SpringBoot整合Mybatis-Plus、Jwt实现登录token设置
Spring Boot整合Mybatis-plus实现登录常常需要使用JWT来生成用户的token并设置用户权限的拦截器。本文将为您介绍JWT的核心讲解、示例代码和使用规范,以及如何实现token的生成和拦截器的使用。
一、JWT的核心讲解
JWT(JSON Web Token)是一种基于JSON的,用于在网络上安全传输信息的开放标准(RFC 7519)。JWT有三个部分组成,分别是Header(头部)、Payload(载荷)和Signature(签名)。
- Header
Header部分通常由两部分组成:令牌的类型和使用的加密算法。例如:
{
"alg": "HS256",
"typ": "JWT"
}
其中,“alg” 参数表示签名的算法(例如HS256),“typ” 参数表示令牌的类型(例如JWT)。
- Payload
Payload是JWT的核心部分,其中包含了需要传输的信息。示例:
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
其中,“sub” 参数表示主题(Subject),“name” 参数表示名称,“iat” 参数表示令牌的签发时间。
- Signature
Signature部分是JWT的第三部分,它由头部和载荷组合后进行签名而产生。
二、JWT 的使用规范
生成 JWT
使用 Java JWT 库生成 JWT,示例代码如下:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.security.Keys;
import javax.crypto.SecretKey;
import java.util.Date;
public class JwtUtil {
private static final byte[] SECRET_KEY = "secretkeyhere".getBytes();
private static final long EXPIRATION_TIME = 3600000L; // 1 hour
public static String createJwt(String subject, String scopes) {
SecretKey key = Keys.hmacShaKeyFor(SECRET_KEY);
Date now = new Date();
Date expiration = new Date(now.getTime() + EXPIRATION_TIME);
String jwt = Jwts.builder()
.setIssuer("demo")
.setSubject(subject)
.setExpiration(expiration)
.claim("scopes", scopes)
.setIssuedAt(now)
.signWith(key, SignatureAlgorithm.HS512)
.compact();
return jwt;
}
public static Jws<Claims> parseJwt(String jwt) {
SecretKey key = Keys.hmacShaKeyFor(SECRET_KEY);
Jws<Claims> jws = Jwts.parserBuilder()
.setSigningKey(key)
.build()
.parseClaimsJws(jwt);
return jws;
}
}
其中,SECRET_KEY 是用于签名的密钥,建议使用足够随机的字符串或 byte 数组;EXPIRATION_TIME 是过期时间,设置为 1 小时;createJwt() 方法会创建 JWT,并将用户标识(subject)和权限(scopes)作为载荷;parseJwt() 方法用于解析 JWT。
解析 JWT
解析 JWT 部分和生成 JWT 略有不同。示例代码如下:
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Arrays;
import java.util.List;
import java.util.Set;
import java.util.stream.Collectors;
@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {
private static final List<String> ALLOWED_URIS = Arrays.asList("/login");
@Autowired
private JwtProperties jwtProperties;
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
String jwt = request.getHeader("Authorization");
if (jwt != null) {
jwt = jwt.replace("Bearer ", "");
try {
Jwts.parserBuilder().setSigningKey(jwtProperties.getSecret()).build().parseClaimsJws(jwt);
String[] scopes = ((String)Jwts.parserBuilder().setSigningKey(jwtProperties.getSecret().parseClaimsJws(jwt).getBody().get("scopes")).split(",");
Set<String> allowedScopes = Arrays.stream(scopes)
.map(String::trim)
.collect(Collectors.toSet());
String uri = request.getRequestURI();
if (!ALLOWED_URIS.contains(uri)) {
if (!allowedScopes.contains("all") && !allowedScopes.contains(uri)) {
response.sendError(HttpStatus.FORBIDDEN.value());
return;
}
}
} catch (Exception e) {
response.sendError(HttpStatus.UNAUTHORIZED.value());
return;
}
}
filterChain.doFilter(request, response);
}
}
这段代码定义了一个JwtAuthenticationFilter,它会在每次请求进入 Controller 之前进行拦截,解析 JWT 并根据用户权限进行拦截。ALLOWED_URIS 定义了不需要 JWT 验证的 URL,比如登录接口。jwtProperties 用于读取一些 JWT 相关的配置,比如密钥(secret)等。
三、Mybatis-plus 使用 JWT 实现登录
在 Mybatis-plus 中使用 JWT 时,我们需要在登录成功之后生成 JWT,并将其返回给客户端。客户端在以后的请求中都会带上 JWT,我们需要在拦截器中解析 JWT 并进行权限校验。
首先,在 pom.xml 中添加相关依赖:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-api</artifactId>
<version>0.11.2</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-impl</artifactId>
<version>0.11.2</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt-jackson</artifactId>
<version>0.11.2</version>
<scope>runtime</scope>
</dependency>
然后,我们需要创建一个 JwtUtil 工具类,用于生成和解析 JWT:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.impl.DefaultClaims;
