SpringBoot中怎么利用JWT實現登錄驗證

SpringBoot中怎么利用JWT實現登錄驗證，針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

什么是JWT

JSON Web Token（JWT）是一個開放的標準（RFC 7519），它定義了一個緊湊且自包含的方式，用于在各方之間以JSON對象安全地傳輸信息。這些信息可以通過數字簽名進行驗證和信任。可以使用秘密（使用HMAC算法）或使用RSA的公鑰/私鑰對來對JWT進行簽名。具體的jwt介紹可以查看官網的介紹：https://jwt.io/introduction/

jwt請求流程

引用官網的圖片

中文介紹：

用戶使用賬號和面發出post請求；  服務器使用私鑰創建一個jwt；  服務器返回這個jwt給瀏覽器；  瀏覽器將該jwt串在請求頭中像服務器發送請求；  服務器驗證該jwt；  返回響應的資源給瀏覽器

jwt組成

jwt含有三部分：頭部（header）、載荷（payload）、簽證（signature）

頭部（header）

頭部一般有兩部分信息：聲明類型、聲明加密的算法（通常使用HMAC SHA256）

頭部一般使用base64加密：eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

解密后：

{  "typ":"JWT",  "alg":"HS256"}

載荷（payload）

該部分一般存放一些有效的信息。jwt的標準定義包含五個字段：

iss：該JWT的簽發者  sub: 該JWT所面向的用戶  aud: 接收該JWT的一方  exp(expires): 什么時候過期，這里是一個Unix時間戳  iat(issued at): 在什么時候簽發的

這個只是JWT的定義標準，不強制使用。另外自己也可以添加一些公開的不涉及安全的方面的信息。

簽證（signature）

JWT最后一個部分。該部分是使用了HS256加密后的數據；包含三個部分：

header (base64后的)  payload (base64后的)  secret 私鑰

secret是保存在服務器端的，jwt的簽發生成也是在服務器端的，secret就是用來進行jwt的簽發和jwt的驗證，所以，它就是你服務端的私鑰，在任何場景都不應該流露出去。一旦客戶端得知這個secret, 那就意味著客戶端是可以自我簽發jwt了。

在SpringBoot項目中應用

首先需要添加JWT的依賴：

<dependency>    <groupId>io.jsonwebtoken</groupId>    <artifactId>jjwt</artifactId>    <version>0.6.0</version>  </dependency>

接下來在配置文件中添加JWT的配置信息：

##jwt配置audience: clientId: 098f6bcd4621d373cade4e832627b4f6 base64Secret: MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY= name: restapiuser expiresSecond: 172800

配置信息的實體類，以便獲取jwt的配置：

@Data@ConfigurationProperties(prefix = "audience")@Componentpublic class Audience {  private String clientId;  private String base64Secret;  private String name;  private int expiresSecond;}

JWT驗證主要是通過攔截器驗證，所以我們需要添加一個攔截器來驗證請求頭中是否含有后臺頒發的token，這里請求頭的格式：這里bearer;后面就是服務器頒發的token

public class JwtFilter extends GenericFilterBean {  @Autowired  private Audience audience;  /**   * Reserved claims（保留），它的含義就像是編程語言的保留字一樣，屬于JWT標準里面規定的一些claim。JWT標準里面定好的claim有：   iss(Issuser)：代表這個JWT的簽發主體；   sub(Subject)：代表這個JWT的主體，即它的所有人；   aud(Audience)：代表這個JWT的接收對象；   exp(Expiration time)：是一個時間戳，代表這個JWT的過期時間；   nbf(Not Before)：是一個時間戳，代表這個JWT生效的開始時間，意味著在這個時間之前驗證JWT是會失敗的；   iat(Issued at)：是一個時間戳，代表這個JWT的簽發時間；   jti(JWT ID)：是JWT的唯一標識。   * @param req   * @param res   * @param chain   * @throws IOException   * @throws ServletException   */  @Override  public void doFilter(final ServletRequest req, final ServletResponse res, final FilterChain chain)      throws IOException, ServletException {    final HttpServletRequest request = (HttpServletRequest) req;    final HttpServletResponse response = (HttpServletResponse) res;    //等到請求頭信息authorization信息    final String authHeader = request.getHeader("authorization");    if ("OPTIONS".equals(request.getMethod())) {      response.setStatus(HttpServletResponse.SC_OK);      chain.doFilter(req, res);    } else {      if (authHeader == null || !authHeader.startsWith("bearer;")) {        throw new LoginException(ResultEnum.LOGIN_ERROR);      }      final String token = authHeader.substring(7);      try {        if(audience == null){          BeanFactory factory = WebApplicationContextUtils.getRequiredWebApplicationContext(request.getServletContext());          audience = (Audience) factory.getBean("audience");        }        final Claims claims = JwtHelper.parseJWT(token,audience.getBase64Secret());        if(claims == null){          throw new LoginException(ResultEnum.LOGIN_ERROR);        }        request.setAttribute(Constants.CLAIMS, claims);      } catch (final Exception e) {        throw new LoginException(ResultEnum.LOGIN_ERROR);      }      chain.doFilter(req, res);    }  }}

