在SpringBoot中使用jwt實現(xiàn)token身份認證的實例代碼

更新時間：2023年09月02日 10:02:24 作者：金金金__

你還不會在SpringBoot中使用jwt實現(xiàn)token身份認證嗎,本文小編就給大家詳細的介紹一下在SpringBoot中使用jwt實現(xiàn)token身份認證的實例代碼,感興趣的同學可以自己動手試一試

jwt結構

用(.)分割的三個部位組成
- 標頭
- 有效載荷
- 簽名

xxx.xxx.xxx

標頭

標頭通常由兩部分組成：令牌的類型（JWT）和所使用的簽名算法（例如 HMAC SHA256 或 RSA

{ "alg": "HS256", "typ": "JWT" }

然后，對該 JSON 進行Base64Url編碼以形成 JWT 的第一部分。

有效載荷

令牌的第二部分是有效負載，其中包含聲明。聲明是關于實體（通常是用戶）和附加數(shù)據(jù)的聲明。索賠分為三種類型：注冊索賠、公開索賠和私人索賠。

注冊聲明
- 這些是一組預定義的聲明，不是強制性的，而是推薦的，以提供一組有用的、可互操作的聲明。其中一些是： iss（發(fā)行者）、 exp（到期時間）、 sub（主題）、 aud（受眾）等。
公共聲明
- 這些可以由使用 JWT 的人隨意定義。但為了避免沖突，它們應該在[IANA JSON Web Token Registry]中定義，或者定義為包含防沖突命名空間的 URI
私人聲明
- 這些是為在同意使用它們的各方之間共享信息而創(chuàng)建的自定義聲明，既不是注冊聲明也不是公開聲明。

有效負載示例

{ "sub": "1234567890", "name": "John Doe", "admin": true }

然后對有效負載進行Base64Url編碼以形成 JSON Web 令牌的第二部分。

請注意，對于簽名令牌，此信息雖然受到防止篡改的保護，但任何人都可以讀取。除非加密，否則請勿將秘密信息放入 JWT 的有效負載或標頭元素中。

簽名

要創(chuàng)建簽名部分，您必須獲取編碼的標頭、編碼的有效負載、秘密、標頭中指定的算法，然后對其進行簽名。

使用HMAC SHA256算法，則將通過以下方式創(chuàng)建簽名

HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

簽名用于驗證消息在傳輸過程中沒有發(fā)生更改，并且在使用私鑰簽名的令牌的情況下，它還可以驗證 JWT 的發(fā)送者是否是其所說的人。

將所有內容放在一起

輸出是三個由點分隔的 Base64-URL 字符串，可以在 HTML 和 HTTP 環(huán)境中輕松傳遞，同時與基于 XML 的標準（例如 SAML）相比更加緊湊。
下面顯示了一個 JWT，它具有先前的標頭和有效負載編碼，并且使用密鑰進行簽名。

官網(wǎng)翻譯的，先了解一點前置知識，開整！

使用

依賴

pom.xml文件咱們先加入jwt的依賴

JwtTokenUtils工具類

public class JwtTokenUtils {
  // token私鑰
  private static final String TOKEN_SECRET = "jwtSECRET";
  // token過期時長30分鐘
  private static final long EXPIRE_TIME = 1800L; // 單位為秒
  /**
   * 生成用戶token,設置token超時時間
   *
   * @return 生成的token
   */
   public static String createToken(LoginVo loginVo) {
    Date expireDate = new Date(System.currentTimeMillis() + EXPIRE_TIME * 1000);
    // 創(chuàng)建 Token 的 payload
    Map<String, Object> map = new HashMap<>();
    map.put("alg", "HS256");
    map.put("typ", "JWT");
    // 生成 JWT Token
    String token = JWT.create()
      .withHeader(map)// 添加頭部
      .withClaim("account", loginVo.getAccount())
      .withExpiresAt(expireDate) //超時設置,設置過期的日期
      .withIssuedAt(new Date()) //簽發(fā)時間
      .sign(Algorithm.HMAC256(TOKEN_SECRET)); //SECRET加密
    return token;
  }
  /**
   * 檢驗token是否正確
   * @param token 需要校驗的token
   * @return 校驗是否成功
   */
  public static Map<String, Claim> verifyToken(String token) {
    DecodedJWT jwt = null;
    token = token.replace("Bearer ", ""); // 這里要去掉Bearer ，postman默認會加這個，導致匹配不上
    try {
      //設置簽名的加密算法：HMAC256
      Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET); // 私鑰需要一致
      JWTVerifier verifier = JWT.require(algorithm).build();
      jwt = verifier.verify(token);
    } catch (Exception e) {
//      logger.error(e.getMessage()); // 還沒安裝log4j等日志依賴，先注釋
//      logger.error("token解碼異常");
      //解碼異常則拋出異常
      return null;
    }
    return jwt.getClaims();
  }
}

