初出茅庐.开胃菜·代码思路·jwt实现
大约 6 分钟
初出茅庐.开胃菜·代码思路·jwt实现
在了解jwt的时候先要带着一部分问题
- 1.什么是JWT
- 2.jwt有什么好处,对比之前学过的session --基于Session的应用开发的缺陷
- 3.jwt的组成
- 4.如何使用JWT
- 5.系统中的JWT是如何使用的在什么时候使用的
思路🍐
思路
- 百度了解JWT先学习技术
- 自己尝试做一个工程,引入jwt,并使用生成token
- 对应的跟进jwt的特性,分析系统中哪部分使用了jwt,是如何使用的?可以使用全局搜索ctrl+shift+r 搜索"登录"或"/login"
1️⃣什么是JWT?(自行百度)
json web token,通过数字签名的方式,以json为载体,在不同的服务之间安全的传输信息的一种技术
2️⃣JWT有什么用?(自行百度)
一般使用在授权认证的过程中,一旦用户登录,后端返回一个token给前端,相当于后端给了前端返回了一个授权码,之后前端向后端发送的每一个请求都需要包含这个token,后端在执行方法前会校验这个token(安全校验),校验通过才执行具体的业务逻辑。
3️⃣JWT的组成?(自行百度)
由三个部分组成
Header头信息主要声明加密算法:(具体算法对称不对称加密不作为研究内容)
通常直接使用 HMAC HS256这样的算法
{
"typ":"jwt"
"alg":"HS256" //加密算法
}
然后将头部进行base64加密(该加密是可以对称解密的),构成了第一部分.
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
PayLoad(载荷)
{
"username":"zhangsan",
"name":"张三",
...
}
对其进行base64加密,得到Jwt的第二部分。
eyJ1c2VybmFtZSI6InpoYW5nc2FuIiwibmFtZSI6IuW8oOS4iSIsImFnZSI6MTgsInNleCI6IuWlsyIsImV4cCI6MTY0NzE0NTA1MSwianRpIjoiMTIxMjEyMTIxMiJ9
Signature 签证信息,这个签证信息由三部分组成(由加密后的Header,加密后的PayLoad,加密后的签名三部分组成)
- header (base64后的)
- payload (base64后的)
- secret(秘钥,在yml文件中可以看到)
base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐加密,然后就构成了jwt的第三部分,每个部分直接使用"."来进行拼接
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6InpoYW5nc2FuIiwibmFtZSI6IuW8oOS4iSIsImFnZSI6MTgsInNleCI6IuWlsyIsImV4cCI6MTY0NzE0NTA1MSwianRpIjoiMTIxMjEyMTIxMiJ9.5tmHCpcsS_VuZ2_z5Rydf2OpsviBGwB-fJE5aS7gKqE
4️⃣如何使用JWT(自行百度)
引入Pom依赖:注:使用的jdk1.8版本 高版本会报缺少jar包 ⚠️
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
jwt生成token(自行百度)
调用api封装header,payload,signature这三部分信息
步骤:
- 什么一个全局的签名即我们的秘钥
static String signature = "itheima";
获取jwt的构造器
封装header,payload,signature这三部分属性
调用compact方法帮我们生成token
//使用JWT自带的构造器构造一个jwt
JwtBuilder builder = Jwts.builder();
//使用构造器里的方法封装属性
String token = builder.
//封装header属性
setHeaderParam("typ","JWT").
setHeaderParam("alg", "HS256")
//封装payload里的信息 使用claim方法
.claim("username", "zhangsan")
.claim("name", "张三")
.claim("age", 18)
.claim("sex", "女")
//在payLoad中设置一个超时时间 秒 分 时
.setExpiration(new Date(System.currentTimeMillis()+Long.valueOf(1000 * 60 * 60 * 1)))
.setId("1212121212")
//构造signature部分
.signWith(SignatureAlgorithm.HS256, signature)
//构造我们的签名 调用compact方法
.compact();
System.out.println(token);
解密
步骤
- 获取解密器
- 解密器需要获取我们本地的秘钥 signature
- 将生成的token进行解密,拿到一个Claims
- 核心是获取payLoad里的用户信息调用getBody方法获取payLoad
获取payLoad里的参数 代码如下
//解密
JwtParser parser = Jwts.parser();
Jws<Claims> claimsJws = parser.setSigningKey(signature).parseClaimsJws(token);
Claims body = claimsJws.getBody();
//获取name
System.out.println(body.get("name"));
//获取性别
System.out.println(body.get("sex"));
//获取用户名
System.out.println(body.get("username"));
//获取姓名
System.out.println(body.get("name"));
//获取id
System.out.println(body.getId());
//获取有效期-截止时间
System.out.println(body.getSubject());
System.out.println(body.getExpiration());
完整代码:
package cn.itheima;
import io.jsonwebtoken.*;
import java.util.Date;
/**
* jwt的例子
*/
public class JWTExample {
static String signature = "itheima";
public static void main(String[] args) {
//使用JWT自带的构造器构造一个jwt
JwtBuilder builder = Jwts.builder();
String token = builder.
