Json web token (JWT), 是為了在網路應用環境間傳遞宣告而執行的一種基于JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的,特別適用于分布式站點的單點登錄(SSO)場景,JWT的宣告一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份資訊,以便于從資源服務器獲取資源,也可以增加一些額外的其它業務邏輯所必須的宣告資訊,該token也可直接被用于認證,也可被加密,
傳統的session認證
我們知道,http協議本身是一種無狀態的協議,而這就意味著如果用戶向我們的應用提供了用戶名和密碼來進行用戶認證,那么下一次請求時,用戶還要再一次進行用戶認證才行,因為根據http協議,我們并不能知道是哪個用戶發出的請求,所以為了讓我們的應用能識別是哪個用戶發出的請求,我們只能在服務器存盤一份用戶登錄的資訊,這份登錄資訊會在回應時傳遞給瀏覽器,告訴其保存為cookie,以便下次請求時發送給我們的應用,這樣我們的應用就能識別請求來自哪個用戶了,這就是傳統的基于session認證,
但是這種基于session的認證使應用本身很難得到擴展,隨著不同客戶端用戶的增加,獨立的服務器已無法承載更多的用戶,而這時候基于session認證應用的問題就會暴露出來,
基于session認證所顯露的問題
- Session: 每個用戶經過我們的應用認證之后,我們的應用都要在服務端做一次記錄,以方便用戶下次請求的鑒別,通常而言session都是保存在記憶體中,而隨著認證用戶的增多,服務端的開銷會明顯增大,
- 擴展性: 用戶認證之后,服務端做認證記錄,如果認證的記錄被保存在記憶體中的話,這意味著用戶下次請求還必須要請求在這臺服務器上,這樣才能拿到授權的資源,這樣在分布式的應用上,相應的限制了負載均衡器的能力,這也意味著限制了應用的擴展能力,
- CSRF: 因為是基于cookie來進行用戶識別的, cookie如果被截獲,用戶就會很容易受到跨站請求偽造的攻擊,
基于token的鑒權機制
基于token的鑒權機制類似于http協議也是無狀態的,它不需要在服務端去保留用戶的認證資訊或者會話資訊,這就意味著基于token認證機制的應用不需要去考慮用戶在哪一臺服務器登錄了,這就為應用的擴展提供了便利,
流程:
- 用戶使用用戶名密碼來請求服務器
- 服務器進行驗證用戶的資訊
- 服務器通過驗證發送給用戶一個token
- 客戶端存盤token,并在每次請求時附送上這個token值
- 服務端驗證token值,并回傳資料
Token由三部分組成
第一部分:header,宣告
第二部分:payload,載體,最重要的部分,包含id(唯一),subject(用戶名),exp(到期時間)
第三部分:secret,秘密,自定義
最終的token是base64加密后的header和base64加密后的payload和HS256加密的header+payload+secret組成(三樣中間通過.隔開)
專案結構
一、Maven
<dependencies>
<!--JWT-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.7.0</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.commons/commons-lang3 -->
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-lang3</artifactId>
<version>3.4</version>
</dependency>
</dependencies>
二、JwtUtil
package com.springboot.jwt.util;
import com.springboot.jwt.entity.CheckResult;
import com.springboot.jwt.entity.SystemConstant;
import io.jsonwebtoken.*;
import sun.misc.BASE64Decoder;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.io.IOException;
import java.util.Date;
public class JwtUtil {
/**
* 簽發JWT
*
* @param id
* @param subject 可以是JSON資料 盡可能少
* @param ttlMillis 有效時間
* @return String
*/
public static String createJWT(String id, String subject, Long ttlMillis) throws IOException {
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
SecretKey secretKey = generalKey();
JwtBuilder builder = Jwts.builder()
.setId(id) // 是JWT的唯一標識,根據業務需要,這個可以設定為一個不重復的值,主要用來作為一次性token,從而回避重放攻擊,
.setSubject(subject) // 代表這個JWT的主體,即它的所有人,這個是一個json格式的字串,可以存放什么userid,roldid之類的,作為什么用戶的唯一標志
.setIssuer("user") // 頒發者是使用 HTTP 或 HTTPS 方案的 URL(區分大小寫),其中包含方案、主機及(可選的)埠號和路徑部分
.setIssuedAt(now) // jwt的簽發時間
.signWith(SignatureAlgorithm.HS256, secretKey); // 設定簽名使用的簽名演算法和簽名使用的秘鑰
if (ttlMillis > 0) {
long expMillis = nowMillis + ttlMillis;
Date expDate = new Date(expMillis);
builder.setExpiration(expDate); // 過期時間
}
return builder.compact();
}
/**
* 驗證JWT
*
* @param jwtStr
* @return
*/
public static CheckResult validateJWT(String jwtStr) {
CheckResult checkResult = new CheckResult();
try {
Claims claims = parseJWT(jwtStr);
checkResult.setSuccess(true);
checkResult.setClaims(claims);
} catch (ExpiredJwtException e) {
checkResult.setErrCode(SystemConstant.JWT_ERRCODE_EXPIRE);
checkResult.setSuccess(false);
} catch (Exception e) {
checkResult.setErrCode(SystemConstant.JWT_ERRCODE_FAIL);
checkResult.setSuccess(false);
}
return checkResult;
}
private static SecretKey generalKey() throws IOException {
BASE64Decoder decoder = new BASE64Decoder();
byte[] encodedKey = decoder.decodeBuffer(SystemConstant.JWT_SECERT);
return new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
}
/**
* 決議JWT字串
*
* @param jwt
* @return
*/
