1、传统Session认证

1.1 认证过程

  1. 用户向服务器发送用户名和密码。
  2. 服务器验证后在当前对话(session)保存相关数据。
  3. 服务器向返回sessionId,写入客户端 Cookie。
  4. 客户端每次请求,需要通过 Cookie,将 sessionId 回传服务器。
  5. 服务器收到 sessionId,验证客户端。

1.2 存在问题

  1. session保存在服务端,客户端访问高并发时,服务端压力大。
  2. 扩展性差,服务器集群,就需要 session 数据共享。

2、JWT简介

JWT(全称:JSON Web Token),在基于HTTP通信过程中,进行身份认证。

2.1 认证流程

  1. 客户端通过用户名和密码登录服务器;
  2. 服务端对客户端身份进行验证;
  3. 服务器认证以后,生成一个 JSON 对象,发回客户端;
  4. 客户端与服务端通信的时候,都要发回这个 JSON 对象;
  5. 服务端解析该JSON对象,获取用户身份;
  6. 服务端可以不必存储该JSON(Token)对象,身份信息都可以解析出来。

2.2 JWT结构说明

抓一只鲜活的Token过来。

  1. {
  2.     "msg": "验证成功",
  3.     "code": 200,
  4.     "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.
  5.               eyJzdWIiOiJhZG1pbiIsImlhdCI6iZEIj3fQ.
  6.               uEJSJagJf1j7A55Wwr1bGsB5YQoAyz5rbFtF"
  7. }

上面的Token被手动格式化了,实际上是用"."分隔的一个完整的长字符串。

JWT结构

  1. 头部(header) 声明类型以及加密算法;
  2. 负载(payload) 携带一些用户身份信息;
  3. 签名(signature) 签名信息。

2.3 JWT使用方式

通常推荐的做法是客户端在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer <token>

服务端获取JWT方式

String token = request.getHeader("token");

3、SpringBoot2整合JWT

3.1 核心依赖文件

  1. <dependency>
  2.     <groupId>io.jsonwebtoken</groupId>
  3.     <artifactId>jjwt</artifactId>
  4.     <version>0.7.0</version>
  5. </dependency>

3.2 配置文件

  1. server:
  2.   port: 7009
  3. spring:
  4.   application:
  5.     name: ware-jwt-token
  6. config:
  7.   jwt:
  8.     # 加密密钥
  9.     secret: iwqjhda8232bjgh432[cicada-smile]
  10.     # token有效时长
  11.     expire: 3600
  12.     # header 名称
  13.     header: token

3.3 JWT配置代码块

  1. @ConfigurationProperties(prefix = "config.jwt")
  2. @Component
  3. public class JwtConfig {
  4.     /*
  5.      * 根据身份ID标识,生成Token
  6.      */
  7.     public String getToken (String identityId){
  8.         Date nowDate = new Date();
  9.         //过期时间
  10.         Date expireDate = new Date(nowDate.getTime() + expire * 1000);
  11.         return Jwts.builder()
  12.                 .setHeaderParam("typ", "JWT")
  13.                 .setSubject(identityId)
  14.                 .setIssuedAt(nowDate)
  15.                 .setExpiration(expireDate)
  16.                 .signWith(SignatureAlgorithm.HS512, secret)
  17.                 .compact();
  18.     }
  19.     /*
  20.      * 获取 Token 中注册信息
  21.      */
  22.     public Claims getTokenClaim (String token) {
  23.         try {
  24.             return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
  25.         }catch (Exception e){
  26.             e.printStackTrace();
  27.             return null;
  28.         }
  29.     }
  30.     /*
  31.      * Token 是否过期验证
  32.      */
  33.     public boolean isTokenExpired (Date expirationTime) {
  34.         return expirationTime.before(new Date());
  35.     }
  36.     private String secret;
  37.     private long expire;
  38.     private String header;
  39.     // 省略 GET 和 SET
  40. }

