前言

在《玩轉 SpringBoot 2 之整合 JWT 上篇》 中介紹了關於 JWT 相關概念和JWT 基本使用的操作方式。本文為 SpringBoot 整合 JWT 的下篇，通過解決 App 使用者登入 Session 問題的實戰操作，帶你更深入理解 JWT。通過本文你還可以瞭解到如下內容：

1. SpringBoot 使用攔截器的實際應用
2. SpringBoot 統一異常處理
3. SpringBoot 快速搭建 RESTful Api

   關於生成JWT 操作請參考 《玩轉 SpringBoot 2 之整合 JWT 上篇》

實戰操作

登入操作

登入操作流程圖：

登入操作流程介紹：

1. App 根據使用者名稱和密碼訪問登入介面。
2. 如果使用者名稱和密碼錯誤則提示 App 使用者密碼輸入錯誤。
3. 如果使用者名稱和密碼正確則獲取使用者資訊（表示登入成功）並根據使用者資訊生成 Token 並將其存入ServletContext 中。
4. 將生成的 Token 返回給 App。

登入操作具體程式碼：

@RestController
public class LoginController {
    Logger log = LoggerFactory.getLogger(LoginController.class);
    @Autowired
    private JWTService jwtService;
    
    @RequestMapping("/login")
    public ReturnMessage<Object> login(String loginName,String password,HttpServletRequest request) {
        if(valid(loginName,password)) {
            ReturnMessageUtil.error(CodeEnum.LOGINNAMEANDPWDERROR);
        }
        
        Map<String,String> userInfo = createUserInfoMap(loginName,password);
        String token = jwtService.createToken(userInfo,1);
        
        ServletContext context = request.getServletContext();
        context.setAttribute(token,token);
        log.info("token:"+token);
        return ReturnMessageUtil.sucess(token);
    }
} 

    private Map<String,String> createUserInfoMap(String loginName,String password) {
        Map<String,String> userInfo = new HashMap<String,String>();
        userInfo.put("loginName",loginName);
        userInfo.put("password",password);
        return userInfo;
    }

    private boolean valid(String loginName,String password) {
        if(Objects.equal("ljk",loginName) && Objects.equal("123456",password) ) {
            return true;
        }
        return false;
    }複製程式碼
 

攔截操作

攔截操作流程圖：

攔截操作流程介紹：

1. 伺服器獲取 （App訪問具體的Api 時攜帶的 Token）Token，如果 Token 為空則提示 App Token不能為空。
2. 如果 Token 不為空則從 ServletContext 中獲取 Token，如果不存在則提示 App 該Token為非法 Token ！
3. 如果 Token 不為空並且 ServletContext 中存在該Token，需要判斷 Token 是否過期。如果未過期則放開攔截。
4. 如果Token 已經過期則提示 App Token已經過期，需要重新登入。

攔截操作具體程式碼：

public class LoginInterceptor implements HandlerInterceptor{
    
    Logger log = LoggerFactory.getLogger(LoginInterceptor.class);
    
    private JWTService jwtService;
    
    public LoginInterceptor(JWTService jwtService) {
        this.jwtService = jwtService;
    }
    
    public boolean preHandle(HttpServletRequest request,HttpServletResponse response,Object o) throws Exception {
        
        log.info("Token Checkout processing");
        String token = request.getParameter("token");
        
        if (StringUtils.isEmpty(token)) {
            throw new JKException(CodeEnum.TOKENISEMPTY);
        }
        
        String tokenInServletContext = (String)request.getServletContext().getAttribute(token);
        if(StringUtils.isEmpty(tokenInServletContext)) {
            throw new JKException(CodeEnum.ILLEGALTOKEN);
        }
        
