JWT token验证后,通过 ThreadLocal 进行传值

https://jwt.io/#debugger 官网提供的 JAVA 工具还是挺多的,选了个 Star 比较多的

https://github.com/jwtk/jjwt

代码结构如图:需要源码联系QQ:47262947

1. 添加 Maven 引用

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt-api</artifactId>

    <version>0.11.0</version>

</dependency>

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt-impl</artifactId>

    <version>0.11.0</version>

    <scope>runtime</scope>

</dependency>

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred -->

    <version>0.11.0</version>

    <scope>runtime</scope>

</dependency>

<dependency>

    <groupId>cn.hutool</groupId>

    <artifactId>hutool-all</artifactId>

    <version>5.3.7</version>

</dependency>

2. 添加 annotation JwtIgnore 用于忽略不需要验证的接口

package com.vipsoft.web.boot.annotation;

import java.lang.annotation.*;

@Target({ElementType.METHOD})

@Retention(RetentionPolicy.RUNTIME)

@Documented

public @interface JwtIgnore {

}

3. 添加工具类 JwtUtils

package com.vipsoft.web.boot.utils;

import io.jsonwebtoken.Claims;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.boot.context.properties.ConfigurationProperties;

import org.springframework.stereotype.Component;

import java.util.Date;

@ConfigurationProperties(prefix = "vipsoft.jwt")

@Component

public class JwtUtils {

    private Logger logger = LoggerFactory.getLogger(getClass());

    private String secret;

    private long expire;

    private String header;

    /**

     * 生成jwt token

     */

    public String generateToken(long userId) {

        Date nowDate = new Date();

        //过期时间

        Date expireDate = new Date(nowDate.getTime() + expire * 1000);

        return Jwts.builder()

                .setHeaderParam("typ", "JWT")

                .setSubject(userId+"") //这边不加“”的话,取的时候可能会报过期

                .setIssuedAt(nowDate)

                .setExpiration(expireDate)

                .signWith(SignatureAlgorithm.HS256, secret)

                .compact();

    }

    public Claims getClaimByToken(String token) {

        try {

            return Jwts.parser()

                    .setSigningKey(secret)

                    .parseClaimsJws(token)

                    .getBody();

        }catch (Exception e){

            logger.debug("validate is token error ", e);

            return null;

        }

    }

    /**

     * token是否过期

     * @return  true:过期

     */

    public boolean isTokenExpired(Date expiration) {

        return expiration.before(new Date());

    }

    public String getSecret() {

        return secret;

    }

    public void setSecret(String secret) {

        this.secret = secret;

    }

    public long getExpire() {

        return expire;

    }

    public void setExpire(long expire) {

        this.expire = expire;

    }

    public String getHeader() {

        return header;

    }

    public void setHeader(String header) {

        this.header = header;

    }

}

4. 添加拦截器 AuthorizationInterceptor

package com.vipsoft.web.boot.interceptor;

import cn.hutool.core.util.StrUtil;

import com.vipsoft.web.boot.annotation.JwtIgnore;

import com.vipsoft.web.boot.exception.CustomException;

import com.vipsoft.web.boot.utils.JwtUtils;

import io.jsonwebtoken.Claims;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.http.HttpMethod;

import org.springframework.http.HttpStatus;

import org.springframework.stereotype.Component;

import org.springframework.web.method.HandlerMethod;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

@Component

public class AuthorizationInterceptor extends HandlerInterceptorAdapter {

    private Logger logger = LoggerFactory.getLogger(this.getClass());

    @Autowired

    private JwtUtils jwtUtils;

    public static final String USER_KEY = "userId";

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        // 忽略带JwtIgnore注解的请求, 不做后续token认证校验

        if (handler instanceof HandlerMethod) {

            HandlerMethod handlerMethod = (HandlerMethod) handler;

            JwtIgnore jwtIgnore = handlerMethod.getMethodAnnotation(JwtIgnore.class);

            if (jwtIgnore != null) {

                return true;

