# Spring Boot 配置 JWT

# 一、概述

Web 网站离不开用户认证,这边我们不用 session,而直接使用 JWT。 JWT 的背景知识可以看阮一峰老师的这篇文章: JSON Web Token 入门教程 - 阮一峰的网络日志 (opens new window)

JWT 由三个部分组成:

  • Header(头部)
  • Payload(负载)
  • Signature(签名)

# 二、步骤

# 2.1 application.yml 中添加 jwt 信息

src/main/resources/application.yml中添加 jwt 配置信息。

# jwt 配置
jwt:
  header: "Authorization"     # token 返回头部
  tokenPrefix: "Bearer "      # token 前缀
  secret: "qwertyuiop1214156" # 私钥
  expireTime: 43200            # token 的有效时间,单位是毫秒
1
2
3
4
5
6

# 2.2 新建 JwtUtil 工具类

新建 util目录,在 util 目录下新建 JwtUtil.class@Component将当前 JwtUtil注入到 spring 容器中。 @ConfigurationProperties(prefix = "jwt"),匹配 application.yml配置文件的前缀,然后将配置文件里面的数据加载到当前类。

**
 * Jwt Token 生成的工具类
 *
 * @author yunhu
 * @date 2022/6/8
 */

@Component
@ConfigurationProperties(prefix = "jwt")
public class JwtUtil {
    /**
     * 定义 token 返回头部
     */
    public static String header;

    /**
     * token 前缀
     */
    public static String tokenPrefix;

    /**
     * 签名密钥
     */
    public static String secret;

    /**
     * 有效期
     */
    public static long expireTime;

    /**
     * 存进客户端的 token 的 key 名
     */
    public static final String USER_LOGIN_TOKEN = "token";

    /**
     * 设置 token 头部
     * @param header token 头部
     */
    public void setHeader(String header) {
        JwtUtil.header = header;
    }

    /**
     * 设置 token 前缀
     * @param tokenPrefix token 前缀
     */
    public void setTokenPrefix(String tokenPrefix) {
        JwtUtil.tokenPrefix = tokenPrefix;
    }

    /**
     * 设置 token 密钥
     * @param secret token 密钥
     */
    public void setSecret(String secret) {
        JwtUtil.secret = secret;
    }

    /**
     * 设置 token 有效时间
     * @param expireTimeInt token 有效时间
     */
    public void setExpireTime(int expireTimeInt) {
        JwtUtil.expireTime = expireTimeInt;
    }

    /**
     * 创建 TOKEN
     * JWT 构成: header, payload, signature
     * @param sub jwt 所面向的用户,即用户名
     * @return token 值
     */
    public static String createToken(String sub) {
        return tokenPrefix + JWT.create()
                .withSubject(sub)
                .withExpiresAt(new Date(System.currentTimeMillis() + expireTime))
                .sign(Algorithm.HMAC512(secret));
    }

    /**
     * 验证 token
     * @param token 验证的 token 值
     * @return 用户名
     */
    public static String validateToken(String token) throws Exception {
        try {
            Verification verification = JWT.require(Algorithm.HMAC512(secret));
            JWTVerifier jwtVerifier = verification.build();
            // 去除 token 的前缀
            String noPrefixToken = token.replace(tokenPrefix, "");
            DecodedJWT decodedJwt = jwtVerifier.verify(noPrefixToken);
            if(decodedJwt != null) {
                return decodedJwt.getSubject();
            }
            return "";
        } catch (TokenExpiredException e){
            e.printStackTrace();
        } catch (Exception e){
            e.printStackTrace();
            return "";
        }
        return "";
    }

    /**
     * 检查 token 是否需要更新
     * @param token token 值
     * @return 过期时间
     */
    public static boolean isNeedUpdate(String token) throws Exception {
        // 获取 token 过期时间
        Date expiresAt = null;
        try {
            expiresAt = JWT.require(Algorithm.HMAC512(secret))
                    .build()
                    .verify(token.replace(tokenPrefix, ""))
                    .getExpiresAt();
        } catch (TokenExpiredException e){
            return true;
        } catch (Exception e){
            throw new Exception(("token 验证失败"));
        }
        // 需要更新
        return (expiresAt.getTime() - System.currentTimeMillis()) < (expireTime >> 1);
    }
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128

# 2.3 用户登录创建 token

    /**
     * 用户登录
     * @param request 登录请求
     * @return 响应信息
     */
    @GetMapping(value = "/user/login")
    public Map<String, Object> userLogin(HttpServletRequest request, HttpServletResponse response)  throws IOException {
        String formData = request.getParameter("formData");
        // 转为 json
        Map<String, Object> map = new HashMap<>(3);

        JSONObject json = JSONObject.parseObject(formData);
        if(CollectionUtils.isNotEmpty(json)) {
            String userName = (String) json.get("userName");
            String password = (String) json.get("password");

            // 验证账号密码是否正确
            QueryWrapper<UserTableEntity> queryWrapper = new QueryWrapper<>();
            queryWrapper
                    .eq("username", userName)
                    .eq("password", password);

            List<UserTableEntity> list = userTableMapper.selectList(queryWrapper);
            if(CollectionUtils.isNotEmpty(list)) {
                // 登录成功,加上 token
                String token = JwtUtil.createToken(list.get(0).getUsername());
                map.put("loginResult", true);
                map.put("msg", "登录成功");
                map.put("user",list.get(0));
                map.put("token", token);
                response.setHeader(JwtUtil.USER_LOGIN_TOKEN, token);
                return map;
            }else {
                // 登录失败
                map.put("loginResult", false);
                map.put("msg", "登录失败,请认真检查账号密码哦");
            }
        }
        return map;
    }
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

# 2.3 拦截器验证 token

如何自定义拦截器可以看我的这篇 Spring Boot 2 配置登录拦截 (opens new window)

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // http 的 header 中获得token
        String token = request.getHeader("authorization");
        // token 不存在
        if (token == null || token.equals("")) {
            System.out.println("UserLoginInterceptor class token is not exist");
            return false;
        }
        // 验证 token
        String sub = JwtUtil.validateToken(token);
        if (sub == null || sub.equals("")) {
            System.out.println("token exist, but not same");
            return false;
        }
        // 更新 token 有效时间 (如果需要更新其实就是产生一个新的 token)
        if (JwtUtil.isNeedUpdate(token)){
            String newToken = JwtUtil.createToken(sub);
            response.setHeader(JwtUtil.USER_LOGIN_TOKEN, newToken);
        }
        return true;
    }
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

# 三、参考资料

JSON Web Token 入门教程 - 阮一峰的网络日志 (opens new window) Spring Boot 2 配置登录拦截_云胡同学的博客-CSDN博客 (opens new window)