- 引入JWT依赖,由于是基于Java,所以需要的是java-jwt
<dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.4.0</version>
</dependency>
- 自定义注解用于判断是否需要验证
- 用来跳过验证的PassToken
@Target({ElementType.METHOD, ElementType.TYPE})@Retention(RetentionPolicy.RUNTIME)public @interface PassToken {boolean required() default true;}
- 需要登录才能进行操作的注解UserLoginToken
@Target({ElementType.METHOD, ElementType.TYPE})@Retention(RetentionPolicy.RUNTIME)public @interface UserLoginToken {boolean required() default true;}
@Target:注解的作用目标
- @Target(ElementType.TYPE)——接口、类、枚举、注解
- @Target(ElementType.FIELD)——字段、枚举的常量
- @Target(ElementType.METHOD)——方法
- @Target(ElementType.PARAMETER)——方法参数
- @Target(ElementType.CONSTRUCTOR) ——构造函数
- @Target(ElementType.LOCAL_VARIABLE)——局部变量
- @Target(ElementType.ANNOTATION_TYPE)——注解
- @Target(ElementType.PACKAGE)——包
@Retention:注解的保留位置
RetentionPolicy.SOURCE:这种类型的Annotations只在源代码级别保留,编译时就会被忽略,在class字节码文件中不包含。 RetentionPolicy.CLASS:这种类型的Annotations编译时被保留,默认的保留策略,在class文件中存在,但JVM将会忽略,运行时无法获得。 RetentionPolicy.RUNTIME:这种类型的Annotations将被JVM保留,所以他们能在运行时被JVM或其他使用反射机制的代码所读取和使用。
@Document:说明该注解将被包含在javadoc中
@Inherited:说明子类可以继承父类中的该注解
3.编写token的生成方法
- 生成不携带自定义信息的 JWT token
- 构建头部信息
Map<String, Object> map = new HashMap<String, Object>();map.put("alg", "HS256");map.put("typ", "JWT");
- 构建密钥信息
Algorithm algorithm = Algorithm.HMAC256("secret");
Algorithm.HMAC256(): 使 HS256 生token,唯一密钥可以保存在服务端。“secret” 为相应的密钥
- 我们通过定义注册和自定义声明 并组合头部信息和密钥信息生成jwt token
String token = JWT.create().withHeader(map)// 设置头部信息 Header .withIssuer("SERVICE")//设置 载荷 签名是有谁生成 例如 服务器.withSubject("this is test token")//设置 载荷 签名的主题// .withNotBefore(new Date())//设置 载荷 定义在什么时间之前,该jwt都是不可用的..withAudience("APP")//设置 载荷 签名的观众 也可以理解谁接受签名的.withIssuedAt(nowDate) //设置 载荷 生成签名的时间.withExpiresAt(expireDate)//设置 载荷 签名过期的时间.sign(algorithm);//签名 Signature
- 生成携带自定义信息的 JWT token
自定义信息通过 withClaim 方法进行添加,具体操作如下:
JWT.create().withHeader(map).withClaim("key", "value")
- 验证 JWT token
- 构建密钥信息
Algorithm algorithm = Algorithm.HMAC256("secret");
- 通过密钥信息和签名的发布者的信息生成 JWTVerifier (JWT验证类)
JWTVerifier verifier = JWT.require(algorithm).withIssuer("SERVICE").build();
不添加 .withIssuer(“SERVICE”) 也是可以获取 JWTVerifier 。
- 通过 JWTVerifier 的verify获取 token中的信息。
DecodedJWT jwt = verifier.verify(token);
如下面代码所示就可以获取到我们之前生成 token 的 签名的主题,观众 和自定义的声明信息。
String subject = jwt.getSubject();//获得签名主题List<String> audience = jwt.getAudience();//获得签名接收方Map<String, Claim> claims = jwt.getClaims();//获得自定义信息for (Entry<String, Claim> entry : claims.entrySet()) {String key = entry.getKey();Claim claim = entry.getValue();System.out.println("key:"+key+" value:"+claim.asString());}
- 编写拦截器 interceptor
