SpringBoot 整合 JWT 實現 token 驗證，token 登出

原文地址：https://www.byteblogs.com/article/164
JWT官網： [https://jwt.io/][https_jwt.io]
JWT(Java版)的github地址:[https://github.com/jwtk/jjwt][https_github.com_jwtk_jjwt]

什麼是JWT

Json web token (JWT), 是為了在網路應用環境間傳遞宣告而執行的一種基於JSON的開放標準（(RFC 7519).定義了一種簡潔的，自包含的方法用於通訊雙方之間以JSON物件的形式安全的傳遞資訊。因為數字簽名的存在，這些資訊是可信的，JWT可以使用HMAC演算法或者是RSA的公私秘鑰對進行簽名。

JWT請求流程

1. 使用者使用賬號和麵發出post請求；
2. 伺服器使用私鑰建立一個jwt；
3. 伺服器返回這個jwt給瀏覽器；
4. 瀏覽器將該jwt串在請求頭中像伺服器傳送請求；
5. 伺服器驗證該jwt；
6. 返回響應的資源給瀏覽器。

JWT的主要應用場景

身份認證在這種場景下，一旦使用者完成了登陸，在接下來的每個請求中包含JWT，可以用來驗證使用者身份以及對路由，服務和資源的訪問許可權進行驗證。由於它的開銷非常小，可以輕鬆的在不同域名的系統中傳遞，所有目前在單點登入（SSO）中比較廣泛的使用了該技術。 資訊交換在通訊的雙方之間使用JWT對資料進行編碼是一種非常安全的方式，由於它的資訊是經過簽名的，可以確保傳送者傳送的資訊是沒有經過偽造的。

優點

1.簡潔(Compact): 可以透過URL，POST引數或者在HTTP header傳送，因為資料量小，傳輸速度也很快
2.自包含(Self-contained)：負載中包含了所有使用者所需要的資訊，避免了多次查詢資料庫
3.因為Token是以JSON加密的形式儲存在客戶端的，所以JWT是跨語言的，原則上任何web形式都支援。
4.不需要在服務端儲存會話資訊，特別適用於分散式微服務。

`

JWT的結構

JWT是由三段資訊構成的，將這三段資訊文字用.連線一起就構成了JWT字串。
就像這樣:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JWT包含了三部分：
Header 頭部(標題包含了令牌的後設資料，並且包含簽名和/或加密演算法的型別)
Payload 負載 (類似於飛機上承載的物品)
Signature 簽名/簽證

Header

JWT的頭部承載兩部分資訊：token型別和採用的加密演算法。

{ 
  "alg": "HS256",
   "typ": "JWT"
}

宣告型別:這裡是jwt
宣告加密的演算法:通常直接使用 HMAC SHA256

加密演算法是單向函式雜湊演算法，常見的有MD5、SHA、HAMC。
MD5(message-digest algorithm 5) （資訊-摘要演算法）縮寫，廣泛用於加密和解密技術，常用於檔案校驗。校驗？不管檔案多大，經過MD5後都能生成唯一的MD5值
SHA (Secure Hash Algorithm，安全雜湊演算法），數字簽名等密碼學應用中重要的工具，安全性高於MD5
HMAC (Hash Message Authentication Code)，雜湊訊息鑑別碼，基於金鑰的Hash演算法的認證協議。用公開函式和金鑰產生一個固定長度的值作為認證標識，用這個標識鑑別訊息的完整性。常用於介面簽名驗證

Payload

載荷就是存放有效資訊的地方。
有效資訊包含三個部分
1.標準中註冊的宣告
2.公共的宣告
3.私有的宣告

標準中註冊的宣告 (建議但不強制使用) ：

iss: jwt簽發者
sub: 面向的使用者(jwt所面向的使用者)
aud: 接收jwt的一方
exp: 過期時間戳(jwt的過期時間，這個過期時間必須要大於簽發時間)
nbf: 定義在什麼時間之前，該jwt都是不可用的.
iat: jwt的簽發時間
jti: jwt的唯一身份標識，主要用來作為一次性token,從而回避重放攻擊。

公共的宣告 ：

公共的宣告可以新增任何的資訊，一般新增使用者的相關資訊或其他業務需要的必要資訊.但不建議新增敏感資訊，因為該部分在客戶端可解密.

