SpringBoot通过拦截器和JWT令牌实现登录验证

简介: 该文介绍了JWT工具类、匿名访问注解、JWT验证拦截器的实现以及拦截器注册。使用`java-jwt`库生成和验证JWT,JwtUtil类包含generateToken和verifyToken方法。自定义注解`@AllowAnon`允许接口匿名访问。JwtInterceptor在Spring MVC中拦截请求,检查JWT令牌有效性。InterceptorConfig配置拦截器,注册并设定拦截与排除规则。UserController示例展示了注册、登录(允许匿名)和需要验证的用户详情接口。

1. Jwt 工具类

引入依赖

<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>4.4.0</version>
</dependency>

JwtUtil 类包含了两个静态方法:generateToken() 用于生成 JWT,verifyToken() 用于验证 JWT

public class JwtUtil {
   

    //密钥
    private static final String SECRET_KEY = "xxxxxxxxx";

    // 过期时间60分钟
    private static final long EXPIRE_TIME = 60 * 60 * 1000;

    /**
     * 生成签名
     *
     * @param claims
     * @return
     */
    public static String generateToken(Map<String, Object> claims) {
   

        var jwtBuilder = JWT.create();

        // 设置传入的字典中的声明
        for (Map.Entry<String, Object> entry : claims.entrySet()) {
   
            jwtBuilder.withClaim(entry.getKey(), entry.getValue().toString());
        }

        //过期时间
        Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);

        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
        return jwtBuilder.withExpiresAt(date).sign(algorithm);


    }

    /**
     * 校验token是否正确
     *
     * @param token
     * @return
     */
    public static boolean verifyToken(String token) {
   
        try {
   
            if (token.startsWith("Bearer ")) {
   
                token = token.replace("Bearer ", "");
                return false;
            }

            Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
            DecodedJWT jwt = JWT.require(algorithm)
                    .build()
                    .verify(token);
            return true;
        } catch (Exception exception) {
   
            return false;
        }
    }

    /**
     * 获得token中的用户信息(无需secret解密也能获得)
     *
     * @param token
     * @return
     */
    public static String getUsername(String token) {
   
        try {
   
            if (token.startsWith("Bearer ")) {
   
                token = token.replace("Bearer ", "");
            }
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("userName").asString();
        } catch (JWTDecodeException e) {
   
            return null;
        }
    }
}

2. 匿名访问注解

自定义匿名访问注解,接口添加该注解,则跳过Jwt权限验证。

/**
 * 自定义注解
 * 允许匿名访问
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AllowAnon {
   
    boolean required() default true;
}

3. Jwt验证拦截器


public class JwtInterceptor implements HandlerInterceptor {
   

    /**
     * 在请求处理之前进行调用(Controller方法调用之前)
     *
     * @param request
     * @param response
     * @param handler
     * @return
     * @throws IOException
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws IOException {
   

        System.out.println("Jwt Interceptor preHandle");

        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();

        //检查有没有允许匿名访问的注解
        if (method.isAnnotationPresent(AllowAnon.class)) {
   
            AllowAnon allowAnon = method.getAnnotation(AllowAnon.class);
            if (allowAnon.required()) {
   
                //允许匿名访问(无需权限)
                return true;
            }
        }

        String authorizationHeader = request.getHeader("Authorization");
        if (authorizationHeader == null || !authorizationHeader.startsWith("Bearer ")) {
   
            ResponseErrorMessage(response);
            return false;
        }
        String token = authorizationHeader.substring(7);
        try {
   
            //验证token
            if (JwtUtil.verifyToken(token)) {
   
                //验证成功
                return true;
            } else {
   
                //验证失败
                ResponseErrorMessage(response);
                return false;
            }
        } catch (Exception e) {
   
            ResponseErrorMessage(response);
            return false;
        }
    }

    /**
     * 请求处理之后进行调用,但是在视图被渲染之前(Controller方法调用之后)
     * preHandle方法处理之后这个方法会被调用,如果控制器Controller出现了异常,则不会执行此方法
     *
     * @param request
     * @param response
     * @param handler
     * @param modelAndView
     * @throws Exception
     */
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
   
