基于JWT的API权限鉴定

0.前言

   JWT的全称叫Json Web Token;在前端和后台进行数据交互的时候,在请求头中带上一个token 字符串,这个字符串中保存了用户具有的权限信息。同时也是经过加密的,不容易被破解。
  在项目中,我们使用token来进行权限的鉴定。用户登录信息匹配的时候,我们就获取当前用户具有的api权限标识符。把这些标识符放在放在token中,并返回给客户端(token是进行过加密的,不用担心安全问题)。客户端发送第二请求的时候,就会吧这个token放在请求头中。服务器端的拦截器或者这个请求头信息,并解析出token中的api权限标识符,如果当前请求的标识可以在token中匹配到,那么就通过请求。这就是token鉴权的大致过程。

1.Maven引入JJWT

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

2. 编写测试代码

public class CreateJwtTest {

    /**
     * 使用jjwt创建token
     * @param
     */
    @Test
    public void test01() {
        JwtBuilder jwtBuilder = Jwts.builder().setId("123")
                .setSubject("alu4r")//用户相关信息
                .setIssuedAt(new Date())//设置创建的时间
                .signWith(SignatureAlgorithm.HS256, "alu4r")//为token加密
                .claim("key","value");
        Map<String, Object> map = new HashMap<>();
        map.put("11", "11");
        map.put("22", "22");
        jwtBuilder.setClaims(map);
        String token = jwtBuilder.compact();
        System.out.println(token);
    }

    /**
     * 解析jwt token字符串
     */
    @Test
    public void Test02(){
        String token = "eyJhbGciOiJIUzI1NiJ9.eyIxMSI6IjExIiwiMjIiOiIyMiJ9.JIzRbr5R2D9cfNFgOscGM_PD_mXdW_zJGMWmmc8Ddgs";
        Claims claims = Jwts.parser().setSigningKey("阿alu4r").parseClaimsJws(token).getBody();
        //数据都放在了claims中
        System.out.println(claims.getId()+"==>"+claims.getSubject()+"==>"+claims.getIssuedAt());
        //获取自定义的claims
        System.out.println(claims.get("11"));
    }
}

3.jwt生成和解析token工具类

@Getter
@Setter
@EnableConfigurationProperties(JwtUtils.class)
@ConfigurationProperties(prefix = "jwt.config")
public class JwtUtils {
    /**
     * 签名私钥
     */
    private String key;
    /**
     * 签名失效时间
     */
    private Long ttl;

    /**
     * 解析token,获取claims
     */
    public Claims parseJwt(String token) {
        Claims claims = Jwts.parser().setSigningKey(key).parseClaimsJws(token).getBody();
        return claims;
    }
    /**
     * 设置认证token
     * id : 用户的id
     * name : 用户名
     * map : 用户的私有数据
     */
    public String createJwt(String id, String subject, Map<String, Object> map){
        //设置失效时间
        //当前毫秒数
        long now = System.currentTimeMillis();
        //失效后的毫秒数
        long exp = now + ttl;
        //用户相关信息、设置创建的时间、为token加密
        JwtBuilder jwtBuilder = Jwts.builder().setId(id)
                .setSubject(subject)
                .setIssuedAt(new Date())
                .signWith(SignatureAlgorithm.HS256, key);
        //添加私有map数据
        for (Map.Entry<String, Object> entry : map.entrySet()) {
            jwtBuilder.claim(entry.getKey(), entry.getValue());
        }
        //设置失效的时间
        jwtBuilder.setExpiration(new Date(exp));
        String token = jwtBuilder.compact();
        return token;
    }
}

  工具类中使用了@ConfigurationProperties(prefix = “jwt.config”)注解,key和有效时间可以在配置文件(yml)中进行配置。

4. 在token中设置api权限

  用户在登录成功的时候,我们可以在数据库中查询当前用户有哪些api权限,把这些api权限的标识放在token中;
  登录控制器:

/**
*Result : 返回到客户端的数据
*Role : 角色
*Permission : 权限
*/
@PostMapping("/login")
    public Result login(@RequestBody Map<String, String> loginMap){
        String mobile = loginMap.get("mobile");
        String password = loginMap.get("password");
        User user = userService.findByMobile(mobile);
        Result result = null;
        if(user == null || !Objects.equals(password,user.getPassword())){
            result = new Result(ResultCode.MOBILE_OR_PASSWORD);
        }else {
            //获取所有的可访问api权限
            StringBuilder sb = new StringBuilder();
            for (Role role : user.getRoles()) {
                for (Permission permission : role.getPermissions()) {
                    if(permission.getType() == PermissionConstants.PERMISSION_API){
                        sb.append(permission.getCode()).append(",");
                    }
                }
            }
            Map<String, Object> map = new HashMap<>();
            map.put("apis", sb.toString());
            map.put("companyId",user.getCompanyId());
            map.put("companyName",user.getCompanyName());
            //将apis的权限标识符,和其他的一些需要的数据放在token中
            String token = jwtUtils.createJwt(user.getId(), user.getUsername(), map);
            result = new Result(ResultCode.SUCCESS,token);
        }
        return result;
    }

5. 解析获取token中的数据

  在项目中我们把解析token的代码放在拦截器中,这样我们就可以对每一个请进行权限验证了

@Component
public class JwtInterceptor extends HandlerInterceptorAdapter {
    @Autowired
    JwtUtils jwtUtils;
    /**
     * 进入控制器之前执行的方法
     *      简化获取token数据的代码的编写
     *      同一的用户权限校验
     *
     *  判断用户是否有当前的接口权限
     * @param request
     * @param response
     * @param handler
     * @return  是否继续执行
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //获取到token
        String authorization = request.getHeader("Authorization");
        //判断请求头信息是否为空, 或者是否以Bearer开头
        if(!StringUtils.isEmpty(authorization) && authorization.startsWith("Bearer ")){
            String token = authorization.replace("Bearer ","");
            Claims claims = jwtUtils.parseJwt(token);
            if(claims != null){
                String apis = (String) claims.get("apis");
                //通过handler,获取控制器api接口名,也就是PostMapping注解中name中的属性
                HandlerMethod handlerMethod = (HandlerMethod) handler;
                RequestMapping methodAnnotation = handlerMethod.getMethodAnnotation(RequestMapping.class);
                String name = methodAnnotation.name();
                //如果匹配到权限标识符 就通过请求
                if(apis.contains(name)){
                	//用来保存私有数据的,
                    request.setAttribute("user_claims",claims);
                    return true;
                }else {
                    throw new CommonException(ResultCode.UNAUTHORISE);
                }
            }
        }else {
            throw new CommonException(ResultCode.UNAUTHENTICATED);
        }
        return true;
    }
}

代码是截取项目中的部分,不能保证copy就能运行,不对之处,请多指教!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值