目录

• 1.JWT
• 2.JWT登录执行流程图
• 3.为什么使用JWT?
• 4.JWT的组成
• 5.SpringBoot整合JWT
• 测试
• 总结

1.JWT JWT(JSON Web Token)，为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。将用户信息加密到token中,服务器不保存任何用户信息，服务器通过保存的密钥验证token的正确性。
优点
1.简介：可以通过 URL POST 参数或者在 HTTP header 发送，因为数据量小，传输速度也很快；
2.自包含：负载中可以包含用户所需要的信息，避免了多次查询数据库；
3.因为 Token 是以 JSON 加密的形式保存在客户端的，所以 JWT 是跨语言的，原则上任何 web 形式都支持；
【SpringBoot整合JWT的入门指南】4.不需要再服务端保存会话信息，特别适用于分布式微服务；
缺点
1.无法作废已经发布的令牌；
2.不易应对数据过期；

2.JWT登录执行流程图
文章图片


3.为什么使用JWT?

• 在传统的用户登录认证中，因为http是无状态的,所以都是采用session+cokokie,用户登录成功,服务端会保存一个session,并给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带sessionId。cookie+session模式是保存在内存中,在分布式服务中会面临session共享问题,随着用户量得增加，开销就越来越大。而JWT不需要在服务端保存会话信息，特别适合分布式微服务。
• 简洁:可以用过URL,POST参数或者在HTTP Header发送，因为数据量小，传输速度也快
• JWT支持跨语言
• 自包含: 载荷中包含了所有用户所需要的信息，避免了多次查询数据库。
  

4.JWT的组成 JWT由三部分构成，类似于如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJscyIsImV4cCI6MTYyNDU5Nzc5Nn0.4kwT1elZCb_k2D7AxbuFHM35VmBK4PcmLaqHhcHEq4_wVe8GVO8ODypGSKksTs-hraBopBCm2IC9EC2rO-GHng

第一部分为头部(header),承载两部分信息
声明类型(JWT)
声明加密算法，默认为HMAC SHA256

{"typ","JWT","alg","HS256"}

使用Base64加密后

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9

第二部分为payload(载荷)，存放有效信息的地方，这些有效信息分为三部分:

• 标准中注册的声明
• 公共的声明
• 私有的声明

其中，标准中注册的声明 (建议但不强制使用)包括如下几个部分 ：

• iss: jwt签发者；
• sub: jwt所面向的用户；
• aud: 接收jwt的一方；
• exp: jwt的过期时间，这个过期时间必须要大于签发时间；
• nbf: 定义在什么时间之前，该jwt都是不可用的；
• iat: jwt的签发时间；
• jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击
  

公共的声明部分:
公共的声明可以添加任何信息,一般添加用户的相关信息或其他业务需要的必要信息，但不建议添加铭感信息，因为在客户端可解密。
私有的声明部分:
私有的声明是提供者和消费者共同定义的声明,不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。
第三部分为signature(签证)

var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload); //密钥就是我们定义的secret,加密后得到签证var signature = HMACSHA256(encodedString, '密钥');

5.SpringBoot整合JWT 引入依赖

io.jsonwebtokenjjwt0.7.0com.auth0java-jwt3.4.0commons-langcommons-lang2.6org.springframework.bootspring-boot-configuration-processortrue

配置application.yml文件

server:port: 8888spring:jwt:#过期时间expireTime: 1800000#加密密钥secret: lsyyp5201314#token返回头部header: LOGINTOKEN

JWT工具类

package org.best.util; import com.auth0.jwt.JWT; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.exceptions.TokenExpiredException; import org.springframework.boot.context.properties.ConfigurationProperties; import java.util.Date; @ConfigurationProperties(prefix = "spring.jwt")public class JWTUtils {public static String header; private static String secret; private static String expireTime; /*** 生成token* @param sub 用户唯一信息* @return token*/publicstaticString createToken(String sub){return JWT.create().withSubject(sub).withExpiresAt(new Date(System.currentTimeMillis()+Long.parseLong(expireTime))).sign(Algorithm.HMAC512(secret)); }/*** 根据token获取用户信息* @param token* @return 用户信息*/public static String validateToken(String token){return JWT.require(Algorithm.HMAC512(secret)).build().verify(token).getSubject(); }/*** 检验Token是否需要刷新* @param token* @return*/public static boolean refreshToken(String token) {Date expireDate = null; try {expireDate = JWT.require(Algorithm.HMAC512(secret)).build().verify(token).getExpiresAt(); } catch (TokenExpiredException e) {return true; }return (expireDate.getTime()-System.currentTimeMillis())<0; }public void setHeader(String header) {this.header = header; }public String getSecret() {return secret; }public void setSecret(String secret) {this.secret = secret; }public String getExpireTime() {return expireTime; }public void setExpireTime(String expireTime) {this.expireTime = expireTime; }}

