共计 11120 个字符,预计需要花费 28 分钟才能阅读完成。
Json web token (JWT), 是为了在网络应用环境间传递申明而执行的一种基于 JSON 的凋谢规范((RFC 7519). 该 token 被设计为紧凑且平安的,特地实用于分布式站点的单点登录(SSO)场景。JWT 的申明个别被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也能够减少一些额定的其它业务逻辑所必须的申明信息,该 token 也可间接被用于认证,也可被加密。
传统的 session 认证
咱们晓得,http 协定自身是一种无状态的协定,而这就意味着如果用户向咱们的利用提供了用户名和明码来进行用户认证,那么下一次申请时,用户还要再一次进行用户认证才行,因为依据 http 协定,咱们并不能晓得是哪个用户收回的申请,所以为了让咱们的利用能辨认是哪个用户收回的申请,咱们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,通知其保留为 cookie, 以便下次申请时发送给咱们的利用,这样咱们的利用就能辨认申请来自哪个用户了,这就是传统的基于 session 认证。
然而这种基于 session 的认证使利用自身很难失去扩大,随着不同客户端用户的减少,独立的服务器已无奈承载更多的用户,而这时候基于 session 认证利用的问题就会裸露进去。
基于 session 认证所露出的问题
- Session: 每个用户通过咱们的利用认证之后,咱们的利用都要在服务端做一次记录,以不便用户下次申请的甄别,通常而言 session 都是保留在内存中,而随着认证用户的增多,服务端的开销会显著增大。
- 扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保留在内存中的话,这意味着用户下次申请还必须要申请在这台服务器上, 这样能力拿到受权的资源,这样在分布式的利用上,相应的限度了负载均衡器的能力。这也意味着限度了利用的扩大能力。
- CSRF: 因为是基于 cookie 来进行用户辨认的, cookie 如果被截获,用户就会很容易受到跨站申请伪造的攻打。
基于 token 的鉴权机制
基于 token 的鉴权机制相似于 http 协定也是无状态的,它不须要在服务端去保留用户的认证信息或者会话信息。这就意味着基于 token 认证机制的利用不须要去思考用户在哪一台服务器登录了,这就为利用的扩大提供了便当。
流程:
- 用户应用用户名明码来申请服务器
- 服务器进行验证用户的信息
- 服务器通过验证发送给用户一个 token
- 客户端存储 token,并在每次申请时附送上这个 token 值
- 服务端验证 token 值,并返回数据
Token 由三局部组成
第一局部:header,申明
第二局部:payload,载体,最重要的局部。蕴含 id(惟一),subject(用户名),exp(到期工夫)
第三局部:secret,机密,自定义
最终的 token 是 base64 加密后的 header 和 base64 加密后的 payload 和 HS256 加密的 header+payload+secret 组成(三样两头通过. 隔开)
我的项目构造
一、Maven
<dependencies>
<!--JWT-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.7.0</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.commons/commons-lang3 -->
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-lang3</artifactId>
<version>3.4</version>
</dependency>
</dependencies>
二、JwtUtil
package com.springboot.jwt.util;
import com.springboot.jwt.entity.CheckResult;
import com.springboot.jwt.entity.SystemConstant;
import io.jsonwebtoken.*;
import sun.misc.BASE64Decoder;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.io.IOException;
import java.util.Date;
public class JwtUtil {
/**
* 签发 JWT
*
* @param id
* @param subject 能够是 JSON 数据 尽可能少
* @param ttlMillis 无效工夫
* @return String
*/
public static String createJWT(String id, String subject, Long ttlMillis) throws IOException {long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
SecretKey secretKey = generalKey();
JwtBuilder builder = Jwts.builder()
.setId(id) // 是 JWT 的惟一标识,依据业务须要,这个能够设置为一个不反复的值,次要用来作为一次性 token, 从而回避重放攻打。.setSubject(subject) // 代表这个 JWT 的主体,即它的所有人,这个是一个 json 格局的字符串,能够寄存什么 userid,roldid 之类的,作为什么用户的惟一标记
.setIssuer("user") // 颁发者是应用 HTTP 或 HTTPS 计划的 URL(辨别大小写),其中蕴含计划、主机及(可选的)端口号和门路局部
.setIssuedAt(now) // jwt 的签发工夫
.signWith(SignatureAlgorithm.HS256, secretKey); // 设置签名应用的签名算法和签名应用的秘钥
if (ttlMillis > 0) {
long expMillis = nowMillis + ttlMillis;
Date expDate = new Date(expMillis);
builder.setExpiration(expDate); // 过期工夫
}
return builder.compact();}
/**
* 验证 JWT
*
* @param jwtStr
* @return
*/
public static CheckResult validateJWT(String jwtStr) {CheckResult checkResult = new CheckResult();
try {Claims claims = parseJWT(jwtStr);
checkResult.setSuccess(true);
checkResult.setClaims(claims);
} catch (ExpiredJwtException e) {checkResult.setErrCode(SystemConstant.JWT_ERRCODE_EXPIRE);
checkResult.setSuccess(false);
} catch (Exception e) {checkResult.setErrCode(SystemConstant.JWT_ERRCODE_FAIL);
checkResult.setSuccess(false);
}
return checkResult;
}
private static SecretKey generalKey() throws IOException {BASE64Decoder decoder = new BASE64Decoder();
byte[] encodedKey = decoder.decodeBuffer(SystemConstant.JWT_SECERT);
return new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