public class AuthenticationInterceptor implements HandlerInterceptor {@AutowiredUserService userService;@Overridepublic boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object object) throws IOException {String token = req.getHeader("token");// 从 http 请求头中取出 token// 如果不是映射到方法直接通过if(!(object instanceof HandlerMethod)){return true;}//获得控制器函数所在的控制器类HandlerMethod handlerMethod = (HandlerMethod)object;//获得控制器函数Method method = handlerMethod.getMethod();//获得控制器函数所在的控制器类的ClassClass controllerClass = handlerMethod.getBean().getClass();//检查类中是否有跳过认证的注解if(controllerClass.isAnnotationPresent(PassToken.class)){PassToken passToken = (PassToken) controllerClass.getAnnotation(PassToken.class);if (passToken.required()) {return true;}}//检查方法是否有passtoken注释,有则跳过认证if (method.isAnnotationPresent(PassToken.class)) {PassToken passToken = method.getAnnotation(PassToken.class);if (passToken.required()) {return true;}}//判断类中是否有登陆注解if(controllerClass.isAnnotationPresent(UserLoginToken.class)){UserLoginToken userLoginToken = (UserLoginToken);controllerClass.getAnnotation(UserLoginToken.class);//验证tokenneedUserLogin(userLoginToken, token);}//判断方法中是否有登陆的注解if(method.isAnnotationPresent(UserLoginToken.class)){UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class);//验证tokenneedUserLogin(userLoginToken, token);}return true;}//验证注解的函数public boolean needUserLogin(UserLoginToken userLoginToken, String token){if(userLoginToken.required()){//需要验证if(token == null){throw new RuntimeException("无token, 请重新登陆");}String un;try{//获取签名接受方un = JWT.decode(token).getAudience().get(0);}catch (JWTDecodeException j) {throw new RuntimeException("401");}//通过用户名获取用户信息User user = userService.findUserByUn(un);if(user == null){throw new RuntimeException("用户不存在,请重新登陆");}// 通过生成算法及密钥生成 token验证类JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPd())).build();try {//验证 token,验证错误或token超时会抛出异常jwtVerifier.verify(token);} catch (JWTVerificationException e) {throw new RuntimeException("401");}return true;}return true;}
}
实现一个拦截器就需要实现HandlerInterceptor接口
HandlerInterceptor接口主要定义了三个方法
- boolean preHandle (): 预处理回调方法,实现处理器的预处理,第三个参数为响应的处理器,自定义Controller,返回值为true表示继续流程(如调用下一个拦截器或处理器)或者接着执行 postHandle()和afterCompletion();false表示流程中断,不会继续调用其他的拦截器或处理器,中断执行。
- void postHandle(): 后处理回调方法,实现处理器的后处理(DispatcherServlet进行视图返回渲染之前进行调用),此时我们可以通过modelAndView(模型和视图对象)对模型数据进行处理或对视图进行处理,modelAndView也可能为null。
- void afterCompletion(): 整个请求处理完毕回调方法,该方法也是需要当前对应的Interceptor的preHandle()的返回值为true时才会执行,也就是在DispatcherServlet渲染了对应的视图之后执行。用于进行资源清理。整个请求处理完毕回调方法。如性能监控中我们可以在此记录结束时间并输出消耗时间,还可以进行一些资源清理,类似于try-catch-finally中的finally,但仅调用处理器执行链中
主要流程:
1.从 http 请求头中取出 token
2.判断是否映射到方法或控制器类
3.检查是否有passtoken注释,有则跳过认证
4.检查有没有需要用户登录的注解,有则需要取出并验证
5.认证通过则可以访问,不通过会报相关错误信息
6.注册拦截器
在配置类上添加了注解@Configuration,标明了该类是一个配置类并且会将该类作为一个SpringBean添加到IOC容器内
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(authenticationInterceptor()).addPathPatterns("/**"); // 拦截所有请求,通过判断是否有 @UserLoginToken 注解 决定是否需要登录}@Beanpublic AuthenticationInterceptor authenticationInterceptor() {return new AuthenticationInterceptor();}
}
总结
JWT 就是一个生成 Token 的工具,如果不使用 JWT 我们也可以根据自己加密规则生成 Token。只不过 JWT 规范了生成 Token 定义了一个标准而已。JWT 的核心的功能就是:生成Token、解析Token。
参考博客:
- https://blog.csdn.net/ljk126wy/article/details/82751787
- https://www.jianshu.com/p/e88d3f8151db
