开发环境:
MyEclipse 2017 CI 10
Spring 5.0
jar文件:
jjwt-0.7.0.jar , jjwt-jackson-0.11.1.jar , jackson-annotations-2.10.0.jar ,jackson-core-2.10.0.jar ,jackson-databind-2.10.0.jar
jar文件下载地址:
https://repo1.maven.org/maven2/com/
jackson-annotations-2.10.0.jar ,jackson-core-2.10.0.jar ,jackson-databind-2.10.0.jar在下列位置
https://repo1.maven.org/maven2/com/fasterxml/jackson/core/
https://download.csdn.net/download/scottfan/12450094
网盘:https://pan.baidu.com/s/1qm-Oiq2ZhlL0YFAdcZBSoQ
提取码:t3ht
在现有SpringMVC项目中新建用于生成Token的package,命名为 com.jwt,然后添加class,这里命名为JwtHelper。
package com.jwt;
import io.jsonwebtoken.*;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;
import org.apache.tomcat.util.codec.binary.Base64;
public class JwtHelper {
private static final String key="scott";
public static String GenerateToken(String userCode) throws Exception
{
String token = "";
String jwt_id = UUID.randomUUID().toString();
token = createJWT(jwt_id,userCode,"",60*120,userCode);
return token;
}
/**
* 解密jwt
*
* @param jwt
* @return
* @throws Exception
*/
public static Claims parseJWT(String jwt) throws Exception {
SecretKey key = generalKey(); //签名秘钥,和生成的签名的秘钥一模一样
Claims claims = Jwts.parser() //得到DefaultJwtParser
.setSigningKey(key) //设置签名的秘钥
.parseClaimsJws(jwt).getBody(); //设置需要解析的jwt
return claims;
}
/**
* 创建jwt
* @param id
* @param issuer
* @param subject
* @param ttlMillis
* @return
* @throws Exception
*/
private static String createJWT(String id, String issuer, String subject, long ttlMillis,String usercode) throws Exception {
// 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
// 生成JWT的时间
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
// 创建payload的私有声明(根据特定的业务需要添加,如果要拿这个做验证,一般是需要和jwt的接收方提前沟通好验证方式的)
Map<String, Object> claims = new HashMap<>();
claims.put("userCode", usercode);
// 生成签名的时候使用的秘钥secret,切记这个秘钥不能外露哦。它就是你服务端的私钥,在任何场景都不应该流露出去。
// 一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
SecretKey key = generalKey();
// 下面就是在为payload添加各种标准声明和私有声明了
JwtBuilder builder = Jwts.builder() // 这里其实就是new一个JwtBuilder,设置jwt的body
.setClaims(claims) // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
.setId(id) // 设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。
.setIssuedAt(now) // iat: jwt的签发时间
.setIssuer(issuer) // issuer:jwt签发人
.setSubject(subject) // sub(Subject):代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可以存放什么userid,roldid之类的,作为什么用户的唯一标志。
.signWith(signatureAlgorithm, key); // 设置签名使用的签名算法和签名使用的秘钥
// 设置过期时间
if (ttlMillis >= 0) {
long expMillis = nowMillis + ttlMillis;
Date exp = new Date(expMillis);
builder.setExpiration(exp);
}
return builder.compact();
}
/**
* 由字符串生成加密key
*
* @return
*/
private static SecretKey generalKey() {
// 本地的密码解码
byte[] encodedKey = Base64.decodeBase64(key);
// 根据给定的字节数组使用AES加密算法构造一个密钥
SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
return key;
}
}
新增针对WebApi方法的拦截器
新增package,命名为com.TokenInterceptor,添加class,命名为ApiInterceptor 并继承于 HandlerInterceptor
package com.TokenInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.resource.DefaultServletHttpRequestHandler;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import java.io.PrintWriter;
import java.lang.annotation.ElementType;
import java.lang.annotation.Inherited;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
import java.lang.reflect.Method;
import com.jwt.JwtHelper;
import io.jsonwebtoken.lang.Objects;
public class ApiInterceptor implements HandlerInterceptor {
//JWT工具类
//第一个函数preHandle是预处理函数,比如我们用于拦截登录时,它是第一个工作的。
@Override
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object handler) throws Exception {
//检查请求的地址是否有效,如果不加这个判断,客户端请求地址如果不存在,服务端会有 异常
if (!(handler instanceof HandlerMethod))
{
httpServletResponse.setCharacterEncoding("application/json;charset=UTF-8");
httpServletResponse.setContentType("application/json;charset=UTF-8");
PrintWriter writer = httpServletResponse.getWriter();
StringBuffer jsonTip = new StringBuffer("{\"result\":");
jsonTip.append(false).append(",\"tip\":\"请求的地址无效\"}");
writer.print(jsonTip.toString());
return false;
}
//获取到目标方法对象
HandlerMethod method = (HandlerMethod) handler;
//取到方法上的注解
ExcludeInterceptor methodAnnotation = method.getMethodAnnotation(ExcludeInterceptor.class);
if (methodAnnotation != null) {
//无此注解的一律拦截
System.out.println("This function is restricted");
return false;
}
httpServletResponse.setCharacterEncoding("utf-8");
System.out.println("进入preHandle方法");
//获取我们请求头中的token验证字符
String headerToken=httpServletRequest.getHeader("token");
System.out.println("Token from header:"+headerToken);
String userCode= httpServletRequest.getParameter("userCode");
//getParameter的变量是放在我们请求附带的对象中的字符串,例如post方法中附带的account变量等。
String url = httpServletRequest.getRequestURI();
System.out.println(url);
//检测当前页面,我们设置当页面不是登录页面时对其进行拦截
//if(!httpServletRequest.getRequestURI().contains("login")){
//将token加入返回页面的header
httpServletResponse.setHeader("token",headerToken);
return true;
//当返回true表示第一个阶段结束,随后会执行postHandle和afterCompletion
}
//当请求到达Controller但是未渲染View时进行处理
public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
}
//相当于最后的回调函数
public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
}
//拦截器注解
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Inherited
public @interface ExcludeInterceptor {
}
}
代码中if (!(handler instanceof HandlerMethod))这句必须要加,要不然请求的地址不存在时,服务端会报错
java.lang.ClassCastException: org.springframework.web.servlet.resource.DefaultServletHttpRequestHandler cannot be cast to org.springframework.web.method.HandlerMet
//拦截器注解
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Inherited
public @interface ExcludeInterceptor {
}
这部分代码目的是指定某个方法需要验证Token,拦截器是针对整个Controller中的方法有效的,通过这个拦截器注解,就可以判断出那个方法不用验证。
需要验证Token的方法,加@ExcludeInterceptor注解即可
@ExcludeInterceptor
@RequestMapping("/PlaceOrder")
public String PlaceOrder {
System.out.println("PlaceOrder");
return "success";
}
如登录方法是获取Token的,就不需验证了。具体验证方法,在上述代码块中有标记。
个人学习笔记,部分代码来源于网上代码。