SpringBoot-3-JWT令牌
目录
引入
引入依赖
拦截器
创建工具类
创建拦截器的包及拦截器
注册拦截器
修改一下登录成功后token的代码
测试
引入
试想一下,以上我们的访问都是直接访问对应的接口。比如说用户登录的时候就访问登录的接口。
那么如果有人他不访问你的登录接口,直接访问你的其他接口,那么是不是意味着不需要登录也可以?
鉴于以上问题,我们需要在拦截器中使用JWT令牌。
拦截器:每次访问后端必经之路,相当于是一个大门,接口是房间,每次访问都需要经过这个大门,如果不通过就不给进入各个房间。
JWT:是一种校验的方法。
引入依赖
<!-- java jwt令牌坐标-->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>4.4.0</version>
</dependency>
<!-- 单元测试的坐标-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
</dependency>
</dependencies>拦截器
创建工具类
package com.leo.springboothd.utils;
import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import java.util.Date;
import java.util.Map;
public class JwtUtil {
private static final String KEY = "leo";
// 接收业务数据,生成token并返回
public static String genToken(Map<String, Object> claims) {
return JWT.create()
.withClaim("claims", claims)
.withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 12)) // 12小时后过期
.sign(Algorithm.HMAC256(KEY));
}
// 接收token,验证token,并返回业务数据
public static Map<String, Object> parseToken(String token) {
return JWT.require(Algorithm.HMAC256(KEY))
.build()
.verify(token)
.getClaim("claims")
.asMap();
}
}
package com.leo.springboothd.utils;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
public class Md5Util {
/**
* 默认的密码字符串组合,用来将字节转换成 16 进制表示的字符,apache校验下载的文件的正确性用的就是默认的这个组合
*/
protected static char hexDigits[] = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'};
protected static MessageDigest messagedigest = null;
static {
try {
messagedigest = MessageDigest.getInstance("MD5");
} catch (NoSuchAlgorithmException nsaex) {
System.err.println(Md5Util.class.getName() + "初始化失败,MessageDigest不支持MD5Util。");
nsaex.printStackTrace();
}
}
/**
* 生成字符串的md5校验值
*
* @param s
* @return
*/
public static String getMD5String(String s) {
return getMD5String(s.getBytes());
}
/**
* 判断字符串的md5校验码是否与一个已知的md5码相匹配
*
* @param password 要校验的字符串
* @param md5PwdStr 已知的md5校验码
* @return
*/
public static boolean checkPassword(String password, String md5PwdStr) {
String s = getMD5String(password);
return s.equals(md5PwdStr);
}
public static String getMD5String(byte[] bytes) {
messagedigest.update(bytes);
return bufferToHex(messagedigest.digest());
}
private static String bufferToHex(byte bytes[]) {
return bufferToHex(bytes, 0, bytes.length);
}
private static String bufferToHex(byte bytes[], int m, int n) {
StringBuffer stringbuffer = new StringBuffer(2 * n);
int k = m + n;
for (int l = m; l < k; l++) {
appendHexPair(bytes[l], stringbuffer);
}
return stringbuffer.toString();
}
private static void appendHexPair(byte bt, StringBuffer stringbuffer) {
char c0 = hexDigits[(bt & 0xf0) >> 4];// 取字节中高 4 位的数字转换, >>>
// 为逻辑右移,将符号位一起右移,此处未发现两种符号有何不同
char c1 = hexDigits[bt & 0xf];// 取字节中低 4 位的数字转换
stringbuffer.append(c0);
stringbuffer.append(c1);
}
}
创建拦截器的包及拦截器
package com.leo.springboothd.interceptors;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import com.leo.springboothd.utils.JwtUtil;
import java.util.Map;
@Component
public class LoginInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 令牌验证
String token = request.getHeader("Authorization");
// 验证token
try {
Map<String, ?> map = JwtUtil.parseToken(token);
// 放行
return true;
} catch (Exception e) {
// http响应状态码为401
response.setStatus(401);
// 不放行
return false;
}
}
}注册拦截器
创建配置的包和配置类
package com.leo.springboothd.config;
import com.leo.springboothd.interceptors.LoginInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Autowired
private LoginInterceptor loginInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
// 登录接口和注册接口不拦截
registry.addInterceptor(loginInterceptor).excludePathPatterns("/user/login", "/user/register");
}
}
修改一下登录成功后token的代码
@PostMapping("/login")
public Result login(@RequestBody User user) {
log.info("登录信息{}",user);
User userResult=userService.login(user);
if(userResult==null){
System.out.println("没有此用户");
return Result.error("没有此用户");
}
else{
System.out.println("用户登录成功"+user);
Map<String,Object> claims=new HashMap<>();
claims.put("id",userResult.getId());
claims.put("username",userResult.getUsername());
String token= JwtUtil.genToken(claims);
System.out.println(token);
return Result.success(token);
}
}测试
注册ok
登录ok
没加请求头的时候的getall不ok
将请求头加入后的getall
