2. 程式人生 > >SpringMVC 整合 JWT驗證方式

SpringMVC 整合 JWT驗證方式

阿新 發佈:2018-11-01

JWT官網: https://jwt.io/

這裡以java的ssm框架為例,整合jwt。

1.pom.xml 匯入jwt的包

<!-- jwt -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>2.2.0</version>
</dependency>

2.編寫jwt的工具類,包含加密解密功能

import com.auth0.jwt.JWTSigner;

 
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.internal.com.fasterxml.jackson.databind.ObjectMapper;

import java.util.HashMap;
import java.util.Map;

public class JWT {
    private static final String SECRET = "XX#$%()(#*!()!KL<><MQLMNQNQJQK sdfkjsdrow32234545fdf>?N<:{LWPW";

    
 
private static final String EXP = "exp";

    private static final String PAYLOAD = "payload";

    //加密,傳入一個物件和有效期
    public static <T> String sign(T object, long maxAge) {
        try {
            final JWTSigner signer = new JWTSigner(SECRET);
            final Map<String, Object> claims = new
 
 HashMap<String, Object>();
            ObjectMapper mapper = new ObjectMapper();
            String jsonString = mapper.writeValueAsString(object);
            claims.put(PAYLOAD, jsonString);
            claims.put(EXP, System.currentTimeMillis() + maxAge);
            return signer.sign(claims);
        } catch(Exception e) {
            return null;
        }
    }

    //解密,傳入一個加密後的token字串和解密後的型別
    public static<T> T unsign(String jwt, Class<T> classT) {
        final JWTVerifier verifier = new JWTVerifier(SECRET);
        try {
            final Map<String,Object> claims= verifier.verify(jwt);
            if (claims.containsKey(EXP) && claims.containsKey(PAYLOAD)) {
                long exp = (Long)claims.get(EXP);
                long currentTimeMillis = System.currentTimeMillis();
                if (exp > currentTimeMillis) {
                    String json = (String)claims.get(PAYLOAD);
                    ObjectMapper objectMapper = new ObjectMapper();
                    return objectMapper.readValue(json, classT);
                }
            }
            return null;
        } catch (Exception e) {
            return null;
        }
    }
}

3.jwt有了,ssm要如何去利用,使用者驗證的第一步是登入,登入時根據使用者傳來的username和password到資料庫驗證身份,如果合法,便給該使用者jwt加密生成token

    //處理登入
    @RequestMapping(value="login", produces = "application/json; charset=utf-8")
    public @ResponseBody ResponseData login(HttpServletRequest request, @RequestParam( "email") String email,
            @RequestParam("password") String password) {
        Login login = new Login();
        login.setEmail(email);
        login.setPassword(password);
        ResponseData responseData = ResponseData.ok();
        //先到資料庫驗證
        Integer loginId = userService.checkLogin(login);
        if(null != loginId) {
            User user = userService.getUserByLoginId(loginId);
            login.setId(loginId);
            //給使用者jwt加密生成token
            String token = JWT.sign(login, 60L* 1000L* 30L);
            //封裝成物件返回給客戶端
            responseData.putDataValue("loginId", login.getId());
            responseData.putDataValue("token", token);
            responseData.putDataValue("user", user);
        }
        else{
            responseData =  ResponseData.customerError();
        }   
        return responseData;
    }

4.在使用者登入時,把loginId和token返回給前臺,以後使用者每次請求時,都得帶上這兩個引數,後臺拿到token後解密出loginId,與使用者傳遞過來的loginId比較,如果相同,則說明使用者身份合法。因為是每個登入過後的每個請求,這裡用springmvc的攔截器做

<mvc:interceptors>    
    <mvc:interceptor>    
        <!-- 匹配的是url路徑, 如果不配置或/**,將攔截所有的Controller -->  
        <mvc:mapping path="/**" />  
        <!-- /register 和 /login 不需要攔截-->  
        <mvc:exclude-mapping path="/register" />
        <mvc:exclude-mapping path="/login" />
        <bean class="com.xforce.charles.interceptor.TokenInterceptor"></bean>    
    </mvc:interceptor>  
    <!-- 當設定多個攔截器時,先按順序呼叫preHandle方法,然後逆序呼叫每個攔截器的postHandle和afterCompletion方法 -->  
</mvc:interceptors>

5.攔截器程式碼

import java.io.PrintWriter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import com.alibaba.fastjson.JSONObject;
import com.xforce.charles.model.Admin;
import com.xforce.charles.model.Login;
import com.xforce.charles.util.JWT;
import com.xforce.charles.util.ResponseData;

public class TokenInterceptor implements HandlerInterceptor{

    public void afterCompletion(HttpServletRequest request,
            HttpServletResponse response, Object handler, Exception arg3)
            throws Exception {
    }

    public void postHandle(HttpServletRequest request, HttpServletResponse response,
            Object handler, ModelAndView model) throws Exception {
    }

