玩轉 SpringBoot 2 之整合 JWT 下篇
前言
在《玩轉 SpringBoot 2 之整合 JWT 上篇》 中介紹了關於 JWT 相關概念和JWT 基本使用的操作方式。本文為 SpringBoot 整合 JWT 的下篇,通過解決 App 使用者登入 Session 問題的實戰操作,帶你更深入理解 JWT。通過本文你還可以瞭解到如下內容:
- SpringBoot 使用攔截器的實際應用
- SpringBoot 統一異常處理
- SpringBoot 快速搭建 RESTful Api
關於生成JWT 操作請參考 《玩轉 SpringBoot 2 之整合 JWT 上篇》
實戰操作
登入操作
登入操作流程圖:
登入操作流程介紹:
- App 根據使用者名稱和密碼訪問登入介面。
- 如果使用者名稱和密碼錯誤則提示 App 使用者密碼輸入錯誤。
- 如果使用者名稱和密碼正確則獲取使用者資訊(表示登入成功)並根據使用者資訊生成 Token 並將其存入ServletContext 中。
- 將生成的 Token 返回給 App。
登入操作具體程式碼:
@RestController
public class LoginController {
Logger log = LoggerFactory.getLogger(LoginController.class);
@Autowired
private JWTService jwtService;
@RequestMapping("/login")
public ReturnMessage<Object> login(String loginName,String password,HttpServletRequest request) {
if(valid(loginName,password)) {
ReturnMessageUtil.error(CodeEnum.LOGINNAMEANDPWDERROR);
}
Map<String,String> userInfo = createUserInfoMap(loginName,password);
String token = jwtService.createToken(userInfo,1);
ServletContext context = request.getServletContext();
context.setAttribute(token,token);
log.info("token:"+token);
return ReturnMessageUtil.sucess(token);
}
}
private Map<String,String> createUserInfoMap(String loginName,String password) {
Map<String,String> userInfo = new HashMap<String,String>();
userInfo.put("loginName",loginName);
userInfo.put("password",password);
return userInfo;
}
private boolean valid(String loginName,String password) {
if(Objects.equal("ljk",loginName) && Objects.equal("123456",password) ) {
return true;
}
return false;
}複製程式碼
攔截操作
攔截操作流程圖:
攔截操作流程介紹:
- 伺服器獲取 (App訪問具體的Api 時攜帶的 Token)Token,如果 Token 為空則提示 App Token不能為空。
- 如果 Token 不為空則從 ServletContext 中獲取 Token,如果不存在則提示 App 該Token為非法 Token !
- 如果 Token 不為空並且 ServletContext 中存在該Token,需要判斷 Token 是否過期。如果未過期則放開攔截。
- 如果Token 已經過期則提示 App Token已經過期,需要重新登入。
攔截操作具體程式碼:
public class LoginInterceptor implements HandlerInterceptor{
Logger log = LoggerFactory.getLogger(LoginInterceptor.class);
private JWTService jwtService;
public LoginInterceptor(JWTService jwtService) {
this.jwtService = jwtService;
}
public boolean preHandle(HttpServletRequest request,HttpServletResponse response,Object o) throws Exception {
log.info("Token Checkout processing");
String token = request.getParameter("token");
if (StringUtils.isEmpty(token)) {
throw new JKException(CodeEnum.TOKENISEMPTY);
}
String tokenInServletContext = (String)request.getServletContext().getAttribute(token);
if(StringUtils.isEmpty(tokenInServletContext)) {
throw new JKException(CodeEnum.ILLEGALTOKEN);
}
try {
jwtService.verifyToken(token);
} catch (AlgorithmMismatchException e) {
log.error("Token Checkout processing AlgorithmMismatchException 異常!"+e.getLocalizedMessage());
throw new JKException(CodeEnum.ILLEGALTOKEN);
}catch (TokenExpiredException e) {
log.info("token已經過期");
throw new JKException(CodeEnum.EXPIRETOKEN);
}catch (SignatureVerificationException e) {
log.error("Token Checkout processing SignatureVerificationException 異常!"+e.getLocalizedMessage());
throw new JKException(CodeEnum.ILLEGALTOKEN);
}catch (Exception e) {
log.error("Token Checkout processing 未知異常!"+e.getLocalizedMessage());
throw e;
}
return true;
}
}複製程式碼
退出操作
退出操作流程介紹:
訪問退出介面並傳遞登入生成的 Token,然後將 ServletContext中的 Token 刪除。
退出操作具體程式碼:
@GetMapping("/logout")
public ReturnMessage<?> logout(String token,String issuer,HttpServletRequest request) {
ServletContext context = request.getServletContext();
context.removeAttribute(token);
return ReturnMessageUtil.sucess();
}複製程式碼
公共程式碼
IndexController App 訪問測試Api,具體程式碼如下:
@RestController
public class IndexController {
@GetMapping("index")
public ReturnMessage index() {
return ReturnMessageUtil.sucess();
}
}複製程式碼
統一異常次處理的 Handle
@RestControllerAdvice
public class ExceptionHandle {
private final static Logger logger = LoggerFactory.getLogger(ExceptionHandle.class);
@ExceptionHandler(value = Exception.class)
//@ResponseBody
public ReturnMessage<Object> handle(HttpServletResponse response,Exception exception) {
response.setCharacterEncoding("utf-8");
if(exception instanceof JKException) {
JKException sbexception = (JKException)exception;
return ReturnMessageUtil.error(sbexception.getCode(),sbexception.getMessage());
}else {
logger.error("系統異常 {}",exception);
return ReturnMessageUtil.error(-1,"未知異常"+exception.getMessage());
}
}
}複製程式碼
JWTService 工具類 程式碼可以在我的GitHub上進行檢視,具體地址請檢視下面程式碼示例章節。
測試
這裡使用PostMan 進行測試,當然你也可以選用你順手的工具進行測試哈!
訪問 http://localhost:8080/sbe/login?loginName=ljk&password=123456 進行登入獲取Token,如下圖所示date欄位的值就是登入成功後生成的 Token。
訪問 http://localhost:8080/sbe/index?token=具體token值,如下圖所示訪問成功!
如果不攜帶 Token 會提示Token不能為空,如下圖所示:
如果輸入不存在的 Token 則提示 非法Token!,如下圖所示:
http://localhost:8080/sbe/logout?token=具體token值 進行退出,如下圖所示:
退出後再次使用已經退出的Token 訪問,會提示非法Token 如下圖所示:
小結
登入操作通過 JWT 生成Token 返回給App,攔截操作(也可以理解成校驗操作)通過攔截器(HandlerInterceptor)來進行實現。最後退出操作是通過將Token 儲存ServletContent 中,退出其實就是將 Token 從 ServletContent 中刪除。
本文主旨是通過簡單實現,帶你瞭解 App 認證過程處理方式,對於攔截部分你也可以通過 Filter 或 Aop 來進行實現。Token 儲存也可以考慮使用Redis來實現,還有一個問題就是:JWT 續期問題本文並沒有實現(JWT 過期時間延期問題)。這個部分就當成一個作業,歡迎大家在評論區說說你的解決方案?
程式碼示例
本文並沒有對 JWTService 工具類、統一異常處理、攔截器使用搭建進行詳細介紹,如果你想直接檢視本文全部原始碼,請在我的GitHub 倉庫 SpringbootExamples 中的 spring-boot-2.x-jwt 模組進行檢視。
GitHub:github.com/zhuoqianmin…
同時你也可以通過檢視我關於攔截器、統一異常處理、搭建 RESTful Api 詳細教程總結自己完成相關的實現: