SpringBoot + JWT 前后端实现

JWT其实是一套用来登录的经典方式了,写这篇文章之前,我也看了网上的文章,其实有很多人都写过相关教程,并且也都有与各种登录方式进行对比,基本上看个两篇三篇左右,就可以懂了。但是好像没看到有完整的前后端代码,这里写一个前后端完整实现,记录一下。

关键词:JWT的前后端方式,guava,前端http拦截器,服务端拦截器,自定义注解@interface

1、JWT介绍

jwt其实就是当用户与服务器通信时,客户在请求中下发token,服务器仅依赖于这个token对象来标识用户。 为了防止用户篡改数据,服务器将在生成对象时添加签名。 服务器不保存任何会话数据,即服务器变为无状态,使其更容易扩展。

2、JWT的数据结构

A - header 头信息
B - payload (有效荷载,用于记录用户非隐私数据)
C - Signature 签名

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ7XCJ1c2VyTmFtZVwiOlwicXp3XCIsXCJ1c2VySWRcIjpcImZlNmE0OGQ4ODVjMDQ3MGE4YjZlZTc2M2YwM2NlNTZjXCJ9IiwiZXhwIjoxNjcwMTU5NDY1fQ.TrbRfNIr4Z1lCMRUedFsPazX1TsnrIFpRJ21Hsh1yuA

3、实现流程图

4、项目实战

4.1、先引入jwt包

<dependency>
  <groupId>com.auth0</groupId>
  <artifactId>java-jwt</artifactId>
  <version>3.10.3</version>
</dependency>
<dependency>
  <groupId>com.google.guava</groupId>
  <artifactId>guava</artifactId>
  <version>24.0-jre</version>
</dependency>

4.2、前端使用vue开发,并且http使用Axios

对于前端来说,在登录的时候,前端需要提交用户名和密码,服务端需要生成token,并且下发。前端请求的时候,需要监听request,并且塞入token,初次之外,前端还需要监听服务端传来的返回码,并且与后端约定好特定的服务码进行token过期跳转。

//监听请求参数,只要有token,就把token放入请求头
axios.interceptors.request.use(
   (config) => {
    // Do something before request is sent
    var accessToken = localStorage.getItem('token');
    if (accessToken) {
      // 添加headers
      config.headers.common['token'] = accessToken // token
    }
    return config
  },
  (error) => {
    // Do something with request error
    return Promise.reject(error)
  }
);
//监听返回参数,如果服务端返回3200,则表示token已过期,并且跳转登录页
axios.interceptors.response.use(
  (response) => {
    if(response.data.respCode === "3200") {
      window.location.href = "/login";
    }
    return response.data;
  }
);

前端登录接口,也可以设置过期时间,但是我这里没有去做,严格来讲,是需要的呦!!! 

login() {
     this.$http.post("/sys/userInfo/login", this.$qs.stringify({
        。。。
         })).then((rs) => {
            if (rs.respCode === '1000') {
            // 关闭tab页,数据消失
            sessionStorage.setItem("token", rs.token);
            localStorage.setItem("userId", rs.userId);
            //把用户名存储在localstorege
            localStorage.setItem("token", rs.token);

            // 关闭浏览器,数据消失
            // document.cookie = "token=" + JSON.stringify(rs.token);
            // 这里需要登录跳转
            } 
       }).catch((rs) => {
             
    })
}

4.3、对于服务端,这里使用的是guava缓存,理论上用redis会更好,但是我这是针对与单体项目,使用guava就不需要再起一个redis服务了,而且guava有两种过期方式:写过期和访问过期。

这里需要使用的是访问过期,即规定时间内无访问,则过期。

@Component
public class GuavaCacheConfig {
    // expireAfterAccess(long, TimeUnit)
    // 缓存在给定的时间内没有被访问则被回收
    // expireAfterWrite(long, TimeUnit)
    // 缓存没有在给定的时间内被写访问(创建或者覆盖)则被回收。
    private static final Cache<String, Object> CACHE = CacheBuilder.newBuilder()
            .expireAfterAccess(1800, TimeUnit.SECONDS).maximumSize(1800).build();

    public Object get(String key) {
        return CACHE.getIfPresent(key);
    }

    public void set(String key, Object value) {
        CACHE.put(key, value);
    }
}

