前言
在前面的章节中,我们对于JWT有一定的认知了,那么在Spring Boot中如何使用JWT呐?
说明
Spring Boot 2.1.2
jjwt 0.9.1
一、Spring Boot中使用JWT
1.1 新建项目
新建一个项目,取名为:spring-boot-jwt
1.2 添加依赖
在pom.xml文件中添加依赖,核心的依赖是webstarter和jjwt:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.1.2.RELEASE</version>
<relativePath /> <!-- lookup parent from repository -->
</parent>
<groupId>com.kfit</groupId>
<artifactId>spring-boot-jwt</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>spring-boot-jwt</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-configuration-processor</artifactId>
<optional>true</optional>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
1.3 jwt生成token和解析的token的工具类
我们在上一节讲到jwt就是json webtoken,所以token的生成和解析是jwt的核心工作,其它的代码就是我们之前的常规代码了:
package com.kfit.config;
import java.security.Key;
import java.util.Date;
import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
public class JwtHelper {
/**
* 解析jwt
*/
public static Claims parseJWT(String jsonWebToken, String base64Security) {
try {
Claims claims = Jwts.parser().setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))
.parseClaimsJws(jsonWebToken).getBody();
return claims;
} catch (Exception ex) {
return null;
}
}
/**
* 构建jwt
*/
public static String createJWT(String name, String userId, String role, String audience, String issuer,
long TTLMillis, String base64Security) {
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
// 生成签名密钥
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(base64Security);
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
// 添加构成JWT的参数
JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT").claim("role", role).claim("unique_name", name)
.claim("userid", userId).setIssuer(issuer).setAudience(audience)
.signWith(signatureAlgorithm, signingKey);
// 添加Token过期时间
if (TTLMillis >= 0) {
long expMillis = nowMillis + TTLMillis;
Date exp = new Date(expMillis);
builder.setExpiration(exp).setNotBefore(now);
}
// 生成JWT
return builder.compact();
}
}
说明:
(1)createJWT()生成jwtToken的方法,主要是使用Jwts.builder进行构建。
(2)parseJWT()解析token的方法。
1.4 添加配置文件
在生成jwtToken的时候,需要使用一些配置信息,比如秘钥,这里我们在配置文件进行配置:
jwt.clientId: 098f6bcd4621d373cade4e832627b4f6
jwt.base64Secret: MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=
jwt.name: restapiuser
jwt.expiresSecond: 172800
1.5 配置文件类
对应配置文件的类:
package com.kfit.config;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;
@ConfigurationProperties(prefix = "jwt")
@Component
public class JwtConfig {
private String clientId;
private String base64Secret;
private String name;
private int expiresSecond;
public String getClientId() {
return clientId;
}
public void setClientId(String clientId) {
this.clientId = clientId;
}
public String getBase64Secret() {
return base64Secret;
}
public void setBase64Secret(String base64Secret) {
this.base64Secret = base64Secret;
}
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
public int getExpiresSecond() {
return expiresSecond;
}
public void setExpiresSecond(int expiresSecond) {
this.expiresSecond = expiresSecond;
}
}
1.6 编写Filter
这里核心的代码就是Filter校验了,我们先理清下整体的思路:
(1)用户访问/login使用账号username和password进行访问,在这里需要检验账号和密码的有效性,验证身份之后,使用jwt的工具类生成jwtToken返回(之后进行编码)。
(2)用户在header带上在上面返回的jwtToken进行访问其它的请求地址经过Filter进行拦截。
(3)在Filter当中会获取到jwtToken,使用parseJWT进行解析,解析成功接着往下访问,解析失败返回错误信息。
我们看下Filter的代码:
package com.kfit.config;
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.filter.GenericFilterBean;
import io.jsonwebtoken.Claims;
public class JwtFilter extends GenericFilterBean {
@Autowired
private JwtConfig jwtConfig;
/**
* Reserved claims(保留),它的含义就像是编程语言的保留字一样,属于JWT标准里面规定的一些claim。JWT标准里面定好的claim有:
*
* iss(Issuser):代表这个JWT的签发主体;sub(Subject):代表这个JWT的主体,即它的所有人;
* aud(Audience):代表这个JWT的接收对象;exp(Expiration time):是一个时间戳,代表这个JWT的过期时间;nbf(Not
* Before):是一个时间戳,代表这个JWT生效的开始时间,意味着在这个时间之前验证JWT是会失败的;iat(Issued
* at):是一个时间戳,代表这个JWT的签发时间;jti(JWT ID):是JWT的唯一标识。
*
* @param req
* @param res
* @param chain
* @throws IOException
* @throws ServletException
*/
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
System.out.println("JwtFilter.doFilter()");
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;
//这里只是简单模拟,实际中项目中需要进行统一管理不需要认证的地址.
