JWT整合springBoot简单实用

原創 不知所终,不知所起 2020-05-23 09:34

JWT是什么?

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT的构成

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).

header

jwt的头部承载两部分信息:

声明类型,这里是jwt
声明加密的算法 通常直接使用 HMAC SHA256
完整的头部就像下面这样的JSON:

{
  'typ': 'JWT',
  'alg': 'HS256'
}

然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

playload

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

标准中注册的声明
公共的声明
私有的声明

定义一个payload:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后将其进行base64加密,得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

header (base64后的)
payload (base64后的)
secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

  eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

如何应用

一般是在请求头里加入Authorization,并加上Bearer标注:

fetch('api/user/1', {
  headers: {
    'Authorization': 'Bearer ' + token
  }
})

接下来是重点

整合springboot

maven依赖

 <dependency>
     <groupId>io.jsonwebtoken</groupId>
     <artifactId>jjwt</artifactId>
     <version>0.7.0</version>
 </dependency>
 <dependency>
     <groupId>com.auth0</groupId>
     <artifactId>java-jwt</artifactId>
     <version>3.4.0</version>
 </dependency>

utils


@Component
public class Test {
    /**
     * 登录Token的生成和解析
     */
    public static final String SECRET = "JKKLJOoasdlfj";
    /** token 过期时间: 10天 */
    public static final int calendarField = Calendar.DATE;
    public static final int calendarInterval = 10;

    /**
     * @param user_id
     *            登录成功后用户user_id, 参数user_id不可传空
     */
    public static String createToken(Long user_id) throws Exception {
        Date iatDate = new Date();
        // expire time
        Calendar nowTime = Calendar.getInstance();
        nowTime.add(calendarField, calendarInterval);
        Date expiresDate = nowTime.getTime();

        // header Map
        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");

        // build token
        String token = JWT.create().withHeader(map) // header
                .withClaim("iss", "Service") // payload
                .withClaim("aud", "APP")
                .withClaim("user_id", null == user_id ? null : user_id.toString())
                .withIssuedAt(iatDate) // sign time
                .withExpiresAt(expiresDate) // expire time
                .sign(Algorithm.HMAC256(SECRET)); // signature

        return token;
    }

    /**
     * 解密Token
     *
     * @param token
     * @return
     * @throws Exception
     */
    public static Map<String, Claim> verifyToken(String token) {
        DecodedJWT jwt = null;
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
            jwt = verifier.verify(token);
        } catch (Exception e) {
            // e.printStackTrace();
            // token 校验失败, 抛出Token验证非法异常
        }
        return jwt.getClaims();
    }

    /**
     * 根据Token获取user_id
     *
     * @param token
     * @return user_id
     */
    public static Long getAppUID(String token) {
        Map<String, Claim> claims = verifyToken(token);
        Claim user_id_claim = claims.get("user_id");
        if (null == user_id_claim || StringUtils.isEmpty(user_id_claim.asString())) {
            // token 校验失败, 抛出Token验证非法异常
        }
        return Long.valueOf(user_id_claim.asString());
    }
}

这里有两种方法分别为:

jwt+cookie

    @GetMapping("/getAll")
    public String  getAll(HttpServletRequest request, HttpServletResponse response) 
    throws Exception {
        //创建token
        String token = test.createToken(1L);
        //生成cookie
        Cookie cookie = new Cookie("acc",token);
        //放入cookie
        response.addCookie(cookie);
        //写入请求头
        response.setHeader("acc", token);
        //输出令牌
        System.out.println("token===========>"+token);
        return token;
    }

调用得出结果:

token===========>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOiJBUFAiLCJ1c2VyX2lkIjoiMSIsImlzcyI6IlNlcnZpY2UiLCJleHAiOjE1OTEwMjg4MzYsImlhdCI6MTU5MDE2NDgzNn0.UOAchNYYXECyey1np87kOF0Di0XagpNJE-ruPGwQ3B8

解析token

@PostMapping("/getAll")
    public Map<String, Claim> postGetAll(HttpServletRequest request){
        //拿到头信息
        String acc = request.getHeader("acc");
        //输出头信息
        System.out.println("头信息===========>"+acc);
        //得到所有cookie
        Cookie[] cookies = request.getCookies();
        //定义返回值
        Map<String, Claim> stringClaimMap = null;
        //迭代cookie数组
        for (Cookie cookie : cookies) {
            //得到key值
            String name = cookie.getName();
            //得到对应key值
            if("acc".equals(name)){
                //得到cookie值
                String value = cookie.getValue();
                System.out.println(name+"======cookie中的值=====>"+value);
                //解析值得到token中信息
                stringClaimMap = test.verifyToken(value);
                //迭代信息key值
                Set<String> keySet = stringClaimMap.keySet();
                Iterator<String> iterator = keySet.iterator();
                while (iterator.hasNext()){
                    String key = iterator.next();
                    //得到有关user_id中的值
                    if("user_id".equals(key)){
                        //通过key值得到value
                        Claim claim = stringClaimMap.get(key);
                        System.out.println(key+"=====map中信息======>"+claim.asString());
                    }
                }
                Long appUID = test.getAppUID(value);
                System.out.println("appUID===========>"+appUID);
            }
        }
        return stringClaimMap;
    }

