1、传统Session认证

1.1 认证过程

  1. 用户向服务器发送用户名和密码。
  2. 服务器验证后在当前对话(session)保存相关数据。
  3. 服务器向返回sessionId,写入客户端 Cookie。
  4. 客户端每次请求,需要通过 Cookie,将 sessionId 回传服务器。
  5. 服务器收到 sessionId,验证客户端。

1.2 存在问题

  1. session保存在服务端,客户端访问高并发时,服务端压力大。
  2. 扩展性差,服务器集群,就需要 session 数据共享。

2、JWT简介

JWT(全称:JSON Web Token),在基于HTTP通信过程中,进行身份认证。

2.1 认证流程

  1. 客户端通过用户名和密码登录服务器;
  2. 服务端对客户端身份进行验证;
  3. 服务器认证以后,生成一个 JSON 对象,发回客户端;
  4. 客户端与服务端通信的时候,都要发回这个 JSON 对象;
  5. 服务端解析该JSON对象,获取用户身份;
  6. 服务端可以不必存储该JSON(Token)对象,身份信息都可以解析出来。

2.2 JWT结构说明

抓一只鲜活的Token过来。

{

    "msg": "验证成功",

    "code": 200,

    "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.

              eyJzdWIiOiJhZG1pbiIsImlhdCI6iZEIj3fQ.

              uEJSJagJf1j7A55Wwr1bGsB5YQoAyz5rbFtF"

}

上面的Token被手动格式化了,实际上是用"."分隔的一个完整的长字符串。

JWT结构

  1. 头部(header) 声明类型以及加密算法;
  2. 负载(payload) 携带一些用户身份信息;
  3. 签名(signature) 签名信息。

2.3 JWT使用方式

通常推荐的做法是客户端在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer <token>

服务端获取JWT方式

String token = request.getHeader("token");

3、SpringBoot2整合JWT

3.1 核心依赖文件

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt</artifactId>

    <version>0.7.0</version>

</dependency>

3.2 配置文件

server:

  port: 7009

spring:

  application:

    name: ware-jwt-token

config:

  jwt:

    # 加密密钥

    secret: iwqjhda8232bjgh432[cicada-smile]

    # token有效时长

    expire: 3600

    # header 名称

    header: token

3.3 JWT配置代码块

@ConfigurationProperties(prefix = "config.jwt")

@Component

public class JwtConfig {

    /*

     * 根据身份ID标识,生成Token

     */

    public String getToken (String identityId){

        Date nowDate = new Date();

        //过期时间

        Date expireDate = new Date(nowDate.getTime() + expire * 1000);

        return Jwts.builder()

                .setHeaderParam("typ", "JWT")

                .setSubject(identityId)

                .setIssuedAt(nowDate)

                .setExpiration(expireDate)

                .signWith(SignatureAlgorithm.HS512, secret)

                .compact();

    }

    /*

     * 获取 Token 中注册信息

     */

    public Claims getTokenClaim (String token) {

        try {

            return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();

        }catch (Exception e){

            e.printStackTrace();

            return null;

        }

    }

    /*

     * Token 是否过期验证

     */

    public boolean isTokenExpired (Date expirationTime) {

        return expirationTime.before(new Date());

    }

    private String secret;

    private long expire;

    private String header;

    // 省略 GET 和 SET

}

4、Token拦截案例

4.1 配置Token拦截器

@Component

public class TokenInterceptor extends HandlerInterceptorAdapter {

    @Resource

    private JwtConfig jwtConfig ;

    @Override

    public boolean preHandle(HttpServletRequest request,

                             HttpServletResponse response,

                             Object handler) throws Exception {

        // 地址过滤

        String uri = request.getRequestURI() ;

        if (uri.contains("/login")){

            return true ;

        }

        // Token 验证

        String token = request.getHeader(jwtConfig.getHeader());

        if(StringUtils.isEmpty(token)){

            token = request.getParameter(jwtConfig.getHeader());

        }

        if(StringUtils.isEmpty(token)){

            throw new Exception(jwtConfig.getHeader()+ "不能为空");

        }

        Claims claims = jwtConfig.getTokenClaim(token);

        if(claims == null || jwtConfig.isTokenExpired(claims.getExpiration())){

            throw new Exception(jwtConfig.getHeader() + "失效,请重新登录");

        }

        //设置 identityId 用户身份ID

        request.setAttribute("identityId", claims.getSubject());

        return true;

    }

}

4.2 拦截器注册

@Configuration

public class WebConfig implements WebMvcConfigurer {

    @Resource

    private TokenInterceptor tokenInterceptor ;

    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(tokenInterceptor).addPathPatterns("/**");

    }

}

4.3 测试接口代码

@RestController

public class TokenController {

    @Resource

    private JwtConfig jwtConfig ;

    // 拦截器直接放行,返回Token

    @PostMapping("/login")

    public Map<String,String> login (@RequestParam("userName") String userName,

                                     @RequestParam("passWord") String passWord){

        Map<String,String> result = new HashMap<>() ;

        // 省略数据源校验

        String token = jwtConfig.getToken(userName+passWord) ;

        if (!StringUtils.isEmpty(token)) {

            result.put("token",token) ;

        }

        result.put("userName",userName) ;

        return result ;

    }

    // 需要 Token 验证的接口

    @PostMapping("/info")

    public String info (){

        return "info" ;

    }

}

(十)整合 JWT 框架,解决Token跨域验证问题的更多相关文章

  1. SpringBoot2.0 整合 JWT 框架,解决Token跨域验证问题

    本文源码:GitHub·点这里 || GitEE·点这里 一.传统Session认证 1.认证过程 1.用户向服务器发送用户名和密码. 2.服务器验证后在当前对话(session)保存相关数据. 3. ...

