SpringBoot使用Jwt处理跨域认证问题的教程详解

SpringBoot使用Jwt处理跨域认证问题的教程详解

在前后端开发时为什么需要用户认证呢？原因是由于HTTP协定是不存储状态的，这意味着当我们透过账号密码验证一个使用者时，当下一个request请求时他就把刚刚的资料忘记了。于是我们的程序就不知道谁是谁了。 所以为了保证系统的安全，就需要验证用户是否处于登陆状态。

一、JWT的组成

JWT由Header、Payload、Signature三部分组成，分别用.分隔。

下面就是一个jwt真实的样子，说白了就是一个字符串，但是里面却存储了很重要的信息。

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJyYXljaGVuIiwiaWQiOjIsIm5hbWUiOiJyYXkiLCJwYXNzd29yZCI6IjMyMSIsImlhdCI6MTU5MDI5OTU0OCwiZXhwIjoxNTkwMzg1OTQ4fQ.ORJNldDIfffg7D3_xu0_dBWb16y4fPLtw_r6qgScFpQ

Header：

第一部分是请求头由两部分组成，alg与typ,第一个指定的是算法，第二指定的是类型。

Payload

第二部分是主体信息组成,用来存储JWT基本信息，或者是我们的信息。

Signature

第三部分主要是给第一部分跟第二部进行签名使用的,用来验证是否是我们服务器发起的Token，secret是我们的密钥。

二、在springboot项目中使用jwt做验证

具体流程：

把用户的用户名和密码发到后端

 后端进行校验，校验成功会生成token, 把token发送给客户端

 客户端自己保存token, 再次请求就要在Http协议的请求头中带着token去访问服务端，和在服务端保存的token信息进行比对校验。

1.先引入jar包

io.jsonwebtoken

jjwt

0.9.1

2.使用工具类生成token和验证token（生成token方法中存入了用户的信息）

public class JwtUtils {

//发行者

public static final String SUBJECT="raychen";

//过期时间 一天

public static final long EXPIRE=1000*60*60*24;

//密钥

publOvrWQTic static final String APPSECRET="raychen11";

/**

* 生成jwt

* @param user

* @return

*/

public static String geneJsonWebToken(User user){

if(user==null || user.getId()==null || user.getName()==null || user.getPassword()==null){

return null;

}

String token=Jwts.builder().setSubject(SUBJECT)

.claim("id",user.getId())

.claim("name",user.getName())

.claim("password",user.getPassword())

.setIssuedAt(new Date())

.setExpiration(new Date(System.currentTimeMillis()+EXPIRE))

.signWith(SignatureAlgorithm.HS256,APPSECRET).compact();

return token;

}

/**

* 校验token

* @param token

* @return

*/

public static Claims checkJWT(String token){

//仿造的token或者已过期就会报错

try {

final Claims claims=Jwts.parser().setSigningKey(APPSECRET).parseClaimsJws(token).getBody();

return claims;

}catch (Exception e){

System.out.println("catch...");

}

return null;

}

}

3.自定义注解（进行token验证）

@Target({Elehttp://mentType.METHOD, ElementType.TYPE})

@Retention(RetentionPolicy.RUNTIME)

public @interface CheckToken {

boolean required() default true;

}

4.编写config，将后台所有请求先去-（-返回了true，用户才可以请求到接口）

@Configuration

public class InterceptorConfig implements WebMvcConfigurer {

@Override

public void addInterceptors(InterceptorRegistry registry) {

registry.addInterceptor(authenticationInterceptor())

.addPathPatterns("/**"); // 拦截所有请求，通过判断是否有 @LoginRequired 注解 决定是否需要登录

}

@Bean

public AuthenticationInterceptor authenticationInterceptor() {

return new AuthenticationInterceptor();

}

}

5.定义-（对需要token验证的请求，进行验证，验证成功返回true，失败返回false无法请求到接口）

public class AuthenticationInterceptor implements HandlerInterceptor {

public static final Gson gson=new Gson();

/**

* 进入controller之前进行拦截

* @param request

* @param response

* @param object

* @return

*/

@Override

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception {

// 如果不是映射到方法直接通过

if (!(object instanceof HandlerMethod)) {

return true;

}

HandlerMethod handlerMethod = (HandlerMethod) object;

Method method = handlerMethod.getMethod();

//检查是否有LoginToken注释，有则跳过认证

if (method.isAnnotationPresent(LoginToken.class)) {

LoginToken loginToken = method.getAnnotation(LoginToken.class);

if (loginToken.required()) {

return true;

}

}

//前面是不需要token验证的 从 http 请求头中取出 token

String token = request.getHeader("token");

//检查有没有需要用户权限的注解

if (method.isAnnotationPresent(CheckToken.class)) {

CheckToken checkToken = method.getAnnotation(CheckToken.class);

if (checkToken.required()) {

if(token!=null){

Claims claims= JwtUtils.checkJWT(token);

if(null==claims){

sendJsonMessage(response, JsonData.buildError("token有误"));

return false;

}

Integer userId= (Integer) claims.get("id");

String name = (String) claims.get("name");

request.setAttribute("userId",userId);

request.setAttribute("name",name);

return true;

}

//token为null的话 返回一段json给前端

sendJsonMessage(response, JsonData.buildError("请登录"));

return false;

}

}

//没有使用注解的方法 直接返回true

return true;

}

/**

* 响应数据给前端

* @param response

* @param obj

* @throws IOException

*/

public static void sendJsonMessage (HttpServletResponse response, Object obj) throws IOException {

response.setContentType("application/json; charset=utf-8");

PrintWriter writer = response.getWriter();

writer.print(gson.toJson(obj));

writer.close();

response.flushBuffer();

}

}

用户登录成功后，使用工具类生成token。token在服务端不做存储，直接将token返回给客户端，客户端下次请求服务端时，使用工具类来验证header里的token是否合法。

总结

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。