调用得出结果:

头信息===========>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOiJBUFAiLCJ1c2VyX2lkIjoiMSIsImlzcyI6IlNlcnZpY2UiLCJleHAiOjE1OTEwMjgzODIsImlhdCI6MTU5MDE2NDM4Mn0.Mz8VJ4HrYnO8I40hSABWQKQSDY6EtP-weBkwOLjNBVE
acc======cookie中的值=====>eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOiJBUFAiLCJ1c2VyX2lkIjoiMSIsImlzcyI6IlNlcnZpY2UiLCJleHAiOjE1OTEwMjg4MzYsImlhdCI6MTU5MDE2NDgzNn0.UOAchNYYXECyey1np87kOF0Di0XagpNJE-ruPGwQ3B8
user_id=====map中信息======>1
appUID===========>1

还有一个重要的

JWT的开源的第三方JJWT的初步使用

定义操作类

@Data
@AllArgsConstructor
public class JwtInfo {
    private String uid;
}

定义service解析token

@Component
public class JwtTokenService {

    /**
     * token过期时间
     */
    private int expire = 6000;
    //生成token
    public String generatorToken(JwtInfo jwtInfo){
        return JwtTokenUtils.generatorToken(jwtInfo,expire);
    }
    //获取信息
    public JwtInfo stringInfoFromToken(String token){
        return JwtTokenUtils.getTokenInfo(token);
    }
}

定义utils

public class JwtTokenUtils {
    private static Key getKeyInstance(){
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        byte[] bytes = DatatypeConverter.parseBase64Binary("mall-user");
        return new SecretKeySpec(bytes,signatureAlgorithm.getJcaName());
    }

    /**
     * 生成token的方法
     * @param jwtInfo
     * @param expire
     * @return
     */
    public static String generatorToken(JwtInfo jwtInfo, int expire){
        return Jwts.builder().claim(JwtConstants.JWT_KEY_USER_ID,jwtInfo.getUid())
                .setExpiration(DateTime.now().plusSeconds(expire).toDate())
                .signWith(SignatureAlgorithm.HS256,getKeyInstance()).compact();
    }

    /**
     * 根据token获取token中的信息
     * @param token
     * @return
     */
    public static JwtInfo getTokenInfo(String token){
        Jws<Claims> claimsJws = Jwts.parser()
        			.setSigningKey(getKeyInstance())
        			.parseClaimsJws(token);
        Claims claims = claimsJws.getBody();
        return new JwtInfo(claims.get(JwtConstants.JWT_KEY_USER_ID).toString());
    }
}
class JwtConstants {
    public static final String JWT_KEY_USER_ID = "uid";
}

使用

    @GetMapping("/jjwt/token")
    public String jjwtToken(HttpServletResponse response){
        JwtInfo jwtInfo = new JwtInfo("111");
        String s = jwtTokenService.generatorToken(jwtInfo);
        System.out.println("cookie===========>"+s);
        Cookie cookie = new Cookie("acca",s);
        response.addCookie(cookie);
        return s;
    }

得出结果:

cookie===========>eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOiIxMTEiLCJleHAiOjE1OTAxNzE1MTJ9.3UXozDO_UoVhk84o0c0ULNIo3wYOk7fFinWUPb-AT3w

解析token

    @GetMapping("/jjwt/token1")
    public JwtInfo jjwtToken1(HttpServletRequest request){
        JwtInfo jwtInfo = null;
        Cookie[] cookies = request.getCookies();
        for (Cookie cookie : cookies) {
            if(cookie.getName().equals("acca")){
                System.out.println("cookie.getName()===========>"+cookie.getName());
                jwtInfo = jwtTokenService.stringInfoFromToken(cookie.getValue());
                System.out.println("jwtInfo===========>"+jwtInfo);
            }
        }
        return jwtInfo;
    }

得出结果:

cookie.getName()===========>acca
jwtInfo===========>JwtInfo(uid=111)
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

从XML配置角度理解Spring AOP

本文分享自華爲雲社區《Spring高手之路18——從XML配置角度理解Spring AOP》,作者: 磚業洋__。 1. Spring AOP與動態代理 1.1 Spring AOP和動態代理的關係 Spring AOP使用動態代理作爲

原創 2024-05-13 11:31:09

Spring Boot3,启动时间缩短 10 倍!