  2. CP="CAO PSA OUR" 用P3P header解决iframe跨域访问cookie

    1.IE浏览器iframe跨域丢失Session问题 在开发中,我们经常会遇到使用Frame来工作,而且有时是为了跟其他网站集成,应用到多域的情况下,而Iframe是不能保存Session的因此,网上 ...

  3. 说说JSON和JSONP,浅析JSONP解决AJAX跨域问题

    说到AJAX就会不可避免的面临两个问题,第一个是AJAX以何种格式来交换数据?第二个是跨域的需求如何解决?这两个问题目前都有不同的解决方案,比如数据可以用自定义字符串或者用XML来描述,跨域可以通过服 ...

  4. 点击<a>页面跳转解决办法/跨域请求,JSONP

    有些时候做的东西刚好要用到链接,但又不需要去链接,只需要对onclick事件进行处理,但它却这样子写 <a href="#" onclick="gettext()& ...

  5. 解决ajax跨域访问sessionid不一致问题

    根据浏览器的保护规则,跨域的时候我们创建的sessionId是不会被浏览器保存下来的,这样,当我们在进行跨域访问的时候,我们的sessionId就不会被保存下来,也就是说,每一次的请求,服务器就会以为 ...

  6. JSON和JSONP,浅析JSONP解决AJAX跨域问题

    说到AJAX就会不可避免的面临两个问题,第一个是AJAX以何种格式来交换数据?第二个是跨域的需求如何解决?这两个问题目前都有不同的解决方案,比如数据可以用自定义字符串或者用XML来描述,跨域可以通过服 ...

  7. 解决浏览器跨域限制方案之CORS

    一.什么是CORS CORS是解决浏览器跨域限制的W3C标准,详见:https://www.w3.org/TR/cors/. 根据CORS标准的定义,在浏览器中访问跨域资源时,需要做如下实现: 服务端 ...

  8. Webpack代理proxy配置,解决本地跨域调试问题,同时允许绑定host域名调试

    Webpack代理proxy配置,解决本地跨域调试问题,同时允许绑定host域名调试 会撸码的小马 关注 2018.05.29 17:30* 字数 212 阅读 1488评论 0喜欢 2 接到上一章, ...

  9. springboot+vue2.x 解决session跨域失效问题

    服务端SpringBoot2.x   :localhost:8082 前端Vue2.x                 :localhost:81 前后端的端口号不同,为跨域,导致前端访问后端时,每次 ...

随机推荐

  1. Qt学习笔记-Qt-4.8.6+phonon+mplayer

    首先,用phonon播放音乐时,可以使用mplayer.首先,你的设备上需要安装一个mplayer并测试能用. 然后安装后端播放插件. 我用的是网上找的phonon-mplayer. 按照网上的方法, ...

  2. psql: could not connect to server: No such file or directory

    postgresql报错: psql: could not connect to server: No such file or directory         Is the server run ...

  3. 有哪些适合个人开发的微信小程序

    微信小程序提供了一个简单.高效的应用开发框架和丰富的组件及API,帮助开发者在微信中开发具有原生 APP 体验的服务. 微信小程序支持采用云开发模式,无需后台服务,十分的方便快捷,适合个人开发一些工具 ...

  4. 【Azure Developer】使用Postman获取Azure AD中注册应用程序的授权Token,及为Azure REST API设置Authorization

    Azure Active Directory (Azure AD) is Microsoft's cloud-based identity and access management service, ...

  5. 浅谈JVM垃圾回收

    JVM内存区域 要想搞懂啊垃圾回收机制,首先就要知道垃圾回收主要回收的是哪些数据,这些数据主要在哪一块区域. Java8和Java8之前的相同点有很多. 都有虚拟机栈,本地方法栈,程序计数器,这三个是 ...

  6. Java 基于 mysql-connector-java 编写一个 JDBC 工具类

    用到的 jar 包 jar包地址: mysql-connector-java-5.1.47.jar junit-4.13.jar Maven: <!-- mysql驱动 --> <d ...

  7. 【MySQL】DDL数据定义语言的基本用法create、drop和alter(增删改)

    DDL 的基础语法 文章目录 DDL 的基础语法 对数据库进行定义 对数据表进行定义 创建表结构(数据表) 设计工具 修改表结构 小结 参考资料 简单复习一波 SQL必知必会 DDL 的英文全称是 D ...

  8. 安装sendmail

    yum install -y sendmail yum install -y sendmail-cf 启动 service sendmail start 发送邮件 cat nihao.txt |mai ...

  9. 【ORA】ORA-27101快速处理方法

    今天朋友的数据库出了问题,报错如下: 这个问题主要是是spfile和pfile文件不一致导致的, 生成一个pfile,完了用pfile启动数据库即可 SQL> create pfile '/ho ...

  10. Upload - Labs (上)

    Pass - 01: 1.尝试上传一个php文件:aaa.php,发现只允许上传某些图片类型,用bp抓包,发现http请求都没通过burp就弹出了不允许上传的提示框,这表明验证点在前端,而不在服务端 ...