263.Spring Boot JWT:实战_JWT

前言

       在前面的章节中,我们对于JWT有一定的认知了,那么在Spring Boot中如何使用JWT呐?

 

说明

Spring Boot 2.1.2

jjwt 0.9.1

 

一、Spring Boot中使用JWT

1.1 新建项目

       新建一个项目,取名为:spring-boot-jwt

 

1.2 添加依赖

       在pom.xml文件中添加依赖,核心的依赖是webstarter和jjwt:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.2.RELEASE</version>
        <relativePath /> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.kfit</groupId>
    <artifactId>spring-boot-jwt</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>spring-boot-jwt</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-configuration-processor</artifactId>
            <optional>true</optional>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

 

1.3 jwt生成token和解析的token的工具类

       我们在上一节讲到jwt就是json webtoken,所以token的生成和解析是jwt的核心工作,其它的代码就是我们之前的常规代码了:

package com.kfit.config;

import java.security.Key;
import java.util.Date;

import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

public class JwtHelper {

    /**
     * 解析jwt
     */
    public static Claims parseJWT(String jsonWebToken, String base64Security) {
        try {
            Claims claims = Jwts.parser().setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))
                    .parseClaimsJws(jsonWebToken).getBody();
            return claims;
        } catch (Exception ex) {
            return null;
        }
    }

    /**
     * 构建jwt
     */
    public static String createJWT(String name, String userId, String role, String audience, String issuer,
            long TTLMillis, String base64Security) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);

        // 生成签名密钥
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(base64Security);
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

        // 添加构成JWT的参数
        JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT").claim("role", role).claim("unique_name", name)
                .claim("userid", userId).setIssuer(issuer).setAudience(audience)
                .signWith(signatureAlgorithm, signingKey);
        // 添加Token过期时间
        if (TTLMillis >= 0) {
            long expMillis = nowMillis + TTLMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp).setNotBefore(now);
        }

        // 生成JWT
        return builder.compact();
    }
}

说明:

(1)createJWT()生成jwtToken的方法,主要是使用Jwts.builder进行构建。

(2)parseJWT()解析token的方法。

 

1.4 添加配置文件

       在生成jwtToken的时候,需要使用一些配置信息,比如秘钥,这里我们在配置文件进行配置:

 

jwt.clientId: 098f6bcd4621d373cade4e832627b4f6
jwt.base64Secret: MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=
jwt.name: restapiuser
jwt.expiresSecond: 172800

 

 

1.5 配置文件类

       对应配置文件的类:

package com.kfit.config;

import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

@ConfigurationProperties(prefix = "jwt")
@Component
public class JwtConfig {
    private String clientId;
    private String base64Secret;
    private String name;
    private int expiresSecond;
    public String getClientId() {
        return clientId;
    }
    public void setClientId(String clientId) {
        this.clientId = clientId;
    }
    public String getBase64Secret() {
        return base64Secret;
    }
    public void setBase64Secret(String base64Secret) {
        this.base64Secret = base64Secret;
    }
    public String getName() {
        return name;
    }
    public void setName(String name) {
        this.name = name;
    }
    public int getExpiresSecond() {
        return expiresSecond;
    }
    public void setExpiresSecond(int expiresSecond) {
        this.expiresSecond = expiresSecond;
    }

}

 

1.6 编写Filter

       这里核心的代码就是Filter校验了,我们先理清下整体的思路:

(1)用户访问/login使用账号username和password进行访问,在这里需要检验账号和密码的有效性,验证身份之后,使用jwt的工具类生成jwtToken返回(之后进行编码)。

(2)用户在header带上在上面返回的jwtToken进行访问其它的请求地址经过Filter进行拦截。

(3)在Filter当中会获取到jwtToken,使用parseJWT进行解析,解析成功接着往下访问,解析失败返回错误信息。

       我们看下Filter的代码:

package com.kfit.config;

import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.filter.GenericFilterBean;

import io.jsonwebtoken.Claims;

public class JwtFilter extends GenericFilterBean {

    @Autowired
    private JwtConfig jwtConfig;

    /**
     * Reserved claims(保留),它的含义就像是编程语言的保留字一样,属于JWT标准里面规定的一些claim。JWT标准里面定好的claim有:
     * 
     * iss(Issuser):代表这个JWT的签发主体;sub(Subject):代表这个JWT的主体,即它的所有人;
     * aud(Audience):代表这个JWT的接收对象;exp(Expiration time):是一个时间戳,代表这个JWT的过期时间;nbf(Not
     * Before):是一个时间戳,代表这个JWT生效的开始时间,意味着在这个时间之前验证JWT是会失败的;iat(Issued
     * at):是一个时间戳,代表这个JWT的签发时间;jti(JWT ID):是JWT的唯一标识。
     * 
     * @param req
     * @param res
     * @param chain
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        System.out.println("JwtFilter.doFilter()");
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;

