目录
1. jwt是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案
2. 为什么使用jwt jwt的精髓在于:“去中心化”,数据是保存在客户端的。
一、jwt出现的原因及工作原理
session的存储机制
1. jwt是什么
JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案
2. 为什么使用jwt
jwt的精髓在于:“去中心化”,数据是保存在客户端的。
3、jwt运行机制/原理 ******
1、第一次发送登录请求,必然会携带用户信息uname和pwd2、通过用户信息uname和pwd登录成功,会将用户信息通过jwt工具类生成一个加密的字符串
3、加密字符串 会以response header 响应头的形式 相应到前端
4、前端服务器会有响应拦截器拦截,截取到响应头承载的jwt串,又会放到Vuex中
5、当第二次请求,前端服务器中有一个请求拦截器,会将Vuex中的jwt串放入 request header 请求当中
6、当请求通过跨域的方式到达后台服务器,后台服务器中又有一个过滤器,会截取到 request header 请求当中的jwt串
7、jwt工具类会对jwt串进行解析,解析成用户信息,最终进行校验
二、jwt与vuex配合在SPA项目中的应用
jwt实现
现在我们没使用到jwt的时候,我们的项目还能够正常访问到:
【JwtFilter】
package com.zking.vue.util;
import java.io.IOException;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import io.jsonwebtoken.Claims;
/**
* * JWT验证过滤器,配置顺序 :CorsFilte-->JwtFilter-->struts2中央控制器
*
* @author Administrator
*
*/
public class JwtFilter implements Filter {
// 排除的URL,一般为登陆的URL(请改成自己登陆的URL)
private static String EXCLUDE = "^/vue/userAction_login\\.action?.*$";
private static Pattern PATTERN = Pattern.compile(EXCLUDE);
private boolean OFF = true;// true关闭jwt令牌验证功能
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void destroy() {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;
String path = req.getServletPath();
if (OFF || isExcludeUrl(path)) {// 登陆直接放行
chain.doFilter(request, response);
return;
}
// 从客户端请求头中获得令牌并验证
String jwt = req.getHeader(JwtUtils.JWT_HEADER_KEY);
Claims claims = this.validateJwtToken(jwt);
if (null == claims) {
// resp.setCharacterEncoding("UTF-8");
resp.sendError(403, "JWT令牌已过期或已失效");
return;
} else {
String newJwt = JwtUtils.copyJwt(jwt, JwtUtils.JWT_WEB_TTL);
resp.setHeader(JwtUtils.JWT_HEADER_KEY, newJwt);
chain.doFilter(request, response);
}
}
/**
* 验证jwt令牌,验证通过返回声明(包括公有和私有),返回null则表示验证失败
*/
private Claims validateJwtToken(String jwt) {
Claims claims = null;
try {
if (null != jwt) {
claims = JwtUtils.parseJwt(jwt);
}
} catch (Exception e) {
e.printStackTrace();
}
return claims;
}
/**
* 是否为排除的URL
*
* @param path
* @return
*/
private boolean isExcludeUrl(String path) {
Matcher matcher = PATTERN.matcher(path);
return matcher.matches();
}
// public static void main(String[] args) {
// String path = "/sys/userAction_doLogin.action?username=zs&password=123";
// Matcher matcher = PATTERN.matcher(path);
// boolean b = matcher.matches();
// System.out.println(b);
// }
}
运行:
接下把jwt的验证 开启,即在JwtFilter类中:
再去重启,刷新项目:
数据访问不到了:
F12检查:
原因是还没有开始编写jwt。(但是我们的登录和退出功能仍然可以正常运行)。