一、传统Session认证

1.1、认证过程

1、用户向服务器发送用户名和密码。
2、服务器验证后在当前对话(session)保存相关数据。
3、服务器向返回sessionId,写入客户端 Cookie。
4、客户端每次请求,需要通过 Cookie,将 sessionId 回传服务器。
5、服务器收到 sessionId,验证客户端。

1.2、存在问题

1、session保存在服务端,客户端访问高并发时,服务端压力大。
2、扩展性差,服务器集群,就需要 session 数据共享。

二、JWT简介

JWT(全称:JSON Web Token),在基于HTTP通信过程中,进行身份认证。

2.1、认证流程

1、客户端通过用户名和密码登录服务器;
2、服务端对客户端身份进行验证;
3、服务器认证以后,生成一个 JSON 对象,发回客户端;
4、客户端与服务端通信的时候,都要发回这个 JSON 对象;
5、服务端解析该JSON对象,获取用户身份;
6、服务端可以不必存储该JSON(Token)对象,身份信息都可以解析出来。

2.2、JWT结构说明

抓一只鲜活的Token过来。

{

"msg": "验证成功",

"code": 200,

"token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.

eyJzdWIiOiJhZG1pbiIsImlhdCI6iZEIj3fQ.

uEJSJagJf1j7A55Wwr1bGsB5YQoAyz5rbFtF"

}

上面的Token被手动格式化了,实际上是用"."分隔的一个完整的长字符串。

JWT结构:

1、头部(header) 声明类型以及加密算法;
2、负载(payload) 携带一些用户身份信息;
3、签名(signature) 签名信息。

2.3、JWT使用方式

通常推荐的做法是客户端在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer <token>

服务端获取JWT方式

String token = request.getHeader("token");

三、与SpringBoot2整合

3.1、核心依赖文件

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt</artifactId>

    <version>0.7.0</version>

</dependency>

3.2、配置文件

server:

  port: 7009

spring:

  application:

    name: ware-jwt-token

config:

  jwt:

    # 加密密钥

    secret: iwqjhda8232bjgh432[cicada-smile]

    # token有效时长

    expire: 3600

    # header 名称

    header: token

3.3、JWT配置代码块

@ConfigurationProperties(prefix = "config.jwt")

@Component

public class JwtConfig {

    /*

     * 根据身份ID标识,生成Token

     */

    public String getToken (String identityId){

        Date nowDate = new Date();

        //过期时间

        Date expireDate = new Date(nowDate.getTime() + expire * 1000);

        return Jwts.builder()

                .setHeaderParam("typ", "JWT")

                .setSubject(identityId)

                .setIssuedAt(nowDate)

                .setExpiration(expireDate)

                .signWith(SignatureAlgorithm.HS512, secret)

                .compact();

    }

    /*

     * 获取 Token 中注册信息

     */

    public Claims getTokenClaim (String token) {

        try {

            return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();

        }catch (Exception e){

            e.printStackTrace();

            return null;

        }

    }

    /*

     * Token 是否过期验证

     */

    public boolean isTokenExpired (Date expirationTime) {

        return expirationTime.before(new Date());

    }

    private String secret;

    private long expire;

    private String header;

    // 省略 GET 和 SET

}

四、Token拦截案例

4.1、配置Token拦截器

@Component

public class TokenInterceptor extends HandlerInterceptorAdapter {

    @Resource

    private JwtConfig jwtConfig ;

    @Override

    public boolean preHandle(HttpServletRequest request,

                             HttpServletResponse response,

                             Object handler) throws Exception {

        // 地址过滤

        String uri = request.getRequestURI() ;

        if (uri.contains("/login")){

            return true ;

        }

        // Token 验证

        String token = request.getHeader(jwtConfig.getHeader());

        if(StringUtils.isEmpty(token)){

            token = request.getParameter(jwtConfig.getHeader());

        }

        if(StringUtils.isEmpty(token)){

            throw new Exception(jwtConfig.getHeader()+ "不能为空");

        }

        Claims claims = jwtConfig.getTokenClaim(token);

        if(claims == null || jwtConfig.isTokenExpired(claims.getExpiration())){

            throw new Exception(jwtConfig.getHeader() + "失效,请重新登录");

        }

        //设置 identityId 用户身份ID

        request.setAttribute("identityId", claims.getSubject());

        return true;

    }

}

4.2、拦截器注册

@Configuration

public class WebConfig implements WebMvcConfigurer {

    @Resource

    private TokenInterceptor tokenInterceptor ;

    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(tokenInterceptor).addPathPatterns("/**");

    }

}

4.3、测试接口代码

@RestController

public class TokenController {

    @Resource

    private JwtConfig jwtConfig ;

    // 拦截器直接放行,返回Token

    @PostMapping("/login")

    public Map<String,String> login (@RequestParam("userName") String userName,

                                     @RequestParam("passWord") String passWord){

        Map<String,String> result = new HashMap<>() ;

        // 省略数据源校验

        String token = jwtConfig.getToken(userName+passWord) ;

        if (!StringUtils.isEmpty(token)) {

            result.put("token",token) ;

        }

        result.put("userName",userName) ;

        return result ;

    }

    // 需要 Token 验证的接口

    @PostMapping("/info")

    public String info (){

        return "info" ;

    }

}

文章出处:SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题

SpringBoot2.0 整合 JWT 框架后台生成token的更多相关文章

  1. SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题

    本文源码:GitHub·点这里 || GitEE·点这里 一.传统Session认证 1.认证过程 1.用户向服务器发送用户名和密码. 2.服务器验证后在当前对话(session)保存相关数据. 3. ...