    //攔截每個請求
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
            Object handler) throws Exception {
        response.setCharacterEncoding("utf-8");
        String token = request.getParameter("token");
        ResponseData responseData = ResponseData.ok();
        //token不存在
        if(null != token) {
            Login login = JWT.unsign(token, Login.class);
            String loginId = request.getParameter("loginId");
            //解密token後的loginId與使用者傳來的loginId不一致,一般都是token過期
            if(null != loginId && null != login) {
                if(Integer.parseInt(loginId) == login.getId()) {
                    return true;
                } else {
                    responseData = ResponseData.forbidden();
                    responseMessage(response, response.getWriter(), responseData);
                    return false;
                }
            } else {
                responseData = ResponseData.forbidden();
                responseMessage(response, response.getWriter(), responseData);
                return false;
            }
        } else {
            responseData = ResponseData.forbidden();
            responseMessage(response, response.getWriter(), responseData);
            return false;
        }
    }

    //請求不通過,返回錯誤資訊給客戶端
    private void responseMessage(HttpServletResponse response, PrintWriter out, ResponseData responseData) {
        responseData = ResponseData.forbidden();
        response.setContentType("application/json; charset=utf-8");  
        String json = JSONObject.toJSONString(responseData);
        out.print(json);
        out.flush();
        out.close();
    }

}

6.注意點:用@ResponseBody返回json資料時,有時會有亂碼,需要在springmvc的配置檔案裡面加以下配置(spring4以上)

<mvc:annotation-driven>
   <mvc:message-converters register-defaults="true">
    <bean class="org.springframework.http.converter.StringHttpMessageConverter">
      <property name="supportedMediaTypes" value = "text/plain;charset=UTF-8" />
    </bean>
   </mvc:message-converters>
</mvc:annotation-driven>

7.最後分享一個類,用於返回給客戶端的萬能類,我覺得它可以滿足一般的介面

import java.util.HashMap;
import java.util.Map;

public class ResponseData {

    private final String message;
    private final int code;
    private final Map<String, Object> data = new HashMap<String, Object>();

    public String getMessage() {
        return message;
    }

    public int getCode() {
        return code;
    }

    public Map<String, Object> getData() {
        return data;
    }

    public ResponseData putDataValue(String key, Object value) {
        data.put(key, value);
        return this;
    }

    private ResponseData(int code, String message) {
        this.code = code;
        this.message = message;
    }

    public static ResponseData ok() {
        return new ResponseData(200, "Ok");
    }

    public static ResponseData notFound() {
        return new ResponseData(404, "Not Found");
    }

    public static ResponseData badRequest() {
        return new ResponseData(400, "Bad Request");
    }

    public static ResponseData forbidden() {
        return new ResponseData(403, "Forbidden");
    }

    public static ResponseData unauthorized() {
        return new ResponseData(401, "unauthorized");
    }

    public static ResponseData serverInternalError() {
        return new ResponseData(500, "Server Internal Error");
    }

    public static ResponseData customerError() {
        return new ResponseData(1001, "customer Error");
    }
}

 

相關推薦

SpringMVC 整合 JWT驗證方式

JWT官網: https://jwt.io/ 這裡以java的ssm框架為例,整合jwt。 1.pom.xml 匯入jwt的包 <!-- jwt --> <dependency> <groupId>com.auth0</groupId

SpringBoot 整合 JWT 驗證+解決域名問題

什麼是JWT JSON Web Token(JWT)是一個開放的標準(RFC 7519),它定義了一個緊湊且自包含的方式,用於在各方之間以JSON物件安全地傳輸資訊。這些資訊可以通過數字簽名進行驗證和信任。可以使用祕密(使用HMAC演算法)或使用RSA的公鑰/私鑰對來對JWT

springmvc 整合 kaptcha驗證

1.首先引入jar包, <dependency> <groupId>com.github.penggle</groupId> <artifactId>kaptcha</artifactId>

SpringMVC 整合 kaptcha(驗證碼功能)

一、新增依賴 <dependency> <groupId>com.github.penggle</groupId> <artifactId>kaptcha</artifactId> <version>

SpringMVC整合開源的驗證碼框架Kaptcha實現驗證碼效果

       流程:本專案是通過maven建立的,首先需要匯入Kaptcha的jar包,然後在spring中配置Kaptcha的屬性,還需要實現一個生成驗證碼的controller類,最後在前端顯示。 <dependency> <grou

整合驗證時IE採用Kerberos 還是NTLM驗證方式

IE具體是採用Kerberos 還是NTLM驗證方式取決於以下三種情況: 客戶端以ip地址訪問伺服器        不管客戶端跟伺服器是否在域、也不管客戶端是否以域帳號登陸,只要客戶端以ip地址訪問伺服器, 那麼客戶端就會選擇NTLM方式驗證 並且不會直接傳送客戶端登

jwt是和oauth相互不同的兩種驗證方式麼?

