目录

• 1.JWT
• 2.JWT登录执行流程图
• 3.为什么使用JWT?
• 4.JWT的组成
• 5.SpringBoot整合JWT
• 测试
• 总结

1.JWT JWT(JSON Web Token)，为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。将用户信息加密到token中,服务器不保存任何用户信息，服务器通过保存的密钥验证token的正确性。
优点
1.简介：可以通过 URL POST 参数或者在 HTTP header 发送，因为数据量小，传输速度也很快；
2.自包含：负载中可以包含用户所需要的信息，避免了多次查询数据库；
3.因为 Token 是以 JSON 加密的形式保存在客户端的，所以 JWT 是跨语言的，原则上任何 web 形式都支持；
【SpringBoot整合JWT的入门指南】4.不需要再服务端保存会话信息，特别适用于分布式微服务；
缺点
1.无法作废已经发布的令牌；
2.不易应对数据过期；

2.JWT登录执行流程图
文章图片


3.为什么使用JWT?

• 在传统的用户登录认证中，因为http是无状态的,所以都是采用session+cokokie,用户登录成功,服务端会保存一个session,并给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带sessionId。cookie+session模式是保存在内存中,在分布式服务中会面临session共享问题,随着用户量得增加，开销就越来越大。而JWT不需要在服务端保存会话信息，特别适合分布式微服务。
• 简洁:可以用过URL,POST参数或者在HTTP Header发送，因为数据量小，传输速度也快
• JWT支持跨语言
• 自包含: 载荷中包含了所有用户所需要的信息，避免了多次查询数据库。
  

4.JWT的组成 JWT由三部分构成，类似于如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJscyIsImV4cCI6MTYyNDU5Nzc5Nn0.4kwT1elZCb_k2D7AxbuFHM35VmBK4PcmLaqHhcHEq4_wVe8GVO8ODypGSKksTs-hraBopBCm2IC9EC2rO-GHng

第一部分为头部(header),承载两部分信息
声明类型(JWT)
声明加密算法，默认为HMAC SHA256

{"typ","JWT","alg","HS256"}

使用Base64加密后

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9

第二部分为payload(载荷)，存放有效信息的地方，这些有效信息分为三部分:

• 标准中注册的声明
• 公共的声明
• 私有的声明

其中，标准中注册的声明 (建议但不强制使用)包括如下几个部分 ：

• iss: jwt签发者；
• sub: jwt所面向的用户；
• aud: 接收jwt的一方；
• exp: jwt的过期时间，这个过期时间必须要大于签发时间；
• nbf: 定义在什么时间之前，该jwt都是不可用的；
• iat: jwt的签发时间；
• jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击
  

公共的声明部分:
公共的声明可以添加任何信息,一般添加用户的相关信息或其他业务需要的必要信息，但不建议添加铭感信息，因为在客户端可解密。
私有的声明部分:
私有的声明是提供者和消费者共同定义的声明,不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。
第三部分为signature(签证)

var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload); //密钥就是我们定义的secret,加密后得到签证var signature = HMACSHA256(encodedString, '密钥');

5.SpringBoot整合JWT 引入依赖

io.jsonwebtokenjjwt0.7.0com.auth0java-jwt3.4.0commons-langcommons-lang2.6org.springframework.bootspring-boot-configuration-processortrue

配置application.yml文件

server:port: 8888spring:jwt:#过期时间expireTime: 1800000#加密密钥secret: lsyyp5201314#token返回头部header: LOGINTOKEN

JWT工具类

package org.best.util; import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.exceptions.TokenExpiredException; import org.springframework.boot.context.properties.ConfigurationProperties; import java.util.Date; @ConfigurationProperties(prefix = "spring.jwt")public class JWTUtils {public static String header; private static String secret; private static String expireTime; /*** 生成token* @param sub 用户唯一信息* @return token*/publicstaticString createToken(String sub){return JWT.create().withSubject(sub).withExpiresAt(new Date(System.currentTimeMillis()+Long.parseLong(expireTime))).sign(Algorithm.HMAC512(secret)); }/*** 根据token获取用户信息* @param token* @return 用户信息*/public static String validateToken(String token){return JWT.require(Algorithm.HMAC512(secret)).build().verify(token).getSubject(); }/*** 检验Token是否需要刷新* @param token* @return*/public static boolean refreshToken(String token) {Date expireDate = null; try {expireDate = JWT.require(Algorithm.HMAC512(secret)).build().verify(token).getExpiresAt(); } catch (TokenExpiredException e) {return true; }return (expireDate.getTime()-System.currentTimeMillis())<0; }public void setHeader(String header) {this.header = header; }public String getSecret() {return secret; }public void setSecret(String secret) {this.secret = secret; }public String getExpireTime() {return expireTime; }public void setExpireTime(String expireTime) {this.expireTime = expireTime; }}

