浅尝 JWT 整合到 Spring Boot

简介: JWT 是什么?JWT -> JSON Web Token

JWT 是什么?

JWT -> JSON Web Token

JWT 是一种开放标准(RFC 7519),用于在网络应用中传递声明信息。

JWT 到一大优势是它的可扩展性和自包含性。它可以在各个系统之间进行安全传输和验证,因为它包含了所有必要的信息,并且经过签名保证了数据的完整性。JWT 通常用于身份验证和授权机制,比如 Web 应用中通过 JWT 来验证用于的身份,下面我们就来实践一下。

本文的实践案例,基于本人之前的文章 Spring Boot 整合 Swagger 接口文档工具项目。

安装依赖

安装 JWT 依赖:

<!-- 引入jwt-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.8.2</version>
</dependency>

添加 JWT 处理方法

我们这里使用用户字段 id,name 和 password 来创建 token。

1. 生成 token

// 生成 token
public static String createToken(User user) {
    Date expireDate = new Date(System.currentTimeMillis() + EXPIRATION * 1000);
    Map<String, Object> map = new HashMap<>();
    map.put("alg", "HS256");
    map.put("typ", "JWT");
    System.out.println(user+"user");
    String token = JWT.create()
            .withClaim("id", user.getId())
            .withClaim("name", user.getName())
            .withClaim("password", user.getPassword())
            .withExpiresAt(expireDate)
            .withIssuedAt(new Date())
            .sign(Algorithm.HMAC256(SECRET));
    return token;
}

2. 验证 token

// 校验 token
public static Map<String, Claim> verifyToken(String token) {
    DecodedJWT jwt = null;
    try {
        JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
        jwt = verifier.verify(token);
    } catch (Exception e) {
        return null;
    }
    return jwt.getClaims();
}

完整的代码如下。我们在包 com.launch.util 下创建 JwtTokenUtils.java 文件:

package com.launch.util;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.launch.model.User;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
public class JwtTokenUtils {
    private static final String SECRET = "jwtSECRET"; // 密钥
    private static final long EXPIRATION = 3600L; // 3600 秒
    // 生成 token
    public static String createToken(User user) {
        Date expireDate = new Date(System.currentTimeMillis() + EXPIRATION * 1000);
        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");
        System.out.println(user+"user");
        String token = JWT.create()
                .withClaim("id", user.getId())
                .withClaim("name", user.getName())
                .withClaim("password", user.getPassword())
                .withExpiresAt(expireDate)
                .withIssuedAt(new Date())
                .sign(Algorithm.HMAC256(SECRET));
        return token;
    }
    // 校验 token
    public static Map<String, Claim> verifyToken(String token) {
        DecodedJWT jwt = null;
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
            jwt = verifier.verify(token);
        } catch (Exception e) {
            return null;
        }
        return jwt.getClaims();
    }
}

创建过滤文件

我们紧接着创建拦截的过滤文件。我们在包 com.launch.config.authenticationhandler.jwt 下创建文件 JwtFilter.java:

package com.launch.config.authenticationhandler.jwt;
import com.auth0.jwt.interfaces.Claim;
import com.launch.util.JwtTokenUtils;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Map;
// /api/user/secure/* 的文件起作用
@WebFilter(filterName = "JwtFilter", urlPatterns = "/api/user/secure/*") 
public class JwtFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {}
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        final HttpServletRequest request = (HttpServletRequest) req;
        final HttpServletResponse response = (HttpServletResponse) res;
        response.setCharacterEncoding("UTF-8");
        final String token = request.getHeader("Auth");
        if("OPTIONS".equals(request.getMethod())) { // 是否是 OPTIONS 请求
            response.setStatus(HttpServletResponse.SC_OK);
            chain.doFilter(request, response);
        }
        else {
            if(token == null) {
                response.getWriter().write("no token");
                return;
            }
            Map<String, Claim> userData = JwtTokenUtils.verifyToken(token); // 检验 token
            if(userData == null) {
                response.getWriter().write("token illegal");
                return;
            }
            Integer id = userData.get("id").asInt(); // 获取 id
            String userName = userData.get("name").asString(); // 获取用户名
            String password = userData.get("password").asString(); // 获取密码
            request.setAttribute("id", id); // 设置 id
            request.setAttribute("username", userName); // 设置用户名
            request.setAttribute("password", password); // 设置密码
            chain.doFilter(req, res); // 过滤成功
        }
    }
    @Override
    public  void destroy() {}
}

这个文件做了什么事情呢?

