**') .allowedOrigins('*') .allowCredentials(true) .allowedMethods('GET', 'POST', 'DELETE', 'PUT', 'PATCH', 'OPTIONS', 'HEAD') .maxAge(3600 * 24); }}

5.4Controller

表現層接口用于攔截親求測試

/** * @Author lsc * <p> </p> */@RestControllerpublic class TestController { @GetMapping(value = '/api/test') public String get(){ return 'zszxz'; }}

5.5 測試

測試url http://localhost:8080/api/test

發送get請求給服務器，帶有請求頭,key為token,value為用戶首次登陸時返回的token串；

測試返回內容如下

zszxz

六 官網鏈接

https://jwt.io/introduction/

到此這篇關于springboot+jwt實現token登陸權限認證的實現的文章就介紹到這了,更多相關springboot jwt token登陸權限 內容請搜索好吧啦網以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持好吧啦網！