if("/login".equals(req.getRequestURI())) {
chain.doFilter(request, response);
}else {
// 获取请求头信息authorization信息
String authHeader = req.getHeader("Authorization");
if (authHeader == null || !authHeader.startsWith("Bearer")) {
out(resp, "Authorization: error");
} else {
String token = authHeader.substring(7);
Claims claims = JwtHelper.parseJWT(token, jwtConfig.getBase64Secret());
if (claims == null) {
out(resp, "Authorization parse error");
}
System.out.println(claims);
request.setAttribute("CLAIMS", claims);
chain.doFilter(request, response);
}
}
}
private void out(HttpServletResponse resp, String msg) throws IOException {
PrintWriter pw = resp.getWriter();
pw.print(msg);
pw.flush();
pw.close();
}
}
这里的代码就是我们常规的时候写的if else代码,并没有什么太高深的地方。
1.7 注册Filter
我们编写启动类,并且在启动类注册上面的Filter:
package com.kfit;
import java.util.ArrayList;
import java.util.List;
import javax.servlet.Filter;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import com.kfit.config.JwtFilter;
@SpringBootApplication
public class SpringBootJwtApplication {
@Bean
public Filter uploadFilter() {
return new JwtFilter();
}
@Bean
public FilterRegistrationBean<Filter> jwtFilter() {
System.out.println("SpringBootJwtApplication.jwtFilter()");
FilterRegistrationBean<Filter> registrationBean = new FilterRegistrationBean<Filter>();
registrationBean.setFilter(uploadFilter());
// 添加需要拦截的url
List<String> urlPatterns = new ArrayList<String>();
urlPatterns.add("/*");
registrationBean.addUrlPatterns(urlPatterns.toArray(new String[urlPatterns.size()]));
return registrationBean;
}
public static void main(String[] args) {
SpringApplication.run(SpringBootJwtApplication.class, args);
}
}
1.8 编写login和一个测试的方法
编写login方法,在login方法中主要是生成jwtToken:
package com.kfit.root.controller;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import com.kfit.config.JwtConfig;
import com.kfit.config.JwtHelper;
@RestController
public class RootController {
@Autowired
private JwtConfig jwtConfig;
@RequestMapping("/login")
public String login(String username,String pwd) {
//接受到username,pwd 需要进行校验账号密码正确与否,这里简单的做个判断》
if("zhangsan".equals(username) && "123".equals(pwd)) {
//这里的信息是获取到的用户的信息.
String name = "张三";
String userId = "1000";
String role = "1";
String jwtToken = JwtHelper.createJWT(name, userId, role, jwtConfig.getClientId(), jwtConfig.getName(), jwtConfig.getExpiresSecond()*1000, jwtConfig.getBase64Secret());
return "Bearer "+jwtToken;
}
return "error";
}
@RequestMapping("/hello")
public String hello() {
return "hello,悟空";
}
}
在/login方法中,为什么需要返回Bearer,不清楚的话,可以看上一篇文章。
1.9 测试
到这里就可以启动测试了,这里我们postman工具进行测试:
(1)访问http://localhost:8080/hello,可以看到返回信息:Authorization: error
(2)访问http://localhost:8080/login?username=zhangsan&pwd=123,可以看到返回信息:
BearereyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlIjoiMSIsInVuaXF1ZV9uYW1lIjoi5byg5LiJIiwidXNlcmlkIjoiMTAwMCIsImlzcyI6InJlc3RhcGl1c2VyIiwiYXVkIjoiMDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjYiLCJleHAiOjE1NDg1NzYwNzAsIm5iZiI6MTU0ODQwMzI3MH0.y8aegcCrQ9rdCE8UV1PRHl1rt6Xx626kPShG9Ry3KDs
(3)再次访问/hello,这次添加头部信息:
Key为:Authorization
Value为:BearereyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlIjoiMSIsInVuaXF1ZV9uYW1lIjoi5byg5LiJIiwidXNlcmlkIjoiMTAwMCIsImlzcyI6InJlc3RhcGl1c2VyIiwiYXVkIjoiMDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjYiLCJleHAiOjE1NDg1NzYxMzYsIm5iZiI6MTU0ODQwMzMzNn0.-QzklM2t3ECB62_LpZ3NGZ30kAmi3KrGZQ7nw1LfWuc
返回成功的话,可以看到信息:hello,悟空
我就是我,是颜色不一样的烟火。
我就是我,是与众不同的小苹果。
à悟空学院:http://t.cn/Rg3fKJD
SpringBoot视频:http://t.cn/R3QepWG
Spring Cloud视频:http://t.cn/R3QeRZc
SpringBoot Shiro视频:http://t.cn/R3QDMbh
SpringBoot交流平台:http://t.cn/R3QDhU0
SpringData和JPA视频:http://t.cn/R1pSojf
SpringSecurity5.0视频:http://t.cn/EwlLjHh
Sharding-JDBC分库分表实战:http://t.cn/E4lpD6e