引入
传统方式下,我们登录成功后可以将登录信息存储在session中,然后服务器会将sessionId表示返回给浏览器存储在cookie里然后,浏览器每次访问服务器的时候,都会通过cookie携带sessionId,后端通过sessionId就能取到session中的用户信息了
这种模型下有个很重要的中间存储就是cookie,但是现在我们的客户端有可能不再是浏览器,而是一个app,它是不支持cookie的,那么这种情况下,服务器如何来完成客户端的身份认定呢?这就需要JWT技术的支持了,下面是它的基本原理图
JWT简介
-
JWT,全称为JSON Web token,是用于对应用程序上的用户进行身份验证的标记。也就是说,使用JWT的应用程序不再需要保存有关其用户的cookie或session数据
-
在身份验证过程中, 当用户使用其凭据成功登录时,将返回JWT,客户端会将其保存到本地存储中,而后每次请求都会携带
-
JWT本质上就是一个经过加密处理与校验处理的字符串,它由三部分组成:头信息.有效载荷.签名
头信息: 一般由两部分组成,令牌类型(即:JWT)和散列算法(HMAC、RSASSA、RSASSA-PSS等)
有效载荷: 一般里面可以存储自定义的实体的信息
签名: 用于保证消息在传输过程中不会被篡改
执行流程
代码实现
在
reggie-parent
的pom.xml中添加jwt的坐标
<!--Token生成与解析-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
在
reggie-common
模块中添加下面类com.itheima.reggie.common.JwtUtil
package com.itheima.reggie.common;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Map;
//JWT的生成和解析
public class JwtUtil {
// 创建token
public static String createToken(Map claims) {
return Jwts.builder()
.setClaims(claims) //设置响应数据体
.signWith(SignatureAlgorithm.HS256, "reggie") //设置加密方法和加密盐
.compact();
}
// 解析token
public static Map parseToken(String token) {
try {
return Jwts.parser().setSigningKey("reggie")
.parseClaimsJws(token)
.getBody();
} catch (Exception ex) {
ex.printStackTrace();
}
return null;
}
}
在
reggie-web-app
模块中添加下面类com.itheima.reggie.interceptor.LoginCheckInterceptor
import com.alibaba.fastjson.JSON;
import com.itheima.reggie.common.JwtUtil;
import com.itheima.reggie.common.ResultInfo;
import com.itheima.reggie.common.UserHolder;
import com.itheima.reggie.domain.User;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.concurrent.TimeUnit;
@Component
@Slf4j
public class LoginCheckInterceptor implements HandlerInterceptor {
@Autowired
private RedisTemplate redisTemplate;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//1. 从请求头中获取token
String token = request.getHeader("Authorization");
token = token.replace("Bearer", "").trim();
if (StringUtils.isEmpty(token)){
String json = JSON.toJSONString(ResultInfo.error("NOTLOGIN")); // 前端拦截器收到"NOTLOGIN"进行判断
response.getWriter().write(json); // 发给浏览器
return false;//禁止通行
}
//2. 解析token
try {
JwtUtil.parseToken(token);
}catch (Exception e){
String json = JSON.toJSONString(ResultInfo.error("NOTLOGIN")); // 前端拦截器收到"NOTLOGIN"进行判断
response.getWriter().write(json); // 发给浏览器
return false;//禁止通行
}
//3. 从redis中根据token查询用户信息
User user = (User) redisTemplate.opsForValue().get("TOKEN_" + token);
if (user == null){
String json = JSON.toJSONString(ResultInfo.error("NOTLOGIN")); // 前端拦截器收到"NOTLOGIN"进行判断
response.getWriter().write(json); // 发给浏览器
return false;//禁止通行
}
//4. 代码能运行到这里,代表token没有任何问题
//4-1 续期
redisTemplate.opsForValue().set("TOKEN_" + token, user, 1, TimeUnit.DAYS);
//4-2 将用户信息保存到ThreadLocal中
UserHolder.set(user);
//4-3 放行
return true;
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
// 将用户信息从ThreadLocal中移除
UserHolder.remove();
}
}