自定义拦截器

package org.best.config; import org.apache.commons.lang.StringUtils; import org.best.common.TokenIsNullException; import org.best.common.TokenValidateException; import org.best.util.JWTUtils; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class LoginInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String logintoken = request.getHeader("LOGINTOKEN"); //如果token为空if (StringUtils.isBlank(logintoken)){throw new TokenIsNullException("请登录"); }//校验TokenString sub = JWTUtils.validateToken(logintoken); if (StringUtils.isBlank(sub)){throw new TokenValidateException("token校验失败"); }//更新token有效期(生产新token)if (JWTUtils.refreshToken(logintoken)){String token = JWTUtils.createToken(sub); response.setHeader(JWTUtils.header,token); }return true; }@Overridepublic void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {}@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {}}

注册拦截器

package org.best.config; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configurationpublic class MyWebMvcConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(new LoginInterceptor()).addPathPatterns("/find").excludePathPatterns("/login"); }}

自定义异常

package org.best.common; /** * Token校验异常 */public class TokenValidateException extends RuntimeException {public TokenValidateException() {}public TokenValidateException(String message) {super(message); }}

package org.best.common; /** * Token为空异常 */public class TokenIsNullException extends RuntimeException{public TokenIsNullException() {}public TokenIsNullException(String message) {super(message); }}

自定义Controller

package org.best.controller; import org.best.pojo.User; import org.best.util.JWTUtils; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; import javax.servlet.http.HttpServletResponse; @RestControllerpublic class LoginController {@GetMapping("/login")public String login(User user, HttpServletResponse response){//这里就不做数据库查询了//根据用户id生成tokenString token = JWTUtils.createToken(String.valueOf(user.getId())); //将token存入HTTP响应头中response.setHeader(JWTUtils.header,token); return user.toString(); }@GetMapping("/find")public String find(){return "success"; }}

测试 登录接口

文章图片

我们来测试下find 接口 ，不带token会出现啥情况

文章图片

带上token

文章图片


总结 到此这篇关于SpringBoot整合JWT的文章就介绍到这了,更多相关SpringBoot整合JWT内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

推荐阅读

• 

  节节高升的寓意是什么
• 

  鸿蒙系统中文编程教程，华为鸿蒙系统怎么申请
• 

  中国财产保险公司排名 中国财产保险车险电话
• 

  为啥说杭州碎尸案存在两个疑问？
• 

  煌精二材料是什么
• 

  酒店海尔空调显示f6处理方法与故障原因说明
• 

  mongodb导入数据三种方式 mongodb导入备份
• 

  弹幕视频软件安卓,快速制作视频软件包括lexiu软件
• 

  21天|21天 | 丢21天懒惰组合《目送》
• 

  微信站点 网站分析
• 

  20篇精品文章+视频，手把手带你攻克OOM难题！｜HeapDump性能社区专题精选
• 

  辣妈最放心的宝宝面霜有什么？推荐几款安全的宝宝面霜
• 

  培训对象分析,GYB的培训对象是
• 

  癌肉瘤治疗方法
• 

  羊圈毛的衣服怎么清洗 羊毛衣服怎样清洗
• 

  生活着
• 

  现在还有ios培训吗，上海腾科现在有ios培训吗
• 

  阳光下的我们歌词分享推荐
• 

  箭牌马桶真假鉴别 如何分辨真假
• 

  马岱为什么杀魏延？ 关于马岱杀魏延的故事

• Activiti（一）SpringBoot2集成Activiti6
• SpringBoot调用公共模块的自定义注解失效的解决
• 解决SpringBoot引用别的模块无法注入的问题
• Spring|Spring Boot 整合 Activiti6.0.0
• springboot使用redis缓存
• springboot整合数据库连接池-->druid
• SpringBoot中YAML语法及几个注意点说明
• springboot结合redis实现搜索栏热搜功能及文字过滤
• springboot中.yml文件的值无法读取的问题及解决
• SpringBoot整合MongoDB完整实例代码