2. 程式人生 > 其它 >如何優雅地使用 jwt 鑑權

如何優雅地使用 jwt 鑑權

阿新 發佈:2022-05-15

1、匯入依賴

<!-- JWT -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

2、建立配置和工具類

jwt:
  config:
    key: my-secret-salt # 鹽
    ttl: 10080 # token存活時間,單位分鐘
    expire: 120 # 無操作過期時間,單位分鐘
    singleSignOn: true # true為啟用單點登入
    singleSignOnKey: singleSignOnKey_
 
/**
 * jwt配置
 */
@Data
@Component
@ConfigurationProperties("jwt.config")
public class JwtConfig {

    private String key;

    private long expire;

    private long ttl;

    private boolean singleSignOn;
    
    private String singleSignOnKey;
}
@Component
public class JwtUtil {

    @Autowired
    private JwtConfig jwtConfig;

    /**
     * 生成token
     */
    public String createJWT(int userId, String userName, int userType) {
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        JwtBuilder builder = Jwts.builder()
                .setId(String.valueOf(userId))
                .setSubject(userName)
                .setIssuedAt(now)
                .signWith(SignatureAlgorithm.HS256, jwtConfig.getKey())
                .claim("userType", userType)
                ;
        if (jwtConfig.getTtl() > 0) {
            Date date = new Date(nowMillis + (jwtConfig.getTtl() * 60 * 1000));
            builder.setExpiration(date);
        }
        return builder.compact();
    }

    /**
     * 解析JWT
     */
    public Claims parseJWT(String jwtStr) {
        return Jwts.parser()
                .setSigningKey(jwtConfig.getKey())
                .parseClaimsJws(jwtStr)
                .getBody()
                ;
    }
}

3、鑑權

準備好需要使用的類

@Data
@NoArgsConstructor
public class UserDTO {

    private int id;
    private String name;
    private UserTypeEnum userType;

    private String mobile;
    private String password;
    private String token;

    public UserDTO(int id, String name, UserTypeEnum userType) {
        this.id = id;
        this.name = name;
        this.userType = userType;
    }
}

@Getter
@AllArgsConstructor
public enum UserTypeEnum {

    NONE(-1, null),
    ADMIN(1, "管理員"),
    USER(2, "使用者"),
    ;

    @JsonValue
    private int value;

    private String desc;

    @JsonCreator(mode = JsonCreator.Mode.DELEGATING)
    public static UserTypeEnum getByValue(int value) {
        for (UserTypeEnum userTypeEnum : values()) {
            if (userTypeEnum.getValue() == value) {
                return userTypeEnum;
            }
        }
        return null;
    }
}

public class ExpiredException extends RuntimeException {
}

public class MultiLoginException extends RuntimeException {
}

public class UnauthorizedException extends RuntimeException {
}

jwt攔截器

@Slf4j
@Component
public class JwtInterceptor extends HandlerInterceptorAdapter {

    @Autowired
    private JwtUtil jwtUtil;

    @Autowired
    private JwtConfig jwtConfig;

    @Autowired
    private StringRedisTemplate redisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 放行所有options請求
        if (RequestMethod.OPTIONS.name().equalsIgnoreCase(request.getMethod())) {
            return true;
        }
        try {
            final String authHeader = request.getHeader("Authorization");
            if (authHeader != null && authHeader.startsWith("Bearer ")) {
                // The part after "Bearer "
                final String token = authHeader.substring(7);
                Claims claims = jwtUtil.parseJWT(token);
                if (claims != null) {
                    // 提取使用者資訊
                    int userId = Integer.parseInt(claims.getId());
                    String userName = claims.getSubject();
                    int userType = Integer.parseInt(claims.get("userType").toString());
                    log.info("[{}_{}] uri: {}", userId, userName, request.getRequestURI());

                    // 單點登入
                    if (jwtConfig.isSingleSignOn()) {
                        String singleSignOnKey = jwtConfig.getSingleSignOnKey() + userId;
                        String singleToken = redisTemplate.opsForValue().get(singleSignOnKey);
                        if (singleToken == null) {
                            throw new ExpiredException();
                        } else if (!token.equals(singleToken)) {
                            throw new MultiLoginException();
                        }
                        // 續簽
                        redisTemplate.opsForValue().set(singleSignOnKey, token, jwtConfig.getExpire(), TimeUnit.MINUTES);
                    }

