1、传统Session认证

1.1 认证过程

  1. 用户向服务器发送用户名和密码。
  2. 服务器验证后在当前对话(session)保存相关数据。
  3. 服务器向返回sessionId,写入客户端 Cookie。
  4. 客户端每次请求,需要通过 Cookie,将 sessionId 回传服务器。
  5. 服务器收到 sessionId,验证客户端。

1.2 存在问题

  1. session保存在服务端,客户端访问高并发时,服务端压力大。
  2. 扩展性差,服务器集群,就需要 session 数据共享。

2、JWT简介

JWT(全称:JSON Web Token),在基于HTTP通信过程中,进行身份认证。

2.1 认证流程

  1. 客户端通过用户名和密码登录服务器;
  2. 服务端对客户端身份进行验证;
  3. 服务器认证以后,生成一个 JSON 对象,发回客户端;
  4. 客户端与服务端通信的时候,都要发回这个 JSON 对象;
  5. 服务端解析该JSON对象,获取用户身份;
  6. 服务端可以不必存储该JSON(Token)对象,身份信息都可以解析出来。

2.2 JWT结构说明

抓一只鲜活的Token过来。

{

    "msg": "验证成功",

    "code": 200,

    "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.

              eyJzdWIiOiJhZG1pbiIsImlhdCI6iZEIj3fQ.

              uEJSJagJf1j7A55Wwr1bGsB5YQoAyz5rbFtF"

}

上面的Token被手动格式化了,实际上是用"."分隔的一个完整的长字符串。

JWT结构

  1. 头部(header) 声明类型以及加密算法;
  2. 负载(payload) 携带一些用户身份信息;
  3. 签名(signature) 签名信息。

2.3 JWT使用方式

通常推荐的做法是客户端在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer <token>

服务端获取JWT方式

String token = request.getHeader("token");

3、SpringBoot2整合JWT

3.1 核心依赖文件

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt</artifactId>

    <version>0.7.0</version>

</dependency>

3.2 配置文件

server:

  port: 7009

spring:

  application:

    name: ware-jwt-token

config:

  jwt:

    # 加密密钥

    secret: iwqjhda8232bjgh432[cicada-smile]

    # token有效时长

    expire: 3600

    # header 名称

    header: token

3.3 JWT配置代码块

@ConfigurationProperties(prefix = "config.jwt")

@Component

public class JwtConfig {

    /*

     * 根据身份ID标识,生成Token

     */

    public String getToken (String identityId){

        Date nowDate = new Date();

        //过期时间

        Date expireDate = new Date(nowDate.getTime() + expire * 1000);

        return Jwts.builder()

                .setHeaderParam("typ", "JWT")

                .setSubject(identityId)

                .setIssuedAt(nowDate)

                .setExpiration(expireDate)

                .signWith(SignatureAlgorithm.HS512, secret)

                .compact();

    }

    /*

     * 获取 Token 中注册信息

     */

    public Claims getTokenClaim (String token) {

        try {

            return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();

        }catch (Exception e){

            e.printStackTrace();

            return null;

        }

    }

    /*

     * Token 是否过期验证

     */

    public boolean isTokenExpired (Date expirationTime) {

        return expirationTime.before(new Date());

    }

    private String secret;

    private long expire;

    private String header;

    // 省略 GET 和 SET

}

4、Token拦截案例

4.1 配置Token拦截器

@Component

public class TokenInterceptor extends HandlerInterceptorAdapter {

    @Resource

    private JwtConfig jwtConfig ;

    @Override

    public boolean preHandle(HttpServletRequest request,

                             HttpServletResponse response,

                             Object handler) throws Exception {

        // 地址过滤

        String uri = request.getRequestURI() ;

        if (uri.contains("/login")){

            return true ;

        }

        // Token 验证

        String token = request.getHeader(jwtConfig.getHeader());

        if(StringUtils.isEmpty(token)){

            token = request.getParameter(jwtConfig.getHeader());

        }

        if(StringUtils.isEmpty(token)){

            throw new Exception(jwtConfig.getHeader()+ "不能为空");

        }

        Claims claims = jwtConfig.getTokenClaim(token);

        if(claims == null || jwtConfig.isTokenExpired(claims.getExpiration())){

            throw new Exception(jwtConfig.getHeader() + "失效,请重新登录");

        }

        //设置 identityId 用户身份ID

        request.setAttribute("identityId", claims.getSubject());

        return true;

    }

}

4.2 拦截器注册

@Configuration

public class WebConfig implements WebMvcConfigurer {

    @Resource

    private TokenInterceptor tokenInterceptor ;

    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(tokenInterceptor).addPathPatterns("/**");

    }

}

4.3 测试接口代码

@RestController

public class TokenController {

    @Resource

    private JwtConfig jwtConfig ;

    // 拦截器直接放行,返回Token

    @PostMapping("/login")

    public Map<String,String> login (@RequestParam("userName") String userName,

                                     @RequestParam("passWord") String passWord){

        Map<String,String> result = new HashMap<>() ;

        // 省略数据源校验

        String token = jwtConfig.getToken(userName+passWord) ;

        if (!StringUtils.isEmpty(token)) {

            result.put("token",token) ;

        }

        result.put("userName",userName) ;

        return result ;

    }

    // 需要 Token 验证的接口

    @PostMapping("/info")

    public String info (){

        return "info" ;

    }

}

(十)整合 JWT 框架,解决Token跨域验证问题的更多相关文章

  1. SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题

    本文源码:GitHub·点这里 || GitEE·点这里 一.传统Session认证 1.认证过程 1.用户向服务器发送用户名和密码. 2.服务器验证后在当前对话(session)保存相关数据. 3. ...

