【JWT鉴权】如何来写一个token令牌认证登录？

目录

一. 🦁 话题引入

在做项目过程中，我们一般都是最先编写登录注册功能，登录功能最重要的是登录成功后，系统还会保存该登录用户信息，这种保存用户信息的逻辑可以有两种：

1. 最简单的一种就是使用Session来保存用户信息，然后使用filter来验证用户是否登录，但是这种方法只能是单体架构的项目适用，性能也不会很好。在分布式项目中，会有很多子模块并且部署在不同的服务器中，这样是无法使用session保存的，因为sessio不能共享。
2. 使用单点登录技术就能很好地解决这个弊端。

• 单点登录（Single Sign On）简称为 SSO。即在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。JWT是一种常用的单点登录解决方案。

1.2 什么是JWT？

JWT是Json Web Token的简称，是一种令牌生成算法。使用JWT能够保证Token的安全性，且能够进行Token时效性的检验。

使用JWT时，登录成功后将用户信息生成一串令牌字符串

。将该字符串返回给客户端，客户端每次请求时都在请求头携带该令牌字符串。在其他模块验证令牌，通过则证明用户处于登录状态，并拿到解析后的用户信息，未通过证明用户处于未登录状态。

二. 🦁 技术体现

要实现JWT鉴权，就得实现如下步骤：

• 引入JWT工具类，编写生成令牌和解析令牌的方法。
• 用户登录成功后生成令牌字符串返回给前端。
• 前端每次请求时都在请求头带入令牌字符串。
• 在通用模块编写拦截器，解析请求头中的令牌字符串。
• 在Api模块配置拦截器，配置拦截器拦截哪些接口，即这些接口需要登录才能访问。

现在来编写代码实现

2.1 引入依赖

<dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.4.0</version></dependency>

2.2 编写JWT工具类

import com.auth0.jwt.JWT;import com.auth0.jwt.algorithms.Algorithm;import com.auth0.jwt.interfaces.Claim;import com.itbaizhan.shopping_common.exception.BusException;import com.itbaizhan.shopping_common.pojo.ShoppingUser;import com.itbaizhan.shopping_common.result.CodeEnum;import java.util.Date;

public class JWTUtil {
    //token过期时间，一天
    private static final Long EXPIRE_DATE =1000*60*60*24L;
    // 秘钥
    private static final String SECRET ="jackie";
    // 签发者
    private static final String ISSUER ="JACKIE";

    /**
     * 签名生成
     * @param shoppingUser
     * @return
     */
    public static String sign(ShoppingUser shoppingUser){
        String token = JWT.create()
                .withIssuer(ISSUER) // 签发者
                .withIssuedAt(new Date()) // 签发时间
                .withExpiresAt(new Date(new Date().getTime() + EXPIRE_DATE)) // 过期时间
                .withSubject(shoppingUser.getUsername()) // 保存用户名
                .withClaim("userId",shoppingUser.getId()) // 保存用户id
                .sign(Algorithm.HMAC256(SECRET)); // 秘钥
        return token;}

    /**
     * 签名解析
     * @param token 签名字符串
     * @return 解析得出的用户名
     */
    public static String verify(String token){
        try {
            String username = JWT
                    .require(Algorithm.HMAC256(SECRET))
                    .withIssuer(ISSUER)
                    .build()
                    .verify(token)
                    .getSubject();return username;} catch (Exception e){
            throw new BusException(CodeEnum.VERIFY_TOKEN_ERROR);}}

    /**
     * 签名解析，获取用户id
     * @param token 签名字符串
     * @return 用户id
     */
    public static Long getId(String token){
        try {
            Long userId = JWT
                    .require(Algorithm.HMAC256(SECRET))
                    .withIssuer(ISSUER)
                    .build()
                    .verify(token)
                    .getClaim("userId")
                    .asLong();return userId;} catch (Exception e){
            throw new BusException(CodeEnum.VERIFY_TOKEN_ERROR);}}}

这个utils有三个方法，一个是生成token字符串，一个是解析该字符串获取登录的用户名，还要就是获取登录用户的id。

2.3 编写登录方法

如果使用Session存储用户信息，在验证完名字和密码后，直接将该登录对象setAttribute(“users”,users)里面。

而使用单点登录，则是直接调用JWTUtil.sign(user)，生成JWT令牌，返回该令牌给前端用户。
标准代码：

服务层

:

@OverridepublicStringloginPassword(String username,String password){// 1.验证用户名QueryWrapper<ShoppingUser> queryWrapper =newQueryWrapper();
        queryWrapper.eq("username",username);ShoppingUser shoppingUser = shoppingUserMapper.selectOne(queryWrapper);if(shoppingUser ==null){thrownewBusException(CodeEnum.LOGIN_NAME_PASSWORD_ERROR);}// 2.验证密码boolean verify =Md5Util.verify(password, shoppingUser.getPassword());if(!verify){thrownewBusException(CodeEnum.LOGIN_NAME_PASSWORD_ERROR);}// 3.生成JWT令牌，返回令牌String sign =JWTUtil.sign(shoppingUser);return sign;}

控制层

：

/**
     * 用户名密码登录
     * @param shoppingUser 用户对象
     * @return 登录结果
     */@PostMapping("/loginPassword")publicBaseResultloginPassword(@RequestBodyShoppingUser shoppingUser){String sign = shoppingUserService.loginPassword(shoppingUser.getUsername(), shoppingUser.getPassword());returnBaseResult.ok(sign);}

2.4 编写JWT拦截器验证令牌

这里验证令牌的方式是拦截所有的请求，如果 JWTUtil.verify(token)不抛异常则通过这个请求。

// 拦截器，验证令牌publicclassJWTInterceptorimplementsHandlerInterceptor{@OverridepublicbooleanpreHandle(HttpServletRequest request,HttpServletResponse response,Object handler)throwsException{// 获取请求头中的tokenString token = request.getHeader("token");// 验证令牌JWTUtil.verify(token);returntrue;}}

2.5 编写要配置拦截的接口

我们在用户模块配置该模块要拦截的接口（如果是单体架构，拦截器和该部分可以写在一起）。

除了这种方式，还有一种编写方式，你想知道吗？

在User模块先实例化一个InterceptorConfig配置类，实现WebMvcConfigurer接口，将上面写的拦截器在addInterceptor(new JWTInterceptor())方法里面实例化，然后拦截所有的接口（ .addPathPatterns(“/**”)），再放行不需要认证的接口。

// 拦截器配置@ConfigurationpublicclassInterceptorConfigimplementsWebMvcConfigurer{@OverridepublicvoidaddInterceptors(InterceptorRegistry registry){
        registry.addInterceptor(newJWTInterceptor()).addPathPatterns("/**")// 拦截的接口.excludePathPatterns("填写需要放行的接口url");//放行的接口}}

至此，一个令牌认证就完成啦。

三. 🦁 话题终结

又一篇业务逻辑类的文章表述，希望路过的您看到了觉得还行，给个三连哦 🌹。