}
/**
* 解析 JWT 字符串
*
* @param jwt
* @return
*/
public static Claims parseJWT(String jwt) throws IOException {SecretKey secretKey = generalKey();
return Jwts.parser()
.setSigningKey(secretKey)
.parseClaimsJws(jwt)
.getBody();}
}
三、TestController
package com.springboot.jwt.controller;
import com.springboot.jwt.entity.vo.ResultVO;
import com.springboot.jwt.util.JwtUtil;
import com.springboot.jwt.util.ResultVOUtil;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.io.IOException;
import java.util.Date;
@RestController
public class TestController {@RequestMapping("/login")
public ResultVO<Object> login() throws IOException {
// 生成 token,token 无效工夫为 30 分钟
String token = JwtUtil.createJWT(String.valueOf(new Date()), "user", 3600000L);
// 将用户户名和 token 返回
return ResultVOUtil.success(token);
}
@RequestMapping("/token/admin")
public ResultVO<Object> token() {return ResultVOUtil.success("须要 token 才能够拜访的接口");
}
}
四、设置拦截器
在后端承受申请时获取到 token 用于登录验证
package com.springboot.jwt.config;
import com.springboot.jwt.entity.CheckResult;
import com.springboot.jwt.entity.SystemConstant;
import com.springboot.jwt.util.JwtUtil;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.boot.configurationprocessor.json.JSONObject;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.nio.charset.StandardCharsets;
@Slf4j
@Component
public class MyInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 1. 从 Cookie 获取 token
String token = getTokenFromCookie(request);
if (StringUtils.isBlank(token)) {
// 2. 从 headers 中获取
token = request.getHeader("token");
}
if (StringUtils.isBlank(token)) {
// 3. 从申请参数获取
token = request.getParameter("token");
}
if (StringUtils.isBlank(token)) {
// 输入响应流
JSONObject jsonObject = new JSONObject();
jsonObject.put("msg", "403");
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
response.getOutputStream().write(jsonObject.toString().getBytes(StandardCharsets.UTF_8));
return false;
}
// 验证 token
CheckResult checkResult = JwtUtil.validateJWT(token);
if (checkResult.isSuccess()) {
// 验证通过
return true;
} else {if (checkResult.getErrCode().equals(SystemConstant.JWT_ERRCODE_EXPIRE)) {
// 输入响应流
JSONObject jsonObject = new JSONObject();
jsonObject.put("msg", SystemConstant.JWT_ERRCODE_EXPIRE);
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
response.getOutputStream().write(jsonObject.toString().getBytes(StandardCharsets.UTF_8));
return false;
} else if (checkResult.getErrCode().equals(SystemConstant.JWT_ERRCODE_FAIL)) {
// 输入响应流
JSONObject jsonObject = new JSONObject();
jsonObject.put("msg", SystemConstant.JWT_ERRCODE_FAIL);
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
response.getOutputStream().write(jsonObject.toString().getBytes(StandardCharsets.UTF_8));
return false;
}
// 输入响应流
JSONObject jsonObject = new JSONObject();
jsonObject.put("msg", "403");
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
response.getOutputStream().write(jsonObject.toString().getBytes(StandardCharsets.UTF_8));
return false;
}
}
private String getTokenFromCookie(HttpServletRequest request) {
String token = null;
Cookie[] cookies = request.getCookies();
int len = null == cookies ? 0 : cookies.length;
if (len > 0) {for (Cookie cookie : cookies) {if (cookie.getName().equals("token")) {token = cookie.getValue();
break;
}
}
}
return token;
}
}
package com.springboot.jwt.config;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import javax.annotation.Resource;
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
@Resource
private MyInterceptor myInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 设置接口只有携带 token 才能够拜访的路劲
