SpringMVC加JWT token验证_springmvc jwt

开发环境：

MyEclipse  2017 CI 10

Spring 5.0

jar文件：

jjwt-0.7.0.jar  ，  jjwt-jackson-0.11.1.jar  ，  jackson-annotations-2.10.0.jar ，jackson-core-2.10.0.jar ，jackson-databind-2.10.0.jar

jar文件下载地址：

https://repo1.maven.org/maven2/com/

jackson-annotations-2.10.0.jar ，jackson-core-2.10.0.jar ，jackson-databind-2.10.0.jar在下列位置

https://repo1.maven.org/maven2/com/fasterxml/jackson/core/

https://download.csdn.net/download/scottfan/12450094

网盘：https://pan.baidu.com/s/1qm-Oiq2ZhlL0YFAdcZBSoQ 

提取码：t3ht

 

在现有SpringMVC项目中新建用于生成Token的package，命名为 com.jwt，然后添加class，这里命名为JwtHelper。

package com.jwt;
 
import io.jsonwebtoken.*;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;
import org.apache.tomcat.util.codec.binary.Base64;
 
 
public class JwtHelper {
	private static final String key="scott";
	
	public static String GenerateToken(String userCode) throws Exception
	{
		String token = "";
		String jwt_id = UUID.randomUUID().toString();
		token = createJWT(jwt_id,userCode,"",60*120,userCode);
		return token;
	}
	/**
     * 解密jwt
     *
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey key = generalKey();  //签名秘钥，和生成的签名的秘钥一模一样
        Claims claims = Jwts.parser()  //得到DefaultJwtParser
                .setSigningKey(key)                 //设置签名的秘钥
                .parseClaimsJws(jwt).getBody();     //设置需要解析的jwt
        return claims;
    }
	/**
     * 创建jwt
     * @param id
     * @param issuer
     * @param subject
     * @param ttlMillis
     * @return
     * @throws Exception
     */
    private static String createJWT(String id, String issuer, String subject, long ttlMillis,String usercode) throws Exception {
 
        // 指定签名的时候使用的签名算法，也就是header那部分，jjwt已经将这部分内容封装好了。
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
 
        // 生成JWT的时间
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
 
        // 创建payload的私有声明（根据特定的业务需要添加，如果要拿这个做验证，一般是需要和jwt的接收方提前沟通好验证方式的）
        Map<String, Object> claims = new HashMap<>();
        claims.put("userCode", usercode);
 
        // 生成签名的时候使用的秘钥secret，切记这个秘钥不能外露哦。它就是你服务端的私钥，在任何场景都不应该流露出去。
        // 一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
        SecretKey key = generalKey();
 
        // 下面就是在为payload添加各种标准声明和私有声明了
        JwtBuilder builder = Jwts.builder() // 这里其实就是new一个JwtBuilder，设置jwt的body
                .setClaims(claims)          // 如果有私有声明，一定要先设置这个自己创建的私有的声明，这个是给builder的claim赋值，一旦写在标准的声明赋值之后，就是覆盖了那些标准的声明的
                .setId(id)                  // 设置jti(JWT ID)：是JWT的唯一标识，根据业务需要，这个可以设置为一个不重复的值，主要用来作为一次性token,从而回避重放攻击。
                .setIssuedAt(now)           // iat: jwt的签发时间
                .setIssuer(issuer)          // issuer：jwt签发人
                .setSubject(subject)        // sub(Subject)：代表这个JWT的主体，即它的所有人，这个是一个json格式的字符串，可以存放什么userid，roldid之类的，作为什么用户的唯一标志。
                .signWith(signatureAlgorithm, key); // 设置签名使用的签名算法和签名使用的秘钥
 
        // 设置过期时间
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp);
        }
        return builder.compact();
    }
    
    
    
    /**
     * 由字符串生成加密key
     *
     * @return
     */
    private static SecretKey generalKey() {
        
 
        // 本地的密码解码
        byte[] encodedKey = Base64.decodeBase64(key);
 
