JJWT 介绍百度,现在贴代码
依赖包:第一个是jjwt包,后面三个包是json的包,没有的话会报错,还需要用到ssm关联的包,可以自行百度
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.6.0</version>
</dependency>
<dependency>
<groupId>com.fasterxml.jackson.core</groupId>
<artifactId>jackson-core</artifactId>
<version>2.7.4</version>
</dependency>
<dependency>
<groupId>com.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
<version>2.7.4</version>
</dependency>
<dependency>
<groupId>com.fasterxml.jackson.core</groupId>
<artifactId>jackson-annotations</artifactId>
<version>2.7.4</version>
</dependency>
配置文件:主要是拦截器的配置,拦截除了登录请求的所有请求(测试而已)
<mvc:interceptors>
<!-- 使用bean定义一个Interceptor,直接定义在mvc:interceptors根下面的Interceptor将拦截所有的请求 -->
<!-- <bean class="com.bybo.aca.web.interceptor.Login"/> -->
<mvc:interceptor>
<!-- 进行拦截:/**表示拦截所有controller -->
<mvc:mapping path="/**" />
<!-- 不进行拦截 -->
<mvc:exclude-mapping path="/test/login" />
<bean class="com.creator.interceptor.JWTInterceptor" />
</mvc:interceptor>
</mvc:interceptors>
拦截器代码:
public class JWTInterceptor implements HandlerInterceptor {
public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)
throws Exception {
// TODO Auto-generated method stub
}
public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, ModelAndView arg3)
throws Exception {
// TODO Auto-generated method stub
}
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object arg2) {
// TODO Auto-generated method stub
JWTUtils util = new JWTUtils();
String jwt = request.getHeader("Authorization");
try {
if (jwt == null) {
System.out.println("用户未登录,验证失败");
} else {
Claims c;
c = util.parseJWT(jwt);
System.out.println("用户id" + c.get("user_id") + "已是登录状态");
return true;
}
System.out.println("token解析错误,验证失败");
response.getWriter().write("未登录,请重新登录后操作");;
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
return false;
}
}
拦截器以及生成和解析jwt的工具类JWTUtils:
public String createJWT(String id, String subject, long ttlMillis,Map<String, Object> claims) throws Exception {
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; // 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。
long nowMillis = System.currentTimeMillis();// 生成JWT的时间
Date now = new Date(nowMillis);
SecretKey key = generalKey();
// 下面就是在为payload添加各种标准声明和私有声明了
JwtBuilder builder = Jwts.builder() // 这里其实就是new一个JwtBuilder,设置jwt的body
.setClaims(claims) // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
.setId(id) // 设置jti(JWT
// ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。
.setIssuedAt(now) // iat: jwt的签发时间
.setSubject(subject) // sub(Subject):代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可以存放什么userid,roldid之类的,作为什么用户的唯一标志。
.signWith(signatureAlgorithm, key);// 设置签名使用的签名算法和签名使用的秘钥
if (ttlMillis >= 0) {
long expMillis = nowMillis + ttlMillis;
Date exp = new Date(expMillis);
builder.setExpiration(exp); // 设置过期时间
}
return builder.compact(); // 就开始压缩为xxxxxxxxxxxxxx.xxxxxxxxxxxxxxx.xxxxxxxxxxxxx这样的jwt
}
/**
* 解密jwt
*
* @param jwt
* @return
* @throws Exception
*/
public Claims parseJWT(String jwt) throws Exception {
SecretKey key = generalKey(); // 签名秘钥,和生成的签名的秘钥一模一样
Claims claims = Jwts.parser() // 得到DefaultJwtParser
.setSigningKey(key) // 设置签名的秘钥
.parseClaimsJws(jwt).getBody();// 设置需要解析的jwt
return claims;
}
/**
* 由字符串生成加密key
*
* @return
*/
public SecretKey generalKey() {
PropertiesUtils propertiesUtils = new PropertiesUtils();
byte[] encodedKey = Base64.decodeBase64(propertiesUtils.getUrlValue("secret", "secret"));// 本地的密码解码
SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");// 根据给定的字节数组使用AES加密算法构造一个密钥,使用
return key;
}
读取resource中配置文件工具类:
public String getUrlValue(String urlName,String properName) {
String url = null;
Properties prop = new Properties();
try {
ClassLoader classLoader = PropertiesUtils.class.getClassLoader();// 读取属性文件xxxxx.properties
InputStream in = classLoader.getResourceAsStream(properName+".properties");
prop.load(in); /// 加载属性列表
Iterator<String> it = prop.stringPropertyNames().iterator();
while (it.hasNext()) {
if (it.next().equals(urlName)) {
url = prop.getProperty(urlName);
}
}
in.close();
} catch (Exception e) {
}
return url;
}
主要工作完了,测试开始:
登录实体类:
数据库:
controller:
@Controller
@RequestMapping("test")
public class TestController {
@Autowired
@Qualifier("testService")
private ITestService testService;
@RequestMapping(value="/go",method=RequestMethod.GET)
@ResponseBody
public String test(){
System.out.println("成功进入controller");
return "now doing something";
}
@RequestMapping(value="/login",method=RequestMethod.POST)
@ResponseBody
public String login(HttpServletRequest request){
String username = request.getParameter("username");
String password = request.getParameter("password");
return testService.login(new UserLogin(username,password));
}
}
service:
public String login(UserLogin userLogin){
UserLogin result = userLoginMapper.selectByUserLogin(userLogin);
if(result == null){
return null;
}else {
//登录成功 设置jwt
JWTUtils util = new JWTUtils();
//设置信息
Map<String, Object> payload = new HashMap<String, Object>();
payload.put("user_id", result.getUserId());
try {
String jwt =util.createJWT("jwt", "", 600000,payload);
return jwt;
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
return null;
}
}
开始访问测试一下,如果没登录,会被拦截器拦截,并返回“提示信息”。
如果验证通过则显示“now doing something”
(postman)直接访问一个需要登录后才能访问api:
现在模拟登录一下,获得jwt,然后携带jwt再次访问这个api:
登录:
复制返回的jwt字符串,在下次访问的header中添加,再次访问test/go,可以看到正确返回了信息