一、傳統Session認證
1.1、認證過程
1、用戶向服務器發送用戶名和密碼。
2、服務器驗證后在當前對話(session)保存相關數據。
3、服務器向返回sessionId,寫入客戶端 Cookie。
4、客戶端每次請求,需要通過 Cookie,將 sessionId 回傳服務器。
5、服務器收到 sessionId,驗證客戶端。
1.2、存在問題
1、session保存在服務端,客戶端訪問高並發時,服務端壓力大。
2、擴展性差,服務器集群,就需要 session 數據共享。
二、JWT簡介
JWT(全稱:JSON Web Token),在基於HTTP通信過程中,進行身份認證。
2.1、認證流程
1、客戶端通過用戶名和密碼登錄服務器;
2、服務端對客戶端身份進行驗證;
3、服務器認證以后,生成一個 JSON 對象,發回客戶端;
4、客戶端與服務端通信的時候,都要發回這個 JSON 對象;
5、服務端解析該JSON對象,獲取用戶身份;
6、服務端可以不必存儲該JSON(Token)對象,身份信息都可以解析出來。
2.2、JWT結構說明
抓一只鮮活的Token過來。
{ "msg": "驗證成功", "code": 200, "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9. eyJzdWIiOiJhZG1pbiIsImlhdCI6iZEIj3fQ. uEJSJagJf1j7A55Wwr1bGsB5YQoAyz5rbFtF" }
上面的Token被手動格式化了,實際上是用"."分隔的一個完整的長字符串。
JWT結構:
1、頭部(header) 聲明類型以及加密算法;
2、負載(payload) 攜帶一些用戶身份信息;
3、簽名(signature) 簽名信息。
2.3、JWT使用方式
通常推薦的做法是客戶端在 HTTP 請求的頭信息Authorization字段里面。
Authorization: Bearer <token>
服務端獲取JWT方式
String token = request.getHeader("token");
三、與SpringBoot2整合
3.1、核心依賴文件
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.7.0</version> </dependency>
3.2、配置文件
server:
port: 7009
spring:
application:
name: ware-jwt-token
config:
jwt:
# 加密密鑰
secret: iwqjhda8232bjgh432[cicada-smile]
# token有效時長
expire: 3600
# header 名稱
header: token
3.3、JWT配置代碼塊
@ConfigurationProperties(prefix = "config.jwt") @Component public class JwtConfig { /* * 根據身份ID標識,生成Token */ public String getToken (String identityId){ Date nowDate = new Date(); //過期時間 Date expireDate = new Date(nowDate.getTime() + expire * 1000); return Jwts.builder() .setHeaderParam("typ", "JWT") .setSubject(identityId) .setIssuedAt(nowDate) .setExpiration(expireDate) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } /* * 獲取 Token 中注冊信息 */ public Claims getTokenClaim (String token) { try { return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody(); }catch (Exception e){ e.printStackTrace(); return null; } } /* * Token 是否過期驗證 */ public boolean isTokenExpired (Date expirationTime) { return expirationTime.before(new Date()); } private String secret; private long expire; private String header; // 省略 GET 和 SET }
四、Token攔截案例
4.1、配置Token攔截器
@Component public class TokenInterceptor extends HandlerInterceptorAdapter { @Resource private JwtConfig jwtConfig ; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 地址過濾 String uri = request.getRequestURI() ; if (uri.contains("/login")){ return true ; } // Token 驗證 String token = request.getHeader(jwtConfig.getHeader()); if(StringUtils.isEmpty(token)){ token = request.getParameter(jwtConfig.getHeader()); } if(StringUtils.isEmpty(token)){ throw new Exception(jwtConfig.getHeader()+ "不能為空"); } Claims claims = jwtConfig.getTokenClaim(token); if(claims == null || jwtConfig.isTokenExpired(claims.getExpiration())){ throw new Exception(jwtConfig.getHeader() + "失效,請重新登錄"); } //設置 identityId 用戶身份ID request.setAttribute("identityId", claims.getSubject()); return true; } }
4.2、攔截器注冊
@Configuration public class WebConfig implements WebMvcConfigurer { @Resource private TokenInterceptor tokenInterceptor ; public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(tokenInterceptor).addPathPatterns("/**"); } }
4.3、測試接口代碼
@RestController public class TokenController { @Resource private JwtConfig jwtConfig ; // 攔截器直接放行,返回Token @PostMapping("/login") public Map<String,String> login (@RequestParam("userName") String userName, @RequestParam("passWord") String passWord){ Map<String,String> result = new HashMap<>() ; // 省略數據源校驗 String token = jwtConfig.getToken(userName+passWord) ; if (!StringUtils.isEmpty(token)) { result.put("token",token) ; } result.put("userName",userName) ; return result ; } // 需要 Token 驗證的接口 @PostMapping("/info") public String info (){ return "info" ; } }