JWT,即JSON Web Tokens,是用来解决web项目登录时的token问题的一个解决方案,目前使用的也比较多。官网显示用于java的jwt库一共有6个,这里我们以其中auth0的使用为例,说明一下如何在Springboot项目中用jwt做登录拦截。
依旧是在我们的schoolmanager项目上做修改。首先在build.gradle的dependencies中添加依赖包
implementation 'com.auth0:java-jwt:3.8.3'
接着需要新建一个jwt的工具类,先新建一个utils的工具包,在里面新建一个JWTUtil的工具类,代码如下
public class JWTUtil {
private static final String SECRET = "euitrydbnseotu9347857025620";
private static String ISSUER = "sys_user";
/**
* 生成token
* @param claims
* @param expireDatePoint 过期时间点
* @return
*/
public static String genToken(Map<String, String> claims, Date expireDatePoint){
try {
//使用HMAC256进行加密
Algorithm algorithm = Algorithm.HMAC256(SECRET);
//创建jwt
JWTCreator.Builder builder = JWT.create().
withIssuer(ISSUER). //发行人
withExpiresAt(expireDatePoint); //过期时间点
//传入参数
claims.forEach((key,value)-> {
builder.withClaim(key, value);
});
//签名加密
return builder.sign(algorithm);
} catch (IllegalArgumentException e) {
throw new RuntimeException(e);
}
}
/**
* 解密jwt
* @param token
* @return
* @throws RuntimeException
*/
public static Map<String,String> verifyToken(String token) throws RuntimeException{
Algorithm algorithm = null;
try {
//使用HMAC256进行加密
algorithm = Algorithm.HMAC256(SECRET);
} catch (IllegalArgumentException e) {
throw new RuntimeException(e);
}
//解密
JWTVerifier verifier = JWT.require(algorithm).withIssuer(ISSUER).build();
Map<String, String> resultMap = new HashMap<>();
try {
DecodedJWT jwt = verifier.verify(token);
Map<String, Claim> map = jwt.getClaims();
map.forEach((k,v) -> resultMap.put(k, v.asString()));
} catch (TokenExpiredException e){
}
return resultMap;
}
}
这里有两个方法,一个加密生成token,一个解密。其中SECRET和ISSUER都是可以自己定义的加密参数,还能传入过期时间。解密的时候要注意的是捕获了TokenExpiredException,就是token过期了,这时会返回一个空的resultMap。
然后就是写拦截器了。新建一个interceptor的包,在里面新建一个TokenInterceptor类,代码如下
@Component
public class TokenInterceptor implements HandlerInterceptor {
/**
* 预处理回调方法,实现处理器的预处理(如检查登陆),第三个参数为响应的处理器,自定义Controller
* 返回值:true表示继续流程(如调用下一个拦截器或处理器);false表示流程中断
(如登录检查失败),不会继续调用其他的拦截器或处理器,此时我们需要通过response来产生响应;
*/
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//前端可能会发送OPTIONS请求,要先过滤
if (request.getMethod().equals("OPTIONS")){
response.setStatus(HttpServletResponse.SC_OK);
return true;
}
response.setCharacterEncoding("utf-8");
String token = request.getHeader("token");
String responseData = "{\"code\":401,\"message\":\"Unauthorized\"}";
//token不存在
if(null != token) {
Map<String, String> login = JWTUtil.verifyToken(token);
String username = request.getHeader("username");
//解密token后的loginId与用户传来的loginId不一致,一般都是token过期
if(null != username && null != login) {
if(username.equals(login.get("username"))) {
return true;
}
else{
responseMessage(response, response.getWriter(), responseData);
return false;
}
}
else
{
responseMessage(response, response.getWriter(), responseData);
return false;
}
}
else
{
responseMessage(response, response.getWriter(), responseData);
return false;
}
}
private void responseMessage(HttpServletResponse response, PrintWriter out, String json) {
response.setContentType("application/json; charset=utf-8");
out.print(json);
out.flush();
out.close();
}
@Override
public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
}
}
这个类继承了HandlerInterceptor,它是Spring框架中的拦截器,用于对请求进行预处理和后处理,所以我们用它来拦截请求,检验token。预处理在preHandle中,这里会接收header中传入的username和token,先看是否存在,然后解密token,看username是否一致,如果token过期,解密的resultMap为空,这里我们直接也返回false,提示前端重新登录。实际项目中我们可能还需要提供token的刷新机制,这个我们后面再讲。
之后要把这个拦截器配置到Springboot中,在interceptor包中新建一个WebConfigurer类,代码如下
@Configuration
public class WebConfigurer implements WebMvcConfigurer {
@Autowired
private TokenInterceptor loginInterceptor;
// 这个方法用来注册拦截器,我们自己写好的拦截器需要通过这里添加注册才能生效
@Override
public void addInterceptors(InterceptorRegistry registry) {
// addPathPatterns("/**") 表示拦截所有的请求,
// excludePathPatterns("/login", "/register") 表示除了登陆与注册之外,因为登陆注册不需要登陆也可以访问
registry.addInterceptor(loginInterceptor).addPathPatterns("/**").excludePathPatterns("/login", "/register");
}
}
WebMvcConfigurer是一个spring的配置类,用来代替原来的xml的配置方式。这里只使用了它的注册拦截器的方法addInterceptors,其余方法的使用可以参考https://blog.csdn.net/zhangpower1993/article/details/89016503。这里我们拦截了除了login和register之外的其他所有路径请求,因为这两个请求肯定是不需要验证token的。
最后我们写一个简单的登录方法,之后来测试这个登录拦截是否可用。我们直接在之前创建过的UserController中修改,添加一个login的方法。
@RestController
public class UserController {
private String admin = "admin";
private String psd = "qwertyuiop";
@PostMapping(value = "/login")
public ResponseData login(final String username, final String password)
{
ResponseData responseData = ResponseData.ok();
if(username.equals(admin) && password.equals(psd)){
Map<String, String> map = new HashMap<String, String>();
map.put("username", username);
String token = JWTUtil.genToken(map, new Date(System.currentTimeMillis() + 60L* 1000L * 30L));
//封装成对象返回给客户端
responseData.putDataValue("username", username);
responseData.putDataValue("token", token);
}
else{
responseData = ResponseData.customerError();
}
return responseData;
}
}
为了简单测试登录功能,我们使用了固定的管理员账号,用户名和密码都是固定的。这里设置了token过期时间是30分钟。
然后我们就可以运行项目了,使用postman测试,先访问addSubject接口,发现返回了401,证明拦截成功。
之后访问登录接口,获得token
然后把username和token添加到header中,再次访问addSubject接口,可以看到请求成功,数据库中添加了新数据
最后如果需要测试token过期的情况,可以将过期时间调短,再进行测试,会发现token过期后再次返回401,提示用户需要重新登录。
本篇教程中的代码依旧可以参考我在github上面的代码https://github.com/ahuadoreen/studentmanager