        try {
             jwtService.verifyToken(token);
        } catch (AlgorithmMismatchException  e) {
            log.error("Token Checkout processing AlgorithmMismatchException 異常！"+e.getLocalizedMessage());
            throw new JKException(CodeEnum.ILLEGALTOKEN);
        }catch (TokenExpiredException  e) {
            log.info("token已經過期");
            throw new JKException(CodeEnum.EXPIRETOKEN);
        }catch (SignatureVerificationException  e) {
            log.error("Token Checkout processing SignatureVerificationException 異常！"+e.getLocalizedMessage());
            throw new JKException(CodeEnum.ILLEGALTOKEN);
         }catch (Exception e) {
            log.error("Token Checkout processing 未知異常！"+e.getLocalizedMessage());
            throw e;
        }
        
        return true;
    }
}複製程式碼
 

退出操作

退出操作流程介紹：

訪問退出介面並傳遞登入生成的 Token，然後將 ServletContext中的 Token 刪除。

退出操作具體程式碼：

    @GetMapping("/logout")
    public ReturnMessage<?> logout(String token,String issuer,HttpServletRequest request) {
        ServletContext context = request.getServletContext();
        context.removeAttribute(token);
        return ReturnMessageUtil.sucess();
    }複製程式碼

公共程式碼

IndexController App 訪問測試Api，具體程式碼如下：

@RestController
public class IndexController {
    
    @GetMapping("index")
    public ReturnMessage index() {
        return ReturnMessageUtil.sucess();
    }
}複製程式碼

統一異常次處理的 Handle

@RestControllerAdvice
public class ExceptionHandle {
    private final static Logger logger = LoggerFactory.getLogger(ExceptionHandle.class);
    @ExceptionHandler(value = Exception.class)
    //@ResponseBody
    public ReturnMessage<Object> handle(HttpServletResponse response,Exception exception) {
         response.setCharacterEncoding("utf-8");
        if(exception instanceof JKException) {
            JKException sbexception = (JKException)exception;
            return ReturnMessageUtil.error(sbexception.getCode(),sbexception.getMessage());
        }else {
            logger.error("系統異常 {}",exception);
            return ReturnMessageUtil.error(-1,"未知異常"+exception.getMessage());
        }
    }
}複製程式碼

JWTService 工具類 程式碼可以在我的GitHub上進行檢視，具體地址請檢視下面程式碼示例章節。

測試

這裡使用PostMan 進行測試，當然你也可以選用你順手的工具進行測試哈！

訪問 http://localhost:8080/sbe/login?loginName=ljk&password=123456 進行登入獲取Token，如下圖所示date欄位的值就是登入成功後生成的 Token。

訪問 http://localhost:8080/sbe/index?token=具體token值，如下圖所示訪問成功！

如果不攜帶 Token 會提示Token不能為空，如下圖所示：

如果輸入不存在的 Token 則提示 非法Token！，如下圖所示：

http://localhost:8080/sbe/logout?token=具體token值 進行退出，如下圖所示：

退出後再次使用已經退出的Token 訪問，會提示非法Token 如下圖所示：

小結

登入操作通過 JWT 生成Token 返回給App，攔截操作（也可以理解成校驗操作）通過攔截器（HandlerInterceptor）來進行實現。最後退出操作是通過將Token 儲存ServletContent 中，退出其實就是將 Token 從 ServletContent 中刪除。

本文主旨是通過簡單實現，帶你瞭解 App 認證過程處理方式，對於攔截部分你也可以通過 Filter 或 Aop 來進行實現。Token 儲存也可以考慮使用Redis來實現，還有一個問題就是：JWT 續期問題本文並沒有實現（JWT 過期時間延期問題）。這個部分就當成一個作業，歡迎大家在評論區說說你的解決方案？

程式碼示例

本文並沒有對 JWTService 工具類、統一異常處理、攔截器使用搭建進行詳細介紹，如果你想直接檢視本文全部原始碼，請在我的GitHub 倉庫 SpringbootExamples 中的 spring-boot-2.x-jwt 模組進行檢視。

GitHub：github.com/zhuoqianmin…

同時你也可以通過檢視我關於攔截器、統一異常處理、搭建 RESTful Api 詳細教程總結自己完成相關的實現：

• 玩轉 SpringBoot 2 快速整合攔截器
• 玩轉 SpringBoot 2 快速整合 | RESTful Api 篇
• SpringBoot 2 快速整合 | 統一異常處理