        // 根据给定的字节数组使用AES加密算法构造一个密钥
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
 
        return key;
    }
}

 新增针对WebApi方法的拦截器

新增package，命名为com.TokenInterceptor，添加class，命名为ApiInterceptor 并继承于 HandlerInterceptor

package com.TokenInterceptor;
 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.resource.DefaultServletHttpRequestHandler;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
 
import java.io.PrintWriter;
import java.lang.annotation.ElementType;
import java.lang.annotation.Inherited;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
import java.lang.reflect.Method;
 
import com.jwt.JwtHelper;
 
import io.jsonwebtoken.lang.Objects;
 
 
public class ApiInterceptor implements HandlerInterceptor {
	
    //JWT工具类
 
    //第一个函数preHandle是预处理函数,比如我们用于拦截登录时,它是第一个工作的。
	@Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object handler) throws Exception {
 
		//检查请求的地址是否有效，如果不加这个判断，客户端请求地址如果不存在，服务端会有      异常
		if (!(handler instanceof HandlerMethod))
		{
			httpServletResponse.setCharacterEncoding("application/json;charset=UTF-8");
			httpServletResponse.setContentType("application/json;charset=UTF-8");
			PrintWriter writer = httpServletResponse.getWriter();
            StringBuffer jsonTip = new StringBuffer("{\"result\":");
            jsonTip.append(false).append(",\"tip\":\"请求的地址无效\"}");
            writer.print(jsonTip.toString());
			return false;
		}
		//获取到目标方法对象
				HandlerMethod method = (HandlerMethod) handler;
				//取到方法上的注解
				ExcludeInterceptor methodAnnotation = method.getMethodAnnotation(ExcludeInterceptor.class);
				if (methodAnnotation != null) {
					//无此注解的一律拦截
					System.out.println("This function is restricted");
					return false;
				}
		
		httpServletResponse.setCharacterEncoding("utf-8");
    	System.out.println("进入preHandle方法");
 
    	//获取我们请求头中的token验证字符
    	String headerToken=httpServletRequest.getHeader("token");
        System.out.println("Token from header:"+headerToken);
		String userCode= httpServletRequest.getParameter("userCode");
 
        //getParameter的变量是放在我们请求附带的对象中的字符串,例如post方法中附带的account变量等。
		String url = httpServletRequest.getRequestURI();
		System.out.println(url);
		//检测当前页面,我们设置当页面不是登录页面时对其进行拦截
        //if(!httpServletRequest.getRequestURI().contains("login")){
 
        
		//将token加入返回页面的header
        httpServletResponse.setHeader("token",headerToken);
 
        
 
        return true;
        //当返回true表示第一个阶段结束,随后会执行postHandle和afterCompletion
    }
 
    
 
    //当请求到达Controller但是未渲染View时进行处理
 
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
 
    }
 
 
    //相当于最后的回调函数
 
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
 
    }
    
    //拦截器注解
    @Target(ElementType.METHOD)
    @Retention(RetentionPolicy.RUNTIME)
    @Inherited
    public @interface ExcludeInterceptor {
 
    }
 
}

代码中if (!(handler instanceof HandlerMethod))这句必须要加，要不然请求的地址不存在时，服务端会报错

java.lang.ClassCastException:      org.springframework.web.servlet.resource.DefaultServletHttpRequestHandler cannot be cast to org.springframework.web.method.HandlerMet

//拦截器注解
    @Target(ElementType.METHOD)
    @Retention(RetentionPolicy.RUNTIME)
    @Inherited
    public @interface ExcludeInterceptor {

    }

 这部分代码目的是指定某个方法需要验证Token，拦截器是针对整个Controller中的方法有效的，通过这个拦截器注解，就可以判断出那个方法不用验证。

需要验证Token的方法，加@ExcludeInterceptor注解即可

@ExcludeInterceptor
    @RequestMapping("/PlaceOrder")
    public String PlaceOrder {  
        System.out.println("PlaceOrder");
        return "success";
    }

如登录方法是获取Token的，就不需验证了。具体验证方法，在上述代码块中有标记。

个人学习笔记，部分代码来源于网上代码。