SpringBoot整合JWT框架,解決Token跨域驗證問題
1、用戶向服務(wù)器發(fā)送用戶名和密碼。2、服務(wù)器驗證后在當(dāng)前對話(session)保存相關(guān)數(shù)據(jù)。3、服務(wù)器向返回sessionId,寫入客戶端 Cookie。4、客戶端每次請求,需要通過 Cookie,將 sessionId 回傳服務(wù)器。5、服務(wù)器收到 sessionId,驗證客戶端。2、存在問題
1、session保存在服務(wù)端,客戶端訪問高并發(fā)時,服務(wù)端壓力大。2、擴(kuò)展性差,服務(wù)器集群,就需要 session 數(shù)據(jù)共享。二、JWT簡介
JWT(全稱:JSON Web Token),在基于HTTP通信過程中,進(jìn)行身份認(rèn)證。
1、認(rèn)證流程1、客戶端通過用戶名和密碼登錄服務(wù)器;2、服務(wù)端對客戶端身份進(jìn)行驗證;3、服務(wù)器認(rèn)證以后,生成一個 JSON 對象,發(fā)回客戶端;4、客戶端與服務(wù)端通信的時候,都要發(fā)回這個 JSON 對象;5、服務(wù)端解析該JSON對象,獲取用戶身份;6、服務(wù)端可以不必存儲該JSON(Token)對象,身份信息都可以解析出來。2、JWT結(jié)構(gòu)說明
抓一只鮮活的Token過來。
{ 'msg': '驗證成功', 'code': 200, 'token': 'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9. eyJzdWIiOiJhZG1pbiIsImlhdCI6iZEIj3fQ. uEJSJagJf1j7A55Wwr1bGsB5YQoAyz5rbFtF'}
上面的Token被手動格式化了,實際上是用'.'分隔的一個完整的長字符串。
JWT結(jié)構(gòu)
1、頭部(header) 聲明類型以及加密算法;2、負(fù)載(payload) 攜帶一些用戶身份信息;3、簽名(signature) 簽名信息。3、JWT使用方式
通常推薦的做法是客戶端在 HTTP 請求的頭信息Authorization字段里面。
Authorization: Bearer <token>
服務(wù)端獲取JWT方式
String token = request.getHeader('token');三、與SpringBoot2整合 1、核心依賴文件
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.7.0</version></dependency>2、配置文件
server: port: 7009spring: application: name: ware-jwt-tokenconfig: jwt: # 加密密鑰 secret: iwqjhda8232bjgh432[cicada-smile] # token有效時長 expire: 3600 # header 名稱 header: token3、JWT配置代碼塊
@ConfigurationProperties(prefix = 'config.jwt')@Componentpublic class JwtConfig { /* * 根據(jù)身份ID標(biāo)識,生成Token */ public String getToken (String identityId){Date nowDate = new Date();//過期時間Date expireDate = new Date(nowDate.getTime() + expire * 1000);return Jwts.builder().setHeaderParam('typ', 'JWT').setSubject(identityId).setIssuedAt(nowDate).setExpiration(expireDate).signWith(SignatureAlgorithm.HS512, secret).compact(); } /* * 獲取 Token 中注冊信息 */ public Claims getTokenClaim (String token) {try { return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();}catch (Exception e){ e.printStackTrace(); return null;} } /* * Token 是否過期驗證 */ public boolean isTokenExpired (Date expirationTime) {return expirationTime.before(new Date()); } private String secret; private long expire; private String header; // 省略 GET 和 SET}四、Token攔截案例 1、配置Token攔截器
@Componentpublic class TokenInterceptor extends HandlerInterceptorAdapter { @Resource private JwtConfig jwtConfig ; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 地址過濾String uri = request.getRequestURI() ;if (uri.contains('/login')){ return true ;}// Token 驗證String token = request.getHeader(jwtConfig.getHeader());if(StringUtils.isEmpty(token)){ token = request.getParameter(jwtConfig.getHeader());}if(StringUtils.isEmpty(token)){ throw new Exception(jwtConfig.getHeader()+ '不能為空');}Claims claims = jwtConfig.getTokenClaim(token);if(claims == null || jwtConfig.isTokenExpired(claims.getExpiration())){ throw new Exception(jwtConfig.getHeader() + '失效,請重新登錄');}//設(shè)置 identityId 用戶身份IDrequest.setAttribute('identityId', claims.getSubject());return true; }}2、攔截器注冊
@Configurationpublic class WebConfig implements WebMvcConfigurer { @Resource private TokenInterceptor tokenInterceptor ; public void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(tokenInterceptor).addPathPatterns('/**'); }}3、測試接口代碼
@RestControllerpublic class TokenController { @Resource private JwtConfig jwtConfig ; // 攔截器直接放行,返回Token @PostMapping('/login') public Map<String,String> login (@RequestParam('userName') String userName, @RequestParam('passWord') String passWord){Map<String,String> result = new HashMap<>() ;// 省略數(shù)據(jù)源校驗String token = jwtConfig.getToken(userName+passWord) ;if (!StringUtils.isEmpty(token)) { result.put('token',token) ;}result.put('userName',userName) ;return result ; } // 需要 Token 驗證的接口 @PostMapping('/info') public String info (){return 'info' ; }}五、源代碼地址
GitHub地址:知了一笑https://github.com/cicadasmile/middle-ware-parent
以上就是SpringBoot整合JWT框架,解決Token跨域驗證問題的詳細(xì)內(nèi)容,更多關(guān)于SpringBoot整合JWT框架的資料請關(guān)注好吧啦網(wǎng)其它相關(guān)文章!
網(wǎng)公網(wǎng)安備