這期內(nèi)容當中小編將會給大家?guī)碛嘘P(guān)怎么在SpringBoot中利用JWT實現(xiàn)一個登錄驗證功能，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

創(chuàng)新互聯(lián)公司是一家專業(yè)提供吳橋企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站制作、成都網(wǎng)站設(shè)計、H5頁面制作、小程序制作等業(yè)務(wù)。10年已為吳橋眾多企業(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站設(shè)計公司優(yōu)惠進行中。

什么是JWT

JSON Web Token（JWT）是一個開放的標準（RFC 7519），它定義了一個緊湊且自包含的方式，用于在各方之間以JSON對象安全地傳輸信息。這些信息可以通過數(shù)字簽名進行驗證和信任?？梢允褂妹孛埽ㄊ褂肏MAC算法）或使用RSA的公鑰/私鑰對來對JWT進行簽名。

jwt請求流程

引用官網(wǎng)的圖片

中文介紹：

• 用戶使用賬號和面發(fā)出post請求；

• 服務(wù)器使用私鑰創(chuàng)建一個jwt；

• 服務(wù)器返回這個jwt給瀏覽器；

• 瀏覽器將該jwt串在請求頭中像服務(wù)器發(fā)送請求；

• 服務(wù)器驗證該jwt；

• 返回響應(yīng)的資源給瀏覽器

jwt組成

jwt含有三部分：頭部（header）、載荷（payload）、簽證（signature）

頭部（header）

頭部一般有兩部分信息：聲明類型、聲明加密的算法（通常使用HMAC SHA256）

頭部一般使用base64加密：eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

解密后：

{
  "typ":"JWT",
  "alg":"HS256"
}

載荷（payload）

該部分一般存放一些有效的信息。jwt的標準定義包含五個字段：

• iss：該JWT的簽發(fā)者

• sub: 該JWT所面向的用戶

• aud: 接收該JWT的一方

• exp(expires): 什么時候過期，這里是一個Unix時間戳

• iat(issued at): 在什么時候簽發(fā)的

這個只是JWT的定義標準，不強制使用。另外自己也可以添加一些公開的不涉及安全的方面的信息。

簽證（signature）

JWT最后一個部分。該部分是使用了HS256加密后的數(shù)據(jù)；包含三個部分：

• header (base64后的)

• payload (base64后的)

• secret 私鑰

secret是保存在服務(wù)器端的，jwt的簽發(fā)生成也是在服務(wù)器端的，secret就是用來進行jwt的簽發(fā)和jwt的驗證，所以，它就是你服務(wù)端的私鑰，在任何場景都不應(yīng)該流露出去。一旦客戶端得知這個secret, 那就意味著客戶端是可以自我簽發(fā)jwt了。

在SpringBoot項目中應(yīng)用

首先需要添加JWT的依賴：

  <dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.6.0</version>
  </dependency>

接下來在配置文件中添加JWT的配置信息：

##jwt配置
audience:
 clientId: 098f6bcd4621d373cade4e832627b4f6
 base64Secret: MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=
 name: restapiuser
 expiresSecond: 172800

配置信息的實體類，以便獲取jwt的配置：

@Data
@ConfigurationProperties(prefix = "audience")
@Component
public class Audience {

  private String clientId;
  private String base64Secret;
  private String name;
  private int expiresSecond;

}

JWT驗證主要是通過攔截器驗證，所以我們需要添加一個攔截器來驗證請求頭中是否含有后臺頒發(fā)的token，這里請求頭的格式：這里bearer;后面就是服務(wù)器頒發(fā)的token

public class JwtFilter extends GenericFilterBean {

  @Autowired
  private Audience audience;