createToken方法主要就是創(chuàng)建token，并把賬號密碼作為自定義聲明添加到 JWT 的 payload 中，最終返回
verifyToken方法其實就是解碼 token 并將其轉換成 DecodedJWT 對象，通過 getClaims() 方法獲取 payload 中的所有聲明信息，并以 Map 的形式返回，如果 token 不合法或者解碼過程中出現(xiàn)異常，則返回 null，校驗的效果。

注意Bearer 這個玩意

JwtFilter.java

@Component
@WebFilter(filterName = "JwtFilter", urlPatterns = "/*")
public class JwtFilter implements Filter {
  @Override
  public void init(FilterConfig filterConfig) throws ServletException {
    System.out.println("jwt初始化方法");
  }
  @Override
  public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
    final HttpServletRequest request = (HttpServletRequest) req;
    final HttpServletResponse response = (HttpServletResponse) res;
    response.setCharacterEncoding("UTF-8");
    final String token = request.getHeader("Authorization");
    String requestPath = request.getRequestURI();
    // 登錄接口，直接放行
    if (requestPath.contains("/user/login")) {
      chain.doFilter(request, response);
      return;
    }
     if ("OPTIONS".equals(request.getMethod())) { // 是否是 OPTIONS 請求
      response.setStatus(HttpServletResponse.SC_OK);
      chain.doFilter(request, response);
    } else {
      if (token == null) {
        response.getWriter().write("沒有令牌");
        return;
      }
      Map<String, Claim> userData = JwtTokenUtils.verifyToken(token); // 檢驗 token
      if (userData == null) {
        response.getWriter().write("令牌非法");
        return;
      }
      String account = userData.get("account").asString(); // 獲取用戶名
      request.setAttribute("account", account); // 設置用戶名
      chain.doFilter(req, res); // 過濾成功
    }
  }
  @Override
  public void destroy() {
    System.out.println("jwt銷毀方法執(zhí)行的邏輯");
  }
}

這其實就是一個過濾類，你請求接口前就會先到這里，執(zhí)行相對應的邏輯。

init：初始化方法
doFilter：過濾攔截方法(主要邏輯就寫在這)
destroy：銷毀方法

注意

urlPatterns = "/*" ：這個代表攔截所有的請求，我在 doFilter 里面判斷了包含 /login 直接放行。意思就是登錄接口直接放行，返回 token 給前端，如果是別的請求則走對應邏輯。
@Component ：這個需要加上，這樣才能掃描到你這個類不然不生效的。或者你在啟動類加上 @ServletComponentScan(basePackages = "com.yjx.boot.config") ，我的過濾器是寫在 config 包下的。

LoginController

@Controller
@RestController  // 可處理 HTTP 請求的控制器，并且能夠返回數(shù)據(jù)給客戶端
@RequestMapping("/user")
@RequiredArgsConstructor
public class LoginController {
  private final AdminService adminService;
  // 用戶登陸
  @GetMapping("/login")
  ResultVO<Object> login(LoginVo loginVo) {
    Admin admin = new Admin();
    admin.setAccount(loginVo.getAccount());
    admin.setAdminPassword(loginVo.getAdminPassword());
    // 查找是否有該管理員
    Admin an = adminService.queryByAdmin(admin);
    if (an == null) {
      return ResultResponse.failure(ResultCodeEnum.INTERNAL_NOT_FOUND);
    } else {
      String token = JwtTokenUtils.createToken(loginVo);
      loginVo.setToken(token);
      an.setToken(token);
      return ResultResponse.success(an);
    }
  }
  @GetMapping("/secure/current_registrant")
  public String currentRegistrant(HttpServletRequest request) {
    System.out.println("request" + request);
    String id = request.getParameter("id");
    String account = request.getParameter("account");
    String user_password = request.getParameter("adminPassword");
    return "當前用戶信息: id=" + id + " ,account=" + account + " ,user_password=" + user_password;
  }
}