registry.addInterceptor(myInterceptor).addPathPatterns("/token/**");
}
}
五、一些动态常量 SystemConstant
package com.card.entity;
public class SystemConstant {
public static final String JWT_SECERT = "dfb70cce5939b7023d0ca97b86937bf9";
public static final String JWT_ERRCODE_EXPIRE = "认证已过期";
public static final String JWT_ERRCODE_FAIL = "认证失败";
}
六、验证的返回后果实体类 CheckResult
package com.card.entity.vo;
import io.jsonwebtoken.Claims;
import lombok.Getter;
import lombok.Setter;
import lombok.ToString;
@Getter
@Setter
@ToString
public class CheckResult {
private boolean success;
private Claims claims;
private String errCode;
}
七、视图类
package com.springboot.jwt.util;
import com.springboot.jwt.entity.vo.ResultVO;
public class ResultVOUtil {public static ResultVO<Object> success(Object object) {ResultVO<Object> resultVO = new ResultVO<>();
resultVO.setCode(1);
resultVO.setMsg("胜利");
resultVO.setData(object);
return resultVO;
}
public static ResultVO<Object> success() {return ResultVOUtil.success(null);
}
public static ResultVO<Object> fail(Object object) {ResultVO<Object> resultVO = new ResultVO<>();
resultVO.setCode(0);
resultVO.setMsg("失败");
resultVO.setData(object);
return resultVO;
}
public static ResultVO<Object> fail() {return ResultVOUtil.fail(null);
}
}
package com.springboot.jwt.entity.vo;
import lombok.Getter;
import lombok.Setter;
import lombok.ToString;
@Getter
@Setter
@ToString
public class ResultVO<T> {
private Integer code;
private String msg;
private T data;
}
八、全局异样解决
package com.card.advice;
import com.card.entity.vo.ResultVO;
import com.card.util.ResultVOUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpServletRequest;
@Slf4j
@ControllerAdvice
public class GlobalExceptionHandler {@ExceptionHandler(value = Exception.class)
@ResponseBody
public ResultVO<Object> defaultExceptionHandler(HttpServletRequest req, Exception e) {log.error("---BaseException Handler---Host {} invokes url {} ERROR:", req.getRemoteHost(), req.getRequestURL(), e);
return ResultVOUtil.fail("零碎谬误,请分割网站管理员!");
}
@ExceptionHandler(value = RuntimeException.class)
@ResponseBody
public ResultVO<Object> RuntimeExceptionHandler(HttpServletRequest req, RuntimeException e) {log.error("---BaseException Handler---Host {} invokes url {} ERROR:", req.getRemoteHost(), req.getRequestURL(), e);
return ResultVOUtil.fail(e.getMessage());
}
}
九、成果
登录
携带 token 拜访须要 token 才能够拜访接口
不携带 token
携带谬误的 token
应用 shiro 自定义过滤器设置接口只有携带 token 才能够拜访?
这里应用 shiro 举例,在 ShiroFilterFactoryBean 对象中进行设置
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDefaultSecurityManager") DefaultSecurityManager defaultSecurityManager) {ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(defaultSecurityManager);
// 自定义过滤器
HashMap<String, Filter> filterHashMap = new HashMap<>();
filterHashMap.put("jwt", new NoSessionFilter());
shiroFilterFactoryBean.setFilters(filterHashMap);
// 过滤规定
Map<String, String> linkedHashMap = new LinkedHashMap<>();
// 登录之后才能够申请的接口
linkedHashMap.put("/aliPayConfig/**", "jwt");
linkedHashMap.put("/card/**", "jwt");
linkedHashMap.put("/category/**", "jwt");
linkedHashMap.put("/exportFile/**", "jwt");
linkedHashMap.put("/menuList/**", "jwt");
linkedHashMap.put("/order/**", "jwt");
linkedHashMap.put("/permission/**", "jwt");
linkedHashMap.put("/product/**", "jwt");
linkedHashMap.put("/role/**", "jwt");
linkedHashMap.put("/rolePermission/**", "jwt");
linkedHashMap.put("/user/**", "jwt");
linkedHashMap.put("/userRole/**", "jwt");
shiroFilterFactoryBean.setFilterChainDefinitionMap(linkedHashMap);
// 设置登录申请
shiroFilterFactoryBean.setLoginUrl("/login");
return shiroFilterFactoryBean;
}