SpringBoot2.0 整合 JWT 架構，解決Token跨域驗證問題

本文源碼：GitHub·點這裡 || GitEE·點這裡

一、傳統Session認證

1、認證過程

1、使用者向伺服器發送使用者名和密碼。
2、伺服器驗證後在目前對話（session）儲存相關資料。
3、伺服器向傳回sessionId，寫入用戶端 Cookie。
4、用戶端每次請求，需要通過 Cookie，将 sessionId 回傳伺服器。
5、伺服器收到 sessionId，驗證用戶端。
           

2、存在問題

1、session儲存在服務端，用戶端通路高并發時，服務端壓力大。
2、擴充性差，伺服器叢集，就需要 session 資料共享。
           

二、JWT簡介

JWT(全稱：JSON Web Token)，在基于HTTP通信過程中，進行身份認證。

1、認證流程

1、用戶端通過使用者名和密碼登入伺服器；
2、服務端對用戶端身份進行驗證；
3、伺服器認證以後，生成一個 JSON 對象，發回用戶端；
4、用戶端與服務端通信的時候，都要發回這個 JSON 對象；
5、服務端解析該JSON對象，擷取使用者身份；
6、服務端可以不必存儲該JSON（Token）對象，身份資訊都可以解析出來。
           

2、JWT結構說明

抓一隻鮮活的Token過來。

{
	"msg": "驗證成功",
	"code": 200,
	"token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.
              eyJzdWIiOiJhZG1pbiIsImlhdCI6iZEIj3fQ.
              uEJSJagJf1j7A55Wwr1bGsB5YQoAyz5rbFtF"
}
           

上面的Token被手動格式化了，實際上是用"."分隔的一個完整的長字元串。

JWT結構

1、頭部（header) 聲明類型以及加密算法；
2、負載（payload) 攜帶一些使用者身份資訊；
3、簽名（signature) 簽名資訊。
           

3、JWT使用方式

通常推薦的做法是用戶端在 HTTP 請求的頭資訊Authorization字段裡面。

Authorization: Bearer <token>
           

服務端擷取JWT方式

String token = request.getHeader("token");
           

三、與SpringBoot2整合

1、核心依賴檔案

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.7.0</version>
</dependency>
           

2、配置檔案

server:
  port: 7009
spring:
  application:
    name: ware-jwt-token
config:
  jwt:
    # 加密密鑰
    secret: iwqjhda8232bjgh432[cicada-smile]
    # token有效時長
    expire: 3600
    # header 名稱
    header: token
           

3、JWT配置代碼塊

@ConfigurationProperties(prefix = "config.jwt")
@Component
public class JwtConfig {
    /*
     * 根據身份ID辨別，生成Token
     */
    public String getToken (String identityId){
        Date nowDate = new Date();
        //過期時間
        Date expireDate = new Date(nowDate.getTime() + expire * 1000);
        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubject(identityId)
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }
    /*
     * 擷取 Token 中注冊資訊
     */
    public Claims getTokenClaim (String token) {
        try {
            return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
        }catch (Exception e){
            e.printStackTrace();
            return null;
        }
    }
    /*
     * Token 是否過期驗證
     */
    public boolean isTokenExpired (Date expirationTime) {
        return expirationTime.before(new Date());
    }
    private String secret;
    private long expire;
    private String header;
    // 省略 GET 和 SET
}
           

四、Token攔截案例

1、配置Token攔截器

@Component
public class TokenInterceptor extends HandlerInterceptorAdapter {
    @Resource
    private JwtConfig jwtConfig ;
    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response,
                             Object handler) throws Exception {
        // 位址過濾
        String uri = request.getRequestURI() ;
        if (uri.contains("/login")){
            return true ;
        }
        // Token 驗證
        String token = request.getHeader(jwtConfig.getHeader());
        if(StringUtils.isEmpty(token)){
            token = request.getParameter(jwtConfig.getHeader());
        }
        if(StringUtils.isEmpty(token)){
            throw new Exception(jwtConfig.getHeader()+ "不能為空");
        }
        Claims claims = jwtConfig.getTokenClaim(token);
        if(claims == null || jwtConfig.isTokenExpired(claims.getExpiration())){
            throw new Exception(jwtConfig.getHeader() + "失效，請重新登入");
        }
        //設定 identityId 使用者身份ID
        request.setAttribute("identityId", claims.getSubject());
        return true;
    }
}
           

2、攔截器注冊

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Resource
    private TokenInterceptor tokenInterceptor ;
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(tokenInterceptor).addPathPatterns("/**");
    }
}
           

3、測試接口代碼

@RestController
public class TokenController {
    @Resource
    private JwtConfig jwtConfig ;
    // 攔截器直接放行，傳回Token
    @PostMapping("/login")
    public Map<String,String> login (@RequestParam("userName") String userName,
                                     @RequestParam("passWord") String passWord){
        Map<String,String> result = new HashMap<>() ;
        // 省略資料源校驗
        String token = jwtConfig.getToken(userName+passWord) ;
        if (!StringUtils.isEmpty(token)) {
            result.put("token",token) ;
        }
        result.put("userName",userName) ;
        return result ;
    }
    // 需要 Token 驗證的接口
    @PostMapping("/info")
    public String info (){
        return "info" ;
    }
}
           

五、源代碼位址

GitHub位址：知了一笑
https://github.com/cicadasmile/middle-ware-parent
碼雲位址：知了一笑
https://gitee.com/cicadasmile/middle-ware-parent
           

推薦閱讀：程式設計體系分類整理

序号	項目名稱	GitHub位址	GitEE位址	推薦指數
01	Java描述設計模式,算法,資料結構	GitHub·點這裡	GitEE·點這裡	☆☆☆☆☆
02	Java基礎、并發、面向對象、Web開發			☆☆☆☆
03	SpringCloud微服務基礎元件案例詳解			☆☆☆
04	SpringCloud微服務架構實戰綜合案例
05	SpringBoot架構基礎應用入門到進階
06	SpringBoot架構整合開發常用中間件
07	資料管理、分布式、架構設計基礎案例
08	大資料系列、存儲、元件、計算等架構