对于token过期校验属于通用模块,可以使用切面或者拦截器来进行处理,这样解耦相当一部分代码,如果需要修改,也不用每个接口都修改了。

这里可以需要定义一个自定义注解

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface ValidateToken {
    boolean required() default true;
}

然后针对需要登录校验的接口,只需要加上注解,就会进入token校验,例如下面查询定时任务的接口

@PostMapping("/list")
@ValidateToken
public String list(@Validated(value = QuartzForm.ListQuartz.class)QuartzForm form) {
   return JsonUtils.objectToJsonString(quartzService.list(form));
}

对于校验逻辑,需要先设置一个拦截器,并且配置好拦截方式,就可以实现拦截了

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(tokenHandler())
                .addPathPatterns("/**");
    }
    @Bean
    public TokenInterceptor tokenHandler() {
        return new TokenInterceptor();
    }
}
public class TokenInterceptor implements HandlerInterceptor {


    @Autowired
    private GuavaCacheConfig guavaCacheConfig;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
                             Object handler) throws Exception {
        // 从 http 请求头中取出 token
        String token = request.getHeader("token");
        // 如果不是映射到方法直接通过
        if (!(handler instanceof HandlerMethod)) {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        Method method = handlerMethod.getMethod();
        //检查是否有 validateToken 注释,有则跳过认证
        if (method.isAnnotationPresent(ValidateToken.class)) {
            ValidateToken passToken = method.getAnnotation(ValidateToken.class);
            if (passToken.required()) {
                if (token == null){
                    throw new RespException(ResponseEnum.ERR_HANDLER_TOKEN_EXPAIRE);
                }
                JsonObject tokenJson = JsonUtils.stringToJsonObject(token);
                String userId = JsonUtils.getAsString(tokenJson, Params.USER_ID);
                this.validateUserInfo(userId);
                。。。
                return true;
            }
        }
        return true;
    }

    private void validateUserInfo(String userId) {
        String token = (String) guavaCacheConfig.get(Utils.getTokenKey(userId));
        if (token == null) {
            throw new RespException(ResponseEnum.ERR_HANDLER_TOKEN_ERROR);
        }
    }
}

就这样就可以实现过期后自动跳转登录页面了

  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
实现Spring Boot和JWT前后端分离的单点登录,您需要按照以下步骤进行: 1. 在后端实现JWT认证和授权 在后端,您需要使用Spring Security和JWT实现认证和授权。当用户登录成功时,使用JWT生成一个token并将其返回给前端。在后续请求中,前端需要将token作为Authorization Header发送到后端验证用户的身份和权限。 2. 在前端存储JWT token 在前端,您需要将JWT token存储在客户端(浏览器或移动应用程序)中。您可以使用localStorage或sessionStorage来存储JWT token。 3. 在前端实现单点登录 当用户访问其他资源(另一个前端应用或后端API)时,前端需要检查本地存储的JWT token是否存在。如果存在,则将其发送到后端进行验证。如果JWT token有效,则用户已经登录,可以访问资源。如果JWT token无效,则用户需要重新登录。 4. 共享JWT secret 要实现单点登录,您需要使用相同的JWT secret在所有应用程序之间共享JWT token。秘密应该足够强大,以防止未经授权的访问。 5. 解决JWT token过期问题 JWT token有一个过期时间,当过期时,用户需要重新登录。要解决这个问题,您可以使用refresh token或者每次用户访问时都重新生成一个新的JWT token。 以上是实现Spring Boot和JWT前后端分离的单点登录的大致步骤。实现单点登录需要考虑安全性、性能和用户体验等方面的问题。因此,您需要根据实际情况进行自定义和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值