借鉴参考
Java Token登录验证 使用jjwt生成和解析JWT
java基于token验证之登陆验证
等
什么是Token?
我的理解来说 token就是你访问服务器的口令,只要token合法,正确,你就能获取到后端数据
当用户第一次登陆后,用户名密码验证成功后,服务器会生成一个token,把token返回到客户端,一般token都是储存在浏览器的localStorage 或 cookies中,存在localStorage的token需要通过js,将token添加到http请求头中,下次再访问服务器,就不需要用户名密码了,只要带上token,服务器验证token的合法性后,就能访问后端资源了。是不是觉的很方便
添加依赖
我的项目是用gradle构建的,maven添加依赖可以百度一下
implementation (“io.jsonwebtoken:jjwt:0.9.0”)
implementation (“com.auth0:java-jwt:3.4.0”)
我前端是vue.js 用了element ui 三方库,servlet,mybatis
参考了链接
public class TokenSign {
/**
* @author
* 设置过期时间 1小时钟 为了方便测试
* 设置Token密匙 最好长一点
*/
private static final long EXPIRE_TIME= 60 * 60 * 1000;
private static final String TOKEN_SECRET="Token";
/**
* 产生token
* @param useName
* @param userId
* @return
*/
public static String Sign(String useName , long userId){
try{
//这里将useName 和 userId 存入了Token,在下面的解析中,也会有解析的方法可以获取到Token里面的数据
//Token过期的时间
Date date = new Date(System.currentTimeMillis()+EXPIRE_TIME);
System.out.println("date"+date);
Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
//设置头部信息
Map header = new HashMap<>();
header.put("typ","JWT");
header.put("alg","HS256");
//附带username和userid信息,存储到token中,生成签名
return JWT.create()
.withHeader(header)
//存储自己想要留存给客户端浏览器的内容
.withClaim("userName",useName)
.withClaim("userId",userId)
.withExpiresAt(date)
.sign(algorithm);
}catch (Exception e){
e.printStackTrace();
}
return null;
}
/**
* token校验是否正确
* @param token
* @return
*/
public static boolean verify(String token){
try{
Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
JWTVerifier verifier = JWT.require(algorithm).build();
DecodedJWT decodedJWT = verifier.verify(token);
return true;
}catch (Exception e){
System.out.println("Token超时,需要重新登录");
}
return false;
}
/**
* 获取token中信息 userName
* @param token
* @return
*/
public static String getUsername(String token){
try {
DecodedJWT jwt = JWT.decode(token);
return jwt.getClaim("userName").asString();
}catch (JWTDecodeException e){
e.printStackTrace();
}
return null;
}
/**
* 获取token中信息 userId
* @param token
* @return
*/
public static Long getUserId(String token){
try{
DecodedJWT jwt = JWT.decode(token);
return jwt.getClaim("userId").asLong();
}catch (JWTDecodeException e){
e.printStackTrace();
}
return null;
}
}
前端收到的数据
储存到localStorage中的token
请求头添加Token
在main.js 中添加拦截器,添加请求头
axios.interceptors.request.use(config => {
// 为请求头添加Authorization字段为服务端返回的token
config.headers.Authorization = localStorage.getItem('token')
return config
})
这样的话请求头添加了token
过滤器
@WebFilter注解详情
这里的urlPatterns填路径
如果我的 @WebServlet("/Jwt/JwtListTest") 是这样的 WebServlet就能过滤下掉
如果我的 @WebServlet("/sadasda/JwtListTest") 是这样的 WebServlet就不能过滤 TheInterceptor就不会执行
@WebFilter(filterName = "TheInterceptor",urlPatterns = {"/jwt/*"})
public class TheInterceptor implements Filter {
//初始化
@Override
public void init(FilterConfig filterConfig) throws ServletException {
System.out.println("Filter初始化");
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
System.out.println("doFilter");
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;
request.setCharacterEncoding("UTF-8");
response.setCharacterEncoding("UTF-8");
response.setContentType("text/html;charset=utf-8");
ObjectNode objectNode=new ObjectNode(JsonNodeFactory.instance); //初始化json对象
PrintWriter out = response.getWriter();
String url = req.getServletPath();
//获取请求头Authorization字段的数据
String token = req.getHeader("Authorization");
boolean result = false;
/**
* 1001 token不存在,先登录
* 1002 token存在,但是token不合法
*
* 2000 用户名或密码错误
* 2999 登陆成功
* 2998 注销登录成功
* 2997 注销登录失败
*
* 3000 用户注册失败
* 3001 用户名重复
* 3999 用户注册成功
*
* 3002 用户信息更新成功
* 3998 用户信息更新失败
*/
//如果url 复合 这些,直接放行,不用验证token
if (
"/jwt/JwtLogin".equalsIgnoreCase(url) ||
"/jwt/JwtRegister".equalsIgnoreCase(url) ||
"/jwt/JwtOrderDetail".equalsIgnoreCase(url) ||
"/Jwt/JwtListTest".equalsIgnoreCase(url)){
System.out.println("if语句执行了");
chain.doFilter(request, response);//这是放行的语句
}else {
/**
* 如果不是,登录界面,注销界面,注册界面 则执行以下语句
* 如果 要去商品界面,购物车界面等需要,登录状态的界面,
* 如果token==null 说明 没有登录,数据返回前端,让前端进行跳转到登录界面登录
* 如果token !== null 先进行token合法性的验证
* 如果token 不合法,数据返回前端,让前端进行跳转到登录界面登录,合法则让请求,去到相应界面
*/
if (token == null){ //如果token存在 则执行放行
System.out.println("token不存在");
objectNode.put("status",1001);
out.println(objectNode);
out.close();
}else {
//如果是不空,说明登陆过,先判断token合法性(也包括了对token时效性的判断)
result = TokenSign.verify(token);
if (result){
System.out.println("token合法");
try {
chain.doFilter(request, response);
}catch (Exception e){
System.out.println("chain.doFilter报错");
e.printStackTrace();
}
System.out.println("token合法1");
}else {
System.out.println("token不合法");
objectNode.put("status",1002);
out.println(objectNode);
out.close();
}
}
}
}
@Override
public void destroy() {
System.out.println("Filter摧毁");
}
}
这篇博客借鉴参考很多,主要为了是加深自己的记忆,希望各位大牛不要见笑,如果有错误请告知
基于Token的WEB后台认证机制
Java实现基于token认证