JWT官网:http://https:/jwt.io/
1、JWT应用场景:登陆验证
第一次登录生成令牌,之后每次前端向后端发送请求都要带上JWT令牌,用来校验
若令牌出错或没有,则会被拦截,无法到达后端接口进行处理
2、JWT组成
实际生成如下:
JWT由一段字符组成,这些字符以两个英文点符号作为分割
1、Header(头部)中:
alg指定数字签名算法,此处指定数字签名算法为HS256算法 type指定令牌类型,此处指定令牌类型为JWT2、Payload(载荷)就是存储自定义的信息:
此处的name以及iat都是我们自定义的信息头部和载荷原始数据都是JSON格式的数据,在JWT令牌生成中基于Base64格式进行编码
Signature(数字签名)部分将头部和载荷结合起来,并加入指定密钥(自己指定,大多为自己指定的字符串),采用alg中声明的数字签名算法进行加密,不基于Base64格式进行编码
3、JWT令牌的生成(有代码)
引入依赖
io.jsonwebtoken
jjwt
0.9.1
JWT令牌的生成代码
public void testGenjwt(){
Map<String, Object> claims = new HashMap<>();
claims.put("id", 1);
claims.put("name", "tom");
String jwt = Jwts.builder()
.signWith(SignatureAlgorithm.HS256, "itdream_ready") // 签名算法
.setClaims(claims) // 自定义内容(载荷)
.setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000)) // 设置有效期为1h +号右侧数字单位是毫秒
.compact(); // 对生成的内容进行字符串的拼接
System.out.println(jwt);
}
JWT令牌的校验
此处的.parseClaimJws参数对应生成的JWT令牌
public void testParseJwt(){
Claims claims = Jwts.parser()
.setSigningKey("itdream_ready") // 指定密钥
// 下面括号内填入生成的JWT令牌
.parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoidG9tIiwiaWQiOjEsImV4cCI6MTY5NzU0ODc5Mn0.6iT6BrK3lKZbYrCmm_5_Y6py_vLF25_YMm3MtodsmPA")
.getBody();// 拿到 body 中的部分
System.out.println(claims);
}
登录 —— 生成JWT令牌
此处代码无法直接运行,仅供参考
4、拦截器(Interceptor)
拦截器概述
定义拦截器
此处只是定义,若想定义的拦截器发挥功能,需注册拦截器
定义一个类,实现HandlerInterceptor接口,并重写对应方法
一般来说preHandle是必须要重写的,因为它在请求到达目标资源方法前期执行,是拦截器的核心
在preHandle中进行JWT令牌的校验,并根据校验结果选择放行或拦截
参考代码(无法执行,只供参考):
/**
* 校验jwt
*
* @param request
* @param response
* @param handler
* @return
* @throws Exception
*/
// 该方法在请求处理方法之前被自动调用
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
System.out.println("当前线程的id:" + Thread.currentThread().getId());
//判断当前拦截到的是Controller的方法还是其他资源
if (!(handler instanceof HandlerMethod)) {
//当前拦截到的不是动态方法,直接放行
return true;
}
//1、从请求头中获取令牌
String token = request.getHeader(jwtProperties.getAdminTokenName());
//2、校验令牌
try {
log.info("jwt校验:{}", token);
Claims claims = JwtUtil.parseJWT(jwtProperties.getAdminSecretKey(), token);
Long empId = Long.valueOf(claims.get(JwtClaimsConstant.EMP_ID).toString());
log.info("当前员工id:", empId);
// 将发送该请求的管理员id记录下来,保存下来
BaseContext.setCurrentId(empId);
//3、通过,放行
return true;
} catch (Exception ex) {
//4、不通过,响应401状态码
response.setStatus(401);
return false;
}
}
注册拦截器 —— 拦截路径
将定义的拦截器给予启用,并设置拦截和放行的路径
参考代码(无法直接运行,只供参考):
/**
* 注册自定义拦截器
*
* @param registry
*/
protected void addInterceptors(InterceptorRegistry registry) {
// log.info("") 是一个日志输出语句,通常在代码中用于输出日志信息
log.info("开始注册自定义拦截器...");
// 设置什么路径的请求该拦什么不该拦
registry.addInterceptor(jwtTokenAdminInterceptor)
.addPathPatterns("/admin/**") // 指定拦截的资源路径
.excludePathPatterns("/admin/employee/login"); // 指定不需要拦截的资源路径
registry.addInterceptor(jwtTokenUserInterceptor)
.addPathPatterns("/user/**")
.excludePathPatterns("/user/user/login")
.excludePathPatterns("/user/shop/status");
}