  2. SpringBoot2.0 整合 Dubbo框架 ,实现RPC服务远程调用

    一.Dubbo框架简介 1.框架依赖 图例说明: 1)图中小方块 Protocol, Cluster, Proxy, Service, Container, Registry, Monitor 代表层 ...

  3. SpringBoot2.0 整合 Shiro 框架,实现用户权限管理

    本文源码:GitHub·点这里 || GitEE·点这里 一.Shiro简介 1.基础概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证.授权.密码和会话管理.作为一款安全 ...

  4. SpringBoot2.0 整合 SpringSecurity 框架,实现用户权限安全管理

    本文源码:GitHub·点这里 || GitEE·点这里 一.Security简介 1.基础概念 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方 ...

  5. SpringBoot2.0 整合 ElasticSearch框架,实现高性能搜索引擎

    本文源码:GitHub·点这里 || GitEE·点这里 一.安装和简介 ElasticSearch是一个基于Lucene的搜索服务器.它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful ...

  6. SpringBoot2.0+Shiro+JWT 整合

    SpringBoot2.0+Shiro+JWT 整合 JSON Web Token(JWT)是一个非常轻巧的规范.这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息. 我们利用一定的编 ...

  7. (十)整合 JWT 框架,解决Token跨域验证问题

    整合 JWT 框架,解决Token跨域验证问题 1.传统Session认证 1.1 认证过程 1.2 存在问题 2.JWT简介 2.1 认证流程 2.2 JWT结构说明 2.3 JWT使用方式 3.S ...

  8. SpringBoot2.0 整合 QuartJob ,实现定时器实时管理

    一.QuartJob简介 1.一句话描述 Quartz是一个完全由java编写的开源作业调度框架,形式简易,功能强大. 2.核心API (1).Scheduler 代表一个 Quartz 的独立运行容 ...

  9. 部署基于.netcore5.0的ABP框架后台Api服务端,以及使用Nginx部署Vue+Element前端应用

    前面介绍了很多关于ABP框架的后台Web API 服务端,以及基于Vue+Element前端应用,本篇针对两者的联合部署,以及对部署中遇到的问题进行处理.ABP框架的后端是基于.net core5.0 ...

  10. 第二篇:SpringBoot2.0整合ActiveMQ

    本篇开始将具体介绍SpringBoot如何整合其它项目. 如何创建SpringBoot项目 访问https://start.spring.io/. 依次选择构建工具Maven Project.语言ja ...

随机推荐

  1. matplotlab刻度线设置——如何在画布的上下左右四条边框上绘制刻度线

    我们平时使用matplotlib绘图时一般默认的刻度只在画布的右侧和下侧出现,但是在网上看到其他人的绘图往往都是上下左右四个边框线均有刻度,这是如何实现的呢,今天就给出一种设置画布上下左右四条边框刻度 ...

  2. 【EF Core】自动生成的字段值

    自动生成字段值,咱们首先想到的是主键列(带 IDENTITY 的主键).EF Core 默认的主键配置也是启用 Identity 自增长的,而且可以自动标识主键.前提是代表主键的实体属性名要符合以下规 ...

  3. 恭喜社区迎来新PMC成员!

    恭喜Apache SeaTunnel社区又迎来一位PMC Member@liugddx!在社区持续活跃的两年间,大家经常看到这位开源爱好者出现在社区的各种活动中,为项目和社区发展添砖加瓦.如今成为项目 ...

  4. [学习笔记] LCA - 图论

    [NOIP2013 提高组] 货车运输 最大生成树+LCA+倍增 好家伙,这道题我写了一个晚上,调了两个晚上,对于这道题我颇有感触.但这道题确实好,实实在在的蓝题,让我发现了许多关于LCA的问题. 首 ...

  5. C#反射在数据库操作中的应用(反射属性,反射字段)

    这几天学习反射的应用,今天把其应用到数据操作中 现记录学习笔记 环境为: 编译器:vs2017 数据库:access 反射类型为:字段 1先在类文件的定义是用哪种数据库,和用字段还是属性来反射 本例是 ...

  6. Tree组件的快速定位更新节点的状态,以及修改节点的数据属性等操作

    当我们点击树节点的时候我们常常只能获得树的id,那么我么如何获快速定位到树节点的内容呢,除此之外,当树已经存在时,但是缺少我们想要的内容时,我们想在树节点上添加我们需要的额外的内容时该怎么办,那么就是 ...

  7. C# 全局异常捕获(转载)

    C# 全局异常捕获 原文地址:https://www.cnblogs.com/tomahawk/articles/5993874.html 开发界有那么一个笑话,说是"「我爱你」三个字,讲出 ...

  8. uni-app 小程序用户信息之头像昵称填写

    小程序获取用户头像昵称,微信又叒做妖,废除之前的接口,改成了头像昵称填写 通知:微信小程序端基础库2.27.1及以上版本,wx.getUserProfile 接口被收回,详见<小程序用户头像昵称 ...

  9. mysql 存储结构介绍及执行过程分析

    MySQL体系结构介绍 1 mysql 的体系结构 MySQL整体的逻辑结构可以分为4层,客户层.服务层.存储引擎层.数据层 客户层 客户层:进行相关的连接处理.权限控制.安全处理等操作 服务层 服务 ...

  10. 外挂级OCR神器:免费文档解析、表格识别、手写识别、古籍识别、PDF转Word

    TextIn Tools是一款免费的在线OCR工具,支持快速准确的文字和表格识别,手写.古籍识别,提供PDF转Markdown大模型辅助工具,同时支持PDF.WORD.EXCEL.JPG.PPT等各类 ...