這篇文章主要給大家介紹了關於spring boot+jwt實現api的token認證的相關資料,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨着小編來一學習學習吧
前言
本篇和大家分享jwt(json web token)的使用,她主要用來生成接口訪問的token和驗證,其單獨結合springboot來開發api接口token驗證很是方便,由於jwt的token中存儲有用戶的信息並且有加密,所以適用於分佈式,這樣直接吧信息存儲在用戶本地減速了服務端存儲sessiion或token的壓力;
如下快速使用:
<!--jwt--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> <!--阿里 FastJson依賴--> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.44</version> </dependency>
一般使用jwt來達到3種結果:
- 生成token
- 驗證token是否有效
- 獲取token中jwt信息(主要用戶信息)
生成token
引入了jjwt依賴後,要生成token很方便;對於一個token來說,代表的是唯一併且不可逆的,因此我們在生成時需要增加一些唯一數據進去,比如下面的id:
long currentTime = System.currentTimeMillis();
return Jwts.builder()
.setId(UUID.randomUUID().toString())
.setIssuedAt(new Date(currentTime)) //簽發時間
.setSubject("system") //說明
.setIssuer("shenniu003") //簽發者信息
.setAudience("custom") //接收用戶
.compressWith(CompressionCodecs.GZIP) //數據壓縮方式
.signWith(SignatureAlgorithm.HS256, encryKey) //加密方式
.setExpiration(new Date(currentTime + secondTimeOut * 1000)) //過期時間戳
.addClaims(claimMaps) //cla信息
.compact();
通過uuid來標記唯一id信息;當然在對token加密時需要用到祕鑰,jwt很是方便她支持了很多中加密方式如:HS256,HS265,Md5等複雜及常用的加密方式;
jwt生成的token中內容分爲3個部分:head信息,payload信息,sign信息,通常我們要做的是往payload增加一些用戶信息(比如:賬號,暱稱,權限等,但不包含密碼);在對jwt的token有一定了解後,我們來看下真實生成的token值:
eyJhbGciOiJIUzI1NiIsInppcCI6IkdaSVAifQ.H4sIAAAAAAAAAFWMTQ7CIBSE7_LWkPDzaEsP4QnYINCIptX4INE0vbtg4sLlfPPN7HAtGWbwg1BKL4GrcbEcIwpujZF8iiEpjXFapAAG2ReYpUEcR2VxYED13Nb0ppLW3hP1eEnblqsQuiFfY0OhUrl3I70evweU_aFSejZhd7DlcDv5NTmYHUilHTD3rf_hAccHRTv--7YAAAA.i4xwoQtaWI0-dwHWN8uZ4DBm-vfli5bavYU9lRYxU5E
驗證token是否有效
token生成的時都會伴隨者有一個失效的時間,在這我們可以通過setExpiration函數設置過期時間,記住jwt的有效時間不是滑動的,也就是說不做任何處理時,當到達第一次設置的失效時間時,就基本沒用了,要獲取token是否過期可以使用如下方式:
public static boolean isExpiration(String token, String encryKey) {
try {
return getClaimsBody(token, encryKey)
.getExpiration()
.before(new Date());
} catch (ExpiredJwtException ex) {
return true;
}
}
這裏使用了date的before來用獲取的過期時間和當前時間對比,判斷是否繼續有效,需要注意的是如果在token失效後再通過getClaimsBody(token, encryKey)獲取信息,此時會報ExpiredJwtException錯誤,我們即可認爲過期。
獲取token中jwt信息(主要用戶信息)
通常我們要把登錄用戶信息存儲在jwt生成的token中,這裏可以通過 addClaims(claimMaps) 傳遞map來設置信息,反過來要獲取token中的用戶信息,我們需要這樣做:
return Jwts.parser() .setSigningKey(encryKey) .parseClaimsJws(token) .getBody();
此時body獲取出來是Claims類型,我們需要從中獲取到用戶信息,需要注意的是在addClaims存儲信息的時候如果存儲的map值沒做過出來,那完整的實體對象存儲進去後會映射成一個LinkHasMap類型,如下:
因此通常會在存儲的時候json化,如下代碼:
claimMaps.forEach((key, val) -> {
claimMaps.put(key, JSON.toJSONString(val));
});
再來就是通過get方法獲取我們存儲進去的信息,並json反序列化:
/**
* 獲取body某個值
*
* @param token
* @param encryKey
* @param key
* @return
*/
public static Object getVal(String token, String encryKey, String key) {
return getJws(token, encryKey).getBody().get(key);
}
/**
* 獲取body某個值,json字符轉實體
*
* @param token
* @param encryKey
* @param key
* @param tClass
* @param <T>
* @return
*/
public static <T> T getValByT(String token, String encryKey, String key, Class<T> tClass) {
try {
String strJson = getVal(token, encryKey, key).toString();
return JSON.parseObject(strJson, tClass);
} catch (Exception ex) {
return null;
}
}
來到這裏一個Jwt的Util代碼基本就完成了,下面給出完整的代碼例子,僅供參考:
public class JwtUtil {
/**
* 獲取token - json化 map信息
*
* @param claimMaps
* @param encryKey
* @param secondTimeOut
* @return
*/
public static String getTokenByJson(Map<String, Object> claimMaps, String encryKey, int secondTimeOut) {
return getToken(claimMaps, true, encryKey, secondTimeOut);
}
/**
* 獲取token
*
* @param claimMaps
* @param isJsonMpas
* @param encryKey
* @param secondTimeOut
* @return
*/
public static String getToken(Map<String, Object> claimMaps, boolean isJsonMpas, String encryKey, int secondTimeOut) {
if (isJsonMpas) {
claimMaps.forEach((key, val) -> {
claimMaps.put(key, JSON.toJSONString(val));
});
}
long currentTime = System.currentTimeMillis();
return Jwts.builder()
.setId(UUID.randomUUID().toString())
.setIssuedAt(new Date(currentTime)) //簽發時間
.setSubject("system") //說明
.setIssuer("shenniu003") //簽發者信息
.setAudience("custom") //接收用戶
.compressWith(CompressionCodecs.GZIP) //數據壓縮方式
.signWith(SignatureAlgorithm.HS256, encryKey) //加密方式
.setExpiration(new Date(currentTime + secondTimeOut * 1000)) //過期時間戳
.addClaims(claimMaps) //cla信息
