- 1使用nvm管理node多版本(安装、卸载nvm,配置环境变量,更换npm淘宝镜像)
- 2把时间当作朋友
- 3oa平台部署与迁移_oa数据库和业务数据库分开
- 4maven与idea版本适配问题_idea和maven版本对照
- 5微软在汉诺威工业博览会上推出新制造业Copilot人工智能功能,强化Dynamics 365工具集
- 6【RAG实践】基于LlamaIndex和Qwen1.5搭建基于本地知识库的问答机器人_基于qwen的问答机器人
- 7树莓派4B串口及蓝牙连接HC-05_树莓派4b蓝牙
- 8大数据与云计算——部署Hadoop集群并运行MapReduce集群案例(超级详细!)_mapreduce配置hadoop集群的相关组件,确保集群正常运行。
- 9Linux部署自动化运维平台Spug
- 10【转】Endnote中英文混排及输出作者全名的解决办法_endnote参考文献作者姓氏不缩写
JavaEE——Spring Boot + jwt
赞
踩
目录
什么是Spring Boot + jwt?
Spring Boot和JWT(JSON Web Token)是一对常见的组合,用于构建安全的Web应用程序。下面是它们的主要功能和如何结合使用的概览:
-
Spring Boot:Spring Boot是一个用于快速构建基于Spring框架的Java应用程序的工具。它通过提供默认配置和约定大于配置的方式,简化了Spring应用程序的开发过程。
-
JWT(JSON Web Token):JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT通常用于身份验证和信息传输,在Web应用程序中广泛应用。
如何实现Spring Boot + jwt:
1. 添加依赖
① 在你的 Spring Boot 项目中添加 JWT 相关的依赖,比如 jjwt 库,以便于创建和验证 JWT。
- <dependency>
- <groupId>io.jsonwebtoken</groupId>
- <artifactId>jjwt</artifactId>
- <version>0.9.1</version>
- </dependency>
② 确保mybatis、mysql、spring boot、redis、druid、lombok等相关依赖存在
③ maven 刷新下载依赖
2、创建JWT工具类
① 编写一个工具类来处理 JWT 的创建、解析和验证。这个类通常包含以下方法: - 创建 JWT:将用户信息(例如用户名、角色等)加密生成一个 token。
- public static String getToken(Map<String, Object> claims) {
- // JWT的签发时间
- long nowMillis = System.currentTimeMillis();
- Date now = new Date(nowMillis);
- // 指定签名的时候使用的签名算法
- SignatureAlgorithm signatureAlgotithm = SignatureAlgorithm.HS256;
- long expMillis = nowMillis + 604800000L; // 默认设置7天过期
- Date expirationDate = new Date(expMillis);
- String token = Jwts.builder() // 创建jwt builder
- .setClaims(claims) // 必须放最前面,不然后面设置的东西都会没有:如setExpiration会没有时间
- .setId(UUID.randomUUID().toString()) // jwt唯一标识
- .setIssuedAt(now) // 签发时间
- .setExpiration(expirationDate) // 过期时间
- .signWith(signatureAlgotithm, key) // 设置签名实用的签名算法和使用的密钥
- .compact();
- return token;
- }
② 编写一个工具类来处理 JWT 的创建、解析和验证。这个类通常包含以下方法: - 解析 JWT:从收到的 token 中提取用户信息
- public static Claims parseJwt(String token) throws Exception {
- String msg = null;
- try{
- Claims claims = Jwts.parser()
- .setAllowedClockSkewSeconds(604800) // 允许7天的偏移
- .setSigningKey(key) // 设置签名密钥
- .parseClaimsJws(token).getBody(); // 设置需要解析的JWT
- return claims;
- }catch (SignatureException se) {
- msg = "密钥错误";
- log.error(msg, se);
- throw new RuntimeException(msg);
- }catch (MalformedJwtException me) {
- msg = "密钥算法或者密钥转换错误";
- log.error(msg, me);
- throw new RuntimeException(msg);
-
- }
- catch (MissingClaimException mce) {
- msg = "密钥缺少校验数据";
- log.error(msg, mce);
- throw new RuntimeException(msg);
-
- }catch (ExpiredJwtException mce) {
- msg = "密钥已过期";
- log.error(msg, mce);
- throw new RuntimeException(msg);
-
