SpringBoot集成JWT登录鉴权

青旅半醒 2023-07-25 06:27 40阅读 0赞

### 什么是JWT？ ###

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).定义了一种简洁的，自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。  
因为数字签名的存在，这些信息是可信的，JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM5NTEzNDMw_size_16_color_FFFFFF_t_70]

### JWT的请求流程 ###

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM5NTEzNDMw_size_16_color_FFFFFF_t_70 1]

### JWT的应用场景 ###

身份认证在这种场景下，一旦用户完成了登陆，在接下来的每个请求中包含JWT，可以用来验证用户身份以及对路由，服务和资源的访问权限进行验证。由于它的开销非常小，可以轻松的在不同域名的系统中传递，所有目前在单点登录（SSO）中比较广泛的使用了该技术。 信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式，由于它的信息是经过签名的，可以确保发送者发送的信息是没有经过伪造的。

##### 优点： #####

1.简洁(Compact): 可以通过URL，POST参数或者在HTTP header发送，因为数据量小，传输速度也很快  
2.自包含(Self-contained)：负载中包含了所有用户所需要的信息，避免了多次查询数据库  
3.因为Token是以JSON加密的形式保存在客户端的，所以JWT是跨语言的，原则上任何web形式都支持。  
4.不需要在服务端保存会话信息，特别适用于分布式微服务。

### JWT的数据结构 ###

为一个很长的字符串，字符之间通过"."分隔符分为三个子串。注意JWT对象为一个长字串，各字串之间也没有换行符，此处为了演示需要，我们特意分行并用不同颜色表示了。每一个子串表示了一个功能块，总共有以下三个部分，**JWT头**、**有效载荷**和**签名**，将它们写成一行如下：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiIxIn0.4Cx-GXq5yLyHS2lEkp-2eukwIEBfCd2ISJUzzpPeGBc

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM5NTEzNDMw_size_16_color_FFFFFF_t_70 2]

#### JWT头 ####

JWT的头部承载两部分信息：token类型和采用的加密算法

{
         
      "alg": "HS256",
       "typ": "JWT"
    }

声明类型:这里是jwt  
声明加密的算法:通常直接使用 HMAC SHA256

加密算法是单向函数散列算法，常见的有MD5、SHA、HAMC。  
**MD5(message-digest algorithm 5)** （信息-摘要算法）缩写，广泛用于加密和解密技术，常用于文件校验。校验？不管文件多大，经过MD5后都能生成唯一的MD5值  
**SHA (Secure Hash Algorithm，安全散列算法）**，数字签名等密码学应用中重要的工具，安全性高于MD5  
**HMAC(Hash Message Authentication Code)**，散列消息鉴别码，基于密钥的Hash算法的认证协议。用公开函数和密钥产生一个固定长度的值作为认证标识，用这个标识鉴别消息的完整性。常用于接口签名验证

#### 有效载荷Payload ####

载荷就是存放有效信息的地方。  
**有效信息包含三个部分**  
1.标准中注册的声明  
2.公共的声明  
3.私有的声明

标准中注册的声明 (建议但不强制使用) ：  
**iss**: jwt签发者  
**sub**: 面向的用户(jwt所面向的用户)  
**aud**: 接收jwt的一方  
**exp**: 过期时间戳(jwt的过期时间，这个过期时间必须要大于签发时间)  
**nbf**: 定义在什么时间之前，该jwt都是不可用的.  
**iat**: jwt的签发时间  
**jti**: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。

**公共的声明 ：**  
公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息，因为该部分在客户端可解密.

**私有的声明 ：**  
私有声明是提供者和消费者所共同定义的声明，一般不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。

#### 哈希签名Signature ####

jwt的第三部分是一个签证信息  
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串，然后通过header中声明的加密方式进行加盐secret组合加密，然后就构成了jwt的第三部分。  
密钥secret是保存在服务端的，服务端会根据这个密钥进行生成token和进行验证，所以需要保护好。

### SpringBoot集成JWT鉴权 ###

**1，引入jwt依赖**

<dependency>
                <groupId>com.auth0</groupId>
                <artifactId>java-jwt</artifactId>
                <version>3.4.0</version>
            </dependency>
    
            <dependency>
                <groupId>org.projectlombok</groupId>
                <artifactId>lombok</artifactId>
                <version>1.18.8</version>
                <scope>provided</scope>
            </dependency>
    
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-web</artifactId>
            </dependency>
    
            <dependency>
                <groupId>com.alibaba</groupId>
                <artifactId>fastjson</artifactId>
                <version>1.2.28</version>
            </dependency>

