在springboot中使用JWT自定义生成Token信息，接口请求时校验Token（在Shiro基础上）

红太狼 2024-04-01 15:51 60阅读 0赞

### 前言 ###

项目原有使用的是 **springboot** \+ **shiro** 的环境，后来由于应用要与OA对接单点登录，所以在原有基础上，修改成使用JWT自定义生成token信息和校验token功能。

### 实现思路 ###

1、配置JWT工具类：用于生成和校验Token信息功能。
    2、自定义Filter类：对请求接口进行认证，校验token是否有效及过期。
    3、修改登录功能：用户登录时生成token信息，并将token存储在cookie中（存储在cookie中请求接口会自动带上，不需要前端修改）。

### 代码实现 ###

##### 一、配置JWT工具类，用于生成和校验Token信息 #####

1、引入 **pom** 依赖

<dependency>
                <groupId>io.jsonwebtoken</groupId>
                <artifactId>jjwt</artifactId>
                <version>0.9.1</version>
            </dependency>

2、新建 **TokenUtil** 类

package com.boc.ljh.utils.token;
    
    import io.jsonwebtoken.Claims;
    import io.jsonwebtoken.Jwts;
    import io.jsonwebtoken.SignatureAlgorithm;
    import org.springframework.stereotype.Component;
    
    import java.util.Date;
    
    /**
     * @Author: ljh
     * @ClassName TokenUtil
     * @Description TODO
     * @date 2022/11/2 10:05
     * @Version 1.0
     */
    @Component
    public class TokenUtil {
        
    
        //密钥
        public static final String SUBJECT = "API-TOKEN-LJH";
        //key
        public static final String APPSECRET = "API-TOKEN-LJH";
        public static final long EXPIRE = 1000 * 60 * 60; //过期时间，毫秒，60分钟
    
    
        /**
         * @Author: ljh
         * @Description: jwt生成token
         * @DateTime: 11:50 2022/11/2
         * @Params: name一般是登录账户名  id是账户id或者随机数值 ip请求登录着的IP地址
         * @Return
         */
        public static String geneJsonWebToken(String name, String id, String ip) {
        
            String token = Jwts.builder().setSubject(SUBJECT)
                    .claim("userKey", id)
                    .claim("userAccount", name)
                    .claim("userIp", ip)
                    .setIssuedAt(new Date())
                    .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                    .signWith(SignatureAlgorithm.HS256, APPSECRET).compact();
            return token;
        }
    
    
        /**
         * @Author: ljh
         * @Description: 校验token
         * @DateTime: 11:50 2022/11/2
         * @Params:
         * @Return
         */
        public static Claims checkJWT(String token) {
        
            Claims claims = Jwts.parser().setSigningKey(APPSECRET).parseClaimsJws(token).getBody();
            return claims;
    
        }
    
    
    }

##### 二、自定义Filter类：对请求接口进行认证，校验token是否有效及过期 #####

1、创建 **ShiroClient** 类

package com.boc.ljh.conf.shiro;
    
    import com.alibaba.fastjson.JSON;
    import com.boc.ljh.utils.Result;
    import com.boc.ljh.utils.token.TokenUtil;
    import io.jsonwebtoken.Claims;
    import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
    
    import javax.servlet.ServletRequest;
    import javax.servlet.ServletResponse;
    import javax.servlet.http.Cookie;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    import java.net.InetAddress;
    
    /**
     * @Author: ljh
     * @ClassName ShiroClient
     * @Description TODO
     * @date 2022/11/2 9:58
     * @Version 1.0
     */
    
    public class ShiroClient extends BasicHttpAuthenticationFilter {
        
    
    
        /**
         * @Author: ljh
         * @Description: 校验token信息
         * @DateTime: 14:13 2022/11/2
         * @Params:
         * @Return
         */
        @Override
        protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse response, Object mappedValue) {
        
            HttpServletRequest request = (HttpServletRequest) servletRequest;
            String token = null;
            Cookie[] cookies = request.getCookies();
            for (int i = 0; i < cookies.length; i++) {
        
                if (cookies[i].getName().equals(TokenUtil.APPSECRET)) {
        //有储存token的cookie
                    token = cookies[i].getValue();
                    break;
                }
            }
    
            if (null == token || token.equals("")) {
        
                return false;
            }
            //验证token的真实性
            try {
        
                //校验token是否有效
                Claims claims = TokenUtil.checkJWT(token);
                String userAccount = claims.get("userAccount").toString();
            } catch (Exception e) {
        
                e.printStackTrace();
                return false;
            }
            return true;
        }
    
    
        /**
         * @Author: ljh
         * @Description: 返回错误信息
         * @DateTime: 14:13 2022/11/2
         * @Params:
         * @Return
         */
        @Override
        protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse responseOne) throws Exception {
        
            HttpServletResponse response = (HttpServletResponse) responseOne;
            response.setContentType("application/json;charset=utf-8");
    
            HttpServletRequest request = (HttpServletRequest) servletRequest;
            String token = null;
            Cookie[] cookies = request.getCookies();
            for (int i = 0; i < cookies.length; i++) {
        
                if (cookies[i].getName().equals(TokenUtil.APPSECRET)) {
        //有储存token的cookie
                    token = cookies[i].getValue();
                    break;
                }
            }
    
            Result result = new Result();
            result.setStatus(401);
            //获取本机IP
            String hostAddress = InetAddress.getLocalHost().getHostAddress();
            result.setData("http://" + hostAddress);
            if (token == null) {
        
                result.setMessage("尚未登录，请进行登录");
            } else {
        
                result.setMessage("登录过期，请重新登录");
            }
            String json = JSON.toJSONString(result);
            response.getWriter().print(json);
            return false;
    
        }
    
    
    }

**说明**：  
当 **isAccessAllowed** 方法返回 **true** 时，说明token有效。  
当 **isAccessAllowed** 方法返回 **false** 时，说明token无效，这个时候会执行 **onAccessDenied** 方法，**onAccessDenied** 方法里面一般放的是当token信息错误或无效时需要处理的功能逻辑。比如我在onAccessDenied方法中生成了错误信息并返回给到前端。

2、在 **shiro** 中加入自定义的 **Filter**，

//加入自定义的filter
            Map<String, Filter> filterMap = shiroFilterFactoryBean.getFilters();
            filterMap.put("client", new ShiroClient());
            shiroFilterFactoryBean.setFilters(filterMap);

将 **Shiro** 的 **authc** 替换成 **client**，这样当有接口访问时，就会进入到上面自定义的 **ShiroClient** 类中去校验token信息。  
![在这里插入图片描述][2dcc83809903496f90959e52bda7390b.png]

##### 三、修改登录功能生成token信息并存储在cookie中 #####

直接加入以下代码即可

String token = TokenUtil.geneJsonWebToken("张三", "11" ,"192.168.1.22");
    			//存token进cookie
                Cookie cookie=new Cookie(TokenUtil.APPSECRET,token);
                //这里需要注意要将cookie路径设置为根目录
                cookie.setPath("/");
                //设置到期时间为60分钟 默认-1关闭浏览器即消失
                cookie.setMaxAge(60 * 60);

[2dcc83809903496f90959e52bda7390b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/01/c580cd041a3c4f4a8d486271aeeec802.png