qidao123.com技术社区-IT企服评测·应用市场»论坛 软件与程序人生 后端开发 Java 在 SpringBoot 项目中简单实现 JWT 验证

在 SpringBoot 项目中简单实现 JWT 验证

[复制链接]
发表于 2023-2-7 17:53:59 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
使用 SpringBoot 提供 api 的时候,我更喜欢使用 jwt 的方式来做验证。网上有会多 Spring Security 整合 jwt 的,也有 Shiro 整合 jwt 的,感觉有点复杂。这里分享一下自己在项目中的简单实现。
依赖包

除了 SpringBoot 基本的依赖,需要一个生成 jwt 和序列化的包。生成 jwt 的包依赖很多,因为我项目里使用了 hutool 这个包,就只用用它了。
  1.         <dependency>
  2.             <groupId>cn.hutool</groupId>
  3.             <artifactId>hutool-all</artifactId>
  4.             <version>5.8.9</version>
  5.         </dependency>
  6.         <dependency>
  7.             <groupId>cn.hutool</groupId>
  8.             <artifactId>hutool-all</artifactId>
  9.             <version>5.8.9</version>
  10.         </dependency>
复制代码
jwt用户模型

定义一个 Jwt 的 sub 字段模型,存储用户:
  1. import lombok.Data;
  2. import org.springframework.web.context.request.RequestAttributes;
  3. import org.springframework.web.context.request.RequestContextHolder;
  4. import org.springframework.web.context.request.ServletRequestAttributes;
  6. import javax.servlet.http.HttpServletRequest;
  8. @Data
  9. public class JwtUser {
  10.     /**
  11.      * 用户编号
  12.      */
  13.     private Integer id;
  14.     /**
  15.      * 用户名
  16.      */
  17.     private String name;
  18.     /**
  19.      * 角色
  20.      */
  21.     private String role;
  23.     /**
  24.      * 获取当前请求用户
  25.      * @return
  26.      */
  27.     public static JwtUser getCurrentUser() {
  29.         RequestAttributes requestAttributes = RequestContextHolder.currentRequestAttributes();
  30.         HttpServletRequest request = ((ServletRequestAttributes) requestAttributes).getRequest();
  31.         return (JwtUser) request.getAttribute("user");
  32.     }
  33. }
复制代码
验证注解

定义一个用于请求类和方法的注解
  1. import java.lang.annotation.*;
  3. @Inherited
  4. @Target({ElementType.TYPE,ElementType.METHOD})
  5. @Retention(RetentionPolicy.RUNTIME)
  6. public @interface Authorize {
  8.     /**
  9.      * 是否匿名可以访问
  10.      * @return
  11.      */
  12.     boolean anonymous() default false;
  14.     /**
  15.      * 角色
  16.      * @return
  17.      */
  18.     String[] roles() default {};
  19. }
复制代码
JWT 帮助类

用于生成 jwt 和 解析 JwtUser 对象。
  1. import cn.hutool.jwt.JWT;
  2. import cn.hutool.jwt.JWTUtil;
  3. import cn.hutool.jwt.signers.JWTSigner;
  4. import cn.hutool.jwt.signers.JWTSignerUtil;
  5. import com.google.gson.Gson;
  6. import com.mpyf.xapi.security.JwtUser;
  7. import lombok.var;
  9. import java.util.Date;
  10. import java.util.HashMap;
  11. import java.util.Map;
  12. import java.util.UUID;
  14. public class JwtTokenUtils {
  16.     public static final String SECRET = "your_secret";
  17.     public static final String ISS = "com.your.cn";
  19.     private static final int EXPIRATIONHOURS = 24; //过期时间24小时
  20.    
  21.     //创建token
  22.     public static String createToken(JwtUser user) {
  23.         return createToken(user, EXPIRATIONHOURS);
  24.     }
  26.     public static String createToken(JwtUser user, int hours) {
  27.         String subJson = new Gson().toJson(user);
  28.         JWTSigner jwtSigner = JWTSignerUtil.hs512(SECRET.getBytes());
  30.         JWT jwt = JWT.create().setSigner(jwtSigner);
  31.         jwt
  32.                 .setJWTId(UUID.randomUUID().toString().replace("-", ""))
  33.                 .setSubject(subJson) //用户信息
  34.                 .setIssuer(ISS)      //签发者
  35.                 //.setAudience("受众")
  36.                 //.setNotBefore(new Date())
  37.                 .setIssuedAt(new Date())
  38.                 .setExpiresAt(new Date(System.currentTimeMillis() + hours * 3600 * 1000));
  39.         return jwt.sign();
  40.     }
  42.     public static JwtUser getUser(String token) {
  44.         if (StringHelper.isNullOrEmpty(token)) return null;
  46.         var jwt = JWTUtil.parseToken(token);
  47.         JWTSigner jwtSigner = JWTSignerUtil.hs512(SECRET.getBytes());
  48.         jwt.setSigner(jwtSigner);
  50.         if (jwt.validate(10)) {
  51.             var subJson = jwt.getPayload("sub").toString();
  52.             JwtUser user = new Gson().fromJson(subJson, JwtUser.class);
  53.             return user;
  54.         } else {
  55.             return null;
  56.         }
  57.     }
  58. }
复制代码
验证拦截器