public static Claims parseJWT(String jwt) throws IOException {
SecretKey secretKey = generalKey();
return Jwts.parser()
.setSigningKey(secretKey)
.parseClaimsJws(jwt)
.getBody();
}
}
三、TestController
package com.springboot.jwt.controller;
import com.springboot.jwt.entity.vo.ResultVO;
import com.springboot.jwt.util.JwtUtil;
import com.springboot.jwt.util.ResultVOUtil;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.io.IOException;
import java.util.Date;
@RestController
public class TestController {
@RequestMapping("/login")
public ResultVO<Object> login() throws IOException {
// 生成token,token有效時間為30分鐘
String token = JwtUtil.createJWT(String.valueOf(new Date()), "user", 3600000L);
// 將用戶戶名和token回傳
return ResultVOUtil.success(token);
}
@RequestMapping("/token/admin")
public ResultVO<Object> token() {
return ResultVOUtil.success("需要token才可以訪問的介面");
}
}
四、設定攔截器
在后端接受請求時獲取到token用于登錄驗證
package com.springboot.jwt.config;
import com.springboot.jwt.entity.CheckResult;
import com.springboot.jwt.entity.SystemConstant;
import com.springboot.jwt.util.JwtUtil;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.boot.configurationprocessor.json.JSONObject;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.nio.charset.StandardCharsets;
@Slf4j
@Component
public class MyInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 1.從Cookie獲取token
String token = getTokenFromCookie(request);
if (StringUtils.isBlank(token)) {
// 2.從headers中獲取
token = request.getHeader("token");
}
if (StringUtils.isBlank(token)) {
// 3.從請求引數獲取
token = request.getParameter("token");
}
if (StringUtils.isBlank(token)) {
//輸出回應流
JSONObject jsonObject = new JSONObject();
jsonObject.put("msg", "403");
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
response.getOutputStream().write(jsonObject.toString().getBytes(StandardCharsets.UTF_8));
return false;
}
// 驗證token
CheckResult checkResult = JwtUtil.validateJWT(token);
if (checkResult.isSuccess()) {
// 驗證通過
return true;
} else {
if (checkResult.getErrCode().equals(SystemConstant.JWT_ERRCODE_EXPIRE)) {
//輸出回應流
JSONObject jsonObject = new JSONObject();
jsonObject.put("msg", SystemConstant.JWT_ERRCODE_EXPIRE);
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
response.getOutputStream().write(jsonObject.toString().getBytes(StandardCharsets.UTF_8));
return false;
} else if (checkResult.getErrCode().equals(SystemConstant.JWT_ERRCODE_FAIL)) {
//輸出回應流
JSONObject jsonObject = new JSONObject();
jsonObject.put("msg", SystemConstant.JWT_ERRCODE_FAIL);
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
response.getOutputStream().write(jsonObject.toString().getBytes(StandardCharsets.UTF_8));
return false;
}
//輸出回應流
JSONObject jsonObject = new JSONObject();
jsonObject.put("msg", "403");
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
response.getOutputStream().write(jsonObject.toString().getBytes(StandardCharsets.UTF_8));
return false;
}
}
private String getTokenFromCookie(HttpServletRequest request) {
String token = null;
Cookie[] cookies = request.getCookies();
int len = null == cookies ? 0 : cookies.length;
if (len > 0) {
for (Cookie cookie : cookies) {
if (cookie.getName().equals("token")) {
token = cookie.getValue();
break;
}
}
}
return token;
}
}
package com.springboot.jwt.config;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import javax.annotation.Resource;
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
@Resource
private MyInterceptor myInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 設定介面只有攜帶token才可以訪問的路勁
registry.addInterceptor(myInterceptor).addPathPatterns("/token/**");
}
}
