前后端 JWT 验证

浅浅的花香味﹌ 2022-02-05 10:37 205阅读 0赞

什么是JWT  
Json web token（JWT）是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准（RFC 7519），该token被设计为紧凑且安全的，特别适用于分布式站点的单点登陆（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。  
什么时候使用JWT  
授权: 这是使用JWT的最常见场景。一旦用户登录，后续每个请求都将包含JWT，允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性，因为它的开销很小，并且可以轻松地跨域使用。  
信息交换 : 对于安全的在各方之间传输信息而言，JSON Web Tokens无疑是一种很好的方式。因为JWTs可以被签名，例如，用公钥/私钥对，你可以确定发送人就是它们所说的那个人。另外，由于签名是使用头和有效负载计算的，您还可以验证内容没有被篡改。

代码实现  
依赖：

工具类：

public class JwtUtil {
    	
    	private static final long EXPIRE_TIME = 30 * 60 * 1000;
    	private static final String TOKEN_SECRET = "marsxiaobu";
    	
    	/**
    	 * 生成签名，30分钟过期
    	 * @param **username**
    	* @param **password**
    	* @return
    	 */
    	public static String sign(String username, String password) {
    	    try {
    	        // 设置过期时间
    	        Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
    	        // 私钥和加密算法
    	        Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
    	        // 设置头部信息
    	        Map<String, Object> header = new HashMap<>(2);
    	        header.put("Type", "Jwt");
    	        header.put("alg", "HS256");
    	        // 返回token字符串
    	        return JWT.create()
    	                .withHeader(header)
    	                .withClaim("loginName", username)
    	                .withClaim("pwd", password)
    	                .withExpiresAt(date)
    	                .sign(algorithm);
    	    } catch (Exception e) {
    	        e.printStackTrace();
    	        return null;
    	    }
    	}
    	
    	/**
    	 * 检验token是否正确
    	 * @param **token**
    	* @return
    	 */
    	public static boolean verify(String token){
    	    try {
    	        Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
    	        JWTVerifier verifier = JWT.require(algorithm).build();
    	        DecodedJWT jwt = verifier.verify(token);
    	        return true;
    	    } catch (Exception e){
    	        return false;
    	    }
    	}
    	
    }

token拦截器

@Component
    public class TokenInterceptor implements HandlerInterceptor {
    	
        @Override
        public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
                throws Exception {
            if (request.getMethod().equals("OPTIONS")){
                response.setStatus(HttpServletResponse.SC_OK);
                return true;
            }
            response.setCharacterEncoding("utf-8");
            String token = request.getHeader("token");
            if (token != null){
                boolean result = JwtUtil.verify(token);
                if(result){
                    System.out.println("通过拦截器");
                    return true;
                }
            }
            System.out.println("认证失败");
            response.getWriter().write("Token认证失败");
            return false;
        }
        
    }

@Configuration
    public class InterceptorConfig extends WebMvcConfigurerAdapter {
        private TokenInterceptor tokenInterceptor;
    
        public InterceptorConfig(TokenInterceptor tokenInterceptor) {
            this.tokenInterceptor = tokenInterceptor;
        }
    
        @Override
        public void addInterceptors(InterceptorRegistry registry) {
            List<String> excludePath = new ArrayList<>();
            String s1 = "/user/login";
            excludePath.add(s1);
            registry.addInterceptor(tokenInterceptor).excludePathPatterns(excludePath);
        }
        
    }