            }

        }

        if (HttpMethod.OPTIONS.equals(request.getMethod())) {

            response.setStatus(HttpServletResponse.SC_OK);

            return true;

        }

        //获取用户凭证

        String token = request.getHeader(jwtUtils.getHeader());

        if (StrUtil.isBlank(token)) {

            token = request.getParameter(jwtUtils.getHeader());

        }

        //凭证为空

        if (StrUtil.isBlank(token)) {

            throw new CustomException(HttpStatus.UNAUTHORIZED.value(), "token 不能为空");

        }

        Claims claims = jwtUtils.getClaimByToken(token);

        if (claims == null || jwtUtils.isTokenExpired(claims.getExpiration())) {

            throw new CustomException(HttpStatus.UNAUTHORIZED.value(), "token  失效,请重新登录");

        }

        //设置userId到request里,后续根据userId,获取用户信息

        request.setAttribute(USER_KEY, Long.parseLong(claims.getSubject()));

        return true;

    }

}

5. 添加 WebConfig,启用拦截器

package com.vipsoft.web.boot.config;

import com.vipsoft.web.boot.interceptor.AuthorizationInterceptor;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.config.annotation.CorsRegistry;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration

public class WebConfig implements WebMvcConfigurer {

    @Autowired

    private AuthorizationInterceptor authorizationInterceptor;

    /**

     * 添加拦截器

     */

    @Override

    public void addInterceptors(InterceptorRegistry registry) {

        //拦截路径可自行配置多个 可用 ,分隔开

        registry.addInterceptor(authorizationInterceptor).addPathPatterns("/**");

    }

    /**

     * 跨域支持

     *

     * @param registry

     */

    @Override

    public void addCorsMappings(CorsRegistry registry) {

        registry.addMapping("/**")

                .allowedOrigins("*")

                .allowCredentials(true)

                .allowedMethods("GET", "POST", "DELETE", "PUT", "PATCH", "OPTIONS", "HEAD")

                .maxAge(3600 * 24);

    }

}

6. 添加返回对象 Result

package com.vipsoft.web.boot.utils;

/**

 * 返回的对象,项目中要移到Core中

 */

public class Result<T> {

    //操作代码

    int code;

    //提示信息

    String message;

    T Data;

    public Result(int code, String message){

        this.code = code;

        this.message = message;

    }

    public Result(int code, String message,T data){

        this.code = code;

        this.message = message;

        this.setData(data);

    }

    public int getCode() {

        return code;

    }

    public void setCode(int code) {

        this.code = code;

    }

    public String getMessage() {

        return message;

    }

    public void setMessage(String message) {

        this.message = message;

    }

    public T getData() {

        return Data;

    }

    public void setData(T data) {

        Data = data;

    }

}

7. 添加自定义异常类 CustomException.java 用于拦截器中的异常捕获

package com.vipsoft.web.boot.exception;

public class CustomException extends RuntimeException {

    private static final long serialVersionUID = 1L;

    private int code;

    private String msg;

    public CustomException(String msg) {

        super(msg);

        this.code = 500;

        this.msg = msg;

    }

    public CustomException(String msg, Throwable e) {

        super(msg, e);

        this.msg = msg;

    }

    public CustomException(int code, String msg) {

        super(msg);

        this.code = code;

        this.msg = msg;

    }

    public CustomException(int code, String msg, Throwable e) {

        super(msg, e);

        this.code = code;

        this.msg = msg;

    }

    public int getCode() {

        return code;

    }

    public void setCode(int code) {

        this.code = code;

    }

    public String getMsg() {

        return msg;

    }

    public void setMsg(String msg) {

        this.msg = msg;

    }

}

8. 添加全局异常处理类 GlobalExceptionHandler.java , 可以将 返回 前端的数据处理成 JSON格式

package com.vipsoft.web.boot.exception;

import com.vipsoft.web.boot.utils.Result;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.validation.BindException;

import org.springframework.validation.BindingResult;

import org.springframework.validation.FieldError;

import org.springframework.validation.ObjectError;

import org.springframework.web.bind.MethodArgumentNotValidException;

import org.springframework.web.bind.annotation.ExceptionHandler;

import org.springframework.web.bind.annotation.RestControllerAdvice;

import java.util.List;