urlPatterns = "/api/user/secure/*" 表示接口 /api/user/secure/* 下的接口需要经过验证才可以访问。

request.getHeader("Auth") 我们通过 request 请求的 header 中获取提前存在字段 Auth 上的 token 值。在真实登陆的时候就会存储进去 Auth 内。

request.setAttribute("id", id); 将获取的 id 值存在 request 请求上。username,password 同理。

为了过滤器能够生效,我们需要在入口类添加注释 @ServletComponentScan(basePackages="com.launch.config.authenticationhandler.jwt")。

验证

最后,我们验证下 token 是否集成生效。该操作在包 com.lauch.controller 下 UserController.java 文件中操作。

我们模拟登陆,生成 token:

// 用户登陆
@GetMapping("/login")
String login(User user) {
    // jimmy simulation
    //        {
    //            "id": 2,
    //            "name": "Jimmy",
    //            "age": 18,
    //            "password": "123456"
    //        }
    String token = JwtTokenUtils.createToken(user);
    return token;
}

下面我们来获取当前登陆的用户信息。

@GetMapping("/secure/current_registrant")
public String currentRegistrant(HttpServletRequest request) {
    Integer id = (Integer) request.getAttribute("id");
    String username = request.getAttribute("username").toString();
    String password = request.getAttribute("password").toString();
    return "当前用户信息: id="+id+" ,username="+username+" ,password="+password;
}

上面也提及到了,我们是要获取 request 中 header 上 Auth 的值。这里就有 Auth = eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJwYXNzd29yZCI6IjEyMzQ1NiIsIm5hbWUiOiJKaW1teSIsImlkIjoyLCJleHAiOjE2OTExNjA0NjMsImlhdCI6MTY5MTE1Njg2M30.nIP23eI-vgIZC-Fw2FGDQw1GrXlA4mBVBb3vkSFySgc。我们在 postman 上设置,并请求该接口:


相关文章
|
16天前
|
JSON 安全 Java
什么是JWT?如何使用Spring Boot Security实现它?
什么是JWT?如何使用Spring Boot Security实现它?
67 5
|
4月前
|
SQL Java 测试技术
在Spring boot中 使用JWT和过滤器实现登录认证
在Spring boot中 使用JWT和过滤器实现登录认证
265 0
|
2月前
|
JSON 安全 算法
|
22天前
|
JSON 安全 算法
Spring Boot 应用如何实现 JWT 认证?
Spring Boot 应用如何实现 JWT 认证?
49 8
|
2月前
|
存储 安全 Java
|
2月前
|
JSON NoSQL Java
springBoot:jwt&redis&文件操作&常见请求错误代码&参数注解 (九)
该文档涵盖JWT(JSON Web Token)的组成、依赖、工具类创建及拦截器配置,并介绍了Redis的依赖配置与文件操作相关功能,包括文件上传、下载、删除及批量删除的方法。同时,文档还列举了常见的HTTP请求错误代码及其含义,并详细解释了@RequestParam与@PathVariable等参数注解的区别与用法。
|
1月前
|
JavaScript NoSQL Java
CC-ADMIN后台简介一个基于 Spring Boot 2.1.3 、SpringBootMybatis plus、JWT、Shiro、Redis、Vue quasar 的前后端分离的后台管理系统
CC-ADMIN后台简介一个基于 Spring Boot 2.1.3 、SpringBootMybatis plus、JWT、Shiro、Redis、Vue quasar 的前后端分离的后台管理系统
43 0
|
2月前
|
存储 JSON 算法
JWT令牌基础教程 全方位带你剖析JWT令牌,在Springboot中使用JWT技术体系,完成拦截器的实现 Interceptor (后附源码)
文章介绍了JWT令牌的基础教程,包括其应用场景、组成部分、生成和校验方法,并在Springboot中使用JWT技术体系完成拦截器的实现。
126 0
JWT令牌基础教程 全方位带你剖析JWT令牌,在Springboot中使用JWT技术体系,完成拦截器的实现 Interceptor (后附源码)
|
4月前
|
NoSQL 关系型数据库 MySQL
SpringBoot 集成 SpringSecurity + MySQL + JWT 附源码,废话不多直接盘
SpringBoot 集成 SpringSecurity + MySQL + JWT 附源码,废话不多直接盘
162 2
|
4月前
|
NoSQL 安全 Java
Java Spring Boot中使用Shiro、JWT和Redis实现用户登录鉴权
Java Spring Boot中使用Shiro、JWT和Redis实现用户登录鉴权

热门文章

最新文章