.compact();
}
/**
* 獲取token中的claims信息
*
* @param token
* @param encryKey
* @return
*/
private static Jws<Claims> getJws(String token, String encryKey) {
return Jwts.parser()
.setSigningKey(encryKey)
.parseClaimsJws(token);
}
public static String getSignature(String token, String encryKey) {
try {
return getJws(token, encryKey).getSignature();
} catch (Exception ex) {
return "";
}
}
/**
* 獲取token中head信息
*
* @param token
* @param encryKey
* @return
*/
public static JwsHeader getHeader(String token, String encryKey) {
try {
return getJws(token, encryKey).getHeader();
} catch (Exception ex) {
return null;
}
}
/**
* 獲取payload body信息
*
* @param token
* @param encryKey
* @return
*/
public static Claims getClaimsBody(String token, String encryKey) {
return getJws(token, encryKey).getBody();
}
/**
* 獲取body某個值
*
* @param token
* @param encryKey
* @param key
* @return
*/
public static Object getVal(String token, String encryKey, String key) {
return getJws(token, encryKey).getBody().get(key);
}
/**
* 獲取body某個值,json字符轉實體
*
* @param token
* @param encryKey
* @param key
* @param tClass
* @param <T>
* @return
*/
public static <T> T getValByT(String token, String encryKey, String key, Class<T> tClass) {
try {
String strJson = getVal(token, encryKey, key).toString();
return JSON.parseObject(strJson, tClass);
} catch (Exception ex) {
return null;
}
}
/**
* 是否過期
*
* @param token
* @param encryKey
* @return
*/
public static boolean isExpiration(String token, String encryKey) {
try {
return getClaimsBody(token, encryKey)
.getExpiration()
.before(new Date());
} catch (ExpiredJwtException ex) {
return true;
}
}
public static String getSubject(String token, String encryKey) {
try {
return getClaimsBody(token, encryKey).getSubject();
} catch (Exception ex) {
return "";
}
}
}
過濾器驗證token
有了基本的JwtUtil工具,我們需要用到springboot項目中,一般來說對於登錄授權token驗證可以通過過濾器來操作,這裏創建一個AuthenFilter,用於對post請求過來的token做驗證:
public class AuthenFilter implements Filter {
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest rq = (HttpServletRequest) servletRequest;
HttpServletResponse rp = (HttpServletResponse) servletResponse;
RpBase rpBase = new RpBase();
try {
//只接受post
if (!rq.getMethod().equalsIgnoreCase("post")) {
filterChain.doFilter(servletRequest, servletResponse);
return;
}
String token = rq.getHeader("token");
if (StringUtils.isEmpty(token)) {
rpBase.setMsg("無token");
return;
}
//jwt驗證
MoUser moUser = JwtUtil.getValByT(token, WebConfig.Token_EncryKey, WebConfig.Login_User, MoUser.class);
if (moUser == null) {
rpBase.setMsg("token已失效");
return;
}
System.out.println("token用戶:" + moUser.getNickName());
filterChain.doFilter(servletRequest, servletResponse);
} catch (Exception ex) {
} finally {
if (!StringUtils.isEmpty(rpBase.getMsg())) {
rp.setCharacterEncoding("utf-8");
rpBase.setCode(HttpStatus.BAD_REQUEST.value());
rp.getWriter().write(JSON.toJSONString(rpBase));
}
}
}
}
要是自定義過濾器AuthenFilter生效,還需要把她註冊到容器中,這裏通過編碼方式,當然還可以通過@WebFilter註解來加入到容器中:
@Configuration
public class WebFilterConfig {
@Bean
public FilterRegistrationBean setFilter() {
FilterRegistrationBean registrationBean = new FilterRegistrationBean();
registrationBean.setFilter(new AuthenFilter());
registrationBean.addUrlPatterns("/api/*");
registrationBean.setOrder(FilterRegistrationBean.LOWEST_PRECEDENCE);
return registrationBean;
}
}
注意addUrlPatterns匹配的是過濾器作用的url連接,根據需求而定;爲了驗證效果,這裏我創建了兩個接口getToken和t0,分別是獲取token和post查詢接口,代碼如是:
@RestController
public class TestController {
@PostMapping("/api/t0")
public String t0() throws MyException {
return UUID.randomUUID().toString();
}
@GetMapping("/token/{userName}")
public String getToken(@PathVariable String userName) {
MoUser moUser = new MoUser();
moUser.setUserName(userName);
moUser.setNickName(userName);
Map<String, Object> map = new HashMap<>();
map.put(WebConfig.Login_User, moUser);
return JwtUtil.getTokenByJson(map,
WebConfig.Token_EncryKey,
WebConfig.Token_SecondTimeOut);
}
}
最終要獲通過head傳遞token值來訪問t01接口,得到如下結果:
token在有效時間後訪問直接失敗,從新獲取token並訪問t01接口,得到成功的信息:
git地址: https://github.com/shenniubuxing3
總結
以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,如果有疑問大家可以留言交流,謝謝大家對神馬文庫的支持。