                    // 將使用者資訊存入 request,以便後續使用
                    request.setAttribute("currUser", new UserDTO(userId, userName, UserTypeEnum.getByValue(userType)));
                    return true;
                }
            }
        } catch (ExpiredJwtException | ExpiredException e) {
            throw new ExpiredException();
        } catch (MultiLoginException e) {
            throw new MultiLoginException();
        } catch (Exception e) {
            e.printStackTrace();
        }
        throw new UnauthorizedException();
    }
}

 配置攔截器,攔截除登入以外的所有介面

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private JwtInterceptor jwtInterceptor;

    /***
     * addPathPatterns("/**"):攔截所有請求
     * excludePathPatterns: 不攔截的請求
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/**/login")
    }
}

5、配置全域性異常和響應處理

@Data
public class JSONResult {

    /** 響應業務狀態 */
    private Integer code;

    /** 響應訊息 */
    private String message;

    /** 響應中的資料 */
    private Object data;

    public JSONResult() {

    }

    public JSONResult(Object data) {
        this.code = 20000;
        this.message = "OK";
        this.data = data;
    }

    public JSONResult(Integer code, String message, Object data) {
        this.code = code;
        this.message = message;
        this.data = data;
    }

    public static JSONResult ok() {
        return new JSONResult(null);
    }

    public static JSONResult ok(Object data) {
        return new JSONResult(data);
    }

    public static JSONResult build(Integer code, String message) {
        return new JSONResult(code, message, null);
    }

    public static JSONResult build(Integer code, String message, Object data) {
        return new JSONResult(code, message, data);
    }

    public static JSONResult errorException(String message) {
        return new JSONResult(500, message, null);
    }

    public static JSONResult errorMap(Object data) {
        return new JSONResult(501, "error", data);
    }

    public static JSONResult errorMsg(String message) {
        return new JSONResult(555, message, null);
    }

    public static JSONResult unauthorized() {
        return new JSONResult(401, "未授權", null);
    }

    public static JSONResult multiLogin() {
        return new JSONResult(402, "賬號已在別處登陸!", null);
    }

    public static JSONResult expired() {
        return new JSONResult(403, "登陸超時,請重新登陸!", null);
    }
}
/**
 *  全域性異常和響應處理
 */
@Slf4j
@RestControllerAdvice("com.xxx.controller")
public class GlobalResponseHandler implements ResponseBodyAdvice<Object> {

    @ExceptionHandler(UnauthorizedException.class)
    public JSONResult unauthorizedException() {
        return JSONResult.unauthorized();
    }

    @ExceptionHandler(MultiLoginException.class)
    public JSONResult multiLoginException() {
        return JSONResult.multiLogin();
    }

    @ExceptionHandler(ExpiredException.class)
    public JSONResult expiredException() {
        return JSONResult.expired();
    }

    /**
     * 攔截之前業務處理,請求先到supports再到beforeBodyWrite
     * 用法1:自定義是否攔截。若方法名稱(或者其他維度的資訊)在指定的常量範圍之內,則不攔截。
     *
     * @return 返回true會執行攔截;返回false不執行攔截
     */
    @Override
    public boolean supports(MethodParameter methodParameter, Class<? extends HttpMessageConverter<?>> aClass) {
        final String returnTypeName = methodParameter.getParameterType().getName();
        return !"com.xxx.utils.JSONResult".equals(returnTypeName)
                && !"org.springframework.http.ResponseEntity".equals(returnTypeName);
    }

    /**
     * 向客戶端返回響應資訊之前的業務邏輯處理
     * 用法1:無論controller返回什麼型別的資料,在寫入客戶端響應之前統一包裝,客戶端永遠接收到的是約定格式的內容
     * 用法2:在寫入客戶端響應之前統一加密
     *
     * @return 最終響應內容
     */
    @Override
    public Object beforeBodyWrite(Object body, MethodParameter methodParameter
            , MediaType mediaType, Class<? extends HttpMessageConverter<?>> aClass
            , ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse) {
        if (!mediaType.includes(MediaType.APPLICATION_JSON)) {
            return body;
        }
        return JSONResult.ok(body);
    }
}

5、登入測試

@RequestMapping(value = "/login", method = RequestMethod.POST)
public UserDTO login(@RequestBody UserDTO userDTO) {
    String mobile = userDTO.getMobile();
    String password = userDTO.getPassword();
    Assert.isTrue(StringUtils.isNotEmpty(mobile) && StringUtils.isNotEmpty(password), "請輸入登陸資訊");
    // todo 做登入操作...
    userDTO = new UserDTO();
    userDTO.setId(1);
    userDTO.setName("管理員");
    userDTO.setUserType(UserTypeEnum.ADMIN);