五、一些靜態常量SystemConstant
package com.card.entity;
public class SystemConstant {
public static final String JWT_SECERT = "dfb70cce5939b7023d0ca97b86937bf9";
public static final String JWT_ERRCODE_EXPIRE = "認證已過期";
public static final String JWT_ERRCODE_FAIL = "認證失敗";
}
六、驗證的回傳結果物體類CheckResult
package com.card.entity.vo;
import io.jsonwebtoken.Claims;
import lombok.Getter;
import lombok.Setter;
import lombok.ToString;
@Getter
@Setter
@ToString
public class CheckResult {
private boolean success;
private Claims claims;
private String errCode;
}
七、視圖類
package com.springboot.jwt.util;
import com.springboot.jwt.entity.vo.ResultVO;
public class ResultVOUtil {
public static ResultVO<Object> success(Object object) {
ResultVO<Object> resultVO = new ResultVO<>();
resultVO.setCode(1);
resultVO.setMsg("成功");
resultVO.setData(object);
return resultVO;
}
public static ResultVO<Object> success() {
return ResultVOUtil.success(null);
}
public static ResultVO<Object> fail(Object object) {
ResultVO<Object> resultVO = new ResultVO<>();
resultVO.setCode(0);
resultVO.setMsg("失敗");
resultVO.setData(object);
return resultVO;
}
public static ResultVO<Object> fail() {
return ResultVOUtil.fail(null);
}
}
package com.springboot.jwt.entity.vo;
import lombok.Getter;
import lombok.Setter;
import lombok.ToString;
@Getter
@Setter
@ToString
public class ResultVO<T> {
private Integer code;
private String msg;
private T data;
}
八、全域例外處理
package com.card.advice;
import com.card.entity.vo.ResultVO;
import com.card.util.ResultVOUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpServletRequest;
@Slf4j
@ControllerAdvice
public class GlobalExceptionHandler {
@ExceptionHandler(value = Exception.class)
@ResponseBody
public ResultVO<Object> defaultExceptionHandler(HttpServletRequest req, Exception e) {
log.error("---BaseException Handler---Host {} invokes url {} ERROR: ", req.getRemoteHost(), req.getRequestURL(), e);
return ResultVOUtil.fail("系統錯誤,請聯系網站管理員!");
}
@ExceptionHandler(value = RuntimeException.class)
@ResponseBody
public ResultVO<Object> RuntimeExceptionHandler(HttpServletRequest req, RuntimeException e) {
log.error("---BaseException Handler---Host {} invokes url {} ERROR: ", req.getRemoteHost(), req.getRequestURL(), e);
return ResultVOUtil.fail(e.getMessage());
}
}
九、效果
登錄
攜帶token訪問需要token才可以訪問介面
不攜帶token
攜帶錯誤的token
使用shiro自定義過濾器設定介面只有攜帶token才可以訪問?
這里使用shiro舉例,在ShiroFilterFactoryBean物件中進行設定
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDefaultSecurityManager") DefaultSecurityManager defaultSecurityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(defaultSecurityManager);
// 自定義過濾器
HashMap<String, Filter> filterHashMap = new HashMap<>();
filterHashMap.put("jwt", new NoSessionFilter());
shiroFilterFactoryBean.setFilters(filterHashMap);
// 過濾規則
Map<String, String> linkedHashMap = new LinkedHashMap<>();
// 登錄之后才可以請求的介面
linkedHashMap.put("/aliPayConfig/**", "jwt");
linkedHashMap.put("/card/**", "jwt");
linkedHashMap.put("/category/**", "jwt");
linkedHashMap.put("/exportFile/**", "jwt");
linkedHashMap.put("/menuList/**", "jwt");
linkedHashMap.put("/order/**", "jwt");
linkedHashMap.put("/permission/**", "jwt");
linkedHashMap.put("/product/**", "jwt");
linkedHashMap.put("/role/**", "jwt");
linkedHashMap.put("/rolePermission/**", "jwt");
linkedHashMap.put("/user/**", "jwt");
linkedHashMap.put("/userRole/**", "jwt");
shiroFilterFactoryBean.setFilterChainDefinitionMap(linkedHashMap);
// 設定登錄請求
shiroFilterFactoryBean.setLoginUrl("/login");
return shiroFilterFactoryBean;
}
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/61397.html
標籤:其他