  /**
   * Reserved claims（保留），它的含義就像是編程語言的保留字一樣，屬于JWT標準里面規(guī)定的一些claim。JWT標準里面定好的claim有：

   iss(Issuser)：代表這個JWT的簽發(fā)主體；
   sub(Subject)：代表這個JWT的主體，即它的所有人；
   aud(Audience)：代表這個JWT的接收對象；
   exp(Expiration time)：是一個時間戳，代表這個JWT的過期時間；
   nbf(Not Before)：是一個時間戳，代表這個JWT生效的開始時間，意味著在這個時間之前驗證JWT是會失敗的；
   iat(Issued at)：是一個時間戳，代表這個JWT的簽發(fā)時間；
   jti(JWT ID)：是JWT的唯一標識。
   * @param req
   * @param res
   * @param chain
   * @throws IOException
   * @throws ServletException
   */
  @Override
  public void doFilter(final ServletRequest req, final ServletResponse res, final FilterChain chain)
      throws IOException, ServletException {

    final HttpServletRequest request = (HttpServletRequest) req;
    final HttpServletResponse response = (HttpServletResponse) res;
    //等到請求頭信息authorization信息
    final String authHeader = request.getHeader("authorization");

    if ("OPTIONS".equals(request.getMethod())) {
      response.setStatus(HttpServletResponse.SC_OK);
      chain.doFilter(req, res);
    } else {

      if (authHeader == null || !authHeader.startsWith("bearer;")) {
        throw new LoginException(ResultEnum.LOGIN_ERROR);
      }
      final String token = authHeader.substring(7);

      try {
        if(audience == null){
          BeanFactory factory = WebApplicationContextUtils.getRequiredWebApplicationContext(request.getServletContext());
          audience = (Audience) factory.getBean("audience");
        }
        final Claims claims = JwtHelper.parseJWT(token,audience.getBase64Secret());
        if(claims == null){
          throw new LoginException(ResultEnum.LOGIN_ERROR);
        }
        request.setAttribute(Constants.CLAIMS, claims);
      } catch (final Exception e) {
        throw new LoginException(ResultEnum.LOGIN_ERROR);
      }

      chain.doFilter(req, res);
    }
  }
}

注冊JWT攔截器，可以在配置類中，也可以直接在SpringBoot的入口類中

public class JwtFilter extends GenericFilterBean {

  @Autowired
  private Audience audience;

  /**
   * Reserved claims（保留），它的含義就像是編程語言的保留字一樣，屬于JWT標準里面規(guī)定的一些claim。JWT標準里面定好的claim有：

   iss(Issuser)：代表這個JWT的簽發(fā)主體；
   sub(Subject)：代表這個JWT的主體，即它的所有人；
   aud(Audience)：代表這個JWT的接收對象；
   exp(Expiration time)：是一個時間戳，代表這個JWT的過期時間；
   nbf(Not Before)：是一個時間戳，代表這個JWT生效的開始時間，意味著在這個時間之前驗證JWT是會失敗的；
   iat(Issued at)：是一個時間戳，代表這個JWT的簽發(fā)時間；
   jti(JWT ID)：是JWT的唯一標識。
   * @param req
   * @param res
   * @param chain
   * @throws IOException
   * @throws ServletException
   */
  @Override
  public void doFilter(final ServletRequest req, final ServletResponse res, final FilterChain chain)
      throws IOException, ServletException {

    final HttpServletRequest request = (HttpServletRequest) req;
    final HttpServletResponse response = (HttpServletResponse) res;
    //等到請求頭信息authorization信息
    final String authHeader = request.getHeader("authorization");

    if ("OPTIONS".equals(request.getMethod())) {
      response.setStatus(HttpServletResponse.SC_OK);
      chain.doFilter(req, res);
    } else {

      if (authHeader == null || !authHeader.startsWith("bearer;")) {
        throw new LoginException(ResultEnum.LOGIN_ERROR);
      }
      final String token = authHeader.substring(7);

      try {
        if(audience == null){
          BeanFactory factory = WebApplicationContextUtils.getRequiredWebApplicationContext(request.getServletContext());
          audience = (Audience) factory.getBean("audience");
        }
        final Claims claims = JwtHelper.parseJWT(token,audience.getBase64Secret());
        if(claims == null){
          throw new LoginException(ResultEnum.LOGIN_ERROR);
        }
        request.setAttribute(Constants.CLAIMS, claims);
      } catch (final Exception e) {
        throw new LoginException(ResultEnum.LOGIN_ERROR);
      }

      chain.doFilter(req, res);
    }
  }
}

登錄處理，也就是jwt的頒發(fā)

