Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
传统的session认证
我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
但是这种基于session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来。
基于session认证所显露的问题
- Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。
- 扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。
- CSRF: 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。
基于token的鉴权机制
基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。
流程:
- 用户使用用户名密码来请求服务器
- 服务器进行验证用户的信息
- 服务器通过验证发送给用户一个token
- 客户端存储token,并在每次请求时附送上这个token值
- 服务端验证token值,并返回数据
Token由三部分组成
第一部分:header,声明
第二部分:payload,载体,最重要的部分。包含id(唯一),subject(用户名),exp(到期时间)
第三部分:secret,秘密,自定义
最终的token是base64加密后的header和base64加密后的payload和HS256加密的header+payload+secret组成(三样中间通过.隔开)
项目结构
一、Maven
<dependencies>
<!--JWT-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.7.0</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.commons/commons-lang3 -->
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-lang3</artifactId>
<version>3.4</version>
</dependency>
</dependencies>
二、JwtUtil
package com.springboot.jwt.util;
import com.springboot.jwt.entity.CheckResult;
import com.springboot.jwt.entity.SystemConstant;
import io.jsonwebtoken.*;
import sun.misc.BASE64Decoder;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.io.IOException;
import java.util.Date;
public class JwtUtil {
/**
* 签发JWT
*
* @param id
* @param subject 可以是JSON数据 尽可能少
* @param ttlMillis 有效时间
* @return String
*/
public static String createJWT(String id, String subject, Long ttlMillis) throws IOException {
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
SecretKey secretKey = generalKey();
JwtBuilder builder = Jwts.builder()
.setId(id) // 是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。
.setSubject(subject) // 代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可以存放什么userid,roldid之类的,作为什么用户的唯一标志
.setIssuer("user") // 颁发者是使用 HTTP 或 HTTPS 方案的 URL(区分大小写),其中包含方案、主机及(可选的)端口号和路径部分
.setIssuedAt(now) // jwt的签发时间
.signWith(SignatureAlgorithm.HS256, secretKey); // 设置签名使用的签名算法和签名使用的秘钥
if (ttlMillis > 0) {
long expMillis = nowMillis + ttlMillis;
Date expDate = new Date(expMillis);
builder.setExpiration(expDate); // 过期时间
}
return builder.compact();
}
/**
* 验证JWT
*
* @param jwtStr
* @return
*/
public static CheckResult validateJWT(String jwtStr) {
CheckResult checkResult = new CheckResult();
try {
Claims claims = parseJWT(jwtStr);
checkResult.setSuccess(true);
checkResult.setClaims(claims);
} catch (ExpiredJwtException e) {
checkResult.setErrCode(SystemConstant.JWT_ERRCODE_EXPIRE);
checkResult.setSuccess(false);
} catch (Exception e) {
checkResult.setErrCode(SystemConstant.JWT_ERRCODE_FAIL);
checkResult.setSuccess(false);
}
return checkResult;
}
private static SecretKey generalKey() throws IOException {
BASE64Decoder decoder = new BASE64Decoder();
byte[] encodedKey = decoder.decodeBuffer(SystemConstant.JWT_SECERT);
return new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
}
/**
* 解析JWT字符串
*
* @param jwt
* @return
*/
public static Claims parseJWT(String jwt) throws IOException {
SecretKey secretKey = generalKey();
return Jwts.parser()
.setSigningKey(secretKey)
.parseClaimsJws(jwt)
.getBody();
}
}
三、TestController
package com.springboot.jwt.controller;
import com.springboot.jwt.entity.vo.ResultVO;
import com.springboot.jwt.util.JwtUtil;
import com.springboot.jwt.util.ResultVOUtil;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.io.IOException;
import java.util.Date;
@RestController
public class TestController {
@RequestMapping("/login")
public ResultVO<Object> login() throws IOException {
// 生成token,token有效时间为30分钟
String token = JwtUtil.createJWT(String.valueOf(new Date()), "user", 3600000L);
// 将用户户名和token返回
return ResultVOUtil.success(token);
}
@RequestMapping("/token/admin")
public ResultVO<Object> token() {
return ResultVOUtil.success("需要token才可以访问的接口");
}
}
四、设置拦截器
在后端接受请求时获取到token用于登录验证
package com.springboot.jwt.config;
import com.springboot.jwt.entity.CheckResult;
import com.springboot.jwt.entity.SystemConstant;
import com.springboot.jwt.util.JwtUtil;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.boot.configurationprocessor.json.JSONObject;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.nio.charset.StandardCharsets;
@Slf4j
@Component
public class MyInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 1.从Cookie获取token
String token = getTokenFromCookie(request);
if (StringUtils.isBlank(token)) {
// 2.从headers中获取
token = request.getHeader("token");
}
if (StringUtils.isBlank(token)) {
// 3.从请求参数获取
token = request.getParameter("token");
}
if (StringUtils.isBlank(token)) {
//输出响应流
JSONObject jsonObject = new JSONObject();
jsonObject.put("msg", "403");
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
response.getOutputStream().write(jsonObject.toString().getBytes(StandardCharsets.UTF_8));
return false;
}
// 验证token
CheckResult checkResult = JwtUtil.validateJWT(token);
if (checkResult.isSuccess()) {
// 验证通过
return true;
} else {
if (checkResult.getErrCode().equals(SystemConstant.JWT_ERRCODE_EXPIRE)) {