注冊JWT攔截器，可以在配置類中，也可以直接在SpringBoot的入口類中

public class JwtFilter extends GenericFilterBean {  @Autowired  private Audience audience;  /**   * Reserved claims（保留），它的含義就像是編程語言的保留字一樣，屬于JWT標準里面規定的一些claim。JWT標準里面定好的claim有：   iss(Issuser)：代表這個JWT的簽發主體；   sub(Subject)：代表這個JWT的主體，即它的所有人；   aud(Audience)：代表這個JWT的接收對象；   exp(Expiration time)：是一個時間戳，代表這個JWT的過期時間；   nbf(Not Before)：是一個時間戳，代表這個JWT生效的開始時間，意味著在這個時間之前驗證JWT是會失敗的；   iat(Issued at)：是一個時間戳，代表這個JWT的簽發時間；   jti(JWT ID)：是JWT的唯一標識。   * @param req   * @param res   * @param chain   * @throws IOException   * @throws ServletException   */  @Override  public void doFilter(final ServletRequest req, final ServletResponse res, final FilterChain chain)      throws IOException, ServletException {    final HttpServletRequest request = (HttpServletRequest) req;    final HttpServletResponse response = (HttpServletResponse) res;    //等到請求頭信息authorization信息    final String authHeader = request.getHeader("authorization");    if ("OPTIONS".equals(request.getMethod())) {      response.setStatus(HttpServletResponse.SC_OK);      chain.doFilter(req, res);    } else {      if (authHeader == null || !authHeader.startsWith("bearer;")) {        throw new LoginException(ResultEnum.LOGIN_ERROR);      }      final String token = authHeader.substring(7);      try {        if(audience == null){          BeanFactory factory = WebApplicationContextUtils.getRequiredWebApplicationContext(request.getServletContext());          audience = (Audience) factory.getBean("audience");        }        final Claims claims = JwtHelper.parseJWT(token,audience.getBase64Secret());        if(claims == null){          throw new LoginException(ResultEnum.LOGIN_ERROR);        }        request.setAttribute(Constants.CLAIMS, claims);      } catch (final Exception e) {        throw new LoginException(ResultEnum.LOGIN_ERROR);      }      chain.doFilter(req, res);    }  }}

登錄處理，也就是jwt的頒發

@PostMapping("login")  public ResultVo login(@RequestParam(value = "usernameOrEmail", required = true) String usernameOrEmail,             @RequestParam(value = "password", required = true) String password,             HttpServletRequest request) {    Boolean is_email = MatcherUtil.matcherEmail(usernameOrEmail);    User user = new User();    if (is_email) {      user.setEmail(usernameOrEmail);    } else {      user.setUsername(usernameOrEmail);    }    User query_user = userService.get(user);    if (query_user == null) {      return ResultVOUtil.error("400", "用戶名或郵箱錯誤");    }    //驗證密碼    PasswordEncoder encoder = new BCryptPasswordEncoder();    boolean is_password = encoder.matches(password, query_user.getPassword());    if (!is_password) {      //密碼錯誤，返回提示      return ResultVOUtil.error("400", "密碼錯誤");    }       String jwtToken = JwtHelper.createJWT(query_user.getUsername(),                      query_user.getId(),                      query_user.getRole().toString(),                      audience.getClientId(),                      audience.getName(),                      audience.getExpiresSecond()*1000,                      audience.getBase64Secret());    String result_str = "bearer;" + jwtToken;    return ResultVOUtil.success(result_str);  }

這里將jwt的頒發處理抽離出來了，JWT工具類：

public class JwtHelper {  /**   * 解析jwt   */  public static Claims parseJWT(String jsonWebToken, String base64Security){    try    {      Claims claims = Jwts.parser()          .setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))          .parseClaimsJws(jsonWebToken).getBody();      return claims;    }    catch(Exception ex)    {      return null;    }  }  /**   * 構建jwt   */  public static String createJWT(String name, String userId, String role,                  String audience, String issuer, long TTLMillis, String base64Security)  {    SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;    long nowMillis = System.currentTimeMillis();    Date now = new Date(nowMillis);    //生成簽名密鑰    byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(base64Security);    Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());    //添加構成JWT的參數    JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")        .claim("role", role)        .claim("unique_name", name)        .claim("userid", userId)        .setIssuer(issuer)        .setAudience(audience)        .signWith(signatureAlgorithm, signingKey);    //添加Token過期時間    if (TTLMillis >= 0) {      long expMillis = nowMillis + TTLMillis;      Date exp = new Date(expMillis);      builder.setExpiration(exp).setNotBefore(now);    }    //生成JWT    return builder.compact();  }}

最后，jwt可能會出現跨域的問題，所以最好添加一下對跨域的處理

@Configurationpublic class CorsConfig {  @Bean  public FilterRegistrationBean corsFilter() {    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();    CorsConfiguration config = new CorsConfiguration();    config.setAllowCredentials(true);    config.addAllowedOrigin("*");    config.addAllowedHeader("*");    config.addAllowedMethod("OPTIONS");    config.addAllowedMethod("HEAD");    config.addAllowedMethod("GET");    config.addAllowedMethod("PUT");    config.addAllowedMethod("POST");    config.addAllowedMethod("DELETE");    config.addAllowedMethod("PATCH");    source.registerCorsConfiguration("/**", config);    final FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));    bean.setOrder(0);    return bean;  }  @Bean  public WebMvcConfigurer mvcConfigurer() {    return new WebMvcConfigurerAdapter() {      @Override      public void addCorsMappings(CorsRegistry registry) {        registry.addMapping("/**").allowedMethods("GET", "PUT", "POST", "GET", "OPTIONS");      }    };  }}

關于SpringBoot中怎么利用JWT實現登錄驗證問題的解答就分享到這里了，希望以上內容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注億速云行業資訊頻道了解更多相關知識。