前面松哥寫了一篇文章和大家聊了 Spring6 中引入的新玩意 AOT(見Spring Boot3 新玩法,AOT 優化!)。 文章發出來之後,有小夥伴問松哥有沒有做性能比較,老實說,這個給落下了,所以今天再來一篇文章,和小夥伴們梳理比較小

原創 2024-05-13 02:20:47

go-kit学习指南 - 中间件

原文:https://blog.fengjx.com/pages/d6f092 介紹 go-kit的分層設計可以看成是一個洋蔥,有許多層。這些層可以劃分爲我們的三個領域。 Service: 最內部的服務領域是基於你特定服務定義的,也是

原創 2024-05-14 12:17:31

Spring知识点详解(源码笔记+思维导图),AOP和IOC

寫在前面 由於Spring家族的東西很多,一次性寫完也不太現實。所以這一次先更新Spring【最核心】的知識點:AOP和IOC   無論是入門還是面試,理解AOP和IOC都是非常重要的。在面試的時候,我沒怎麼被問過MyBatis/Hib

osc_r0irdqn7 2024-05-14 01:47:38

Spring AOP 中被代理的对象一定是单例吗?

今天我們來思考這樣一個問題:在 Spring AOP 中,被代理的對象是單例的嗎?當我們每次獲取到代理對象的時候,都會重新獲取一個新的被代理對象嗎?還是被代理的對象始終是同一個? 爲什麼要思考這個問題,因爲在松哥接下來要講的 @Scope

原創 2024-05-13 02:20:48

JDBC连接openGauss6.0和PostgreSQL16.2性能对比

本文分享自華爲雲社區《JDBC連接openGauss6.0和PostgreSQL16.2性能對比》,作者: Gauss松鼠會小助手。 PostgreSQL vs openGauss 01 前置準備 安裝JDK: 詳細安裝步驟請問度娘,輸

原創 2024-05-14 11:00:08

为什么阿里不建议用excutors创建线程池

1 前言:         大家都知道,阿里規範中有一條是不允許用excutors去創建線程池,而是採用ThreadPoolExecutor的原生方式去創建。很早就聽過所過這種說法,但是一直都沒去搞清楚是爲什麼,今天就查閱資料去了解了這

原創 2024-05-14 02:07:06

Java游戏服务器3

1)編碼     消息長度(short int-->2個字節) + 消息編號(short int--》2個字節) + 消息體 2)Protobuf協議文檔     (1)syntax="proto3";     (2)命名格式       

osc_hwc3munb 2024-05-14 02:04:28

Android内存管理机制官方详解文档

很早之前寫過一篇《Android內存管理機制詳解》點擊量已7萬+,現把Google官方文檔整理輸出一下,供各位參考。 一、內存管理概覽 Android 運行時 (ART) 和 Dalvik 虛擬機使用分頁和內存映射來管理內存。這意味着應用

osc_51airx3z 2024-05-14 00:37:42

OSS_PIPE:Rust编写的大规模文件迁移工具| 京东云技术团队

文盤rust 好久沒有更新了。這段時間筆者用rust寫了個小東西,跟各位分享一下 背景 隨着業務的發展,文件數量和文件大小會急劇增加,文件遷移的數量和難度不斷攀升。oss_pipe 是rust編寫的文件遷移工具,旨在支撐大規模的文件遷移場

原創 2024-05-13 23:59:27

面试官:说说你对序列化的理解

本文主要內容 背景 在Java語言中,程序運行的時候,會產生很多對象,而對象信息也只是在程序運行的時候纔在內存中保持其狀態,一旦程序停止,內存釋放,對象也就不存在了。 怎麼能讓對象永久的保存下來呢?--------對象序列化 。 何

osc_61miaq6u 2024-05-13 22:58:28

JAVA基础之常用类(一)String

綱要 String StringBuffer 基礎類型對應的8個包裝類 日期相關類 數字相關類 Random Enum 1. 理解String類的存儲原理 String類是不可變類,也就是說String對象聲明後,將不可修改。 S

osc_6mbnx553 2024-05-13 22:07:29

消费者太多!RocketMQ又炸了!

去年寫過一篇《Topic數量太多!RocketMQ炸了!》,大家評價還不錯。 結果,2024年的開頭,我們的RocketMQ又炸了! 1、問題現象 先說明下RocketMQ版本, 4.6.0的老版本了。 線下環境客戶端啓動會頻

原創 2024-05-13 12:34:50

有点意思的 Java 递归调用

最近在刷一些問題的時候看到有下面一個問題     上面問的是當輸入的字符串爲什麼的時候返回 True 總結 在做題目的時候,第一次還做錯了。 這是因爲解答這個題目的時間只有 3 分鐘,沒有自己看題目 後來拿着程序跑了下。 p

原創 2024-05-13 02:41:48

cheerp 编译器之通用计算模块ccm1

cheerp 通用計算模塊(ccm1) 是基於cheerp 編譯器發射出平臺格式無關的wasm中間代碼,在不同宿主之內運行的一種模塊化方式。 0x1. 不同宿主的相同代碼實現 ccm1 的一般宿主是c++實現,不同平臺編譯引用就可以,目

原創 2024-05-12 21:53:46