最后,在controller层用户登录之后,创建一个token,存放在头部即可
/** * 登录 * @param userDto * @return */ @JwtIgnore @RequestMapping(value = "/login", method = RequestMethod.POST, produces = {"application/json;charset=UTF-8"}) public UserVo login(@RequestBody UserDto userDto, HttpServletResponse response){ //...参数合法性验证 //从数据库获取用户信息 User dbUser = userService.selectByUserNo(userDto.getUserNo); //....用户、密码验证 //创建token,并将token放在响应头 UserToken userToken = new UserToken(); BeanUtils.copyProperties(dbUser,userToken); String token = JwtTokenUtil.createToken(JSONObject.toJSONString(userToken)); response.setHeader(JwtTokenUtil.AUTH_HEADER_KEY, token); //定义返回结果 UserVo result = new UserVo(); BeanUtils.copyProperties(dbUser,result); return result; }
到这里基本就完成了!
其中AuthenticationInterceptor中用到的JwtIgnore是一个注解,用于不需要验证token的方法上,例如验证码的获取等等。
@Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interface JwtIgnore { boolean value() default true; }
而WebContextUtil是一个线程缓存工具类,其他接口通过这个方法即可从token中获取用户信息。
public class WebContextUtil { //本地线程缓存token private static ThreadLocal<String> local = new ThreadLocal<>(); /** * 设置token信息 * @param content */ public static void setUserToken(String content){ removeUserToken(); local.set(content); } /** * 获取token信息 * @return */ public static UserToken getUserToken(){ if(local.get() != null){ UserToken userToken = JSONObject.parseObject(local.get() , UserToken.class); return userToken; } return null; } /** * 移除token信息 * @return */ public static void removeUserToken(){ if(local.get() != null){ local.remove(); } } }
最后,启动项目,我们来用postman测试一下,看看头部返回结果。
我们把返回的信息提取处理,使用浏览器的base64对前两个部分进行解密。
- 第一部分,也就是header,结果如下:
第二部分,也就是playload,结果如下:
可以很清晰的看到,头部、载荷的信息都可以通过base64解密出来。
所以,一定别在token中存放敏感信息!
当我们需要请求其它服务接口时,只需要在请求头部headers中加入Authorization参数即可。
当权限拦截器验证通过之后,在接口方法中只需要通过WebContextUtil工具类就可以获取用户信息。
//获取用户token信息 UserToken userToken = WebContextUtil.getUserToken();
四、总结
JWT相比session方案,因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA、JavaScript、PHP等很多语言都可以使用,而session方案只针对JAVA。
因为有了payload部分,所以JWT可以存储一些其他业务逻辑所必要的非敏感信息。
同时,保护好服务端secret私钥非常重要,因为私钥可以对数据进行验证、解密!
如果可以,请使用https协议!
