Java中使用JWT生成Token進行介面鑑權實現

摘要： 先介紹下利用JWT進行鑑權的思路： 1、使用者發起登入請求。 2、服務端建立一個加密後的JWT資訊，作為Token返回。 3、在後續請求中JWT資訊作為請求頭，發給服務端。 4、服務端拿到JWT之後進行解密，正確解密表示此次請求合法，驗證通過；解密失敗說明Token無效或者已過...

先介紹下利用JWT進行鑑權的思路：

1、使用者發起登入請求。

2、服務端建立一個加密後的JWT資訊，作為Token返回。

3、在後續請求中JWT資訊作為請求頭，發給服務端。

4、服務端拿到JWT之後進行解密，正確解密表示此次請求合法，驗證通過；解密失敗說明Token無效或者已過期。

流程圖如下：

一、使用者發起登入請求

二、服務端建立一個加密後的JWT資訊，作為Token返回

1、使用者登入之後把生成的Token返回給前端

@Authorization
@ResponseBody
@GetMapping("user/info/auth")
public Result getUserSecurityInfo(HttpServletRequest request) {
try {
UserDTO userDTO = ...
UserVO userVO = new UserVO();
//這裡呼叫建立JWT資訊的方法
userVO.setToken(TokenUtil.createJWT(String.valueOf(userDTO.getId())));
return Result.success(userVO);
} catch (Exception e) {
return Result.fail(ErrorEnum.SYSTEM_ERROR);
}
}

2、建立JWT，Generate Tokens

import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.security.Key;
import io.jsonwebtoken.*;
import java.util.Date;
 
//Sample method to construct a JWT
private String createJWT(String id, String issuer, String subject, long ttlMillis) {
 
//The JWT signature algorithm we will be using to sign the token
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
 
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
 
//We will sign our JWT with our ApiKey secret
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(apiKey.getSecret());
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
 
//Let's set the JWT Claims
JwtBuilder builder = Jwts.builder().setId(id)
.setIssuedAt(now)
.setSubject(subject)
.setIssuer(issuer)
.signWith(signatureAlgorithm, signingKey);
 
//if it has been specified, let's add the expiration
if (ttlMillis >= 0) {
long expMillis = nowMillis + ttlMillis;
Date exp = new Date(expMillis);
builder.setExpiration(exp);
}
 
//Builds the JWT and serializes it to a compact, URL-safe string
return builder.compact();
}

3、作為Token返回

三、在後續請求中JWT資訊作為請求頭，發給服務端

缺一個圖，馬上補

四、服務端拿到JWT之後進行解密，正確解密表示此次請求合法，驗證通過；解密失敗說明Token無效或者已過期。

1、在攔截器中讀取這個Header裡面的Token值

@Slf4j
@Component
public class AuthorizationInterceptor extends HandlerInterceptorAdapter {
private boolean chechToken(HttpServletRequest request, HttpServletResponse response) throws IOException{
Long userId = ...;

if (!TokenUtil.parseJWT(request.getHeader("Authorization"), String.valueOf(userId))){
response.setContentType("text/html;charset=GBK");
response.setCharacterEncoding("GBK");
response.setStatus(403);
response.getWriter().print("<font size=6 color=red>對不起，您的請求非法，系統拒絕響應!</font>");
return false;
} else{
return true;
}
}
}

2、拿到之後進行解密校驗

Decode and Verify Tokens

import javax.xml.bind.DatatypeConverter;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.Claims;
 
//Sample method to validate and read the JWT
private void parseJWT(String jwt) {
//This line will throw an exception if it is not a signed JWS (as expected)
Claims claims = Jwts.parser()
.setSigningKey(DatatypeConverter.parseBase64Binary(apiKey.getSecret()))
.parseClaimsJws(jwt).getBody();
System.out.println("ID: " + claims.getId());
System.out.println("Subject: " + claims.getSubject());
System.out.println("Issuer: " + claims.getIssuer());
System.out.println("Expiration: " + claims.getExpiration());
}

五、總結

大家知道，我之前做過爬蟲，實際這種思路在微博做反爬時也用過，做過我之前文章的同學應該知道。

好了，最後歡迎大家訪問 ofollow,noindex">www.fota.com 體驗我們的產品。