//输出响应流
JSONObject jsonObject = new JSONObject();
jsonObject.put("msg", SystemConstant.JWT_ERRCODE_EXPIRE);
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
response.getOutputStream().write(jsonObject.toString().getBytes(StandardCharsets.UTF_8));
return false;
} else if (checkResult.getErrCode().equals(SystemConstant.JWT_ERRCODE_FAIL)) {
//输出响应流
JSONObject jsonObject = new JSONObject();
jsonObject.put("msg", SystemConstant.JWT_ERRCODE_FAIL);
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
response.getOutputStream().write(jsonObject.toString().getBytes(StandardCharsets.UTF_8));
return false;
}
//输出响应流
JSONObject jsonObject = new JSONObject();
jsonObject.put("msg", "403");
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
response.getOutputStream().write(jsonObject.toString().getBytes(StandardCharsets.UTF_8));
return false;
}
}
private String getTokenFromCookie(HttpServletRequest request) {
String token = null;
Cookie[] cookies = request.getCookies();
int len = null == cookies ? 0 : cookies.length;
if (len > 0) {
for (Cookie cookie : cookies) {
if (cookie.getName().equals("token")) {
token = cookie.getValue();
break;
}
}
}
return token;
}
}
package com.springboot.jwt.config;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import javax.annotation.Resource;
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
@Resource
private MyInterceptor myInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 设置接口只有携带token才可以访问的路劲
registry.addInterceptor(myInterceptor).addPathPatterns("/token/**");
}
}
五、一些静态常量SystemConstant
package com.card.entity;
public class SystemConstant {
public static final String JWT_SECERT = "dfb70cce5939b7023d0ca97b86937bf9";
public static final String JWT_ERRCODE_EXPIRE = "认证已过期";
public static final String JWT_ERRCODE_FAIL = "认证失败";
}
六、验证的返回结果实体类CheckResult
package com.card.entity.vo;
import io.jsonwebtoken.Claims;
import lombok.Getter;
import lombok.Setter;
import lombok.ToString;
@Getter
@Setter
@ToString
public class CheckResult {
private boolean success;
private Claims claims;
private String errCode;
}
七、视图类
package com.springboot.jwt.util;
import com.springboot.jwt.entity.vo.ResultVO;
public class ResultVOUtil {
public static ResultVO<Object> success(Object object) {
ResultVO<Object> resultVO = new ResultVO<>();
resultVO.setCode(1);
resultVO.setMsg("成功");
resultVO.setData(object);
return resultVO;
}
public static ResultVO<Object> success() {
return ResultVOUtil.success(null);
}
public static ResultVO<Object> fail(Object object) {
ResultVO<Object> resultVO = new ResultVO<>();
resultVO.setCode(0);
resultVO.setMsg("失败");
resultVO.setData(object);
return resultVO;
}
public static ResultVO<Object> fail() {
return ResultVOUtil.fail(null);
}
}
package com.springboot.jwt.entity.vo;
import lombok.Getter;
import lombok.Setter;
import lombok.ToString;
@Getter
@Setter
@ToString
public class ResultVO<T> {
private Integer code;
private String msg;
private T data;
}
八、全局异常处理
package com.card.advice;
import com.card.entity.vo.ResultVO;
import com.card.util.ResultVOUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpServletRequest;
@Slf4j
@ControllerAdvice
public class GlobalExceptionHandler {
@ExceptionHandler(value = Exception.class)
@ResponseBody
public ResultVO<Object> defaultExceptionHandler(HttpServletRequest req, Exception e) {
log.error("---BaseException Handler---Host {} invokes url {} ERROR: ", req.getRemoteHost(), req.getRequestURL(), e);
return ResultVOUtil.fail("系统错误,请联系网站管理员!");
}
@ExceptionHandler(value = RuntimeException.class)
@ResponseBody
public ResultVO<Object> RuntimeExceptionHandler(HttpServletRequest req, RuntimeException e) {
log.error("---BaseException Handler---Host {} invokes url {} ERROR: ", req.getRemoteHost(), req.getRequestURL(), e);
return ResultVOUtil.fail(e.getMessage());
}
}
九、效果
登录
携带token访问需要token才可以访问接口
不携带token
携带错误的token
使用shiro自定义过滤器设置接口只有携带token才可以访问?
这里使用shiro举例,在ShiroFilterFactoryBean对象中进行设置
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDefaultSecurityManager") DefaultSecurityManager defaultSecurityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(defaultSecurityManager);
// 自定义过滤器
HashMap<String, Filter> filterHashMap = new HashMap<>();
filterHashMap.put("jwt", new NoSessionFilter());
shiroFilterFactoryBean.setFilters(filterHashMap);
// 过滤规则
Map<String, String> linkedHashMap = new LinkedHashMap<>();
// 登录之后才可以请求的接口
linkedHashMap.put("/aliPayConfig/**", "jwt");
linkedHashMap.put("/card/**", "jwt");
linkedHashMap.put("/category/**", "jwt");
linkedHashMap.put("/exportFile/**", "jwt");
linkedHashMap.put("/menuList/**", "jwt");
linkedHashMap.put("/order/**", "jwt");
linkedHashMap.put("/permission/**", "jwt");
linkedHashMap.put("/product/**", "jwt");
linkedHashMap.put("/role/**", "jwt");
linkedHashMap.put("/rolePermission/**", "jwt");
linkedHashMap.put("/user/**", "jwt");
linkedHashMap.put("/userRole/**", "jwt");
shiroFilterFactoryBean.setFilterChainDefinitionMap(linkedHashMap);
// 设置登录请求
shiroFilterFactoryBean.setLoginUrl("/login");
return shiroFilterFactoryBean;
}