Spring Boot认证：整合Jwt

• 2019 年 10 月 5 日
• 筆記

背景

Jwt全称是：json web token。它将用户信息加密到token里，服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性，只要正确即通过验证。

优点

1. 简洁: 可以通过URL、POST参数或者在HTTP header发送，因为数据量小，传输速度也很快；
2. 自包含：负载中可以包含用户所需要的信息，避免了多次查询数据库；
3. 因为Token是以JSON加密的形式保存在客户端的，所以JWT是跨语言的，原则上任何web形式都支持；
4. 不需要在服务端保存会话信息，特别适用于分布式微服务。

缺点

1. 无法作废已颁布的令牌；
2. 不易应对数据过期。

一、Jwt消息构成

1.1 组成

一个token分3部分，按顺序为

1. 头部（header)
2. 载荷（payload)
3. 签证（signature)

三部分之间用.号做分隔。例如：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIxYzdiY2IzMS02ODFlLTRlZGYtYmU3Yy0wOTlkODAzM2VkY2UiLCJleHAiOjE1Njk3Mjc4OTF9.wweMzyB3tSQK34Jmez36MmC5xpUh15Ni3vOV_SGCzJ8

1.2 header

Jwt的头部承载两部分信息：

1. 声明类型，这里是Jwt
2. 声明加密的算法 通常直接使用 HMAC SHA256

Jwt里验证和签名使用的算法列表如下：

1.3 playload

载荷就是存放有效信息的地方。基本上填2种类型数据

1. 标准中注册的声明的数据；
2. 自定义数据。

由这2部分内部做base64加密。

• 标准中注册的声明 (建议但不强制使用)

iss: jwt签发者  sub: jwt所面向的用户  aud: 接收jwt的一方  exp: jwt的过期时间，这个过期时间必须要大于签发时间  nbf: 定义在什么时间之前，该jwt都是不可用的.  iat: jwt的签发时间  jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。

• 自定义数据:存放我们想放在token中存放的key-value值

1.4 signature

Jwt的第三部分是一个签证信息，这个签证信息由三部分组成
base64加密后的header和base64加密后的payload连接组成的字符串，然后通过header中声明的加密方式进行加盐secret组合加密，然后就构成了Jwt的第三部分。

二、Spring Boot和Jwt集成示例

示例代码采用：

<dependency>      <groupId>com.auth0</groupId>      <artifactId>java-jwt</artifactId>      <version>3.8.1</version>  </dependency>

2.1 项目依赖

<dependencies>      <dependency>          <groupId>org.springframework.boot</groupId>          <artifactId>spring-boot-starter-web</artifactId>      </dependency>      <dependency>          <groupId>io.jsonwebtoken</groupId>          <artifactId>jjwt</artifactId>          <version>0.9.1</version>      </dependency>      <dependency>          <groupId>com.auth0</groupId>          <artifactId>java-jwt</artifactId>          <version>3.8.1</version>      </dependency>      <!-- redis -->      <dependency>          <groupId>org.springframework.boot</groupId>          <artifactId>spring-boot-starter-data-redis</artifactId>      </dependency>      <!-- lombok -->      <dependency>          <groupId>org.projectlombok</groupId>          <artifactId>lombok</artifactId>          <scope>1.8.4</scope>      </dependency>      <dependency>          <groupId>com.alibaba</groupId>          <artifactId>fastjson</artifactId>          <version>1.2.47</version>      </dependency>  </dependencies>

2.2 自定义注解@JwtToken

加上该注解的接口需要登录才能访问

@Target({ElementType.METHOD, ElementType.TYPE})  @Retention(RetentionPolicy.RUNTIME)  public @interface JwtToken {      boolean required() default true;  }

2.3 Jwt 认证工具类JwtUtil.java

主要用来生成签名、校验签名和通过签名获取信息

public class JwtUtil {        /**       * 过期时间5分钟       */      private static final long EXPIRE_TIME = 5 * 60 * 1000;      /**       * jwt 密钥       */      private static final String SECRET = "jwt_secret";        /**       * 生成签名，五分钟后过期       * @param userId       * @return       */      public static String sign(String userId) {          try {              Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);              Algorithm algorithm = Algorithm.HMAC256(SECRET);              return JWT.create()                      // 将 user id 保存到 token 里面                      .withAudience(userId)                      // 五分钟后token过期                      .withExpiresAt(date)                      // token 的密钥                      .sign(algorithm);          } catch (Exception e) {              return null;          }      }        /**       * 根据token获取userId       * @param token       * @return       */      public static String getUserId(String token) {          try {              String userId = JWT.decode(token).getAudience().get(0);              return userId;          } catch (JWTDecodeException e) {              return null;          }      }        /**       * 校验token       * @param token       * @return       */      public static boolean checkSign(String token) {          try {              Algorithm algorithm = Algorithm.HMAC256(SECRET);              JWTVerifier verifier = JWT.require(algorithm)                      // .withClaim("username", username)                      .build();              DecodedJWT jwt = verifier.verify(token);              return true;          } catch (JWTVerificationException exception) {              throw new RuntimeException("token 无效，请重新获取");          }      }  }

