关于JWT之token令牌认证登录

一.话题引入

在做项目过程中，我们一般都是最先编写登录注册功能，登录功能最重要的是登录成功后，系统还会保存该登录用户信息，这种保存用户信息的逻辑可以有两种：

1. 最简单的一种就是使用Session来保存用户信息，然后使用filter来验证用户是否登录，但是这种方法只能是单体架构的项目适用，性能也不会很好。在分布式项目中，会有很多子模块并且部署在不同的服务器中，这样是无法使用session保存的，因为sessio不能共享。

2. 使用单点登录技术就能很好地解决这个弊端。

1. 单点登录（Single Sign On）简称为 SSO。即在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。JWT是一种常用的单点登录解决方案。

什么是JWT？

JWT是Json Web Token的简称，是一种令牌生成算法。使用JWT能够保证Token的安全性，且能够进行Token时效性的检验。使用JWT时，登录成功后将用户信息生成一串令牌字符串。将该字符串返回给客户端，客户端每次请求时都在请求头携带该令牌字符串。在其他模块验证令牌，通过则证明用户处于登录状态，并拿到解析后的用户信息，未通过证明用户处于未登录状态。

二.技术体现

要实现JWT鉴权，就得实现如下步骤：

• 引入JWT工具类，编写生成令牌和解析令牌的方法。

• 用户登录成功后生成令牌字符串返回给前端。

• 前端每次请求时都在请求头带入令牌字符串。

• 在通用模块编写 * ，解析请求头中的令牌字符串。

• 在Api模块配置 * ，配置 * 拦截哪些接口，即这些接口需要登录才能访问。

现在来编写代码实现

2.1 引入依赖

<dependency>
           <groupId>com.auth0</groupId>
           <artifactId>java-jwt</artifactId>
           <version>3.4.0</version>
       </dependency>

2.2 编写JWT工具类

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.itbaizhan.shopping_common.exception.BusException;
import com.itbaizhan.shopping_common.pojo.ShoppingUser;
import com.itbaizhan.shopping_common.result.CodeEnum;
import java.util.Date;
public class JWTUtil {
   //token过期时间，一天
   private static final Long EXPIRE_DATE = 1000*60*60*24L;
   // 秘钥
   private static final String SECRET = "jackie";
   // 签发者
   private static final String ISSUER = "JACKIE";
   /**
    * 签名生成
    * @param shoppingUser
    * @return
    */
   public static String sign(ShoppingUser shoppingUser){
       String token = JWT.create()
               .withIssuer(ISSUER) // 签发者
               .withIssuedAt(new Date()) // 签发时间
               .withExpiresAt(new Date(new Date().getTime() + EXPIRE_DATE)) // 过期时间
               .withSubject(shoppingUser.getUsername()) // 保存用户名
               .withClaim("userId",shoppingUser.getId()) // 保存用户id
               .sign(Algorithm.HMAC256(SECRET)); // 秘钥
       return token;
   }
   /**
    * 签名解析
    * @param token 签名字符串
    * @return 解析得出的用户名
    */
   public static String verify(String token){
       try {
           String username = JWT
                   .require(Algorithm.HMAC256(SECRET))
                   .withIssuer(ISSUER)
                   .build()
                   .verify(token)
                   .getSubject();
           return username;
       } catch (Exception e){
           throw new BusException(CodeEnum.VERIFY_TOKEN_ERROR);
       }
   }
   /**
    * 签名解析，获取用户id
    * @param token 签名字符串
    * @return 用户id
    */
   public static Long getId(String token){
       try {
           Long userId = JWT
                   .require(Algorithm.HMAC256(SECRET))
                   .withIssuer(ISSUER)
                   .build()
                   .verify(token)
                   .getClaim("userId")
                   .asLong();
           return userId;
       } catch (Exception e){
           throw new BusException(CodeEnum.VERIFY_TOKEN_ERROR);
       }
   }
}

这个utils有三个方法，一个是生成token字符串，一个是解析该字符串获取登录的用户名，还要就是获取登录用户的id。

2.3 编写登录方法

如果使用Session存储用户信息，在验证完名字和密码后，直接将该登录对象setAttribute(&ldquo;users&rdquo;,users)里面。

而使用单点登录，则是直接调用JWTUtil.sign(user)，生成JWT令牌，返回该令牌给前端用户。 标准代码：

服务层

@Override
   public String loginPassword(String username, String password) {
       // 1.验证用户名
       QueryWrapper<ShoppingUser> queryWrapper = new QueryWrapper();
       queryWrapper.eq("username",username);
       ShoppingUser shoppingUser = shoppingUserMapper.selectOne(queryWrapper);
       if (shoppingUser == null){
           throw new BusException(CodeEnum.LOGIN_NAME_PASSWORD_ERROR);
       }
       // 2.验证密码
       boolean verify = Md5Util.verify(password, shoppingUser.getPassword());
       if (!verify){
           throw new BusException(CodeEnum.LOGIN_NAME_PASSWORD_ERROR);
       }
       // 3.生成JWT令牌，返回令牌
       String sign = JWTUtil.sign(shoppingUser);
       return sign;
   }

控制层

/**
    * 用户名密码登录
    * @param shoppingUser 用户对象
    * @return 登录结果
    */
   @PostMapping("/loginPassword")
   public BaseResult loginPassword(@RequestBody ShoppingUser shoppingUser){
       String sign = shoppingUserService.loginPassword(shoppingUser.getUsername(), shoppingUser.getPassword());
       return BaseResult.ok(sign);
   }

2.4 编写JWT * 验证令牌

这里验证令牌的方式是拦截所有的请求，如果 JWTUtil.verify(token)不抛异常则通过这个请求。

// * ，验证令牌
public class JWTInterceptor implements HandlerInterceptor {
   @Override
   public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
       // 获取请求头中的token
       String token = request.getHeader("token");
       // 验证令牌
       JWTUtil.verify(token);
       return true;
   }
}

2.5 编写要配置拦截的接口

我们在用户模块配置该模块要拦截的接口（如果是单体架构， * 和该部分可以写在一起）。

除了这种方式，还有一种编写方式，你想知道吗？

在User模块先实例化一个InterceptorConfig配置类，实现WebMvcConfigurer接口，将上面写的 * 在addInterceptor(new JWTInterceptor())方法里面实例化，然后拦截所有的接口（ .addPathPatterns(&ldquo;/**&rdquo;)），再放行不需要认证的接口。

// * 配置
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
   @Override
   public void addInterceptors(InterceptorRegistry registry) {
       registry.addInterceptor(new JWTInterceptor())
               .addPathPatterns("/**") // 拦截的接口
               .excludePathPatterns(
                      "填写需要放行的接口url"
               ); //放行的接口
   }
}

至此，一个令牌认证就完成啦。

来源：https://lions.blog.csdn.net/article/details/129627959