一言以蔽之，JWT 可以攜帶非敏感信息，并具有不可篡改性?？梢酝ㄟ^驗證是否被篡改，以及讀取信息內(nèi)容，完成網(wǎng)絡(luò)認(rèn)證的三個問題：“你是誰”、“你有哪些權(quán)限”、“是不是冒充的”。  為了安全，使用它需要采用 Https 協(xié)議，并且一定要小心防止用于加密的密鑰泄露。

采用 JWT 的認(rèn)證方式下，服務(wù)端并不存儲用戶狀態(tài)信息，有效期內(nèi)無法廢棄，有效期到期后，需要重新創(chuàng)建一個新的來替換。 所以它并不適合做長期狀態(tài)保持，不適合需要用戶踢下線的場景，不適合需要頻繁修改用戶信息的場景。因為要解決這些問題，總是需要額外查詢數(shù)據(jù)庫或者緩存，或者反復(fù)加密解密，強(qiáng)扭的瓜不甜，不如直接使用 Session。不過作為服務(wù)間的短時效切換，還是非常合適的，就比如 OAuth 之類的。

目標(biāo)功能點

通過填寫用戶名和密碼登錄。

• 通過填寫用戶名和密碼登錄。
  • 驗證成功后, 服務(wù)端生成 JWT 認(rèn)證 token, 并返回給客戶端。
  • 驗證失敗后返回錯誤信息。
  • 客戶端在每次請求中攜帶 JWT 來訪問權(quán)限內(nèi)的接口。
• 每次請求驗證 token 有效性和權(quán)限，在無有效 token 時拋出 401 未授權(quán)錯誤。
• 當(dāng)發(fā)現(xiàn)請求帶著的 token 有效期快到了的時候，返回特定狀態(tài)碼，重新請求一個新 token。

Spring Security是Spring家族中的安全框架，可以用來做用戶驗證和權(quán)限管理等。Spring Security是一款重型框架，不過功能十分強(qiáng)大。一般來說，如果項目中需要進(jìn)行權(quán)限管理，具有多個角色和多種權(quán)限，我們可以使用Spring Security。SpringSecurity 采用的是責(zé)任鏈的設(shè)計模式，是一堆過濾器鏈的組合，它有一條很長的過濾器鏈。

準(zhǔn)備工作

引入 Maven 依賴

針對這個登錄驗證的實現(xiàn)，需要引入 Spring Security、jackson、java-jwt 三個包。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>com.fasterxml.jackson.core</groupId>
    <artifactId>jackson-core</artifactId>
    <version>2.12.1</version>
</dependency>
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.12.1</version>
</dependency>

配置 DAO 數(shù)據(jù)層

要驗證用戶前，自然是先要創(chuàng)建用戶實體對象，以及獲取用戶的服務(wù)類。不同的是，這兩個類需要實現(xiàn) Spring Security 的接口，以便將它們集成到驗證框架中。

User

用戶實體類需要實現(xiàn) ”UserDetails“ 接口，這個接口要求實現(xiàn) getUsername、getPassword、getAuthorities 三個方法，用以獲取用戶名、密碼和權(quán)限。以及 isAccountNonExpired`isAccountNonLocked、isCredentialsNonExpired、isEnabled 這四個判斷是否是有效用戶的方法，因為和驗證無關(guān)，所以先都返回 true。這里圖方便，用了 lombok。

@Data
public class User implements UserDetails {
  private static final long serialVersionUID = 1L;
  private String username;
  private String password;
  private Collection<? extends GrantedAuthority> authorities;
  ...
}

UserService

用戶服務(wù)類需要實現(xiàn) “UserDetailsService” 接口，這個接口非常簡單，只需要實現(xiàn) loadUserByUsername(String username) 這么一個方法。這里使用了 MyBatis 來連接數(shù)據(jù)庫獲取用戶信息。

@Service
public class UserService implements UserDetailsService {
  @Autowired
  UserMapper userMapper;
  @Override
  @Transactional
  public User loadUserByUsername(String username) {
      return userMapper.getByUsername(username);
  }
  ...
}

創(chuàng)建 JWT 工具類

這個工具類主要負(fù)責(zé) token 的生成，驗證，從中取值。

@Component
public class JwtTokenProvider {
  private static final long JWT_EXPIRATION = 5 * 60 * 1000L; // 五分鐘過期
  public static final String TOKEN_PREFIX = "Bearer "; // token 的開頭字符串
  private String jwtSecret = "XXX 密鑰，打死也不能告訴別人";
  ...
}

生成 JWT：從以通過驗證的認(rèn)證對象中，獲取用戶信息，然后用指定加密方式，以及過期時間生成 token。這里簡單的只加了用戶名這一個信息到 token 中：

public String generateToken(Authentication authentication) {
    User userPrincipal = (User) authentication.getPrincipal(); // 獲取用戶對象
    Date expireDate = new Date(System.currentTimeMillis() + JWT_EXPIRATION); // 設(shè)置過期時間
    try {
        Algorithm algorithm = Algorithm.HMAC256(jwtSecret); // 指定加密方式
        return JWT.create().withExpiresAt(expireDate).withClaim("username", userPrincipal.getUsername()) 
                .sign(algorithm); // 簽發(fā) JWT
    } catch (JWTCreationException jwtCreationException) {
        return null;
    }
}

驗證 JWT：指定和簽發(fā)相同的加密方式，驗證這個 token 是否是本服務(wù)器簽發(fā)，是否篡改，或者已過期。

public boolean validateToken(String authToken) {
    try {
        Algorithm algorithm = Algorithm.HMAC256(jwtSecret); // 和簽發(fā)保持一致
        JWTVerifier verifier = JWT.require(algorithm).build();
        verifier.verify(authToken);
        return true;
    } catch (JWTVerificationException jwtVerificationException) {
        return false;
    }
}

獲取荷載信息：從 token 的荷載部分里解析用戶名信息，這部分是 md5 編碼的，屬于公開信息。

public String getUsernameFromJWT(String authToken) {
    try {
        DecodedJWT jwt = JWT.decode(authToken);
        return jwt.getClaim("username").asString();
    } catch (JWTDecodeException jwtDecodeException) {
        return null;
    }
}

登錄

登錄部分需要創(chuàng)建三個文件：負(fù)責(zé)登錄接口處理的攔截器，登陸成功或者失敗的處理類。

LoginFilter

Spring Security 默認(rèn)自帶表單登錄，負(fù)責(zé)處理這個登錄驗證過程的過濾器叫“UsernamePasswordAuthenticationFilter”，不過它只支持表單傳值，這里用自定義的類繼承它，使其能夠支持 JSON 傳值，負(fù)責(zé)登錄驗證接口。

這個攔截器只需要負(fù)責(zé)從請求中取值即可，驗證工作 Spring Security 會幫我們處理好。

參考文章

滑動驗證頁面

SpringBoot整合Spring Security + JWT實現(xiàn)用戶認(rèn)證-阿里云開發(fā)者社區(qū) 

到此這篇關(guān)于Spring Security基于JWT登錄認(rèn)證的項目實踐的文章就介紹到這了,更多相關(guān)Spring Security JWT登錄認(rèn)證內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論