私有的宣告 ：

私有宣告是提供者和消費者所共同定義的宣告，一般不建議存放敏感資訊，因為base64是對稱解密的，意味著該部分資訊可以歸類為明文資訊。

Signature

jwt的第三部分是一個簽證資訊，這個簽證資訊由三部分組成：
header (base64後的)
payload (base64後的)
secret
這個部分需要base64加密後的header和base64加密後的payload使用.連線組成的字串，然後透過header中宣告的加密方式進行加鹽secret組合加密，然後就構成了jwt的第三部分。
金鑰secret是儲存在服務端的，服務端會根據這個金鑰進行生成token和進行驗證，所以需要保護好。

下面來進行SpringBoot和JWT的整合

引入JWT依賴,由於是基於Java，所以需要的是java-jwt

<dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>3.4.0</version>
</dependency>

需要自定義一個註解

需要登入並且具有角色才能才能進行操作的註解LoginRequired

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginRequired {

    // 是否進行校驗
    boolean required() default true;

    // 預設管理員
    RoleEnum role() default RoleEnum.ADMIN;  
}

@Target:註解的作用目標

@Target(ElementType.TYPE)——介面、類、列舉、註解
@Target(ElementType.FIELD)——欄位、列舉的常量
@Target(ElementType.METHOD)——方法
@Target(ElementType.PARAMETER)——方法引數
@Target(ElementType.CONSTRUCTOR) ——建構函式
@Target(ElementType.LOCAL_VARIABLE)——區域性變數
@Target(ElementType.ANNOTATION_TYPE)——註解
@Target(ElementType.PACKAGE)——包

@Retention：註解的保留位置

RetentionPolicy.SOURCE:這種型別的Annotations只在原始碼級別保留,編譯時就會被忽略,在class位元組碼檔案中不包含。
RetentionPolicy.CLASS:這種型別的Annotations編譯時被保留,預設的保留策略,在class檔案中存在,但JVM將會忽略,執行時無法獲得。
RetentionPolicy.RUNTIME:這種型別的Annotations將被JVM保留,所以他們能在執行時被JVM或其他使用反射機制的程式碼所讀取和使用。
@Document：說明該註解將被包含在javadoc中
@Inherited：說明子類可以繼承父類中的該註解

簡單自定義一個實體類User,使用lombok簡化實體類的編寫

@Data
@Accessors(chain = true)
public class AuthUserVO extends BaseVO {

/**
 * 主鍵
 */
private Long id;

/**
 * 社交賬戶ID
 */
private String socialId;

/**
 * 使用者名稱
 */
private String name;

/**
 * 密碼
 */
private String password;

/**
 * 角色主鍵 1 普通使用者 2 admin
 */
private Long roleId;

/**
 * 頭像
 */
private String avatar;

private String token;

}

需要寫token的生成方法

/**
 * 生成Token
 * @param authUserVO
 * @return
 */
public static String getToken(AuthUserVO authUserVO) {
    String sign = authUserVO.getPassword();
    return JWT.create().withExpiresAt(new Date(System.currentTimeMillis()+ Constants.EXPIRE_TIME)).withAudience(JsonUtil.toJsonString(authUserVO.setPassword(null)))
            .sign(Algorithm.HMAC256(sign));
}

Algorithm.HMAC256():使用HS256生成token,金鑰則是使用者的密碼，唯一金鑰的話可以儲存在服務端。
withAudience()存入需要儲存在token的資訊，這裡我把使用者ID存入token中

接下來需要寫一個攔截器去獲取token並驗證token

實現一個攔截器就需要實現HandlerInterceptor介面

HandlerInterceptor介面主要定義了三個方法
1.boolean preHandle ()：
預處理回撥方法,實現處理器的預處理，第三個引數為響應的處理器,自定義Controller,返回值為true表示繼續流程（如呼叫下一個攔截器或處理器）或者接著執行
postHandle()和afterCompletion()；false表示流程中斷，不會繼續呼叫其他的攔截器或處理器，中斷執行。

2.void postHandle()：
後處理回撥方法，實現處理器的後處理（DispatcherServlet進行檢視返回渲染之前進行呼叫），此時我們可以透過modelAndView（模型和檢視物件）對模型資料進行處理或對檢視進行處理，modelAndView也可能為null。

3.void afterCompletion():
整個請求處理完畢回撥方法,該方法也是需要當前對應的Interceptor的preHandle()的返回值為true時才會執行，也就是在DispatcherServlet渲染了對應的檢視之後執行。用於進行資源清理。整個請求處理完畢回撥方法。如效能監控中我們可以在此記錄結束時間並輸出消耗時間，還可以進行一些資源清理，類似於try-catch-finally中的finally，但僅呼叫處理器執行鏈中

主要流程:

1.從 http 請求頭中取出 token，
2.判斷是否對映到方法
3.檢查是否有passtoken註釋，有則跳過認證
4.檢查有沒有需要使用者登入的註解，有則需要取出並驗證
5.認證透過則可以訪問，不透過會報相關錯誤資訊

配置攔截器

在配置類上新增了註解@Configuration，標明瞭該類是一個配置類並且會將該類作為一個SpringBean新增到IOC容器內

@Configuration
public class InterceptorConfig extends WebMvcConfigurerAdapter {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**");    // 攔截所有請求，透過判斷是否有 @LoginRequired 註解 決定是否需要登入
    }
    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }
}

