【SpringBoot】基于mybatisPlus的博客系统

1.实现用户登录

在之前的项目登录中，我使用的是Session传递用户信息实现校验登录

现在学习了Jwt令牌技术后我尝试用Jwt来完成校验工作

Jwt令牌

令牌一词在网络编程一节我就有所耳闻，现在又拾了起来。

这里讲应用：令牌也就用于身份标识，类似于身份证，本质是一个字符串（类比身份证号）

JWT全称: JSON Web Token

官⽹: https://jwt.io/

1、Header(头部）头部包括令牌的类型（即JWT）及使用的哈希算法（如HMACSHA256或RSA)

2、Payload(负载）负载部分是存放有效信息的地方，里面是一些自定义内容

3、Signature(签名）此部分⽤于防⽌jwt内容被篡改, 确保安全性

1.引入依赖

使用前我们需要引入依赖：

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-api -->
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-api</artifactId><version>0.11.5</version>
</dependency>
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-impl -->
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-impl</artifactId><version>0.11.5</version><scope>runtime</scope>
</dependency>
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is 
preferred --><version>0.11.5</version><scope>runtime</scope>
</dependency>

2.生成令牌（token）

接下来就是生成令牌了

既然JWT分了三部分，那我们就从这三个部分说起

Payload(负载）：我们使用Map装用户的信息

        Map<String, Object> claims = new HashMap<>();claims.put("name", "zhangsan");claims.put("id", 1);

然后通过这个Map信息生成一个简单的token字符串：

        //生成Jwt令牌  无签名版String compact = Jwts.builder().addClaims(claims).compact();System.out.println(compact);

Jwts.builder().addClaims(claims)：将Map信息整合为一个JwtBuilder对象

compact()：使用JwtBuilder生成一个token

还可以传入JSON数据

        //生成Jwt令牌  还可以传入JSON数据（转成String）两者不能共存  但不建议使用setPayload()  它和后续的一些方法不兼容
//        String compact = Jwts.builder().setPayload("JSON_Data").compact();

将结果打印出来发现只有两段字符串

正常有三段分别存储令牌的三个部分

完整生成流程：

        String compact = Jwts.builder().addClaims(claims).setIssuedAt(new Date())     //设置签发时间.signWith(key)        //设置签名.setExpiration(new Date(System.currentTimeMillis() + 30 * 60 * 1000))//设置过期时间  30分钟.compact();  //生成token

Signature（签名）：

这个过程还需要一个变量Key（就是一个很长的字符串用于加密，生成签名）

Key也是解析的关键，所以我们要掌握 生成与获取

在这过程中还用到了Header(头部）中的算法

        //生成签名所需要的Key  手动版生成
//        Key key = Keys.hmacShaKeyFor("zxcvbnmasdfghjklqwertyuiop_zxcvbnmasdfghjklqwertyuiop".getBytes(StandardCharsets.UTF_8));//生成签名所需要的Key  自动版生成
//        Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256);

两者结合一下，我们可以选择先自动生成一个再存为static final对象（或者使用对自己有特殊好意的字符串）

    private static final String secretString = "7C4CHbWRCam1zetXXwpk0NY8SAkhDlBO171kHnJSWTQ=";//根据生成的secretString实现静态Key完成多服务器共享private static final Key key = Keys.hmacShaKeyFor(secretString.getBytes(StandardCharsets.UTF_8));

如何获取生成Key的String呢？

通过 Encoders.BASE64.encode(key.getEncoded())换成String

        //借助这个方法生成一个StringKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256);  //生成KeyString encode = Encoders.BASE64.encode(key.getEncoded());  //获取生成Key的密钥System.out.println(encode);SecretKey secretKey = Keys.hmacShaKeyFor(Decoders.BASE64.decode(encode)); //进行设置

然后将这个生成的String 放在secretString中

获取到token后我们怎么反向解析识别这个token呢？就像公安系统能识别身份证

因为token与Key联系紧密（token就是根据Key生成）

所以key变化就解析不成功 token变化也解析不成功（这就是实现强制登录的关键）

            //解析tokenString token = "eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiemhhbmdzYW4iLCJpZCI6MSwiaWF0IjoxNzQ1OTc3ODg3LCJleHAiOjE3NDU5Nzk2ODd9.wHE7XqoZOL1hIj1qCdBJu-K6iXSCfckb-qX1ndbrnuM";//根据Key来对token进行解析获得所存储的数据  key变化就解析不成功 token变化也解析不成功JwtParser build = Jwts.parserBuilder().setSigningKey(key).build();  //此时key已经固定Claims body = build.parseClaimsJws(token).getBody();System.out.println(body);

这就是JWT的部分实现，项目中大概就展示使用这些。

接下来我们将这些知识运用在项目中：

添加JwtUtils类实现生成token 解析token 功能

其他类直接调用即可

生成token：传入Map信息返回token（校验工作用的东西）

/*** 生成token* @param claims 在token中存储的信息* @return token令牌*/public static String getToken(Map<String, Object> claims) {return  Jwts.builder().addClaims(claims).setIssuedAt(new Date())     //设置签发时间.signWith(key)        //设置签名.setExpiration(new Date(System.currentTimeMillis() + Constant.EXPIRATION_TIME))//设置过期时间  30分钟.compact();  //生成token}

将我们所需要用的常量放在Constant中

    //token过期时间public static final long EXPIRATION_TIME=5*1000;//Header中的tokenpublic static final String HEADER_TOKEN = "user_token";

