在前后端開發(fā)時(shí)為什么需要用戶認(rèn)證呢？原因是由于HTTP協(xié)定是不存儲(chǔ)狀態(tài)的，這意味著當(dāng)我們透過(guò)賬號(hào)密碼驗(yàn)證一個(gè)使用者時(shí)，當(dāng)下一個(gè)request請(qǐng)求時(shí)他就把剛剛的資料忘記了。于是我們的程序就不知道誰(shuí)是誰(shuí)了。 所以為了保證系統(tǒng)的安全，就需要驗(yàn)證用戶是否處于登陸狀態(tài)。

一、JWT的組成

JWT由Header、Payload、Signature三部分組成，分別用.分隔。

下面就是一個(gè)jwt真實(shí)的樣子，說(shuō)白了就是一個(gè)字符串，但是里面卻存儲(chǔ)了很重要的信息。

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJyYXljaGVuIiwiaWQiOjIsIm5hbWUiOiJyYXkiLCJwYXNzd29yZCI6IjMyMSIsImlhdCI6MTU5MDI5OTU0OCwiZXhwIjoxNTkwMzg1OTQ4fQ.ORJNldDIfffg7D3_xu0_dBWb16y4fPLtw_r6qgScFpQ

Header：

第一部分是請(qǐng)求頭由兩部分組成，alg與typ,第一個(gè)指定的是算法，第二指定的是類型。

Payload

第二部分是主體信息組成,用來(lái)存儲(chǔ)JWT基本信息，或者是我們的信息。

Signature

第三部分主要是給第一部分跟第二部進(jìn)行簽名使用的,用來(lái)驗(yàn)證是否是我們服務(wù)器發(fā)起的Token，secret是我們的密鑰。

二、在springboot項(xiàng)目中使用jwt做驗(yàn)證

具體流程：

把用戶的用戶名和密碼發(fā)到后端 后端進(jìn)行校驗(yàn)，校驗(yàn)成功會(huì)生成token, 把token發(fā)送給客戶端 客戶端自己保存token, 再次請(qǐng)求就要在Http協(xié)議的請(qǐng)求頭中帶著token去訪問(wèn)服務(wù)端，和在服務(wù)端保存的token信息進(jìn)行比對(duì)校驗(yàn)。

1.先引入jar包

<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version></dependency>

2.使用工具類生成token和驗(yàn)證token（生成token方法中存入了用戶的信息）

public class JwtUtils { //發(fā)行者 public static final String SUBJECT='raychen'; //過(guò)期時(shí)間 一天 public static final long EXPIRE=1000*60*60*24; //密鑰 public static final String APPSECRET='raychen11'; /** * 生成jwt * @param user * @return */ public static String geneJsonWebToken(User user){ if(user==null || user.getId()==null || user.getName()==null || user.getPassword()==null){ return null; } String token=Jwts.builder().setSubject(SUBJECT).claim('id',user.getId()).claim('name',user.getName()).claim('password',user.getPassword()).setIssuedAt(new Date()).setExpiration(new Date(System.currentTimeMillis()+EXPIRE)).signWith(SignatureAlgorithm.HS256,APPSECRET).compact(); return token; } /** * 校驗(yàn)token * @param token * @return */ public static Claims checkJWT(String token){ //仿造的token或者已過(guò)期就會(huì)報(bào)錯(cuò) try { final Claims claims=Jwts.parser().setSigningKey(APPSECRET).parseClaimsJws(token).getBody(); return claims; }catch (Exception e){ System.out.println('catch...'); } return null; }}

3.自定義注解（進(jìn)行token驗(yàn)證）

@Target({ElementType.METHOD, ElementType.TYPE})@Retention(RetentionPolicy.RUNTIME)public @interface CheckToken { boolean required() default true;}

4.編寫config，將后臺(tái)所有請(qǐng)求先去攔截器（攔截器返回了true，用戶才可以請(qǐng)求到接口）

@Configurationpublic class InterceptorConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(authenticationInterceptor()).addPathPatterns('/**'); // 攔截所有請(qǐng)求，通過(guò)判斷是否有 @LoginRequired 注解 決定是否需要登錄 } @Bean public AuthenticationInterceptor authenticationInterceptor() { return new AuthenticationInterceptor(); }}

5.定義攔截器（對(duì)需要token驗(yàn)證的請(qǐng)求，進(jìn)行驗(yàn)證，驗(yàn)證成功返回true，失敗返回false無(wú)法請(qǐng)求到接口）

public class AuthenticationInterceptor implements HandlerInterceptor { public static final Gson gson=new Gson(); /** * 進(jìn)入controller之前進(jìn)行攔截 * @param request * @param response * @param object * @return */ @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception { // 如果不是映射到方法直接通過(guò) if (!(object instanceof HandlerMethod)) { return true; } HandlerMethod handlerMethod = (HandlerMethod) object; Method method = handlerMethod.getMethod(); //檢查是否有LoginToken注釋，有則跳過(guò)認(rèn)證 if (method.isAnnotationPresent(LoginToken.class)) { LoginToken loginToken = method.getAnnotation(LoginToken.class); if (loginToken.required()) {return true; } } //前面是不需要token驗(yàn)證的 從 http 請(qǐng)求頭中取出 token String token = request.getHeader('token'); //檢查有沒(méi)有需要用戶權(quán)限的注解 if (method.isAnnotationPresent(CheckToken.class)) { CheckToken checkToken = method.getAnnotation(CheckToken.class); if (checkToken.required()) {if(token!=null){ Claims claims= JwtUtils.checkJWT(token); if(null==claims){ sendJsonMessage(response, JsonData.buildError('token有誤')); return false; } Integer userId= (Integer) claims.get('id'); String name = (String) claims.get('name'); request.setAttribute('userId',userId); request.setAttribute('name',name); return true;}//token為null的話 返回一段json給前端sendJsonMessage(response, JsonData.buildError('請(qǐng)登錄'));return false; } } //沒(méi)有使用注解的方法 直接返回true return true; } /** * 響應(yīng)數(shù)據(jù)給前端 * @param response * @param obj * @throws IOException */ public static void sendJsonMessage (HttpServletResponse response, Object obj) throws IOException { response.setContentType('application/json; charset=utf-8'); PrintWriter writer = response.getWriter(); writer.print(gson.toJson(obj)); writer.close(); response.flushBuffer(); }}

用戶登錄成功后，使用工具類生成token。token在服務(wù)端不做存儲(chǔ)，直接將token返回給客戶端，客戶端下次請(qǐng)求服務(wù)端時(shí)，使用工具類來(lái)驗(yàn)證header里的token是否合法。

總結(jié)

到此這篇關(guān)于SpringBoot使用Jwt處理跨域認(rèn)證問(wèn)題的文章就介紹到這了,更多相關(guān)SpringBoot處理跨域認(rèn)證內(nèi)容請(qǐng)搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)！