JWT 關(guān)于登錄時的鑒權(quán)校驗以及Token令牌的簽發(fā)

JSON Web Token(JWT)是一個非常輕巧的規(guī)范。這個規(guī)范允許我們使用JWT在用戶和
服務(wù)器之間傳遞安全可靠的信息。
完整的JWT其實是一個字符串,分為頭部(header),載荷(playload),簽證(signature)三個部分。
頭部中存放類型,加密算法信息
載荷存放有效信息,類似主題,過期時間,用戶id,權(quán)限等用戶基本信息,可以使用json
簽證存放的信息類似秘鑰,它的作用是防止令牌被篡改,可以用它來解析token令牌,它是由前兩部分信息被base64編碼之后,然后通過header中聲明的加密方式進(jìn)行加鹽secret組合加密得到的
三部分的base64編碼字符串拼接后得到完整JWT

JWT令牌的優(yōu)勢?

假設(shè)現(xiàn)在有一個APP,后臺是分布式系統(tǒng)。APP的首頁模塊部署在杭州機房的服務(wù)器上,子頁面模塊部署在深圳機房的服務(wù)器上。此時你從首頁登錄了該APP,然后跳轉(zhuǎn)到子頁面模塊。session在兩個機房之間不能同步,用戶是否需要重新登錄?傳統(tǒng)的方式(cookie+session)需要重新登錄,用戶體驗不好。session共享(在多臺物理機之間傳輸和復(fù)制session)方式對網(wǎng)絡(luò)IO的壓力大,延遲太長,用戶體驗也不好。JWT相當(dāng)于將session保存在了客戶端,解決了后臺session復(fù)制的問題

JJWT 簽發(fā)與驗證token

1.創(chuàng)建token
先導(dǎo)入依賴:

jjwt

token創(chuàng)建如下:

    JwtBuilder builder = Jwts.builder();
    long currentTimeMillis = System.currentTimeMillis();
    Date date = new Date(currentTimeMillis+100000);
    builder.setId("455").setSubject("設(shè)置主題 可json").setIssuedAt(new Date()).claim("naem","zhansgan").setExpiration(date).signWith(SignatureAlgorithm.HS256,"設(shè)置簽名");
    System.out.println("token:" +builder.compact());

token解析如下:

 String token="eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI0NTUiLCJzdWIiOiLorr7nva7kuLvpopgg5Y-vanNvbiIsImlhdCI6MTU5NTE2MDU3NSwibmFlbSI6InpoYW5zZ2FuIiwiZXhwIjoxNTk1MTYwNjc1fQ.uIpKzOpLHxRQT-INGlOLalITcRD2H7p-qxHEGAtpoTY";
        Claims zhangsan = Jwts.parser().setSigningKey("zhangsan").parseClaimsJws(token).getBody();
使用JWT完成登錄操作

用戶訪問客戶端發(fā)起請求,請求先通過網(wǎng)關(guān)服務(wù),在網(wǎng)關(guān)設(shè)置過濾器,攔截請求,如果是登錄請求可以放行,否則只有在cookie頭中攜帶正確JWTtoken令牌的請求才能放行訪問被保護(hù)的資源服務(wù)
使用了jwt工具類來生成令牌和解析令牌,工具類:

package com.changgou.system.util;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;
import java.util.Date;

/**
 * JWT工具類
 */
public class JwtUtil {

    //有效期為
    public static final Long JWT_TTL = 3600000L;// 60 * 60 *1000  一個小時
    //設(shè)置秘鑰明文
    public static final String JWT_KEY = "itcast";

    /**
     * 創(chuàng)建token
     * @param id
     * @param subject
     * @param ttlMillis
     * @return
     */
    public static String createJWT(String id, String subject, Long ttlMillis) {

        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        if(ttlMillis==null){
            ttlMillis=JwtUtil.JWT_TTL;
        }
        long expMillis = nowMillis + ttlMillis;
        Date expDate = new Date(expMillis);
        SecretKey secretKey = generalKey();

        JwtBuilder builder = Jwts.builder()
                .setId(id)              //唯一的ID
                .setSubject(subject)   // 主題  可以是JSON數(shù)據(jù)
                .setIssuer("admin")     // 簽發(fā)者
                .setIssuedAt(now)      // 簽發(fā)時間
                .signWith(signatureAlgorithm, secretKey) //使用HS256對稱加密算法簽名, 第二個參數(shù)為秘鑰
                .setExpiration(expDate);// 設(shè)置過期時間
        String compact = builder.compact();
        System.out.println(compact);
        return builder.compact();
    }

    /**
     * 生成加密后的秘鑰 secretKey
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }
    
    /**
     * 解析
     *
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser().setSigningKey(secretKey).parseClaimsJws(jwt).getBody();
    }
}

過濾器具體代碼:

package com.changgou.system.filter;

import com.changgou.system.util.JwtUtil;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;
@Component
public class AuthorizeFilter implements GlobalFilter, Ordered {
    private static final String AUTHORIZE_TOKEN="token";
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        //1.獲得請求對象
        ServerHttpRequest request = exchange.getRequest();
        //2.獲得響應(yīng)對象
        ServerHttpResponse response = exchange.getResponse();
        //3.判斷是否為登錄請求
        if (request.getURI().getPath().contains("/admin/login")){
            return chain.filter(exchange);
        }
        //4.判斷請求頭中是否有token
        String token = request.getHeaders().getFirst(AUTHORIZE_TOKEN);
        if (StringUtils.isEmpty(token)){
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
           return response.setComplete();
        }
        try {
            //5.取到令牌,解析令牌
            JwtUtil.parseJWT(token);
        } catch (Exception e) {
            //6.出錯表示解析的令牌過期或者偽造
            e.printStackTrace();
           return response.setComplete();
        }
        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        return 0;
    }
}
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

友情鏈接更多精彩內(nèi)容