  2. CP="CAO PSA OUR" 用P3P header解决iframe跨域访问cookie

    1.IE浏览器iframe跨域丢失Session问题 在开发中,我们经常会遇到使用Frame来工作,而且有时是为了跟其他网站集成,应用到多域的情况下,而Iframe是不能保存Session的因此,网上 ...

  3. 说说JSON和JSONP,浅析JSONP解决AJAX跨域问题

    说到AJAX就会不可避免的面临两个问题,第一个是AJAX以何种格式来交换数据?第二个是跨域的需求如何解决?这两个问题目前都有不同的解决方案,比如数据可以用自定义字符串或者用XML来描述,跨域可以通过服 ...

  4. 点击<a>页面跳转解决办法/跨域请求,JSONP

    有些时候做的东西刚好要用到链接,但又不需要去链接,只需要对onclick事件进行处理,但它却这样子写 <a href="#" onclick="gettext()& ...

  5. 解决ajax跨域访问sessionid不一致问题

    根据浏览器的保护规则,跨域的时候我们创建的sessionId是不会被浏览器保存下来的,这样,当我们在进行跨域访问的时候,我们的sessionId就不会被保存下来,也就是说,每一次的请求,服务器就会以为 ...

  6. JSON和JSONP,浅析JSONP解决AJAX跨域问题

    说到AJAX就会不可避免的面临两个问题,第一个是AJAX以何种格式来交换数据?第二个是跨域的需求如何解决?这两个问题目前都有不同的解决方案,比如数据可以用自定义字符串或者用XML来描述,跨域可以通过服 ...

  7. 解决浏览器跨域限制方案之CORS

    一.什么是CORS CORS是解决浏览器跨域限制的W3C标准,详见:https://www.w3.org/TR/cors/. 根据CORS标准的定义,在浏览器中访问跨域资源时,需要做如下实现: 服务端 ...

  8. Webpack代理proxy配置,解决本地跨域调试问题,同时允许绑定host域名调试

    Webpack代理proxy配置,解决本地跨域调试问题,同时允许绑定host域名调试 会撸码的小马 关注 2018.05.29 17:30* 字数 212 阅读 1488评论 0喜欢 2 接到上一章, ...

  9. springboot+vue2.x 解决session跨域失效问题

    服务端SpringBoot2.x   :localhost:8082 前端Vue2.x                 :localhost:81 前后端的端口号不同,为跨域,导致前端访问后端时,每次 ...

随机推荐

  1. Qt学习笔记-制作一个计算器-对话框Message Box

    在做计算器的前提先做一个加法器. 设计界面. 在点击计算的时候,获取前两个输入框中的数据相加后显示在第三个输入框. toInt是将字符串转换为数字.number静态函数是将数字转化为字符串. 加法器已 ...

  2. Redis如何做内存优化?

    1.缩减键值对象 缩减键(key)和值(value)的长度, key长度:如在设计键时,在完整描述业务情况下,键值越短越好. value长度:值对象缩减比较复杂,常见需求是把业务对象序列化成二进制数组 ...

  3. JustAuth 1.15.9 版发布,支持飞书、喜马拉雅、企业微信网页登录

    新增 修复并正式启用 飞书 平台的第三方登录 AuthToken 类中新增 refreshTokenExpireIn 记录 refresh token 的有效期 PR 合并 Github #101:支 ...

  4. Linux操作系统的文件目录结构

    一 --- 导读 首先记住一句经典的话:"linux世界中,万事万物皆为文件" 二---linux的目录结构示意图和windows下的目录结构示意图(本图需要背诵) 三---各目录 ...

  5. mysql源码分析-启动过程

    mysql源码分析-启动过程 概要 # sql/mysqld.cc, 不包含psi的初始化过程 mysqld_main: // 加载my.cnf和my.cnf.d,还有命令行参数 if (load_d ...

  6. MySQL更新勿用and

    项目实战  一次错误的更新 更新前的数据 执行更新语句  然后我们查看下更新后的数据,发现居然数据为空? 使用主键id的方式查询这条数据,发现需要更新的手机号码居然变为了0 当我们把更新语句中的and ...

  7. Popup中ListBox的SelectChange事件关闭弹出窗体后主窗体点击无效BUG

    WPF的BUG!弹出框的 自定义控件里有Popup, Popup里面放一个ListBox 在ListBox中的SelectionChange事件触发关闭弹出框后,主窗体存在一定概率卡死(但点击标题又能 ...

  8. JAVA原生mvc实现用户信息的增删查改

    笔者最近学完jsp和servlet,于是心血来潮的打算写个简单的用户案例 环境准备: 开发工具eclipse jdk-1.8.0_72 tomcat-9.0.5 前端部分: 1.自己手写了一套样式 2 ...

  9. js 判断用户是手机端还是电脑端访问

    通过userAgent 判断,网页可以直接使用 navigation对象 node端 可以通过请求头的 ctx.request.header['user-agent'] const browser = ...

  10. 计算机考研复试真题 abc

    题目描述 设a.b.c均是0到9之间的数字,abc.bcc是两个三位数,且有:abc+bcc=532.求满足条件的所有a.b.c的值. 输入描述: 题目没有任何输入. 输出描述: 请输出所有满足题目条 ...