- }catch (JwtException jwte) {
- msg = "密钥解析错误";
- log.error(msg, jwte);
- throw new RuntimeException(msg);
- }
- }
3. 定义认证逻辑
① 在 controller 中,添加 @Slf4j 注解用于日志记录
② 在 controller 中,创建一个 login方法用来控制用户登入
- @PostMapping("/login")
- public Map<String, Object> login(@RequestBody User user) {
- log.info("user",user);
- log.info("用户名: [{}]", user.getName());
- log.info("密码: [{}]", user.getPwd());
- User u = userService.login(user);
- }
③ 在 login中 创新一个Map对象,承载认证结果和相关信息
Map<String, Object> map = new HashMap<>();
④ 如果用户认证成功(u != null),则创建一个包含用户ID和名称的Map对象,并生成一个JWT令牌。接着在响应map中设置状态为true,消息为“认证成功”,并包含了生成的令牌。
⑤ 如果认证失败(u为空),则在响应map中设置状态为false,并包含了一个指示“用户名或者密码错误”的消息。
- try {
- if (u != null) {
- Map<String, Object> payLoad = new HashMap<>();
- payLoad.put("id", u.getId());
- payLoad.put("name", user.getName());
- String token = JWTUtils.getToken(payLoad);
- map.put("state", true);
- map.put("message", "认证成功");
- map.put("token",token);
- } else {
- map.put("state", false);
- map.put("message", "用户名或者密码错误");
- }
- } catch (Exception e) {
- map.put("state", false);
- map.put("msg", e.getMessage());
- }
- return map;
4. 添加过滤器
① 创建一个JWTInterceptor过滤器文件来检查传入的请求是否携带有效的 token,并根据需要进行相应的处理
public class JWTInterceptor implements HandlerInterceptor {
② 创建preHandle方法,在请求处理之前执行,用于检查传入的请求是否携带有效的 token,并解析令牌
- @Override
- public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
- Map<String, Object> map = new HashMap<>();
- // 获取请求头中令牌
- String token = request.getHeader("token");
- if(!StringUtils.isEmpty(token)) {
- try {
- Claims claims = JWTUtils.parseJwt(token); // 如果找到令牌就使用 JWTUtils.parseJwt() 方法解析令牌
- return true; // 解析成功,即令牌有效,返回true
- } catch (RuntimeException e) { // 如果解析失败,会捕获 RuntimeException 异常
- e.printStackTrace();
- map.put("msg", e.getMessage()); // map.put("msg","密钥错误!");
- }
- }
③ 将异常信息放入 map 中,并设置一些响应信息,然后将信息以 JSON 格式返回给客户端
- map.put("message","token为null,必须携带token");
- map.put("state",false); // 设置状态
- // 将map 转为 json jackson
- String json = new ObjectMapper().writeValueAsString(map);
- response.setContentType("application/json;charset=UTF-8");
- response.getWriter().println(json);
- return false;
- }
- }
④ 再添加一个拦截器配置类 InterceptorConfig,用于配置和注册拦截器到 Spring MVC 中
- @Configuration
- public class InterceptorConfig implements WebMvcConfigurer {
- @Override
- public void addInterceptors(InterceptorRegistry registry) {
- String[] patterns = new String[] {"/auth/login","/*.html","/css/**","/js/**","/images/**","/layui/**"}; // 添加不拦截的方法
- registry.addInterceptor(new JWTInterceptor())
- .addPathPatterns("/**") // 其他接口token验证
- .excludePathPatterns(patterns); // 不进行token验证
- }
- }
5、 http请求测试