自定义拦截器

package org.best.config; import org.apache.commons.lang.StringUtils; import org.best.common.TokenIsNullException; import org.best.common.TokenValidateException; import org.best.util.JWTUtils; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class LoginInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {String logintoken = request.getHeader("LOGINTOKEN"); //如果token为空if (StringUtils.isBlank(logintoken)){throw new TokenIsNullException("请登录"); }//校验TokenString sub = JWTUtils.validateToken(logintoken); if (StringUtils.isBlank(sub)){throw new TokenValidateException("token校验失败"); }//更新token有效期(生产新token)if (JWTUtils.refreshToken(logintoken)){String token = JWTUtils.createToken(sub); response.setHeader(JWTUtils.header,token); }return true; }@Overridepublic void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {}@Overridepublic void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {}}

注册拦截器

package org.best.config; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configurationpublic class MyWebMvcConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(new LoginInterceptor()).addPathPatterns("/find").excludePathPatterns("/login"); }}

自定义异常

package org.best.common; /** * Token校验异常 */public class TokenValidateException extends RuntimeException {public TokenValidateException() {}public TokenValidateException(String message) {super(message); }}

package org.best.common; /** * Token为空异常 */public class TokenIsNullException extends RuntimeException{public TokenIsNullException() {}public TokenIsNullException(String message) {super(message); }}

自定义Controller

package org.best.controller; import org.best.pojo.User; import org.best.util.JWTUtils; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; import javax.servlet.http.HttpServletResponse; @RestControllerpublic class LoginController {@GetMapping("/login")public String login(User user, HttpServletResponse response){//这里就不做数据库查询了//根据用户id生成tokenString token = JWTUtils.createToken(String.valueOf(user.getId())); //将token存入HTTP响应头中response.setHeader(JWTUtils.header,token); return user.toString(); }@GetMapping("/find")public String find(){return "success"; }}

测试 登录接口

文章图片

我们来测试下find 接口 ，不带token会出现啥情况

文章图片

带上token

文章图片


总结 到此这篇关于SpringBoot整合JWT的文章就介绍到这了,更多相关SpringBoot整合JWT内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

推荐阅读

• 

  夏天化妆出汗怎么办
• 

  小孩坐高铁需要核酸检测吗
• 

  今天油价调整最新消息2月27日：油价或重回搁浅区间
• 

  请为周星驰的电影排个序,你心目中前十或前五的电影分别是什么？
• 

  主要用于Excel表格录入 请问各位朋友,平板电脑哪款适合？
• 

  爱普生l1300废墨管
• 

  徕卡5摄是什么意思 徕卡四摄和徕卡五摄的区别
• 

  微信小程序api怎么修改，微信小程序改app
• 

  五行属火的取名常用字，女宝宝好名字
• 

  西门子洗碗机怎么用视频教程 西门子洗碗机怎么用
• 

  ipad连不上手机热点（ipad连不上手机热点怎么办）
• 

  湖南舞龙队冲进女试衣间要彩头
• 

  vs2012 代码分析
• 

  黑炭头是什么意思 黑炭头是谁
• 

  为选择负责
• 

  制作拼图的步骤 拼图怎么做
• 

  redis集群数据都一样吗 redis集群和多实例
• 

  山东省2023年夏季高考听力考试成绩怎么查询？
• 

  领结婚证没有身份证可以吗
• 

  显示器24寸多大 24寸显示器是多少厘米 长宽

• Activiti（一）SpringBoot2集成Activiti6
• SpringBoot调用公共模块的自定义注解失效的解决
• 解决SpringBoot引用别的模块无法注入的问题
• Spring|Spring Boot 整合 Activiti6.0.0
• springboot使用redis缓存
• springboot整合数据库连接池-->druid
• SpringBoot中YAML语法及几个注意点说明
• springboot结合redis实现搜索栏热搜功能及文字过滤
• springboot中.yml文件的值无法读取的问题及解决
• SpringBoot整合MongoDB完整实例代码