JSON Web Token(JWT)是一個輕量級的認證規範。 這個規範允許我們使用JWT在使用者和伺服器之間傳遞安全可靠的資訊。 JWT適合用於向Web應用傳遞一些非敏感資訊。 這裡有一篇對JWT非常詳細的介紹:JSON Web Token 以及JWT在單點登陸的使用場景:八幅漫畫理解使用JSON Web

SpringBoot2.0高階案例(10):整合 JWT 框架,解決Token跨域驗證問題

GitHub原始碼地址:知了一笑 https://github.com/cicadasmile/middle-ware-paren

SpringMVC整合MongoDB

image 1.8 component size extends ges data- location one 首先,在pom文件中新增spring-data-mongodb的依賴: <dependency> <groupId>org.spr

《Java從入門到放棄》入門篇:Struts2的常用驗證方式

java struts action 感覺過了一個周末,人都懶得不要不要的,今天就來點簡單的內容吧 - -,各位看官如果欲求不滿的話,可以自行解決或再去寵幸其他“勃主”···struts2的驗證方式主要有四種方式:一、直接在功能方法中寫驗證代碼(不要扔雞蛋,這種辦法確實算一種)二、重寫valida

《Java從入門到放棄》入門篇:Struts2的常用驗證方式(二)

java struts action validate 數據驗證 前一回,我們講完了“直接在功能方法中寫驗證代碼”這種驗證方式,接下來,我們繼續搞定後續的三種方式。二、重寫validate方法(註意這個方法會驗證該類中所有的方法) 使用重寫驗證方法的好處就是,又可以少寫一句代碼了!!

Django表單字段的驗證方式

doesn 針對 bsp 提交 turn except val object 重名 一、給表單的字段添加驗證器 In your forms.py 1 def validate_name(value): 2 try: 3 # 查詢存在的話拋出異

SSH框架整合的其它方式

blog style size adding ces hbm.xml tro 數據庫配置 schema --------------------siwuxie095 SSH 框架整合的其它方式 1、主要是整合

Springmvc數據驗證

validator binding turn mode 校驗 ida request src 定義 1.引入jar包 com.springsource.javax.validation-1.0.0.GA.jar 規範(只是定義) hibernate-validator-

Swagger2和springMVC整合測試

inter encoding src mybatis project constrain aop servle efault 對Swagger寫個獨立的工程測試,方便後續進行工程的整合,這裏做一下記錄 1.pom.xml--依賴的的包 1 <project xm

springmvc整合dubbo

控制 後臺 組織機構 myba 均衡 分離 數據庫 bookmark 自己 摘要: 開發工具 1.Eclipse IDE:采用Maven項目管理,模塊化。 2.代碼生成:通過界面方式簡單配置,自動生成相應代碼,目前包括三種生成方式(增刪改查):單表、一對多、樹結構。生成後的

Dubbo與Zookeeper、SpringMVC整合和使用

描述 取出 有變 monit work 需要 可用 jqgrid png 互聯網的發展,網站應用的規模不斷擴大,常規的垂直應用架構已無法應對,分布式服務架構以及流動計算架構勢在必行,Dubbo是一個分布式服務框架,在這種情況下誕生的。現在核心業務抽取出來,作為獨立的服務,使

springMVC整合Junit4進行單元測試

main方法 pri tail println test pan ati 測試的 tco 版權聲明:本文為博主原創文章,未經博主允許不得轉載。 用Junit做單元測試的好處多多,博主領悟到了兩點。一是不用在每個類裏面都寫main方法然後去測試;二是可以得到每個方法執行

java使用windows驗證方式連接sqlserver2008數據庫

log 代碼 hid ogg rman nal sta args ron 連接數據庫的代碼段: package com.db; import java.sql.*; public class DButil { public static void mai

webapi中使用token驗證JWT驗證

後端 erro filters missing 參考 做的 方法調用 reading minute 本文介紹如何在webapi中使用JWT驗證 準備 安裝JWT安裝包 System.IdentityModel.Tokens.Jwt 你的前端api登錄請求的方法,參考