前言
本篇博文注重功能需求的实现,概念性的东西不多,所以想要多了解更全面的JWT 或者想要了解单点登录的实现原理及其他,可以移步其他博文.这里博主自己随便看了俩篇博文
-
JWT
- https://www.jianshu.com/p/abddaae52429
- https://www.jianshu.com/p/344a3d5bbab6
-
单点登录
- https://zhuanlan.zhihu.com/p/97301347
- https://blog.csdn.net/IT_10000/article/details/80634471
- https://www.cnblogs.com/suim1218/p/7699041.html
需求设计思路
-
用户登录,前端–>后端 传数据(id,name,password等等),存入数据库的password可能会被加密,因此前端传来的password也要加密.
-
在数据库中select,存在 即 在后端生成token 返回前端,不存在则response 用户或密码错误
JWT的结构组成
-
Header 头部
- Token类型 和 加密算法. 常见的加密算法有 MD5、SHA、HMAC( Hash Message Authentication Code)
-
PayLoad 负载:
-
存放有效的信息
-
标注声明
- iss(Issuser) --签发者
- sub Subject – 面向主体
- aud Audience – 接受方
- exp Expiration time – 过期时间戳
- nbf Not Before – 开始生效时间戳
- iat(Issued at) – 签发时间
- jti (JWT ID) – 唯一标识
-
公共声明
- 一般添加业务相关的必要信息,因为可解密,不建议敏感信息。
-
私有声明
- 提供者和消费者共同定义的声明,Base64对称解密,不建议敏感信息
-
-
-
Signature 签证:
- Base64 加密的header
- Base64 加密的payload
- secret-密钥
- 使用header中声明的加密算法对header和payload的加密字符串进行加盐secret组合加密.密钥保存在服务端,服务端根据密钥进行解密验证
开发工具
idea + maven + postman(前端测试)
开发环境
SpringBoot + Maven
jar包
<!-- 跨域身份验证解决⽅案 Json web token包-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.7.0</version>
</dependency>
开发JWT工具类
传值:User(用户信息)
import com.maoni.maoni_xdclass.model.entity.User;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
/**
* Jwt工具类
* 注意点:
* 1、生成的token, 是可以通过base64进行解密出明文信息
* 2、base64进行解密出明文信息,修改再进行编码,则会解密失败
* 3、无法作废已颁布的token,除非改秘钥
*/
public class JWTUtils {
/**
* 过期时间,一周
*/
private static final long EXPIRE = 60000 * 60 * 24 * 7;
/**
* 加密秘钥,自定义的字符串
*/
private static final String SECRET = "*******";
/**
* 令牌前缀,自定义的字符串
*/
private static final String TOKEN_PREFIX = "*******";
/**
* 面响主体,自定义的字符串
*/
private static final String SUBJECT = "*******";
/**
* 根据用户信息,生成令牌 token
* @param user
* @return
*/
public static String genJsonWebToken(User user){
String token = Jwts.builder().setSubject(SUBJECT)
.claim("head_img",user.getHeadImg())
.claim("id",user.getId())
.claim("name",user.getName())
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
.signWith(SignatureAlgorithm.HS256,SECRET).compact();
token = TOKEN_PREFIX + token;
return token;
}
/**
* 校验token的方法
* @param token
* @return
*/
public static Claims checkJWT(String token){
try{
final Claims claims = Jwts.parser().setSigningKey(SECRET)
.parseClaimsJws(token.replace(TOKEN_PREFIX,"")).getBody();
return claims;
}catch (Exception e){
return null;
}
}
}
测试util工具类
测试功能1:Login
- 根据实际业务需求,实现用户login登录,若用户登录成功,返回一个token,若失败,则提醒用户,输入的用户名或者密码错误
service
/**
* 注册
* @param root
* @param pwd
* @return
*/
String login(String root, String pwd);
impl
/**
* 登录
* @param phone
* @param pwd
* @return
*/
@Override
public String login(String phone, String pwd) {
//根据前端传过来的用户值查询表返回密码值
User user= userMapper.login(phone,CommonUtils.MD5(pwd));
if (user != null){
//生成token令牌发给前端保存
String token = JWTUtils.genJsonWebToken(user);
return token;
}else {
return null;
}
}
controller
/**
* 用户登录接口开发
* @param loginRequest
* @return
*/
@RequestMapping("login")
public JsonData login(@RequestBody LoginRequest loginRequest){
//登录验证,验证成功生成token返回
String token = userService.login(loginRequest.getPhone(),loginRequest.getPwd());
return token ==null?JsonData.buildError("账号或密码错误,请重新登录"):JsonData.buildSuccess(token);
}
测试功能2:select_by_token
- 通过前端传来的token值,查询用户个人信息
- 此处的重点在于前端传来的token值,后端解密获取用户id或者用户名,根据这些条件查询用户信息(发生在controller)
service
/**
* 查询用户信息
* @param userId
* @return
*/
User findByUserId(Integer userId);
impl
/**
* 根据前端传token,获取个人id,查询个人信息
* @param userId
* @return
*/
@Override
public User findByUserId(Integer userId) {
return userMapper.findByUserId(userId);
}
controller
/**
* 根据前端传token,获取个人id,查询个人信息
*/
@RequestMapping("find_by_token")
public JsonData findByUserToken(HttpServletRequest request){
Integer userId = (Integer)request.getAttribute("user_id");
if(userId ==null){
return JsonData.buildError("查询失败");
}
User user =userService.findByUserId(userId);
return JsonData.buildSuccess(user);
}
思考???
- 为什么前端发送请求的时候,需要使用HttpServletRequest request去接受请求对象呢???
- 还有为什么可以直接从request域中直接取出"user_id"呢?
提示: 思考中的东西涉及拦截器的概念,所有的未被放行的请求都是经过拦截器的.在请求发送给服务端后,拦截器做出拦截,将数据处理,解析生成controller层需要的数据.所以在这里拦截器就已经把token进行解密,将用户id或者用户信息放进request中…
后面可能再写一篇关于拦截器的实现功能…看起来比较简单,因为博主是个菜鸟,所以博文凑合看吧,若有写的不对的地方,敬请指出.谢谢