使用 SpringBoot 提供 api 的时候,我更喜欢使用 jwt 的方式来做验证。网上有会多 Spring Security 整合 jwt 的,也有 Shiro 整合 jwt 的,感觉有点复杂。这里分享一下自己在项目中的简单实现。

依赖包

除了 SpringBoot 基本的依赖,需要一个生成 jwt 和序列化的包。生成 jwt 的包依赖很多,因为我项目里使用了 hutool 这个包,就只用用它了。

        <dependency>

            <groupId>cn.hutool</groupId>

            <artifactId>hutool-all</artifactId>

            <version>5.8.9</version>

        </dependency>

        <dependency>

            <groupId>cn.hutool</groupId>

            <artifactId>hutool-all</artifactId>

            <version>5.8.9</version>

        </dependency>

jwt用户模型

定义一个 Jwt 的 sub 字段模型,存储用户:

import lombok.Data;

import org.springframework.web.context.request.RequestAttributes;

import org.springframework.web.context.request.RequestContextHolder;

import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;

@Data

public class JwtUser {

    /**

     * 用户编号

     */

    private Integer id;

    /**

     * 用户名

     */

    private String name;

    /**

     * 角色

     */

    private String role;

    /**

     * 获取当前请求用户

     * @return

     */

    public static JwtUser getCurrentUser() {

        RequestAttributes requestAttributes = RequestContextHolder.currentRequestAttributes();

        HttpServletRequest request = ((ServletRequestAttributes) requestAttributes).getRequest();

        return (JwtUser) request.getAttribute("user");

    }

}

验证注解

定义一个用于请求类和方法的注解

import java.lang.annotation.*;

@Inherited

@Target({ElementType.TYPE,ElementType.METHOD})

@Retention(RetentionPolicy.RUNTIME)

public @interface Authorize {

    /**

     * 是否匿名可以访问

     * @return

     */

    boolean anonymous() default false;

    /**

     * 角色

     * @return

     */

    String[] roles() default {};

}

JWT 帮助类

用于生成 jwt 和 解析 JwtUser 对象。



import cn.hutool.jwt.JWT;

import cn.hutool.jwt.JWTUtil;

import cn.hutool.jwt.signers.JWTSigner;

import cn.hutool.jwt.signers.JWTSignerUtil;

import com.google.gson.Gson;

import com.mpyf.xapi.security.JwtUser;

import lombok.var;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

import java.util.UUID;

public class JwtTokenUtils {

    public static final String SECRET = "your_secret";

    public static final String ISS = "com.your.cn";

    private static final int EXPIRATIONHOURS = 24; //过期时间24小时

    //创建token

    public static String createToken(JwtUser user) {

        return createToken(user, EXPIRATIONHOURS);

    }

    public static String createToken(JwtUser user, int hours) {

        String subJson = new Gson().toJson(user);

        JWTSigner jwtSigner = JWTSignerUtil.hs512(SECRET.getBytes());

        JWT jwt = JWT.create().setSigner(jwtSigner);

        jwt

                .setJWTId(UUID.randomUUID().toString().replace("-", ""))

                .setSubject(subJson) //用户信息

                .setIssuer(ISS)      //签发者

                //.setAudience("受众")

                //.setNotBefore(new Date())

                .setIssuedAt(new Date())

                .setExpiresAt(new Date(System.currentTimeMillis() + hours * 3600 * 1000));

        return jwt.sign();

    }

    public static JwtUser getUser(String token) {

        if (StringHelper.isNullOrEmpty(token)) return null;

        var jwt = JWTUtil.parseToken(token);

        JWTSigner jwtSigner = JWTSignerUtil.hs512(SECRET.getBytes());

        jwt.setSigner(jwtSigner);

        if (jwt.validate(10)) {

            var subJson = jwt.getPayload("sub").toString();

            JwtUser user = new Gson().fromJson(subJson, JwtUser.class);

            return user;

        } else {

            return null;

        }

    }

}

验证拦截器

定义jwt的验证拦截器,从请求头获取 token 解析并验证。

import com.mpyf.xapi.helper.JwtTokenUtils;

import com.mpyf.xapi.helper.StringHelper;

import org.springframework.stereotype.Component;

import org.springframework.web.method.HandlerMethod;

import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.util.Arrays;