还有些别的的直接放在这个类中也行：

    private static final String secretString = "7C4CHbWRCam1zetXXwpk0NY8SAkhDlBO171kHnJSWTQ=";//根据生成的secretString实现静态Key完成多服务器共享   key:相当于制作身份证的一种工艺private static final Key key = Keys.hmacShaKeyFor(secretString.getBytes(StandardCharsets.UTF_8));

解析token ：

用于校验工作的

/*** 解析token* @param token  “身份证”* @return 简单理解为Map*/public static Claims parseToken(String token) {//根据Key来对token进行解析获得所存储的数据  key变化就解析不成功 token变化也解析不成功JwtParser build = Jwts.parserBuilder().setSigningKey(key).build();  //此时key已经固定//如果解析失败会爆出异常Claims body = null;try{body = build.parseClaimsJws(token).getBody();}catch(Exception e) {log.error("token校验失败 token:{}",token);}return body;}

当校验失败时我们可以选对不同的异常做出不同判断（这里作者太懒了）

比如：是token为空还是内容错了

进入业务中：

Controller Service Mapper

Controller：

@Slf4j
@RestController
@RequestMapping("/user")
public class UserController {@Resource(name = "UserService")private UserService userService;@RequestMapping("/login")//@Validated加了这个注解就会进行参数校验public UserLoginResponse login(@Validated @RequestBody UserLoginRequest userLoginRequest) {log.info("用户进行登录, userName:{}",userLoginRequest.getUserName());return userService.login(userLoginRequest);}
}

当我们传递参数与返回参数时，我们一般操作的都是JSON对象，所以要对参数进行封装。

UserLoginResponse ：返回参数

@Data
@AllArgsConstructor
@NoArgsConstructor
public class UserLoginResponse {private Integer userId;private String token;
}

UserLoginRequest ：传递参数

/*** 发送用于登录的数据*/
@Data
public class UserLoginRequest {@NotBlank(message = "用户名不能为空")@Length(min = 4, message = "用户名不能低于4位")private String userName;@NotBlank(message = "密码不能为空")@Length(min = 4, message = "密码不能低于4位")private String password;
}

这里使用了两个新注解@NotBlank @Length

@NotBlank：校验参数（掌握它能判断参数是否为空 message为报错时的信息）

@Length：检验参数长度是否达标（我们在登录时名字太长或太短都会出现问题吧）

Service：

完成校验工作

1.先根据用户name从数据库中获取密码用于判断

（这一步建议将数据库代码放在一个方法中，方便下一次复用）

2.检验一下获取的用户信息是否存在

（userLoginRequest这个对象不用再检验，那两个注解已经完成了检验）

3.检验密码是否正确

4.如果用户信息对上了，将这个信息生成一个token并返回

@Service("UserService")
public class UserServiceImpl implements UserService {@Resourceprivate UserInfoMapper userInfoMapper;@Overridepublic UserLoginResponse login(UserLoginRequest userLoginRequest) {//参数校验  日志打印  异常捕获//参数在Controller层就已经完成校验  只用校验从数据库中的数据UserInfo userInfo = selectUserInfoByName(userLoginRequest.getUserName());if(userInfo == null || userInfo.getId() == null || userInfo.getId() < 1) {throw new BlogException("用户不存在");}//完成登录校验if(!userLoginRequest.getPassword().equals(userInfo.getPassword())) {throw new BlogException("用户密码错误");}账号密码正确的逻辑   往token中填装要记录的信息Map<String, Object> claims = new HashMap<>();claims.put("id", userInfo.getId());claims.put("name", userInfo.getUserName());return new UserLoginResponse(userInfo.getId(), JwtUtils.getToken(claims));}/*** 根据name查询User用户* @param userName 用户name* @return 用户信息*/public UserInfo selectUserInfoByName(String userName) {QueryWrapper<UserInfo> queryWrapper = new QueryWrapper<>();queryWrapper.lambda().eq(UserInfo::getUserName, userName).eq(UserInfo::getDeleteFlag, Constant.IS_DELETE);return userInfoMapper.selectOne(queryWrapper);}
}

2.实现强制登录

依然是使用拦截器完成

关于拦截器：实现

结构：即使是一个类也要创建一个包哦！

定义拦截器：

调用JwtUtils中我们写的方法进行校验

不符合预期的话再拦截之前记得向response传入一些值哦

@Slf4j
@Component
public class LoginInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//从header中获取tokenString token = request.getHeader(Constant.HEADER_TOKEN);//利用token获取信息进行校验Claims claims = JwtUtils.parseToken(token);//token不符合预期if(claims == null) {response.setStatus(401);return false;}return true;}
}

配置拦截器：

建议多使用List<String> excludePaths这样的结构先拦截所有路径 /**/* 然后进行排除路径

（这里工程少，为了方便测试使用了addPathPatterns("/user/**","/blog/**")排除部分路径）

/*** 注册拦截器*/
@Configuration
public class WebConfig implements WebMvcConfigurer {//注入拦截器@Autowiredprivate LoginInterceptor loginInterceptor;private final List<String> excludePaths = Arrays.asList("/user/login","/**/*.css","/**/*.html","/**/*.js","/**/*.jpg");@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(loginInterceptor).addPathPatterns("/user/**","/blog/**").excludePathPatterns(excludePaths);}
}