 @PostMapping("login")
  public ResultVo login(@RequestParam(value = "usernameOrEmail", required = true) String usernameOrEmail,
             @RequestParam(value = "password", required = true) String password,
             HttpServletRequest request) {
    Boolean is_email = MatcherUtil.matcherEmail(usernameOrEmail);
    User user = new User();
    if (is_email) {
      user.setEmail(usernameOrEmail);
    } else {
      user.setUsername(usernameOrEmail);
    }
    User query_user = userService.get(user);
    if (query_user == null) {
      return ResultVOUtil.error("400", "用戶名或郵箱錯誤");
    }
    //驗證密碼
    PasswordEncoder encoder = new BCryptPasswordEncoder();
    boolean is_password = encoder.matches(password, query_user.getPassword());
    if (!is_password) {
      //密碼錯誤，返回提示
      return ResultVOUtil.error("400", "密碼錯誤");
    }
   
    String jwtToken = JwtHelper.createJWT(query_user.getUsername(),
                      query_user.getId(),
                      query_user.getRole().toString(),
                      audience.getClientId(),
                      audience.getName(),
                      audience.getExpiresSecond()*1000,
                      audience.getBase64Secret());

    String result_str = "bearer;" + jwtToken;
    return ResultVOUtil.success(result_str);
  }

這里將jwt的頒發(fā)處理抽離出來了，JWT工具類：

public class JwtHelper {

  /**
   * 解析jwt
   */
  public static Claims parseJWT(String jsonWebToken, String base64Security){
    try
    {
      Claims claims = Jwts.parser()
          .setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))
          .parseClaimsJws(jsonWebToken).getBody();
      return claims;
    }
    catch(Exception ex)
    {
      return null;
    }
  }

  /**
   * 構(gòu)建jwt
   */
  public static String createJWT(String name, String userId, String role,
                  String audience, String issuer, long TTLMillis, String base64Security)
  {
    SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

    long nowMillis = System.currentTimeMillis();
    Date now = new Date(nowMillis);

    //生成簽名密鑰
    byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(base64Security);
    Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

    //添加構(gòu)成JWT的參數(shù)
    JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")
        .claim("role", role)
        .claim("unique_name", name)
        .claim("userid", userId)
        .setIssuer(issuer)
        .setAudience(audience)
        .signWith(signatureAlgorithm, signingKey);
    //添加Token過期時間
    if (TTLMillis >= 0) {
      long expMillis = nowMillis + TTLMillis;
      Date exp = new Date(expMillis);
      builder.setExpiration(exp).setNotBefore(now);
    }

    //生成JWT
    return builder.compact();
  }
}

最后，jwt可能會出現(xiàn)跨域的問題，所以最好添加一下對跨域的處理

@Configuration
public class CorsConfig {

  @Bean
  public FilterRegistrationBean corsFilter() {
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);
    config.addAllowedOrigin("*");
    config.addAllowedHeader("*");
    config.addAllowedMethod("OPTIONS");
    config.addAllowedMethod("HEAD");
    config.addAllowedMethod("GET");
    config.addAllowedMethod("PUT");
    config.addAllowedMethod("POST");
    config.addAllowedMethod("DELETE");
    config.addAllowedMethod("PATCH");
    source.registerCorsConfiguration("/**", config);
    final FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
    bean.setOrder(0);
    return bean;
  }

  @Bean
  public WebMvcConfigurer mvcConfigurer() {
    return new WebMvcConfigurerAdapter() {
      @Override
      public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**").allowedMethods("GET", "PUT", "POST", "GET", "OPTIONS");
      }
    };
  }
}

上述就是小編為大家分享的怎么在SpringBoot中利用JWT實現(xiàn)一個登錄驗證功能了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

文章題目：怎么在SpringBoot中利用JWT實現(xiàn)一個登錄驗證功能
當前路徑：http://aaarwkj.com/article32/jejesc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計、全網(wǎng)營銷推廣、云服務(wù)器、品牌網(wǎng)站建設(shè)、ChatGPT、網(wǎng)站設(shè)計公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)