**2，编写是否需要鉴权的注解**  
PassToken.class

@Target({
        ElementType.METHOD,ElementType.TYPE})
    @Retention(RetentionPolicy.RUNTIME)
    public @interface PassToken {
        
    
        boolean required() default true;
    }

UserLoginToken.class

@Target({
        ElementType.METHOD,ElementType.TYPE})
    @Retention(RetentionPolicy.RUNTIME)
    public @interface UserLoginToken {
        
    
        boolean required() default true;
    }

**3，使用拦截器进行拦截鉴权**  
AuthenticationInterceptor.class，这里是使用的是Spring的HandlerInterceptor 拦截器，也可以使用@Aspectj这个注解来拦截

public class AuthenticationInterceptor implements HandlerInterceptor {
        
    
        @Override
        public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
        
            String token = httpServletRequest.getHeader("token");// 从 http 请求头中取出 token
            // 如果不是映射到方法直接通过
            if(!(object instanceof HandlerMethod)){
        
                return true;
            }
            HandlerMethod handlerMethod=(HandlerMethod)object;
            Method method=handlerMethod.getMethod();
            //检查是否有passtoken注释，有则跳过认证
            if (method.isAnnotationPresent(PassToken.class)) {
        
                PassToken passToken = method.getAnnotation(PassToken.class);
                if (passToken.required()) {
        
                    return true;
                }
            }
            //检查有没有需要用户权限的注解
            if (method.isAnnotationPresent(UserLoginToken.class)) {
        
                UserLoginToken userLoginToken = method.getAnnotation(UserLoginToken.class);
                if (userLoginToken.required()) {
        
                    // 执行认证
                    if (token == null) {
        
                        throw new RuntimeException("无token，请重新登录");
                    }
                    // 获取 token 中的 user id
                    String userId;
                    try {
        
                        userId = JWT.decode(token).getAudience().get(0);
                    } catch (JWTDecodeException j) {
        
                        throw new RuntimeException("401");
                    }
                    User user = new User(1,"zhangsan","115806");
                    if (user == null) {
        
                        throw new RuntimeException("用户不存在，请重新登录");
                    }
                    // 验证 token
                    JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
                    try {
        
                        jwtVerifier.verify(token);
                    } catch (JWTVerificationException e) {
        
                        throw new RuntimeException("401");
                    }
                    return true;
                }
            }
            return true;
        }
    
        @Override
        public void postHandle(HttpServletRequest httpServletRequest,
                               HttpServletResponse httpServletResponse,
                               Object o, ModelAndView modelAndView) throws Exception {
        
    
        }
        @Override
        public void afterCompletion(HttpServletRequest httpServletRequest,
                                    HttpServletResponse httpServletResponse,
                                    Object o, Exception e) throws Exception {
        
        }
    
    }

InterceptorConfig.class

@Configuration
    public class InterceptorConfig extends WebMvcConfigurerAdapter {
        
        @Override
        public void addInterceptors(InterceptorRegistry registry) {
        
            registry.addInterceptor(authenticationInterceptor())
                    .addPathPatterns("/**");    // 拦截所有请求，通过判断是否有 @LoginRequired 注解 决定是否需要登录
        }
        @Bean
        public AuthenticationInterceptor authenticationInterceptor() {
        
            return new AuthenticationInterceptor();
        }
    }

**4，登录接口**

@RestController
    @RequestMapping("/user")
    public class UserController {
        
    
        @Autowired
        private TokenService tokenService;
        //登录
        @RequestMapping("/login")
        public Object login(User user){
        
            JSONObject jsonObject=new JSONObject();
            User userForBase= new User(1,"zhangsan","115806");
            if(user.getId()!=1){
        
                jsonObject.put("message","登录失败,用户不存在");
                return jsonObject;
            }else {
        
                if (!userForBase.getPassword().equals(user.getPassword())){
        
                    jsonObject.put("message","登录失败,密码错误");
                    return jsonObject;
                }else {
        
                    String token = tokenService.getToken(userForBase);
                    jsonObject.put("token", token);
                    jsonObject.put("user", userForBase);
                    return jsonObject;
                }
            }
        }
    
    
        @UserLoginToken
        @RequestMapping("/getMessage")
        public String getMessage(){
        
            return "你已通过验证";
        }
    }

User.class

@Data
    @AllArgsConstructor
    @NoArgsConstructor
    public class User {
        
    
        private int id;
        private String userame;
        private String password;
    
    }

### JWT测试 ###

模拟登录，获取JWT生成的token  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM5NTEzNDMw_size_16_color_FFFFFF_t_70 3]  
获取消息，测试是否鉴权  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM5NTEzNDMw_size_16_color_FFFFFF_t_70 4]  
手动改变token，测试是否通过鉴权  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM5NTEzNDMw_size_16_color_FFFFFF_t_70 5]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM5NTEzNDMw_size_16_color_FFFFFF_t_70]: /images/20230528/eafe0d06ac1d4bf59bf841471a60052d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM5NTEzNDMw_size_16_color_FFFFFF_t_70 1]: /images/20230528/13691829947e47ee9bee18e7d9fb8a40.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM5NTEzNDMw_size_16_color_FFFFFF_t_70 2]: /images/20230528/365adf60dfb541808b12c07b06cd86d4.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM5NTEzNDMw_size_16_color_FFFFFF_t_70 3]: /images/20230528/5ad2a54aae47421f893ff7f9f03467e7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM5NTEzNDMw_size_16_color_FFFFFF_t_70 4]: /images/20230528/7644f9f369c14ddebcb2547c18547022.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM5NTEzNDMw_size_16_color_FFFFFF_t_70 5]: /images/20230528/dbcba1d25157444a8f124af10ef7ef04.png