        //这里只是简单模拟,实际中项目中需要进行统一管理不需要认证的地址.
        if("/login".equals(req.getRequestURI())) {
            chain.doFilter(request, response);
        }else {
            // 获取请求头信息authorization信息
            String authHeader = req.getHeader("Authorization");
            if (authHeader == null || !authHeader.startsWith("Bearer")) {
                out(resp, "Authorization: error");
            } else {
                String token = authHeader.substring(7);
                Claims claims = JwtHelper.parseJWT(token, jwtConfig.getBase64Secret());
                if (claims == null) {
                    out(resp, "Authorization parse error");
                }
                System.out.println(claims);
                request.setAttribute("CLAIMS", claims);
                chain.doFilter(request, response);
            }
        }
    }

    private void out(HttpServletResponse resp, String msg) throws IOException {
        PrintWriter pw = resp.getWriter();
        pw.print(msg);
        pw.flush();
        pw.close();
    }
}

      这里的代码就是我们常规的时候写的if else代码,并没有什么太高深的地方。

 

 

1.7 注册Filter

       我们编写启动类,并且在启动类注册上面的Filter:

package com.kfit;

import java.util.ArrayList;
import java.util.List;
import javax.servlet.Filter;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;

import com.kfit.config.JwtFilter;

@SpringBootApplication
public class SpringBootJwtApplication {

    @Bean
    public Filter uploadFilter() {
        return new JwtFilter();
    }

    @Bean
    public FilterRegistrationBean<Filter> jwtFilter() {
        System.out.println("SpringBootJwtApplication.jwtFilter()");
        FilterRegistrationBean<Filter> registrationBean = new FilterRegistrationBean<Filter>();
        registrationBean.setFilter(uploadFilter());
        // 添加需要拦截的url
        List<String> urlPatterns = new ArrayList<String>();
        urlPatterns.add("/*");
        registrationBean.addUrlPatterns(urlPatterns.toArray(new String[urlPatterns.size()]));

        return registrationBean;
    }

    public static void main(String[] args) {
        SpringApplication.run(SpringBootJwtApplication.class, args);
    }

}

 

 

 

1.8 编写login和一个测试的方法

       编写login方法,在login方法中主要是生成jwtToken:

package com.kfit.root.controller;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import com.kfit.config.JwtConfig;
import com.kfit.config.JwtHelper;

@RestController
public class RootController {

    @Autowired
    private JwtConfig jwtConfig;

    @RequestMapping("/login")
    public String login(String username,String pwd) {
        //接受到username,pwd 需要进行校验账号密码正确与否,这里简单的做个判断》
        if("zhangsan".equals(username) && "123".equals(pwd)) {

            //这里的信息是获取到的用户的信息.
            String name = "张三";
            String userId = "1000";
            String role = "1";

            String jwtToken = JwtHelper.createJWT(name, userId, role, jwtConfig.getClientId(), jwtConfig.getName(), jwtConfig.getExpiresSecond()*1000, jwtConfig.getBase64Secret());
            return "Bearer "+jwtToken;
        }
        return "error";
    }

    @RequestMapping("/hello")
    public String hello() {
        return "hello,悟空";
    }

}

 

 

       在/login方法中,为什么需要返回Bearer,不清楚的话,可以看上一篇文章。

 

1.9 测试

       到这里就可以启动测试了,这里我们postman工具进行测试:

(1)访问http://localhost:8080/hello,可以看到返回信息:Authorization: error

(2)访问http://localhost:8080/login?username=zhangsan&pwd=123,可以看到返回信息:

BearereyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlIjoiMSIsInVuaXF1ZV9uYW1lIjoi5byg5LiJIiwidXNlcmlkIjoiMTAwMCIsImlzcyI6InJlc3RhcGl1c2VyIiwiYXVkIjoiMDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjYiLCJleHAiOjE1NDg1NzYwNzAsIm5iZiI6MTU0ODQwMzI3MH0.y8aegcCrQ9rdCE8UV1PRHl1rt6Xx626kPShG9Ry3KDs

(3)再次访问/hello,这次添加头部信息:

Key为:Authorization

Value为:BearereyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlIjoiMSIsInVuaXF1ZV9uYW1lIjoi5byg5LiJIiwidXNlcmlkIjoiMTAwMCIsImlzcyI6InJlc3RhcGl1c2VyIiwiYXVkIjoiMDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjYiLCJleHAiOjE1NDg1NzYxMzYsIm5iZiI6MTU0ODQwMzMzNn0.-QzklM2t3ECB62_LpZ3NGZ30kAmi3KrGZQ7nw1LfWuc

返回成功的话,可以看到信息:hello,悟空

 

 

 

我就是我,是颜色不一样的烟火。
我就是我,是与众不同的小苹果。

à悟空学院:http://t.cn/Rg3fKJD

 

SpringBoot视频:http://t.cn/R3QepWG

Spring Cloud视频:http://t.cn/R3QeRZc

SpringBoot Shiro视频:http://t.cn/R3QDMbh

SpringBoot交流平台:http://t.cn/R3QDhU0

SpringData和JPA视频:http://t.cn/R1pSojf

SpringSecurity5.0视频:http://t.cn/EwlLjHh

Sharding-JDBC分库分表实战:http://t.cn/E4lpD6e