2.4 拦截器拦截带有注解的接口

• JwtInterceptor.java

public class JwtInterceptor implements HandlerInterceptor {        @Override      public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) {          // 从 http 请求头中取出 token          String token = httpServletRequest.getHeader("token");          // 如果不是映射到方法直接通过          if(!(object instanceof HandlerMethod)){              return true;          }          HandlerMethod handlerMethod=(HandlerMethod)object;          Method method=handlerMethod.getMethod();          //检查有没有需要用户权限的注解          if (method.isAnnotationPresent(JwtToken.class)) {              JwtToken jwtToken = method.getAnnotation(JwtToken.class);              if (jwtToken.required()) {                  // 执行认证                  if (token == null) {                      throw new RuntimeException("无token，请重新登录");                  }                  // 获取 token 中的 userId                  String userId = JwtUtil.getUserId(token);                  System.out.println("用户id:" + userId);                    // 验证 token                  JwtUtil.checkSign(token);              }          }          return true;      }        @Override      public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {        }      @Override      public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {        }  }

• 注册拦截器：WebConfig.java

@Configuration  public class WebConfig implements WebMvcConfigurer {        /**       * 添加jwt拦截器       * @param registry       */      @Override      public void addInterceptors(InterceptorRegistry registry) {          registry.addInterceptor(jwtInterceptor())                  // 拦截所有请求，通过判断是否有 @JwtToken 注解 决定是否需要登录                  .addPathPatterns("/**");      }        /**       * jwt拦截器       * @return       */      @Bean      public JwtInterceptor jwtInterceptor() {          return new JwtInterceptor();      }  }

2.5 全局异常捕获

@RestControllerAdvice  public class GlobalExceptionHandler {      @ResponseBody      @ExceptionHandler(Exception.class)      public Object handleException(Exception e) {          String msg = e.getMessage();          if (msg == null || msg.equals("")) {              msg = "服务器出错";          }          JSONObject jsonObject = new JSONObject();          jsonObject.put("message", msg);          return jsonObject;      }  }

2.6 接口

• JwtController.java

@RestController  @RequestMapping("/jwt")  public class JwtController {        /**       * 登录并获取token       * @param userName       * @param passWord       * @return       */      @PostMapping("/login")      public Object login( String userName, String passWord){          JSONObject jsonObject=new JSONObject();          // 检验用户是否存在(为了简单，这里假设用户存在，并制造一个uuid假设为用户id)          String userId = UUID.randomUUID().toString();          // 生成签名          String token= JwtUtil.sign(userId);          Map<String, String> userInfo = new HashMap<>();          userInfo.put("userId", userId);          userInfo.put("userName", userName);          userInfo.put("passWord", passWord);          jsonObject.put("token", token);          jsonObject.put("user", userInfo);          return jsonObject;      }        /**       * 该接口需要带签名才能访问       * @return       */      @JwtToken      @GetMapping("/getMessage")      public String getMessage(){          return "你已通过验证";      }  }

2.7 Postman测试接口

2.7.1 在没token的情况下访问jwt/getMessage接口

• 请求方式：GET
• 请求参数：无
• 请求地址：http://localhost:8080/jwt/getMessage
• 返回结果：

{      "message": "无token，请重新登录"  }

2.7.2 先登录，在访问jwt/getMessage接口

• 登录请求及结果，详见下图：

登录后得到签名如箭头处

• 在请求头加上签名，然后再请求jwt/getMessage接口

请求通过，测试成功！

2.7.3 过期后再次访问

我们设置的签名过期时间是五分钟，五分钟后再次访问jwt/getMessage接口,结果如下：

通过结果，我们发现时间到了，签名失效，说明该方案通过。

三、总结

3.1 示例源码

Github 源码

3.2 技术交流

1. 风尘博客
2. 风尘博客-CSDN
3. 风尘博客-掘金