4、Token拦截案例

4.1 配置Token拦截器

  1. @Component
  2. public class TokenInterceptor extends HandlerInterceptorAdapter {
  3.     @Resource
  4.     private JwtConfig jwtConfig ;
  5.     @Override
  6.     public boolean preHandle(HttpServletRequest request,
  7.                              HttpServletResponse response,
  8.                              Object handler) throws Exception {
  9.         // 地址过滤
  10.         String uri = request.getRequestURI() ;
  11.         if (uri.contains("/login")){
  12.             return true ;
  13.         }
  14.         // Token 验证
  15.         String token = request.getHeader(jwtConfig.getHeader());
  16.         if(StringUtils.isEmpty(token)){
  17.             token = request.getParameter(jwtConfig.getHeader());
  18.         }
  19.         if(StringUtils.isEmpty(token)){
  20.             throw new Exception(jwtConfig.getHeader()+ "不能为空");
  21.         }
  22.         Claims claims = jwtConfig.getTokenClaim(token);
  23.         if(claims == null || jwtConfig.isTokenExpired(claims.getExpiration())){
  24.             throw new Exception(jwtConfig.getHeader() + "失效,请重新登录");
  25.         }
  26.         //设置 identityId 用户身份ID
  27.         request.setAttribute("identityId", claims.getSubject());
  28.         return true;
  29.     }
  30. }

4.2 拦截器注册

  1. @Configuration
  2. public class WebConfig implements WebMvcConfigurer {
  3.     @Resource
  4.     private TokenInterceptor tokenInterceptor ;
  5.     public void addInterceptors(InterceptorRegistry registry) {
  6.         registry.addInterceptor(tokenInterceptor).addPathPatterns("/**");
  7.     }
  8. }

4.3 测试接口代码

  1. @RestController
  2. public class TokenController {
  3.     @Resource
  4.     private JwtConfig jwtConfig ;
  5.     // 拦截器直接放行,返回Token
  6.     @PostMapping("/login")
  7.     public Map<String,String> login (@RequestParam("userName") String userName,
  8.                                      @RequestParam("passWord") String passWord){
  9.         Map<String,String> result = new HashMap<>() ;
  10.         // 省略数据源校验
  11.         String token = jwtConfig.getToken(userName+passWord) ;
  12.         if (!StringUtils.isEmpty(token)) {
  13.             result.put("token",token) ;
  14.         }
  15.         result.put("userName",userName) ;
  16.         return result ;
  17.     }
  18.     // 需要 Token 验证的接口
  19.     @PostMapping("/info")
  20.     public String info (){
  21.         return "info" ;
  22.     }
  23. }

(十)整合 JWT 框架,解决Token跨域验证问题的更多相关文章

  1. SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题

    本文源码:GitHub·点这里 || GitEE·点这里 一.传统Session认证 1.认证过程 1.用户向服务器发送用户名和密码. 2.服务器验证后在当前对话(session)保存相关数据. 3. ...

  2. CP="CAO PSA OUR" 用P3P header解决iframe跨域访问cookie

    1.IE浏览器iframe跨域丢失Session问题 在开发中,我们经常会遇到使用Frame来工作,而且有时是为了跟其他网站集成,应用到多域的情况下,而Iframe是不能保存Session的因此,网上 ...

  3. 说说JSON和JSONP,浅析JSONP解决AJAX跨域问题

    说到AJAX就会不可避免的面临两个问题,第一个是AJAX以何种格式来交换数据?第二个是跨域的需求如何解决?这两个问题目前都有不同的解决方案,比如数据可以用自定义字符串或者用XML来描述,跨域可以通过服 ...

  4. 点击<a>页面跳转解决办法/跨域请求,JSONP

    有些时候做的东西刚好要用到链接,但又不需要去链接,只需要对onclick事件进行处理,但它却这样子写 <a href="#" onclick="gettext()& ...

  5. 解决ajax跨域访问sessionid不一致问题

    根据浏览器的保护规则,跨域的时候我们创建的sessionId是不会被浏览器保存下来的,这样,当我们在进行跨域访问的时候,我们的sessionId就不会被保存下来,也就是说,每一次的请求,服务器就会以为 ...