WebMvcConfigurerAdapter該抽象類其實裡面沒有任何的方法實現，只是空實現了介面
WebMvcConfigurer內的全部方法，並沒有給出任何的業務邏輯處理，這一點設計恰到好處的讓我們不必去實現那些我們不用的方法，都交由WebMvcConfigurerAdapter抽象類空實現,如果我們需要針對具體的某一個方法做出邏輯處理,僅僅需要在
WebMvcConfigurerAdapter子類中@Override對應方法就可以了。

注：
在SpringBoot2.0及Spring 5.0中WebMvcConfigurerAdapter已被廢棄
網上有說改為繼承WebMvcConfigurationSupport，不過試了下，還是過期的

解決方法:

直接實現WebMvcConfigurer （官方推薦）

  @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 可新增多個
        registry.addInterceptor(authenticationInterceptor).addPathPatterns("/**");
    }

InterceptorRegistry內的addInterceptor需要一個實現HandlerInterceptor介面的攔截器例項，addPathPatterns方法用於設定攔截器的過濾路徑規則。
這裡我攔截所有請求，透過判斷是否有@LoginRequired註解 決定是否需要登入

在資料訪問介面中加入登入操作註解

    @LoginRequired
    @PutMapping("/admin/v1/update")
    public Result updateUser(@RequestBody AuthUserVO authUserVO) {
        return authUserService.updateUser(authUserVO);
    }

登出登入

網上很多案例都很少說怎麼退出登入的，有點人說直接生成新的token，我覺得還是後端控制比較好。這裡我儲存了每次生成的token，用了一個定時器去掃描這裡的過期token，每次校驗的時候都去資料庫中看有沒有，如果沒有就報token驗證失敗。

    /**
     * 獲取使用者Session資訊
     * @return
     */
    public static UserSessionVO getUserSessionInfo() {

        // 獲取請求物件
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();

        // 獲取請求頭Token值
        String token = Optional.ofNullable(request.getHeader(Constants.AUTHENTICATION)).orElse(null);

        if (StringUtils.isBlank(token)) {
            return null;
        }

        // 獲取 token 中的 user id
        AuthUser authUser = null;
        try {
            authUser = JsonUtil.parseObject(JWT.decode(token).getAudience().get(0), AuthUser.class);
        } catch (JWTDecodeException j) {
            ExceptionUtil.rollback("token解析失敗", ErrorConstants.INVALID_TOKEN);
        }

        AuthUserDao userDao = BeanTool.getBean(AuthUserDao.class);
        AuthUser user = userDao.selectById(authUser.getId());
        if (user == null) {
            ExceptionUtil.rollback("使用者不存在，請重新登入", ErrorConstants.LOGIN_ERROR);
        }

        // 驗證 token
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(user.getPassword())).build();
        try {
            jwtVerifier.verify(token);
        } catch (JWTVerificationException e) {
            ExceptionUtil.rollback("token驗證失敗", ErrorConstants.LOGIN_ERROR);
        }

        AuthTokenDao authTokenDao = BeanTool.getBean(AuthTokenDao.class);
        Integer count = authTokenDao.selectCount(new LambdaQueryWrapper<AuthToken>().eq(AuthToken::getToken, token).eq(AuthToken::getUserId, user.getId()).ge(AuthToken::getExpireTime, LocalDateTime.now()));
        if (count.equals(Constants.ZERO)) {
            ExceptionUtil.rollback("token驗證失敗", ErrorConstants.LOGIN_ERROR);
        }

        UserSessionVO userSessionVO = new UserSessionVO();
        userSessionVO.setName(user.getName()).setSocialId(user.getSocialId()).setRoleId(user.getRoleId()).setId(user.getId());
        return userSessionVO;
    }

定時器

   @Override
    public Result logout() {
        UserSessionVO userSessionInfo = SessionUtil.getUserSessionInfo();
        this.authTokenDao.delete(new LambdaQueryWrapper<AuthToken>().eq(AuthToken::getUserId, userSessionInfo.getId()));
        return Result.createWithSuccessMessage();
    }

定時器

    @Scheduled(cron = "0 0/1 * * * ?")
    private void scanToken() {
        log.debug(" {} 掃描過期Token", LocalDateTime.now());
        authTokenDao.delete(new LambdaQueryWrapper<AuthToken>().le(AuthToken::getExpireTime, LocalDateTime.now()));
    }

不加註解的話預設不驗證，登入介面一般是不驗證的。在getMessage()中我加上了登入註解，說明該介面必須登入獲取token後，在請求頭中加上token並透過驗證才可以訪問

注意:這裡的key一定不能錯，因為在攔截器中是取關鍵字token的值
String token = httpServletRequest.getHeader(Constants.AUTHENTICATION);
加上token之後就可以順利透過驗證和進行介面訪問了

github專案原始碼地址：https://github.com/byteblogs168/hello-blog

• 加入我們的QQ群
• 我的個人部落格地址
• 文件地址
• 後端程式碼github地址
• 管理系統github地址
• 預設主題

注： 本文參考了 https://www.jianshu.com/p/e88d3f8151db。

本作品採用《CC 協議》，轉載必須註明作者和本文連結