既然要做,就要做的细致一点,对得起自己!
上一篇文章已经使用自己的最最最简单的token来完成token的校验,因为当时了解到有JWT这个token,而且现在用的也是比较多,所以就讲shiro和JWT做了结合。
上一篇文章最后提到的各种目前未能解决问题,JWT都提供了解决方案。
解决思路:
将上一篇文章普通我自己写的token使用JWT替换一下即可,整体思路还是没变。
第一步:编写一个JWT工具类,这个类负责token的加密,解密,是否过期等问题。
/** * JWT token 工具类,提供JWT生成,校验,工作 * * @Date 2019-05-25 * @Description: TODO */ @ConfigurationProperties(prefix = "dhb.jwt") @Component public class JwtUtil { private Logger logger = LoggerFactory.getLogger(getClass()); private String secret; private Long expire; private String header; /** * * 生成JWT token * @param userId * @return */ public String generateToken(Long userId) { Date nowDate = new Date(); Date expireDate = new Date(nowDate.getTime() + expire * 1000); return Jwts.builder() .setHeaderParam("typ", "JWT") .setSubject(userId + "") .setIssuedAt(nowDate) .setExpiration(expireDate) .signWith(SignatureAlgorithm.HS256, secret) .compact(); } /** * * 解析JWT token * @param token * @return */ public Claims parseToken(String token) { try { return Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody(); } catch (Exception e) { logger.info("解析token出错"); return null; } } /** * * 校验token是否过期 * @param expiprationTime * @return */ public boolean isTokenExpired(Date expiprationTime){ return expiprationTime.before(new Date()); } public String getSecret() { return secret; } public void setSecret(String secret) { this.secret = secret; } public Long getExpire() { return expire; } public void setExpire(Long expire) { this.expire = expire; } public String getHeader() { return header; } public void setHeader(String header) { this.header = header; } }JWT的生成和解析分别由jws.builder和jes.parse进行。具体的方法,可以去看官方文档或者自行百度,这里不做详细解释。注意,JwtUtil上有一个ConfigeratureProperties注解,这个注解是将application.yml文件的属性和当前类的属性做映射,也就是传统的SSM框架里的引入propertiy文件,因为springboot提倡使用类来代替,所以这个加上这个注解就相当于此类是一个属性类。
#jwt配置 dhb: jwt: # 加密秘钥 secret: f4e2e52034348f86b67cde581c0f9eb5 # token有效时长,7天,单位秒 expire: 604800 header: authorization这是application.yml的其中一部分,可以看到上面类中的prefix对应这里的路径。
第二步:
在AuthFilter(原来叫shiroFilter,命名冲突所以改了)里进行拦截处理,逻辑和上一篇文章一样。只不过上篇文章的所有逻辑我们都放在onAccessDenied()的方法里,现在我们都放到isaAssessAllowed()方法里,如果isAssessAllowed返回false,那么onAccessDenied直接返回false即可。
@Component("authFilter") public class AuthFilter extends FormAuthenticationFilter { @Autowired JwtUtil jwtUtil; /** * 判断token是否为空、过期 * * @param request * @param response * @param mappedValue * @return */ @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) { String token = getRequestToken((HttpServletRequest) request); if (ObjectUtils.isNull(token)){ return false; } if (StringUtils.isBlank(token)) { throw new CustomException(jwtUtil.getHeader()+"不能为空", HttpStatus.SC_UNAUTHORIZED); } Claims claims = jwtUtil.parseToken(token); if (ObjectUtils.isNull(claims) || jwtUtil.isTokenExpired(claims.getExpiration())) { throw new CustomException(jwtUtil.getHeader()+"token过期",HttpStatus.SC_UNAUTHORIZED); } return true; } /** * 上面的方法如果返回false,则接下来会执行这个方法,如果返回为true,则不会执行这个方法 * 判断是否为登录url,进一步判断请求是不是post * * @param request * @param response * @return * @throws Exception */ @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { if (isLoginRequest(request, response)) { if (isLoginSubmission(request, response)) { return true; } } return false; } /** * 获取请求中的token,首先从请求头中获取,如果没有,则尝试从请求参数中获取 * * @param request * @return */ private String getRequestToken(HttpServletRequest request) { String token = request.getHeader(jwtUtil.getHeader()); if (StringUtils.isBlank(token)) { token = request.getParameter(jwtUtil.getHeader()); } return token; } }第三步:
当我们登录认证成功之后,将生成的加密的token返回给前端,部分代码如下。
@PostMapping("login") public Map login(@RequestBody String info){ User user = JSON.parseObject(info,User.class); Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(user.getName(),user.getPassword()); token.setRememberMe(true); subject.login(token); //返回的token String tokenBack = jwtUtil.generateToken(userId);tokenBack就是最终返回给前端的加密的JWT。
测试结果如下:
{ "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiI0MTQiLCJpYXQiOjE1NTg3ODk1NTAsImV4cCI6MTU1OTM5NDM1MH0.MzFzdOJCLbrG8c3j7WuJzj9NIPjrtLUL7n_AF913tS4" }以后每次请求都带上这个token来校验此次请求是否合法,到此为止,shiro结合JWT使用完毕。推荐使用JWT,安全性更高。
遇到的小问题:
1.在验证请求时,一开始AuthFilter里的jwtUtil总是为空,一开始以为是没有映射上,debug发现属性是映射了的,但是还是为null,那就说明JWTUtil没有注入进AuthFilter里去,这是什么原因呢,后来在网上找到了解决方案,spring容器对bean的管理原则是,如果你new了一个对象实例,那么使用autowired注解是无法注入的,在此new实例里面的引入的其他对象同样也不会注入。
原来filter.put是filter.put("auth",new AuthFilter())这样的,我在这里直接new了AuthFilter实例,所以在它里面的JwtUtil即使加了autowired注解也是无法注入的。改写为上图的格式之后,最后在AuthFilter上加入component注解即可。感谢这位博主的文章。
2.在解决了上述问题之后,我就在想,我如果在程序启动之后能够清楚的看到当前spring容器中有哪些bean就更好了,就可以更快的定位问题,而不是像今天那样,一直去网上找解决问题的答案。了解了一下,springboot还真提供这样一个功能。叫Actuator,我还没细致研究过,官方文档在这里。
到此为止,项目中安全模块,shiro集成springboot加上JWT,目前已经足够了,终于可以去搞别的问题了。