/**

 * jwt 验证拦截器

 */

@Component

public class JwtAuthInterceptor implements HandlerInterceptor {

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        //Authorization:Bearer+空格+token

        String token = request.getHeader("Authorization");

        if (token != null) {

            token = token.replace("Bearer ", "");

        }

        //处理模拟登录的jwt

        if (StringHelper.isNullOrEmpty(token)) {

            token = request.getParameter("jwt");

        }

        if (StringHelper.isNullOrEmpty(token)) {

            //兼容从请求参数传token

            Object jwt = request.getAttribute("jwt");

            if (jwt != null) {

                token = jwt.toString();

            }

        }

        JwtUser user = JwtTokenUtils.getUser(token);

        request.setAttribute("user", user);

        if (handler instanceof HandlerMethod) {

            HandlerMethod h = (HandlerMethod) handler;

            Authorize authorize = h.getMethodAnnotation(Authorize.class);

            if (authorize == null) {

                authorize = h.getMethod().getDeclaringClass().getAnnotation(Authorize.class);

            }

            //如果没有Authorize或者可以匿名访问,直接返回

            if (authorize != null && !authorize.anonymous()) {

                {

                    if (user == null) {

                        response.sendError(HttpServletResponse.SC_UNAUTHORIZED);

                        return false;

                    } else if (authorize.roles() != null && authorize.roles().length > 0 &&

                            Arrays.stream(authorize.roles()).allMatch(s -> !s.equalsIgnoreCase(user.getRole()))) {

                        //没权限

                        response.sendError(HttpServletResponse.SC_FORBIDDEN);

                        return false;

                    }

                }

            }

        }

        return true;

    }

}

注册拦截器

在 WebMvc 配置中注册拦截器,并支持跨域请求

import com.mpyf.xapi.security.JwtAuthInterceptor;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.config.annotation.*;

@Configuration

public class WebMvcConfig implements WebMvcConfigurer {

    @Autowired

    JwtAuthInterceptor jwtAuthInterceptor;

    @Override

    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(jwtAuthInterceptor).addPathPatterns("/api/**");

        WebMvcConfigurer.super.addInterceptors(registry);

    }

    @Override

    public void addCorsMappings(CorsRegistry registry) {

        registry.addMapping("/api/**")

                .allowedOriginPatterns("*")

                .allowedMethods("*")

                .allowedHeaders("*")

                //.maxAge(3600)

                .allowCredentials(true);

        WebMvcConfigurer.super.addCorsMappings(registry);

    }

}

Controller中使用

@RestController

@RequestMapping("/api/test")

@Authorize(roles = {"admin", "user"})

public class TestController {

    @GetMapping("admin_and_user")

    public String admin_and_user(){

        return "admin 和 user 角色都可以访问";

    }

    @GetMapping("admin_only")

    @Authorize(roles = "admin") //覆盖Controller的设置

    public String admin_only(){

        return "只有 admin 角色可以访问";

    }

    @GetMapping("public_all")

    @Authorize(anonymous = true)

    public String public_all(){

        return "匿名可以访问";

    }

}

不用 Spring Security 和 Shiro ,是不是更简单呢!

在 SpringBoot 项目中简单实现 JWT 验证的更多相关文章

  1. springboot项目中接口入参的简单校验

    .katex { display: block; text-align: center; white-space: nowrap; } .katex-display > .katex > ...

  2. SpringBoot项目中,表单的验证操作

    在创建Springboot项目中,我们使用了表单验证操作,这一操作将极大地简化我们编程的开发 1.接收数据,以及验证 @PostMapping("/save") public Mo ...

  3. springboot项目中js、css静态文件路径访问

    springboot静态文件访问的问题,相信大家也有遇到这个问题,如下图项目结构. 项目结构如上所示,静态页面引入js.css如下所示. 大家肯定都是这样写的,但是运行的话就是出不来效果,图片也不显示 ...

  4. spring 项目中使用 hibernate validator验证输入参数

    1 hibernate validator 官方文档:https://docs.jboss.org/hibernate/stable/validator/reference/en-US/html_si ...

  5. 国际化的实现i18n--错误码国际化以及在springboot项目中使用

    国际化 ,英文叫 internationalization 单词太长 ,又被简称为 i18n(取头取尾中间有18个字母); 主要涉及3个类: Locale用来设置定制的语言和国家代码 Resource ...