定义jwt的验证拦截器,从请求头获取 token 解析并验证。
  1. import com.mpyf.xapi.helper.JwtTokenUtils;
  2. import com.mpyf.xapi.helper.StringHelper;
  3. import org.springframework.stereotype.Component;
  4. import org.springframework.web.method.HandlerMethod;
  5. import org.springframework.web.servlet.HandlerInterceptor;
  7. import javax.servlet.http.HttpServletRequest;
  8. import javax.servlet.http.HttpServletResponse;
  9. import java.util.Arrays;
  11. /**
  12. * jwt 验证拦截器
  13. */
  14. @Component
  15. public class JwtAuthInterceptor implements HandlerInterceptor {
  17.     @Override
  18.     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
  20.         //Authorization:Bearer+空格+token
  21.         String token = request.getHeader("Authorization");
  22.         if (token != null) {
  23.             token = token.replace("Bearer ", "");
  24.         }
  25.         //处理模拟登录的jwt
  26.         if (StringHelper.isNullOrEmpty(token)) {
  27.             token = request.getParameter("jwt");
  28.         }
  29.         if (StringHelper.isNullOrEmpty(token)) {
  30.             //兼容从请求参数传token
  31.             Object jwt = request.getAttribute("jwt");
  32.             if (jwt != null) {
  33.                 token = jwt.toString();
  34.             }
  35.         }
  36.         JwtUser user = JwtTokenUtils.getUser(token);
  37.         request.setAttribute("user", user);
  39.         if (handler instanceof HandlerMethod) {
  40.             HandlerMethod h = (HandlerMethod) handler;
  41.             Authorize authorize = h.getMethodAnnotation(Authorize.class);
  42.             if (authorize == null) {
  43.                 authorize = h.getMethod().getDeclaringClass().getAnnotation(Authorize.class);
  44.             }
  46.             //如果没有Authorize或者可以匿名访问,直接返回
  47.             if (authorize != null && !authorize.anonymous()) {
  48.                 {
  49.                     if (user == null) {
  50.                         response.sendError(HttpServletResponse.SC_UNAUTHORIZED);
  51.                         return false;
  52.                     } else if (authorize.roles() != null && authorize.roles().length > 0 &&
  53.                             Arrays.stream(authorize.roles()).allMatch(s -> !s.equalsIgnoreCase(user.getRole()))) {
  54.                         //没权限
  55.                         response.sendError(HttpServletResponse.SC_FORBIDDEN);
  56.                         return false;
  57.                     }
  58.                 }
  59.             }
  60.         }
  61.         return true;
  62.     }
  63. }
复制代码
注册拦截器

在 WebMvc 配置中注册拦截器,并支持跨域请求
  1. import com.mpyf.xapi.security.JwtAuthInterceptor;
  2. import org.springframework.beans.factory.annotation.Autowired;
  3. import org.springframework.context.annotation.Configuration;
  4. import org.springframework.web.servlet.config.annotation.*;
  7. @Configuration
  8. public class WebMvcConfig implements WebMvcConfigurer {
  10.     @Autowired
  11.     JwtAuthInterceptor jwtAuthInterceptor;
  14.     @Override
  15.     public void addInterceptors(InterceptorRegistry registry) {
  16.         registry.addInterceptor(jwtAuthInterceptor).addPathPatterns("/api/**");
  17.         WebMvcConfigurer.super.addInterceptors(registry);
  18.     }
  20.     @Override
  21.     public void addCorsMappings(CorsRegistry registry) {
  23.         registry.addMapping("/api/**")
  24.                 .allowedOriginPatterns("*")
  25.                 .allowedMethods("*")
  26.                 .allowedHeaders("*")
  27.                 //.maxAge(3600)
  28.                 .allowCredentials(true);
  29.         WebMvcConfigurer.super.addCorsMappings(registry);
  30.     }
  31. }
复制代码
Controller中使用
  1. @RestController
  2. @RequestMapping("/api/test")
  3. @Authorize(roles = {"admin", "user"})
  4. public class TestController {
  6.     @GetMapping("admin_and_user")
  7.     public String admin_and_user(){
  8.         return "admin 和 user 角色都可以访问";
  9.     }
  10.     @GetMapping("admin_only")
  11.     @Authorize(roles = "admin") //覆盖Controller的设置
  12.     public String admin_only(){
  13.         return "只有 admin 角色可以访问";
  14.     }
  15.     @GetMapping("public_all")
  16.     @Authorize(anonymous = true)
  17.     public String public_all(){
  18.         return "匿名可以访问";
  19.     }
  20. }
复制代码
不用 Spring Security 和 Shiro ,是不是更简单呢!

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
继续阅读请点击广告
回复

使用道具 举报

返回列表

尚未崩坏
+ 我要发帖
×
登录参与点评抽奖,加入IT实名职场社区
去登录
快速回复 返回顶部 返回列表