本文源码:GitHub·点这里 || GitEE·点这里

一、传统Session认证

1、认证过程

1、用户向服务器发送用户名和密码。

2、服务器验证后在当前对话(session)保存相关数据。

3、服务器向返回sessionId,写入客户端 Cookie。

4、客户端每次请求,需要通过 Cookie,将 sessionId 回传服务器。

5、服务器收到 sessionId,验证客户端。

2、存在问题

1、session保存在服务端,客户端访问高并发时,服务端压力大。

2、扩展性差,服务器集群,就需要 session 数据共享。

二、JWT简介

JWT(全称:JSON Web Token),在基于HTTP通信过程中,进行身份认证。

1、认证流程

1、客户端通过用户名和密码登录服务器;

2、服务端对客户端身份进行验证;

3、服务器认证以后,生成一个 JSON 对象,发回客户端;

4、客户端与服务端通信的时候,都要发回这个 JSON 对象;

5、服务端解析该JSON对象,获取用户身份;

6、服务端可以不必存储该JSON(Token)对象,身份信息都可以解析出来。

2、JWT结构说明

抓一只鲜活的Token过来。

{

	"msg": "验证成功",

	"code": 200,

	"token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.

              eyJzdWIiOiJhZG1pbiIsImlhdCI6iZEIj3fQ.

              uEJSJagJf1j7A55Wwr1bGsB5YQoAyz5rbFtF"

}

上面的Token被手动格式化了,实际上是用"."分隔的一个完整的长字符串。

JWT结构

1、头部(header) 声明类型以及加密算法;

2、负载(payload) 携带一些用户身份信息;

3、签名(signature) 签名信息。

3、JWT使用方式

通常推荐的做法是客户端在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer <token>

服务端获取JWT方式

String token = request.getHeader("token");

三、与SpringBoot2整合

1、核心依赖文件

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt</artifactId>

    <version>0.7.0</version>

</dependency>

2、配置文件

server:

  port: 7009

spring:

  application:

    name: ware-jwt-token

config:

  jwt:

    # 加密密钥

    secret: iwqjhda8232bjgh432[cicada-smile]

    # token有效时长

    expire: 3600

    # header 名称

    header: token

3、JWT配置代码块

@ConfigurationProperties(prefix = "config.jwt")

@Component

public class JwtConfig {

    /*

     * 根据身份ID标识,生成Token

     */

    public String getToken (String identityId){

        Date nowDate = new Date();

        //过期时间

        Date expireDate = new Date(nowDate.getTime() + expire * 1000);

        return Jwts.builder()

                .setHeaderParam("typ", "JWT")

                .setSubject(identityId)

                .setIssuedAt(nowDate)

                .setExpiration(expireDate)

                .signWith(SignatureAlgorithm.HS512, secret)

                .compact();

    }

    /*

     * 获取 Token 中注册信息

     */

    public Claims getTokenClaim (String token) {

        try {

            return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();

        }catch (Exception e){

            e.printStackTrace();

            return null;

        }

    }

    /*

     * Token 是否过期验证

     */

    public boolean isTokenExpired (Date expirationTime) {

        return expirationTime.before(new Date());

    }

    private String secret;

    private long expire;

    private String header;

    // 省略 GET 和 SET

}

四、Token拦截案例

1、配置Token拦截器

@Component

public class TokenInterceptor extends HandlerInterceptorAdapter {

    @Resource

    private JwtConfig jwtConfig ;

    @Override

    public boolean preHandle(HttpServletRequest request,

                             HttpServletResponse response,

                             Object handler) throws Exception {

        // 地址过滤

        String uri = request.getRequestURI() ;

        if (uri.contains("/login")){

            return true ;

        }

        // Token 验证

        String token = request.getHeader(jwtConfig.getHeader());

        if(StringUtils.isEmpty(token)){

            token = request.getParameter(jwtConfig.getHeader());

        }

        if(StringUtils.isEmpty(token)){

            throw new Exception(jwtConfig.getHeader()+ "不能为空");

        }

        Claims claims = jwtConfig.getTokenClaim(token);

        if(claims == null || jwtConfig.isTokenExpired(claims.getExpiration())){

            throw new Exception(jwtConfig.getHeader() + "失效,请重新登录");

        }

        //设置 identityId 用户身份ID

        request.setAttribute("identityId", claims.getSubject());

        return true;

    }

}

2、拦截器注册

@Configuration

public class WebConfig implements WebMvcConfigurer {

    @Resource

    private TokenInterceptor tokenInterceptor ;

    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(tokenInterceptor).addPathPatterns("/**");

    }

}

3、测试接口代码

@RestController

public class TokenController {

    @Resource

    private JwtConfig jwtConfig ;

    // 拦截器直接放行,返回Token

    @PostMapping("/login")

    public Map<String,String> login (@RequestParam("userName") String userName,

                                     @RequestParam("passWord") String passWord){

        Map<String,String> result = new HashMap<>() ;

        // 省略数据源校验

        String token = jwtConfig.getToken(userName+passWord) ;

        if (!StringUtils.isEmpty(token)) {

            result.put("token",token) ;

        }

        result.put("userName",userName) ;

        return result ;

    }

    // 需要 Token 验证的接口

    @PostMapping("/info")

    public String info (){

        return "info" ;

    }

}

五、源代码地址

GitHub地址:知了一笑

https://github.com/cicadasmile/middle-ware-parent

码云地址:知了一笑

https://gitee.com/cicadasmile/middle-ware-parent

SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题的更多相关文章

  1. (十)整合 JWT 框架,解决Token跨域验证问题

    整合 JWT 框架,解决Token跨域验证问题 1.传统Session认证 1.1 认证过程 1.2 存在问题 2.JWT简介 2.1 认证流程 2.2 JWT结构说明 2.3 JWT使用方式 3.S ...