import java.util.Date;
public class JwtUtil {
private static final String SECRET = "secretkey";
public static String generateToken(String username, Long expiration) {
Date now = new Date();
Date expireTime = new Date(now.getTime() + expiration * 1000);
JwtBuilder builder = Jwts.builder()
.setId(username)
.setIssuedAt(now)
.setExpiration(expireTime)
.signWith(SignatureAlgorithm.HS256, SECRET);
return builder.compact();
}
public static Claims parseToken(String token) {
return Jwts.parser()
.setSigningKey(SECRET)
.parseClaimsJws(token)
.getBody();
}
}
在登录成功之后,我们需要调用 JwtUtil.generateToken() 方法生成 JWT,并将其返回给客户端。客户端在以后的请求中都会带上 JWT,我们需要在拦截器中解析 JWT 并进行权限校验:
import io.jsonwebtoken.Claims;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@Component
public class JwtIntercepter implements HandlerInterceptor {
@Autowired
private JwtProperties jwtProperties;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String authorization = request.getHeader("Authorization");
if (authorization != null && authorization.startsWith("Bearer ")) {
String token = authorization.substring(7);
try {
Claims claims = JwtUtil.parseToken(token);
request.setAttribute("username", claims.getSubject());
return true;
} catch (Exception e) {
response.sendError(HttpServletResponse.SC_FORBIDDEN, e.getMessage());
return false;
}
} else {
response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "No token provided in the request header");
return false;
}
}
}
在拦截器中,我们通过 request.setAttribute() 方法将解析出来的用户信息保存在 Request 中,后续可以通过 Request 获取到用户信息。在拦截器中,我们也可以实现权限校验的逻辑。如果校验失败,我们可以通过 response.sendError() 方法返回403 或 401 状态码,告知客户端请求被拒绝或未经授权。
最后,定义一个 WebMvcConfigurerAdapter,将 JwtIntercepter 注册为拦截器:
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Autowired
private JwtIntercepter jwtIntercepter;
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(jwtIntercepter)
.addPathPatterns("/**")
.excludePathPatterns("/login");
}
}
在上述代码中,我们通过 addPathPatterns() 方法设置需要拦截的 URL 路径,并通过 excludePathPatterns() 方法排除不需要拦截的 URL 路径。其中,“/login” 路径为登录接口,一般不需要拦截。
四、总结
本文介绍了在 Spring Boot 整合 Mybatis-plus 实现登录时,使用 JWT 来生成用户 Token 并设置用户权限拦截器的方法。首先,我们需要了解 JWT 的核心框架和使用规范,并通过代码实现 JWT 的生成和解析。然后,我们在拦截器中实现 JWT 的解析和权限校验,最后通过 WebMvcConfigurerAdapter 将 JwtIntercepter 注册为拦截器。、
到此这篇关于SpringBoot整合Mybatis-Plus、Jwt实现登录token设置的文章就介绍到这了,更多相关SpringBoot 登录token内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
ImportSelector接口是至spring中导入内部类或者外部类的核心接口,只需要其定义的方法内返回需要创建bean的class字符串就好了,这篇文章主要介绍了Spring-ImportSelector接口功能介绍,需要的朋友可以参考下2023-09-09![JDK9为何要将String的底层实现由char[]改成了byte[]](//img.jbzj.com/images/xgimg/bcimg1.png)
JDK9为何要将String的底层实现由char[]改成了byte[]
String 类的源码已经由 char[] 优化为了 byte[] 来存储字符串内容,为什么要这样做呢?本文就详细的介绍一下,感兴趣的可以了解一下2022-03-03
本文主要介绍了java多线程三种上锁方式小结,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2023-12-12
这篇文章主要介绍了使用SkyWalking监控Java服务,介绍一个对源码0入侵的Java服务监控方式,SkyWalking Agent,只需要启动Java程序的时候加几个参数,就能对Java服务进行可视化监控,需要的朋友可以参考下2023-08-08
这篇文章主要介绍了JAVA异常和自定义异常处理方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2023-09-09
总有小伙伴让我总结一下Java集合中的基本数据结构的相关知识,今天特地整理了本篇文章,文中有非常详细的介绍,需要的朋友可以参考下2021-06-06
下面小编就为大家带来一篇java中进制的转换,Byte与16进制的转换方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2016-11-11
本文主要介绍了MyBatis实现万能Map和模糊查询,文中通过示例代码介绍的非常详细,需要的朋友们下面随着小编来一起学习学习吧2021-07-07
这篇文章主要介绍了Java泛型之上界下界通配符详解,学习使用泛型编程时,更令人困惑的一个方面是确定何时使用上限有界通配符以及何时使用下限有界通配符。本文提供一些设计代码时要遵循的一些准则。,需要的朋友可以参考下2019-06-06
这篇文章主要介绍了通过实例解析spring环绕通知原理及用法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2020-10-10
![JDK9为何要将String的底层实现由char[]改成了byte[]](http://img.jbzj.com/images/xgimg/bcimg1.png)
最新评论