  6. JSON和JSONP,浅析JSONP解决AJAX跨域问题

    说到AJAX就会不可避免的面临两个问题,第一个是AJAX以何种格式来交换数据?第二个是跨域的需求如何解决?这两个问题目前都有不同的解决方案,比如数据可以用自定义字符串或者用XML来描述,跨域可以通过服 ...

  7. 解决浏览器跨域限制方案之CORS

    一.什么是CORS CORS是解决浏览器跨域限制的W3C标准,详见:https://www.w3.org/TR/cors/. 根据CORS标准的定义,在浏览器中访问跨域资源时,需要做如下实现: 服务端 ...

  8. Webpack代理proxy配置,解决本地跨域调试问题,同时允许绑定host域名调试

    Webpack代理proxy配置,解决本地跨域调试问题,同时允许绑定host域名调试 会撸码的小马 关注 2018.05.29 17:30* 字数 212 阅读 1488评论 0喜欢 2 接到上一章, ...

  9. springboot+vue2.x 解决session跨域失效问题

    服务端SpringBoot2.x   :localhost:8082 前端Vue2.x                 :localhost:81 前后端的端口号不同,为跨域,导致前端访问后端时,每次 ...

随机推荐

  1. Daphile FAQ -- 官方文档译文 [原创]

    Daphile FAQ 英文原文:https://www.daphile.com/download/FAQ.txt 采集日期:2021-01-03 常见问题解答:(FAQ) Q1:没有声音.Daphi ...

  2. IDEA关联mysql失败Server returns invalid timezone. Go to 'Advanced' tab and set 'serverTimezon'

    时区错误,MySQL默认的时区是UTC时区 要修改mysql的时长 在mysql的命令模式下,输入: set global time_zone='+8:00'; 再次连接成功

  3. ASP.Net Core 3.1 使用实时应用SignalR入门

    参考文章:微软官方文档:https://docs.microsoft.com/zh-cn/aspnet/core/signalr/introduction?view=aspnetcore-3.1 和 ...

  4. CentOS8设置网络镜像安装源

    CentOS8通过引导盘+网络镜像镜像源安装系统,设置网络镜像安装源为: mirrors.aliyun.com/centos/8/BaseOS/x86_64/os

  5. 使用ImmutableMap简化语句

    项目实战 最近接了一个出行权益的需求,回调的状态有十几种,需要转换为进行中,取消,已完成几种状态进行订单状态的展示,使用ImmutableMap可以简化语句,替代使用if-else 语句或者switc ...

  6. 浅谈TypeScript,配置文件以及数据类型

    TypeScript在javaScript基础上多了一些拓展特性,多出来的是一些类型系统以及对ES6新特性的支持最终会编译成原始的javaScript, 文件名以.ts结尾,编译过后.js结尾,在an ...

  7. 【MyBatis】MyBatis 入门

    MyBatis 入门 文章源码 软件框架 软件框架伴随着软件工程的发展而出现,所谓的软件框架,是提取了特定领域的软件的共性部分所形成的软件体系,它并不是一个成熟的软件,更像是一个半成品.开发者在框架之 ...

  8. MBAir下安装httprunner2.5.7 har2case 出现zsh: command not found解决方案

    MBAir下python3.8安装httprunner2.5.7 出现zsh: command not found find / -name hrun查找到路径为: /Users/w550856/Li ...

  9. RandomForest 随机森林算法与模型参数的调优

    公号:码农充电站pro 主页:https://codeshellme.github.io 本篇文章来介绍随机森林(RandomForest)算法. 1,集成算法之 bagging 算法 在前边的文章& ...

  10. 【Linux】在文件的指定位置插入数据

    今天遇到一个似乎很棘手的问题,要在文件的中间,插入几条配置 这里就以my.cnf这个文件为例 1 [mysqld] 2 datadir=/var/lib/mysql 3 socket=/var/lib ...