    // 生成token
    String token = jwtUtil.createJWT(userDTO.getId(), userDTO.getName(), userDTO.getUserType().getId());
    userDTO.setToken(token);
    // 單點登入
    if (jwtConfig.isSingleSignOn()) {
        String singleSignOnKey = jwtConfig.getSingleSignOnKey() + userDTO.getId();
        log.info("singleSignOnKey key --> {}", singleSignOnKey);
        redisTemplate.opsForValue().set(singleSignOnKey, token, jwtConfig.getExpire(), TimeUnit.MINUTES);
    }
    return userDTO;
}

@RequestMapping(value = "/userinfo", method = RequestMethod.GET)
public UserDTO userinfo(HttpServletRequest request) {
    return (UserDTO) request.getAttribute("currUser");
}

訪問登入介面即可獲取token

然後在不帶token的情況訪問userinfo介面返回未授權

填入token後即可正確訪問並獲取當前使用者資訊

6、使用註解優雅地獲取使用者資訊

@Documented
@Target({ElementType.PARAMETER})
@Retention(RetentionPolicy.RUNTIME)
public @interface CurrUser {
}
public class CurrUserImpl implements HandlerMethodArgumentResolver {

    /**
     * 判斷是否支援使用@CurrUser註解的引數
     */
    @Override
    public boolean supportsParameter(MethodParameter methodParameter) {
        // 如果該引數註解有@CurrUser且引數型別是UserModel
        return methodParameter.getParameterAnnotation(CurrUser.class) != null && methodParameter.getParameterType() == UserDTO.class;
    }

    /**
     * 注入引數值
     */
    @Override
    public Object resolveArgument(MethodParameter methodParameter, ModelAndViewContainer modelAndViewContainer, NativeWebRequest nativeWebRequest, WebDataBinderFactory webDataBinderFactory) throws Exception {
        // 取得HttpServletRequest
        HttpServletRequest request = (HttpServletRequest) nativeWebRequest.getNativeRequest();
        // 取出session中的資料
        return request.getAttribute("currUser");
    }
}

 在WebConfig繼承addArgumentResolvers方法

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private JwtInterceptor jwtInterceptor;

    /***
     * addPathPatterns("/**"):攔截所有請求
     * excludePathPatterns: 不攔截的請求
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/**/login")
    }
    
    /**
     * 自定義引數處理器
     * @param argumentResolvers
     */
    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
        argumentResolvers.add(new CurrUserImpl());
    }
}

改造userinfo方法並再次訪問

@RequestMapping(value = "/userinfo", method = RequestMethod.GET)
public UserDTO userinfo(@CurrUser UserDTO userDTO) {
    return userDTO;
}

7、使用註解限制介面的訪問許可權

@Documented
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD, ElementType.TYPE})
public @interface RequiredPermission {

    /**
     * 允許訪問的使用者型別
     */
    UserTypeEnum[] userType() default UserTypeEnum.NONE;
}
@Component
public class RequiredPermissionImpl extends HandlerInterceptorAdapter {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            // 獲取方法上的註解
            RequiredPermission requiredPermission = handlerMethod.getMethod().getAnnotation(RequiredPermission.class);
            // 如果方法上的註解為空 則獲取類的註解
            if (requiredPermission == null) {
                requiredPermission = handlerMethod.getMethod().getDeclaringClass().getAnnotation(RequiredPermission.class);
            }
            // 如果註解為null, 說明不需要攔截, 直接放過
            if (requiredPermission == null) {
                return true;
            }

            // 判斷使用者型別許可權
            int userType = (int) request.getAttribute("userType");
            if (userType == UserTypeEnum.ADMIN.getId()) {
                return true;
            }
            UserTypeEnum[] userTypeEnums = requiredPermission.userType();
            for (UserTypeEnum userTypeEnum : userTypeEnums) {
                if (userTypeEnum.getId() == userType) {
                    return true;
                }
             }
            throw new UnauthorizedException();
        }
        return true;
    }
}

 這樣被@RequiredPermission標記的介面普通使用者就訪問不了了

當要開放給某個使用者型別時@RequiredPermission(userType = {UserTypeEnum.USER})

相關推薦

如何優雅使用 jwt

1、匯入依賴 <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId>

理解JWT的應用場景及使用建議

作者:maotou叔叔 cnblogs.com/mantoudev/p/8994341.html 1. JWT 介紹 JSON Web Token(JWT)是一個開放式標準(RFC 7519),它定義了一種緊湊(Compact)且自包含(Self-contained)的方式,用於在各方之間以JSON