//封装header属性
setHeaderParam("typ","JWT").
setHeaderParam("alg", "HS256")
//封装payload里的信息 使用claim方法
.claim("username", "zhangsan")
.claim("name", "张三")
.claim("age", 18)
.claim("sex", "女")
//在payLoad中设置一个超时时间 秒 分 时
.setExpiration(new Date(System.currentTimeMillis()+Long.valueOf(1000 * 60 * 60 * 1)))
.setId("1212121212")
//构造signature部分
.signWith(SignatureAlgorithm.HS256, signature)
//构造我们的签名 调用compact方法
.compact();
System.out.println(token);
System.out.println("===================================开始解密=======================================");
//解密
JwtParser parser = Jwts.parser();
Jws<Claims> claimsJws = parser.setSigningKey(signature).parseClaimsJws(token);
Claims body = claimsJws.getBody();
//获取name
System.out.println(body.get("name"));
//获取性别
System.out.println(body.get("sex"));
//获取用户名
System.out.println(body.get("username"));
//获取姓名
System.out.println(body.get("name"));
//获取id
System.out.println(body.getId());
//获取有效期-截止时间
System.out.println(body.getSubject());
System.out.println(body.getExpiration());
}
}
4️⃣系统中如何使用JWT
到此我们已经基本明白了JWT是做什么的了,会怎么使用了,那么我们的CRM系统中是如何使用JWT的呢?
我们已经了解JWT是一个保存用户信息的秘钥,那么应该在登录的时候使用
浏览器进入登录页面,打开F12 找到对应的接口通过F12看到的调用登录前端传递的参数有哪些
前端传递的参数:
{
"username":"admin",
"password":"admin123",
"code":"8",
"uuid":"1653e83f3d9f450b97a5c2c8cd88d48d"
}
根据前端的请求找到对应的后端代码
👈找到对应的后端接口
在admin工程下system目录下的SysLoginController
/**
* 登录方法
*
* @param loginBody 登录信息
* @return 结果
*/
@PostMapping("/login")
public AjaxResult login(@RequestBody LoginBody loginBody) {
AjaxResult ajax = AjaxResult.success();
// 生成令牌
String token = loginService.login(loginBody.getUsername(), loginBody.getPassword(), loginBody.getCode(),
loginBody.getUuid());
ajax.put(Constants.TOKEN, token);
return ajax;
}
从controller层可以看出在loginService的login方法返回了一个然后将其利用包装类返回给了前端
我们来看具体的逻辑,看这个。
SysLoginService
/**
* 登录验证
*
* @param username 用户名
* @param password 密码
* @param code 验证码
* @param uuid 唯一标识
* @return 结果
*/
public String login(String username, String password, String code, String uuid) {
String verifyKey = Constants.CAPTCHA_CODE_KEY + uuid;
String captcha = redisCache.getCacheObject(verifyKey);
redisCache.deleteObject(verifyKey);
if (captcha == null)
{
AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.jcaptcha.expire")));
throw new CaptchaExpireException();
}
if (!code.equalsIgnoreCase(captcha))
{
AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.jcaptcha.error")));
throw new CaptchaException();
}
// 用户验证
Authentication authentication = null;
try {
// 该方法会去调用UserDetailsServiceImpl.loadUserByUsername
System.out.println("username "+username+" -----password "+password);
authentication = authenticationManager
.authenticate(new UsernamePasswordAuthenticationToken(username, password));
}catch (Exception e) {
e.printStackTrace();
if (e instanceof BadCredentialsException) {
AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.password.not.match")));
throw new UserPasswordNotMatchException();
}else {
AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, e.getMessage()));
throw new CustomException(e.getMessage());
}
}
AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_SUCCESS, MessageUtils.message("user.login.success")));
LoginUser loginUser = (LoginUser) authentication.getPrincipal();
// 生成token
return tokenService.createToken(loginUser);
}
这里面的逻辑非常的复杂,我们就关心token是如何创建的就行了
我们可以看到方法创建了token,我们聚焦到这个方法上来
return tokenService.createToken(loginUser);
TokenService
/**
* 创建令牌
*
* @param loginUser 用户信息
* @return 令牌
*/
public String createToken(LoginUser loginUser) {
String token = IdUtils.fastUUID();
loginUser.setToken(token);
setUserAgent(loginUser);
refreshToken(loginUser);
Map<String, Object> claims = new HashMap<>();
claims.put(Constants.LOGIN_USER_KEY, token);
//存放非敏感信息
claims.put("username",loginUser.getUsername());
claims.put("nickName",loginUser.getUser().getNickName());
claims.put("createTime",loginUser.getUser().getCreateTime());
return createToken(claims);
}
/**
* 从数据声明生成令牌
*
* @param claims 数据声明
* @return 令牌
*/
private String createToken(Map<String, Object> claims){
String token = Jwts.builder()
.setClaims(claims)
.signWith(SignatureAlgorithm.HS512, secret).compact();
return token;
}