/**

 * 全局异常处理器

 */

@RestControllerAdvice

public class GlobalExceptionHandler {

    private static final Logger logger = LoggerFactory.getLogger(GlobalExceptionHandler.class);

    /**

     * 处理自定义异常

     */

    @ExceptionHandler(CustomException.class)

    public Result handleException(CustomException e) {

        // 打印异常信息

        logger.error("### 异常信息:{} ###", e.getMessage());

        return new Result(e.getCode(), e.getMessage());

    }

    /**

     * 参数错误异常

     */

    @ExceptionHandler({MethodArgumentNotValidException.class, BindException.class})

    public Result handleException(Exception e) {

        if (e instanceof MethodArgumentNotValidException) {

            MethodArgumentNotValidException validException = (MethodArgumentNotValidException) e;

            BindingResult result = validException.getBindingResult();

            StringBuffer errorMsg = new StringBuffer();

            if (result.hasErrors()) {

                List<ObjectError> errors = result.getAllErrors();

                errors.forEach(p -> {

                    FieldError fieldError = (FieldError) p;

                    errorMsg.append(fieldError.getDefaultMessage()).append(",");

                    logger.error("### 请求参数错误:{" + fieldError.getObjectName() + "},field{" + fieldError.getField() + "},errorMessage{" + fieldError.getDefaultMessage() + "}");

                });

            }

        } else if (e instanceof BindException) {

            BindException bindException = (BindException) e;

            if (bindException.hasErrors()) {

                logger.error("### 请求参数错误: {}", bindException.getAllErrors());

            }

        }

        return new Result(10001, "参数无效");

    }

    /**

     * 处理所有不可知的异常

     */

    @ExceptionHandler(Exception.class)

    public Result handleOtherException(Exception e) {

        //打印异常堆栈信息

        e.printStackTrace();

        // 打印异常信息

        logger.error("### 不可知的异常:{} ###", e.getMessage());

        return new Result(40001, "系统内部错误");

    }

}

9. 配置 application.yml

vipsoft:

  jwt:

    # 加密秘钥

    secret: d3d3LnZpcHNvZnQuY29tLmNuLjQ3MjYyOTQ3LnNwcmluZyBib290

    # token有效时长,单位秒

    expire: 60 # 方便测试,设成 60 秒

    header: token

10. 登录测试代码

    /**

     * 登录

     */

    @JwtIgnore

    @GetMapping("login")

    public Map<String, Object> login(HttpServletRequest request){

        //用户登录

        long  userId = 47262947;

        //生成token

        String token = jwtUtils.generateToken(userId);

        Map<String, Object> map = new HashMap<>();

        map.put("token", token);

        map.put("expire", jwtUtils.getExpire());

        return map;

    }

Spring Boot JWT 用户认证的更多相关文章

  1. spring boot+jwt 权限验证

    上周看了一下jwt以前公司的开发都是使用session共享的方法.现在主流的两种方式一种是把登录信息保存在服务器,另一种则是把信息保存在客户端.在使用session 存储的时候会遇到很多的问题,随着项 ...

  2. 玩转spring boot——简单登录认证

    前言 在一个web项目中,某些页面是可以匿名访问的,但有些页面则不能.spring mvc提供了HandlerInterceptor接口来应对,只需要重写preHandle方法便可以实现此功能.那么使 ...

  3. Spring Boot JWT 快速入门

    本章节讨论 jwt 在 spring boot 中的应用.意在快速入门 jwt. java jdk1.8 maven 3.2+ spring boot 2.0+ JSON Web Token(JWT) ...

  4. DRF的JWT用户认证

    目录 DRF的JWT用户认证 JWT的认证规则 JWT的格式 JWT认证的流程 JWT模块的导入为 JWT的使用 DRF的JWT用户认证 从根本上来说,JWT是一种开放的标准(RFC 7519), 全 ...

  5. TinyFrame尾篇:整合Spring AOP实现用户认证

    创建Manager用户验证表 这一篇主要讲解使用AOP对用户操作进行验证,如果通过验证,则继续执行,反之,则不能执行.其思想和上一篇完全一致. 由于需要用到用户认证,所以我们新建一个Manager实体 ...

  6. [django]前后端分离之JWT用户认证

    在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了.于是我 ...

  7. 前后端分离之JWT用户认证(转)

    在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了.于是我 ...

  8. 前后端分离之JWT用户认证zf

    在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了.于是我 ...

  9. [转] 前后端分离之JWT用户认证

    [From] http://www.jianshu.com/p/180a870a308a 在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当 ...

  10. 前后端分离之JWT用户认证

    在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了.于是我 ...

随机推荐

  1. 企业微信获取code

    String url="https://open.weixin.qq.com/connect/oauth2/authorize?appid="+AuthUtil.APPID   + ...

  2. 27. 干货系列从零用Rust编写正反向代理,Rust中日志库的应用基础准备

    wmproxy wmproxy已用Rust实现http/https代理, socks5代理, 反向代理, 静态文件服务器,四层TCP/UDP转发,内网穿透,后续将实现websocket代理等,会将实现 ...

  3. 架构探索之路-第一站-clickhouse

    一.前言 架构, 软件开发中最熟悉不过的名词, 遍布在我们的日常开发工作中, 大到项目整体, 小到功能组件, 想要实现高性能.高扩展.高可用的目标都需要优秀架构理念辅助. 所以本人尝试编写架构系列文章 ...

  4. 如何通过C++ 给PDF文档添加文字水印

    因PDF文档具有较好的稳定性和兼容性,现在越来越多的合同.研究论文.报告等都采用PDF格式.为了进一步保护这些重要文档内容免受未经授权的复制或使用,我们可以添加水印以表明其状态.所有权或用途.针对工作 ...

  5. JAVAweek6

    本周学习 Java语言基础:运算符[有所区别] 算术运算符 +(3+2) - * / %(取余,模运算) +(连接符)(3+''2'') ++ -- class VarDemo { //算术运算符 p ...

  6. jdk10的var局部变量类型推理

    注:本人参考了openjdk官网,由于openjdk是开源的,所以不存在侵权行为,本章只为学习,我觉得没有什么比官网更具有话语权 1.jdk10的var的类型推测:就是这种处理将仅限于具有初始值设定项 ...

  7. Head First Java学习:第十一章-异常处理

    第十一章 异常处理 1.方法可以抓住其他方法所抛出的异常:异常总是丢回给调用方 有风险.会抛出异常的程序代码: 负责声明异常:创建Exception对象并抛出 调用该方法的程序代码: 在try中调用程 ...

  8. 如何利用烛龙和谷歌插件优化CLS(累积布局偏移)

    简介 CLS 衡量的是页面的整个生命周期内发生的每次意外布局偏移的最大突发性_布局偏移分数_.布局变化的发生是因为浏览器倾向于异步加载页面元素.更重要的是,您的页面上可能存在一些初始尺寸未知的媒体元素 ...

  9. leetcode:354 俄罗斯套娃信封问题(LIS)

    解题思路: 根据题意,不难发现组合的元素,他们的长宽都是单调递增的,因此可以转化为最长上升子序列问题. 首先按照长度从小到大对信封进行排序,长度相同,按照宽度从大到小进行排序.因为当长度相同,因为可能 ...

  10. 聊一聊 C# 线程切换后上下文都去了哪里

    一:背景 1. 讲故事 总会有一些朋友是不是问一个问题,在 Windows 中线程做了上下文切换,请问被切的线程他的寄存器上下文都去了哪里?能不能给我挖出来?这个问题其实比较底层,如果对操作系统没有个 ...