Node使用koa2實現一個簡單JWT的方法

JWT 簡介 什麼是 JWT 全稱 JSON Web Token , 是目前最流行的跨域認證解決方案。基本的實現是服務端認證後,生成一個 JSON 物件,發回給使用者。使用者與服務端通訊的時候,都要發回這個 JSON 物件。

實現JWT機制

一、是什麼 JWT(JSON Web Token),本質就是一個字串書寫規範,如下圖,作用是用來在使用者和伺服器之間傳遞安全可靠的資訊

在.NET5中 使用JWT授權

1、建立一個單獨的WebApi專案用作JWT服務,直接使用主服務建立一個控制器也可

SpringBoot整合SpringSecurity和JWT做登陸的實現

廢話 目前流行的前後端分離讓Java程式設計師可以更加專注的做好後臺業務邏輯的功能實現,提供如返回Json格式的資料介面就可以。SpringBoot的易用性和對其他框架的高度整合,用來快速開發一個小型應用是最佳的選擇。

SpringBoot整合Spring Security用JWT令牌實現登入和的方法

最近在做專案的過程中 需要用JWT做登入和 查了很多資料 都不甚詳細 有的是需要在application.yml裡進行jwt的配置 但我在導包後並沒有相應的配置項 因而並不適用

Koa2 使用 JWT 進行

前言 在前後端分離的開發中,通過 Restful API 進行資料互動時,如果沒有對 API 進行保護,那麼別人就可以很容易獲取並呼叫這些 API 進行操作。那麼伺服器端要如何進行呢?

專案總結67:Springboot中使用JWT+Token示例

專案總結67:Springboot中使用JWT+Token示例 START 程式碼示例   pom檔案 <dependency>

JWT JSON Web Token 令牌 技術 在 微服務 中 功能的使用

JWT是一種規範,本身也是一個字串,作用就是加密,不便於理解, 程式可以解讀其資訊,往往作為令牌使用,;

SpringBoot中使用Shiro和JWT跟著就行的認證和

技術標籤:springbootshiro過濾器springjwt POM檔案中新增依賴 <dependency> <groupId>org.apache.shiro</groupId>

使用JWT實現完成帶token訪問資源

第一步 先安裝相應的Nuget包 第二步現在startup中新增認證服務 public void ConfigureServices(IServiceCollection services)

SpringCloud整合SpringSecurity - JWT進行認證 ,

一. 建立認證微服務AuthenticationService 1.1 pom.xml 點選檢視程式碼 <dependencies> <!--mysql驅動-->

前端必須瞭解的 5 個兄弟:cookie、session、token、jwt、單點登入

點選“終碼一生”,關注,置頂公眾號 每日技術乾貨,第一時間送達! 本文你將看到:

C#技術棧入門到精通系列19——授權IdentityServer JWT

閱讀目錄 1、介紹2、對比session登入3、應用案例  3.1、啟用無狀態登入系統  3.2、使用token訪問受保護的action  3.3、給使用者新增角色和許可權  3.4、完成註冊過程  3.5、完成登入過程  3.6、自定義使

策略模式&模板模式&工廠模式 如何優雅用在專案中

關於策略模式、模板模式和工廠模式的基礎概念和優缺點可以自行了解一下,這裡主要講的是如何優雅地使用這三種模式保證服務符合:SRP(單一職責原則)和OCP(開閉原則)、耦合度低、可擴充套件性高和減少大量if else程

如何優雅管理C++ 中的記憶體

C++的記憶體管理 C++是一門Native Language,而說到Native Languages就不得不說資源管理,其中記憶體管理又是資源管理中的一個大問題,由於堆記憶體需要手動分配和釋放,所以必須確保申請的記憶體得到正確的釋放。對

如何優雅將Token引數轉換成userId

在實際專案中,我們往往會發放一個token憑證給前端,前端在每次請求的時候通過請求引數或者請求頭將token傳給後端進行驗證。後端在獲得token,驗證通過之後會將token轉成實際需要的引數,比如userId。

SpringBoot使用token簡單

本文使用SpringBoot結合Redis進行簡單的token鑑權。 1.簡介 剛剛換了公司,所以最近有些忙碌,所以一直沒有什麼產出,最近朋友問我登入相關的,所以這裡先寫一篇簡單使用token鑑權的文章,後續會補充一些高階的,

Laravel中如何優雅使用幫助類檔案 helpers.php

溫馨提示:篇幅較長,閱讀需要5-10分鐘。 需求         一個比較完善的表中基本上都會有type,status欄位,來區分型別和狀態,現在的問題就是當api介面返回資料後,前端人員根本不知道你返回的type或者stat