快捷導(dǎo)航

SpringBoot使用Jwt處理跨域認(rèn)證問題的教程詳解

更新時(shí)間：2020年06月17日 09:36:27 作者：陳大帥哥Ray

這篇文章主要介紹了SpringBoot使用Jwt處理跨域認(rèn)證問題，本文給大家介紹的非常詳細(xì)，對大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下

　　在前后端開發(fā)時(shí)為什么需要用戶認(rèn)證呢？原因是由于HTTP協(xié)定是不存儲(chǔ)狀態(tài)的，這意味著當(dāng)我們透過賬號密碼驗(yàn)證一個(gè)使用者時(shí)，當(dāng)下一個(gè)request請求時(shí)他就把剛剛的資料忘記了。于是我們的程序就不知道誰是誰了。所以為了保證系統(tǒng)的安全，就需要驗(yàn)證用戶是否處于登陸狀態(tài)。

一、JWT的組成

JWT由Header、Payload、Signature三部分組成，分別用.分隔。

下面就是一個(gè)jwt真實(shí)的樣子，說白了就是一個(gè)字符串，但是里面卻存儲(chǔ)了很重要的信息。

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJyYXljaGVuIiwiaWQiOjIsIm5hbWUiOiJyYXkiLCJwYXNzd29yZCI6IjMyMSIsImlhdCI6MTU5MDI5OTU0OCwiZXhwIjoxNTkwMzg1OTQ4fQ.ORJNldDIfffg7D3_xu0_dBWb16y4fPLtw_r6qgScFpQ

Header：

第一部分是請求頭由兩部分組成，alg與typ,第一個(gè)指定的是算法，第二指定的是類型。

Payload

第二部分是主體信息組成,用來存儲(chǔ)JWT基本信息，或者是我們的信息。

Signature

第三部分主要是給第一部分跟第二部進(jìn)行簽名使用的,用來驗(yàn)證是否是我們服務(wù)器發(fā)起的Token，secret是我們的密鑰。

二、在springboot項(xiàng)目中使用jwt做驗(yàn)證

具體流程：

把用戶的用戶名和密碼發(fā)到后端
后端進(jìn)行校驗(yàn)，校驗(yàn)成功會(huì)生成token, 把token發(fā)送給客戶端
客戶端自己保存token, 再次請求就要在Http協(xié)議的請求頭中帶著token去訪問服務(wù)端，和在服務(wù)端保存的token信息進(jìn)行比對校驗(yàn)。

1.先引入jar包

<dependency>
  <groupId>io.jsonwebtoken</groupId>
  <artifactId>jjwt</artifactId>
  <version>0.9.1</version>
</dependency>

2.使用工具類生成token和驗(yàn)證token（生成token方法中存入了用戶的信息）

public class JwtUtils {

  //發(fā)行者
  public static final String SUBJECT="raychen";
  //過期時(shí)間 一天
  public static final long EXPIRE=1000*60*60*24;
  //密鑰
  public static final String APPSECRET="raychen11";

  /**
   * 生成jwt
   * @param user
   * @return
   */
  public static String geneJsonWebToken(User user){
    if(user==null || user.getId()==null || user.getName()==null || user.getPassword()==null){
      return null;
    }
    String token=Jwts.builder().setSubject(SUBJECT)
        .claim("id",user.getId())
        .claim("name",user.getName())
        .claim("password",user.getPassword())
        .setIssuedAt(new Date())
        .setExpiration(new Date(System.currentTimeMillis()+EXPIRE))
        .signWith(SignatureAlgorithm.HS256,APPSECRET).compact();

    return token;
  }

  /**
   * 校驗(yàn)token
   * @param token
   * @return
   */
  public static Claims checkJWT(String token){
    //仿造的token或者已過期就會(huì)報(bào)錯(cuò)
    try {
      final Claims claims=Jwts.parser().setSigningKey(APPSECRET).parseClaimsJws(token).getBody();
      return claims;
    }catch (Exception e){
      System.out.println("catch...");
    }
    return null;
  }
}

3.自定義注解（進(jìn)行token驗(yàn)證）

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface CheckToken {
  boolean required() default true;
}

4.編寫config，將后臺(tái)所有請求先去攔截器（攔截器返回了true，用戶才可以請求到接口）

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {


  @Override
  public void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(authenticationInterceptor())
        .addPathPatterns("/**");  // 攔截所有請求，通過判斷是否有 @LoginRequired 注解 決定是否需要登錄
  }

  @Bean
  public AuthenticationInterceptor authenticationInterceptor() {
    return new AuthenticationInterceptor();
  }
}

5.定義攔截器（對需要token驗(yàn)證的請求，進(jìn)行驗(yàn)證，驗(yàn)證成功返回true，失敗返回false無法請求到接口）

public class AuthenticationInterceptor implements HandlerInterceptor {

  public static final Gson gson=new Gson();
  /**
   * 進(jìn)入controller之前進(jìn)行攔截
   * @param request
   * @param response
   * @param object
   * @return
   */
  @Override
  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception {
    // 如果不是映射到方法直接通過
    if (!(object instanceof HandlerMethod)) {
      return true;
    }

    HandlerMethod handlerMethod = (HandlerMethod) object;
    Method method = handlerMethod.getMethod();
    //檢查是否有LoginToken注釋，有則跳過認(rèn)證
    if (method.isAnnotationPresent(LoginToken.class)) {
      LoginToken loginToken = method.getAnnotation(LoginToken.class);
      if (loginToken.required()) {
        return true;
      }
    }

    //前面是不需要token驗(yàn)證的 從 http 請求頭中取出 token
    String token = request.getHeader("token");
    //檢查有沒有需要用戶權(quán)限的注解
    if (method.isAnnotationPresent(CheckToken.class)) {
      CheckToken checkToken = method.getAnnotation(CheckToken.class);
      if (checkToken.required()) {
        if(token!=null){
          Claims claims= JwtUtils.checkJWT(token);
          if(null==claims){
            sendJsonMessage(response, JsonData.buildError("token有誤"));
            return false;
          }
          Integer userId= (Integer) claims.get("id");
          String name = (String) claims.get("name");

          request.setAttribute("userId",userId);
          request.setAttribute("name",name);
          return true;
        }
        //token為null的話 返回一段json給前端
        sendJsonMessage(response, JsonData.buildError("請登錄"));
        return false;
      }
    }
    //沒有使用注解的方法 直接返回true
    return true;
  }

    /**
     * 響應(yīng)數(shù)據(jù)給前端
     * @param response
     * @param obj
     * @throws IOException
     */
    public static void sendJsonMessage (HttpServletResponse response, Object obj) throws IOException {
      response.setContentType("application/json; charset=utf-8");
      PrintWriter writer = response.getWriter();
      writer.print(gson.toJson(obj));
      writer.close();
      response.flushBuffer();
    }
}

用戶登錄成功后，使用工具類生成token。token在服務(wù)端不做存儲(chǔ)，直接將token返回給客戶端，客戶端下次請求服務(wù)端時(shí)，使用工具類來驗(yàn)證header里的token是否合法。

總結(jié)

到此這篇關(guān)于SpringBoot使用Jwt處理跨域認(rèn)證問題的文章就介紹到這了,更多相關(guān)SpringBoot處理跨域認(rèn)證內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: