**1. 封装 token 工具**
```java
public class JwtUtils {
/**
* token有效期,单位ms。
* 60 * 60 *1000 一个小时
*/
public static final Long JWT_TTL = 3600000L;
/**
* 秘钥明文
*/
public static final String JWT_KEY = "itcast";
/**
* 创建token
*
* @param id: token唯一ID
* @param subject: token主题,任意字符串
* @param ttlMs: token过期时间
* @return
*/
public static String createJWT(String id, String subject, Long ttlMs) {
long nowMs = System.currentTimeMillis();
if (ttlMs == null) {
ttlMs = JWT_TTL;
}
JwtBuilder builder = Jwts.builder()
//唯一的ID
.setId(id)
//主题,可以是JSON数据
.setSubject(subject)
//签发者
.setIssuer("admin")
//签发时间
.setIssuedAt(new Date(nowMs))
//使用HS256对称加密算法签名, 第二个参数为秘钥
.signWith(SignatureAlgorithm.HS256, generalKey())
//设置过期时间
.setExpiration(new Date(nowMs + ttlMs));
return builder.compact();
}
/**
* 生成加密后的秘钥
*/
public static SecretKey generalKey() {
byte[] encodedKey = Base64.getDecoder().decode(JWT_KEY);
SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
return key;
}
/**
* 密码加密
*/
public static String hashpw(String password) {
String gensalt = BCrypt.gensalt();
return BCrypt.hashpw(password, gensalt);
}
/**
* 密码验证
*/
public static boolean checkpw(String password, String hashpw) {
boolean checkpw = BCrypt.checkpw(password, hashpw);
return checkpw;
}
/**
* 解析token
*/
public static Claims parseToken(String token) {
return Jwts.parser()
.setSigningKey(generalKey())
.parseClaimsJws(token)
.getBody();
}
}
```
**2. 登录成功后签发 token**
```java
@RestController
@RequiredArgsConstructor
@RequestMapping("/admin")
public class AdminController {
final AdminService adminService;
@PostMapping("/login")
public Map<String, Object> login(@RequestBody Admin admin) {
//验证账号/密码是否正常
boolean login = adminService.login(admin);
//验证失败
if (!login) {
return Map.of("success", false, "message", "账号或密码错误");
}
//创建token
String token = JwtUtils.createJWT(UUID.randomUUID().toString(), admin.getUsername(), null);
return Map.of("username", admin.getUsername(), "token", token);
}
@PostMapping("/getUUid")
public Map<String, Object> getUUID() {
return Map.of("success", true, "data", UUID.randomUUID().toString());
}
}
```
**3. 在过滤器中验证 token**
```java
@Slf4j
@Component
public class AuthorizeFilter implements Filter {
private static final String AUTHORIZE_TOKEN = "token";
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
response.setContentType("text/json;charset=utf-8");
//如果是登录则放行
boolean isLogin = request.getRequestURI().contains("/admin/login");
if (isLogin) {
//放行
chain.doFilter(request, response);
return;
}
Map<String, Object> resMap = Map.of("success", false, "message", "无权访问");
String resJson = JSON.toJSONString(resMap);
//从请求头中获取token
String token = request.getHeader(AUTHORIZE_TOKEN);
//请求头不携带token不放行
if (!StringUtils.hasLength(token)) {
response.getWriter().write(resJson);
return;
}
try {
//验证token
JwtUtils.parseToken(token);
} catch (Exception ex) {
log.error("[doFilter|token验证失败]: {}", ex.getMessage(), ex);
//验证token失败, 说明令牌过期或者伪造等不合法情况出现
response.getWriter().write(resJson);
return;
}
//token验证通过放行
chain.doFilter(request, response);
}
}
```
**4. 测试**
1. 登录成功后签发 token。
![](https://img.kancloud.cn/3d/cb/3dcb081c4a44a57087706d06cf5f9206_1802x602.png)
<br/>
2. 每次请求在请求头携带 token,验证成功后方可访问。
![](https://img.kancloud.cn/1d/51/1d51f8824a1771685bdad3c590ae7ff9_1777x597.png)
****
案例代码:https://gitee.com/flymini/codes03/tree/master/learn-jwtauth
- Spring
- Spring是什么
- Spring与EJB对比
- Spring的组成
- 首个Spring程序
- IoC控制反转
- 什么是IoC
- IoC编程
- 依赖注入方式
- 不同变量注入
- AOP面向切面编程
- AOP思想
- AOP实现原理
- AOP关键术语
- AOP编程
- 5种增强方式
- 切入点规则
- 自动装配
- Spring注解开发
- Bean注解
- AOP注解
- 完全注解
- 配置文件拆分
- SpringBean
- Bean常用属性
- Bean作用域
- Bean生命周期
- SpringBoot
- SpringBoot是什么
- 项目创建
- 配置文件
- 配置类型
- 读取配置
- 占位符
- 多环境配置
- 配置优先级
- 更改配置文件
- 自定义IoC容器
- 常用组件
- ApplicationContextAware
- CommandLineRunner
- Boot[Web]
- 引入模板引擎
- 静态资源访问
- 指定首页
- JSP支持
- 注册拦截器
- 注册Servlet组件
- 注册Servlet
- 注册过滤器
- 注册监听器
- 拦截器与过滤器区别
- 文件上传
- 文件下载
- 变更服务器
- Controller层封装
- HttpServletRequest
- 获取请求行
- 获取请求头
- 获取请求体
- Boot[自动配置]
- 自动配置是什么
- 自动配置报告
- 关闭自动配置
- 条件注解
- Boot[场景启动器]
- 场景启动器是什么
- 自定义场景启动器
- Boot[日志]
- 日志框架
- 日志级别
- 日志配置
- 配置文件
- 切换日志
- Boot[邮件任务]
- Boot[定时任务]
- cron表达式
- 起步
- 任务并行
- 注解Scheduled参数
- Boot[异步任务]
- 起步
- 注意事项与原理
- 自定义线程池
- Boot[缓存]
- JSR107缓存技术
- Spring缓存抽象
- 缓存注解
- SpEL表达式
- 起步
- 自定义key生成器
- 工作原理
- Boot[Redis]
- 起步
- 序列化机制
- Boot[Jdbc]
- 起步
- 两个模板类
- JdbcTemplate
- 增删改
- 查询
- NamedParameterJdbcTemplate
- 增删改
- 查询
- 自定义JdbcTemplate
- Boot[JPA]
- SpringDataJPA是什么
- 与JPA、Hibernate的关系
- 起步
- SpringDataJPA原理
- 查询方式
- 方法命名规则查询
- 限制查询结果查询
- 注解Query查询
- 命名参数查询
- SpEL表达式查询
- 原生查询
- 更新与删除
- 查询指定字段
- Specification动态查询
- 分页查询与排序
- 多表查询
- 一对一查询
- 一对多查询
- 多对多查询
- Specification查询
- Query注解查询
- 主键策略
- 单独主键
- 联合主键
- 级联操作
- 加载规则
- 审计功能
- 常用注解
- 避坑指南
- Boot[JSR303]
- JSR303是什么
- 常用约束
- 起步
- 简单校验
- 嵌套校验
- 分组校验
- 自定义约束注解
- 自定义校验工具
- Spring事务
- 事务的作用
- 起步
- 事务参数
- SpringDoc文档
- SpringDoc是什么
- 起步
- 自定义配置
- 常用Doc注解
- JSR303文档
- knife4j文档
- 常用配置
- Boot[RabbitMQ]
- 起步
- Fanout交换机类型
- Direct交换机类型
- Topic交换机类型
- 延迟队列插件
- RabbitListener监听方法
- JWT认证
- 认证流程
- 起步
- 密码加密
- JWT认证实现