  2. SpringBoot2.0 整合 Dubbo框架 ,实现RPC服务远程调用

    一.Dubbo框架简介 1.框架依赖 图例说明: 1)图中小方块 Protocol, Cluster, Proxy, Service, Container, Registry, Monitor 代表层 ...

  3. SpringBoot2.0 整合 Shiro 框架,实现用户权限管理

    本文源码:GitHub·点这里 || GitEE·点这里 一.Shiro简介 1.基础概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证.授权.密码和会话管理.作为一款安全 ...

  4. SpringBoot2.0 整合 SpringSecurity 框架,实现用户权限安全管理

    本文源码:GitHub·点这里 || GitEE·点这里 一.Security简介 1.基础概念 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方 ...

  5. SpringBoot2.0 整合 ElasticSearch框架,实现高性能搜索引擎

    本文源码:GitHub·点这里 || GitEE·点这里 一.安装和简介 ElasticSearch是一个基于Lucene的搜索服务器.它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful ...

  6. hprose 1.0(rpc 框架) - 关于跨域和P3P的声明

    private function sendHeader($context) { if ($this->onSendHeader !== null) { $sendHeader = $this-& ...

  7. SpringBoot2.0+Shiro+JWT 整合

    SpringBoot2.0+Shiro+JWT 整合 JSON Web Token(JWT)是一个非常轻巧的规范.这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息. 我们利用一定的编 ...

  8. SpringBoot2.0 整合 QuartJob ,实现定时器实时管理

    一.QuartJob简介 1.一句话描述 Quartz是一个完全由java编写的开源作业调度框架,形式简易,功能强大. 2.核心API (1).Scheduler 代表一个 Quartz 的独立运行容 ...

  9. SpringBoot2.0 整合 Redis集群 ,实现消息队列场景

    本文源码:GitHub·点这里 || GitEE·点这里 一.Redis集群简介 1.RedisCluster概念 Redis的分布式解决方案,在3.0版本后推出的方案,有效地解决了Redis分布式的 ...

随机推荐

  1. iOS Charts 折线图框架的基本使用

    1. 导入框架 通过 cocoapods 管理应用程序时,在 Podfile 文件中,use_frameworks! 的使用区别如下: 使用 use_frameworks! 时 dynamic fra ...

  2. Elasticsearch系列---搜索分页和deep paging问题

    概要 本篇从介绍搜索分页为起点,简单阐述分页式数据搜索与原有集中式数据搜索思维方式的差异,就分页问题对deep paging问题的现象进行分析,最后介绍分页式系统top N的案例. 搜索分页语法 El ...

  3. C++构造函数的几种使用方法

    在C++中,有一种特殊的成员函数,他的名字和类相同,没有返回值,不需要用户显示调用,用户也无法调用,而是在创建对象的时候自动执行. 这种特殊的函数就是构造函数 Constructor 构造函数的名字与 ...

  4. 使用 Vue + TypeScript 时项目中常用的装饰器

    目录 一.@Component 装饰器 1)父组件 2)子组件 二. @Emit 装饰器 1)父组件 2)子组件 三. @Model 装饰器 1)父组件 2)子组件 四. @Prop 装饰器 1)父组 ...

  5. So Easy - 在Linux服务器上部署 .NET Core App

    .NET Core 是微软提供的免费.跨平台和开源的开发框架,可以构建桌面应用程序.移动端应用程序.网络应用程序.物联网应用程序和游戏应用程序等.如果你是 Windows 平台下的 dotnet 开发 ...

  6. 千呼万唤始出来——uFUN开发板2.0开箱评测

    前言 今年3月,我参与了面包板社区组织的第一批uFUN开发板评测活动,并有幸能获得试用机会,那是我第一次了解到uFUN这个项目及背后的故事,4月份,uFUN 2.0版本来了,收到了张工送的一块样板,后 ...

  7. Nuxt+Vuex初体验

    小呀嘛小二郎,背着书包上学堂... 今天一个困扰了我一周时间的问题终于被我解决了,值得庆祝 在Nuxt中使用Vuex实现数据存储 首先: 在store目录下新建一个index.js文件 需要有两个组件 ...

  8. (好文转载与总结)Windows10安装ubuntu18.04

    Windows10中安装Ubuntu,期间踩了非常多的坑,最终安装成功了,梳理下来Windows10装Ubuntu的步骤还是比较简明的. 制作Ubuntu系统U盘 Windows磁盘为新系统进行分区, ...

  9. amazon爬取流程与思路

    第一步:访问分类页面 https://www.amazon.in//gp/site-directory?ref=nav_em_ajax_fail #抓包获得 第二步:获取分类页面下各个分类的url 如 ...

  10. feign使用hystrix熔断的配置

    熔断器hystrix 在分布式系统中,每个服务都可能会调用很多其他服务,被调用的那些服务就是依赖服务,有的时候某些依赖服务出现故障也是很正常的. Hystrix 可以让我们在分布式系统中对服务间的调用 ...