  6. SpringBoot12 QueryDSL01之QueryDSL介绍、springBoot项目中集成QueryDSL

    1 QueryDSL介绍 1.1 背景 QueryDSL的诞生解决了HQL查询类型安全方面的缺陷:HQL查询的扩展需要用字符串拼接的方式进行,这往往会导致代码的阅读困难:通过字符串对域类型和属性的不安 ...

  7. 在SpringBoot项目中添加logback的MDC

    在SpringBoot项目中添加logback的MDC     先看下MDC是什么 Mapped Diagnostic Context,用于打LOG时跟踪一个“会话“.一个”事务“.举例,有一个web ...

  8. 自身使用的springboot项目中比较全的pom.xml

    在学习的时候常建新的项目,mark下商用的jar <dependency> <groupId>org.mybatis</groupId> <artifactI ...

  9. java web 项目中 简单定时器实现 Timer

    java web 项目中 简单定时器实现 Timer 标签: Java定时器 2016-01-14 17:28 7070人阅读 评论(0) 收藏 举报  分类: JAVA(24)  版权声明:本文为博 ...

  10. springboot 项目中获取默认注入的序列化对象 ObjectMapper

    在 springboot 项目中使用 @SpringBootApplication 会自动标记 @EnableAutoConfiguration 在接口中经常需要使用时间类型,Date ,如果想要格式 ...

随机推荐

  1. 【炫丽】从0开始做一个WPF+Blazor对话小程序

    大家好,我是沙漠尽头的狼. .NET是免费,跨平台,开源,用于构建所有应用的开发人员平台. 本文演示如何在WPF中使用Blazor开发漂亮的UI,为客户端开发注入新活力. 注 要使WPF支持Blazo ...

  2. C#多线程之线程基础篇

    目录 一.概念 二.原理 硬件结构 运行时 三.基础 创建与启动 传递参数 前台/后台线程 异常处理 中断与中止 中断(Interrupt) 中止(Abort) 协作取消模式 四.异步编程模式 异步编 ...

  3. 嵌入式-C语言基础:二维数组

    二维数组的每个元素都是一个一维数组,例如int arr[2][3]={{1,2,3},{4,5,6}}; 下面通过几个例子来对二维数组进行深入了解:二维数组可以看作是一个父数组,他的每个元素都是一个一 ...

  4. 【Java SE】Day01 前言、入门程序、常量、变量

    回顾一下Java之前学的内容 Day01 前言.入门程序.常量.变量 一.基础知识 莱布尼茨发明二进制,辗转相除与8421位权法互转,1B=1bit=1字节=8位=8byte dos cls清屏dir ...

  5. 【每日一题】【位于index后的双指针&排序数组】15. 三数之和/NC54 数组中相加和为0的三元组-211117/220206

    给你一个包含 n 个整数的数组 nums,判断 nums 中是否存在三个元素 a,b,c ,使得 a + b + c = 0 ?请你找出所有和为 0 且不重复的三元组. 注意:答案中不可以包含重复的三 ...

  6. openpyxl写数据

    import osimport openpyxlos.chdir(r'D:/openpyxl') wb = openpyxl.Workbook() sht = wb.create_sheet('dat ...

  7. 填坑日志-云网络智慧课堂双网卡Mac地址读取错误的问题及解决

    云网络智慧课堂的双网卡问题记录及解决方案 教师端 其实这里双网卡的问题一直没有解决,分为了两部分,一部分是教师端,一部分是学生端.症状类似,问题也类似,都是在设计之初因为硬件限制可能没有考虑到双网卡的 ...

  8. global与nonlocal、函数名用法、闭包函数、装饰器

    今日内容回顾 目录 今日内容回顾 global与nonlocal 函数名的多种用法 闭包函数 装饰器简介 装饰器推导流程 装饰器模板 装饰器语法糖 练习 global与nonlocal 函数名的多种用 ...

  9. Nmap脚本

    Nmap的脚本默认存放在Nmap的安装路径的scripts文件夹下Nmap的脚本主要分为以下几类 Auth:负责处理鉴权证书(绕过鉴权)的脚本 Broadcast:在局域网内探查更多服务的开启情况,如 ...

  10. CMS可视化---ECharts图表

    一.ECharts介绍 ECharts,全称Enterprise Charts,商业级数据图表,一个纯Javascript的图表库,能够流畅的运行在PC以及移动设备上,兼容当前绝大部分浏览器.为我们许 ...