        System.out.println("Jwt Interceptor postHandle");
    }

    /**
     * 不管有没有异常,这个afterCompletion都会被调用
     *
     * @param request
     * @param response
     * @param handler
     * @param ex
     * @throws Exception
     */
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
   
        System.out.println("Jwt Interceptor afterCompletion");
    }

    /**
     * 响应错误消息
     *
     * @param response
     * @throws IOException
     */
    private void ResponseErrorMessage(HttpServletResponse response) throws IOException {
   
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        response.setContentType("application/json; charset=UTF-8");
        response.getWriter().write("{\"success\":false,\"message\":\"授权失败\",\"data\":null}");
    }
}

4. 注册拦截器


//注册拦截器配置
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
   

    /**
     * 重写addInterceptors()实现拦截器
     * 配置:要拦截的路径以及不拦截的路径
     *
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
   

        System.out.println("InterceptorConfig addInterceptors");

        registry.addInterceptor(jwtInterceptor())  //配置拦截规则
                .addPathPatterns("/api/**")  // 拦截所有请求,通过判断token是否合法来决定是否需要登录
                .excludePathPatterns(
                        "/api/user/register"  //注册
                );//允许匿名访问放行的请求
    }

    @Bean
    public JwtInterceptor jwtInterceptor() {
   
        return new JwtInterceptor();
    }
}

5. 控制器

@RestController
@RequestMapping("/api/user")
public class UserController {
   

    /**
     * 注册(无需jwt验证,InterceptorConfig定义排除JwtInterceptor验证路由)
     *
     * @return
     */
    @PostMapping("register")
    public String register() {
   
        return "注册成功";
    }

    /**
     * 登录(无需jwt验证,添加AllowAnon允许匿名访问注解)
     *
     * @return
     */
    @AllowAnon
    @PostMapping("login")
    public String login() {
   
        Map<String, Object> claims = new HashMap<>();
        claims.put("userId", "9");
        claims.put("userName", "usernine");

        //生成token
        var token = JwtUtil.generateToken(claims);

        return token;
    }

    /**
     * 详情(需要验证)
     *
     * @return
     */
    @GetMapping("detail")
    public void getUserDetail(@RequestHeader("Authorization") String token) {
   
        //获取当前用户名
        var username = JwtUtil.getUsername(token);
    }
}
目录
相关文章
|
11天前
|
安全 Java 应用服务中间件
Shiro + JWT 进行登录验证
Shiro + JWT 进行登录验证
23 2
1天搞定SpringBoot+Vue全栈开发 (9)JWT跨域认证
1天搞定SpringBoot+Vue全栈开发 (9)JWT跨域认证
|
11天前
|
存储 JSON 算法
SpringBoot之JWT令牌校验
SpringBoot之JWT令牌校验
26 2
|
11天前
|
SQL 安全 Java
微服务之Springboot整合Oauth2.0 + JWT
微服务之Springboot整合Oauth2.0 + JWT
22 1
|
JSON 算法 安全
SpringBoot从入门到精通(三十四)如何集成JWT实现Token验证
近年来,随着前后端分离、微服务等架构的兴起,传统的cookie+session身份验证模式已经逐渐被基于Token的身份验证模式取代。接下来介绍如何在Spring Boot项目中集成JWT实现Token验证。
SpringBoot从入门到精通(三十四)如何集成JWT实现Token验证
|
JSON 算法 Java
SpringBoot集成JWT实现token验证
JWT官网: https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。
3723 0
|
Java
Java:SpringBoot集成JWT实现token验证
Java:SpringBoot集成JWT实现token验证
179 0
Java:SpringBoot集成JWT实现token验证
|
2天前
|
JavaScript Java 测试技术
基于SpringBoot+Vue的知识管理系统附带文章和源代码
基于SpringBoot+Vue的知识管理系统附带文章和源代码
14 2
|
2天前
|
JavaScript Java 测试技术
基于SpringBoot+Vue的汽车票网上预订系统附带文章和源代码
基于SpringBoot+Vue的汽车票网上预订系统附带文章和源代码
8 1
|
2天前
|
JavaScript Java 测试技术
基于SpringBoot+Vue的智慧社区附带文章和源代码
基于SpringBoot+Vue的智慧社区附带文章和源代码
8 1