既然要做,就要做的细致一点,对得起自己!
上一篇文章已经使用自己的最最最简单的token来完成token的校验,因为当时了解到有JWT这个token,而且现在用的也是比较多,所以就讲shiro和JWT做了结合。
上一篇文章最后提到的各种目前未能解决问题,JWT都提供了解决方案。
解决思路:
将上一篇文章普通我自己写的token使用JWT替换一下即可,整体思路还是没变。
第一步:编写一个JWT工具类,这个类负责token的加密,解密,是否过期等问题。
/**
* JWT token 工具类,提供JWT生成,校验,工作
*
* @Date 2019-05-25
* @Description: TODO
*/
@ConfigurationProperties(prefix = "dhb.jwt")
@Component
public class JwtUtil {
private Logger logger = LoggerFactory.getLogger(getClass());
private String secret;
private Long expire;
private String header;
/**
*
* 生成JWT token
* @param userId
* @return
*/
public String generateToken(Long userId) {
Date nowDate = new Date();
Date expireDate = new Date(nowDate.getTime() + expire * 1000);
return Jwts.builder()
.setHeaderParam("typ", "JWT")
.setSubject(userId + "")
.setIssuedAt(nowDate)
.setExpiration(expireDate)
.signWith(SignatureAlgorithm.HS256, secret)
.compact();
}
/**
*
* 解析JWT token
* @param token
* @return
*/
public Claims parseToken(String token) {
try {
return Jwts.parser()
.setSigningKey(secret)
.parseClaimsJws(token)
.getBody();
} catch (Exception e) {
logger.info("解析token出错");
return null;
}
}
/**
*
* 校验token是否过期
* @param expiprationTime
* @return
*/
public boolean isTokenExpired(Date expiprationTime){
return expiprationTime.before(new Date());
}
public String getSecret() {
return secret;
}
public void setSecret(String secret) {
this.secret = secret;
}
public Long getExpire() {
return expire;
}
public void setExpire(Long expire) {
this.expire = expire;
}
public String getHeader() {
return header;
}
public void setHeader(String header) {
this.header = header;
}
}
JWT的生成和解析分别由jws.builder和jes.parse进行。具体的方法,可以去看官方文档或者自行百度,这里不做详细解释。注意,JwtUtil上有一个ConfigeratureProperties注解,这个注解是将application.yml文件的属性和当前类的属性做映射,也就是传统的SSM框架里的引入propertiy文件,因为springboot提倡使用类来代替,所以这个加上这个注解就相当于此类是一个属性类。
#jwt配置
dhb:
jwt:
# 加密秘钥
secret: f4e2e52034348f86b67cde581c0f9eb5
# token有效时长,7天,单位秒
expire: 604800
header: authorization
这是application.yml的其中一部分,可以看到上面类中的prefix对应这里的路径。
第二步:
在AuthFilter(原来叫shiroFilter,命名冲突所以改了)里进行拦截处理,逻辑和上一篇文章一样。只不过上篇文章的所有逻辑我们都放在onAccessDenied()的方法里,现在我们都放到isaAssessAllowed()方法里,如果isAssessAllowed返回false,那么onAccessDenied直接返回false即可。
@Component("authFilter")
public class AuthFilter extends FormAuthenticationFilter {
@Autowired
JwtUtil jwtUtil;
/**
* 判断token是否为空、过期
*
* @param request
* @param response
* @param mappedValue
* @return
*/
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
String token = getRequestToken((HttpServletRequest) request);
if (ObjectUtils.isNull(token)){
return false;
}
if (StringUtils.isBlank(token)) {
throw new CustomException(jwtUtil.getHeader()+"不能为空", HttpStatus.SC_UNAUTHORIZED);
}
Claims claims = jwtUtil.parseToken(token);
if (ObjectUtils.isNull(claims) || jwtUtil.isTokenExpired(claims.getExpiration())) {
throw new CustomException(jwtUtil.getHeader()+"token过期",HttpStatus.SC_UNAUTHORIZED);
}
return true;
}
/**
* 上面的方法如果返回false,则接下来会执行这个方法,如果返回为true,则不会执行这个方法
* 判断是否为登录url,进一步判断请求是不是post
*
* @param request
* @param response
* @return
* @throws Exception
*/
@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
if (isLoginRequest(request, response)) {
if (isLoginSubmission(request, response)) {
return true;
}
}
return false;
}
/**
* 获取请求中的token,首先从请求头中获取,如果没有,则尝试从请求参数中获取
*
* @param request
* @return
*/
private String getRequestToken(HttpServletRequest request) {
String token = request.getHeader(jwtUtil.getHeader());
if (StringUtils.isBlank(token)) {
token = request.getParameter(jwtUtil.getHeader());
}
return token;
}
}
第三步:
当我们登录认证成功之后,将生成的加密的token返回给前端,部分代码如下。
@PostMapping("login")
public Map login(@RequestBody String info){
User user = JSON.parseObject(info,User.class);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new
UsernamePasswordToken(user.getName(),user.getPassword());
token.setRememberMe(true);
subject.login(token);
//返回的token
String tokenBack = jwtUtil.generateToken(userId);
tokenBack就是最终返回给前端的加密的JWT。
测试结果如下:
{
"token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiI0MTQiLCJpYXQiOjE1NTg3ODk1NTAsImV4cCI6MTU1OTM5NDM1MH0.MzFzdOJCLbrG8c3j7WuJzj9NIPjrtLUL7n_AF913tS4"
}
以后每次请求都带上这个token来校验此次请求是否合法,到此为止,shiro结合JWT使用完毕。推荐使用JWT,安全性更高。
遇到的小问题:
1.在验证请求时,一开始AuthFilter里的jwtUtil总是为空,一开始以为是没有映射上,debug发现属性是映射了的,但是还是为null,那就说明JWTUtil没有注入进AuthFilter里去,这是什么原因呢,后来在网上找到了解决方案,spring容器对bean的管理原则是,如果你new了一个对象实例,那么使用autowired注解是无法注入的,在此new实例里面的引入的其他对象同样也不会注入。
原来filter.put是filter.put("auth",new AuthFilter())这样的,我在这里直接new了AuthFilter实例,所以在它里面的JwtUtil即使加了autowired注解也是无法注入的。改写为上图的格式之后,最后在AuthFilter上加入component注解即可。感谢这位博主的文章。
2.在解决了上述问题之后,我就在想,我如果在程序启动之后能够清楚的看到当前spring容器中有哪些bean就更好了,就可以更快的定位问题,而不是像今天那样,一直去网上找解决问题的答案。了解了一下,springboot还真提供这样一个功能。叫Actuator,我还没细致研究过,官方文档在这里。
到此为止,项目中安全模块,shiro集成springboot加上JWT,目前已经足够了,终于可以去搞别的问题了。
本专栏并没有提供相关完整的代码,不过,有一个前后端项目中整合了Shiro,如有需要,代码在这里
2021年12月1日更新
关于JWT的一些补充:
本文专注于JWT和实际场景结合的实现,并使用io.jsonwebtoken库。如果想全面了解JWT以及其他类库如nimbus的使用,请参考JWT快速入门与使用