我们在基于Session做登录认证的时候会有一些问题因为Session存储到服务器端然后通过客户端的Cookie进行匹配如果正确则通过认证否则不通过认证。

这在简单的系统中可以这么使用并且难度是最低的但是如果在大型分布式项目中如果还是基于Session做登录认证的话就不可行了。

这个时候我们可以基于token做登录认证。

token其实就是一个字符串生成token的实现方案有很多种可以使用uuid作为token也可以使用jwt作为token其中使用jwt实现的方案是最流行的那么下面将会讲如何在SpringBoot中基于jwt实现token登录认证。

引入依赖

dependencygroupIdcom.auth0/groupIdartifactIdjava-jwt/artifactIdversion4.4.0/version

/dependency2.

Target({ElementType.METHOD,ElementType.TYPE})

Retention(RetentionPolicy.RUNTIME)

public

通过识别是否在接口上添加Auth注解来确定是否需要登录才能访问。

同时这里需要注意只拦截HandlerMethod类型同时还要考虑放行BasicErrorController因为基本的报错在这个控制器中如果不放行那么会看不到报错信息。

public

handlerMethod.getMethod().getAnnotation(Auth.class);if

(auth

(StringUtils.isNotBlank(token))

{if

{request.getRequestDispatcher(/error/tokenError).forward(request,

response);

{request.getRequestDispatcher(/error/token).forward(request,

response);

这里是做前后端分离需要做的步骤解决跨域的方式有好几种这里使用拦截器的方式解决跨域问题。

public

{response.setHeader(Access-Control-Allow-Origin,

*);response.setHeader(Access-Control-Allow-Credentials,

true);response.setHeader(Access-Control-Allow-Methods,

POST,

OPTIONS);response.setHeader(Access-Control-Max-Age,

3600);response.setHeader(Access-Control-Allow-Headers,

x-requested-with,accept,authorization,content-type);return

true;}

这里没有用到全局异常处理器不过为了项目的完整性我还是选择把这些常规的内容写上去。

RestControllerAdvice

LoggerFactory.getLogger(this.getClass());ExceptionHandler(TokenExpiredException.class)public

handleTokenExpiredException(TokenExpiredException

{logger.error(token

已过期);logger.error(e.getMessage());return

R.error(ResponseEnum.TOKEN_EX);}

}6.

操作成功),FAIL(300,获取数据失败),USER_EX(301,用户不存在请重新登录),ERROR(302,错误请求),USERNAME_PASSWORD_ERROR(303,用户名或密码错误),NO_TOKEN(400,无token请重新登录),TOKEN_VERIFY_ERROR(401,token验证失败请重新登录),TOKEN_EX(402,token已过期);private

final

(code.equals(value.getCode())){return

value;}}return

R();response.setCode(ResponseEnum.SUCCESS.getCode());response.setMessage(ResponseEnum.SUCCESS.getMsg());response.setData(data);return

response;}public

R();response.setCode(errCode);response.setMessage(errMessage);return

response;}public

R();response.setCode(responseEnum.getCode());response.setMessage(responseEnum.getMsg());return

response;}

通过TokenUtil可以生成token和验证token是否正确。

import

com.auth0.jwt.algorithms.Algorithm;import

java.util.Date;/***

JWT.create().withSubject(json.toString())

不要把密码封装进去不安全.withIssuer(ISSUER)

设置发布者.withExpiresAt(DateUtil.offsetMinute(new

Date(),

Map.sign(Algorithm.HMAC256(ENCRYPT_KEY));

加密}/***

JWT.require(Algorithm.HMAC256(ENCRYPT_KEY)).withIssuer(ISSUER).build();jwtVerifier.verify(token);return

true;}

TokenExpiredExceptione.printStackTrace();return

false;}}

(StringUtils.isNotBlank(userName)

StringUtils.isNotBlank(password))

{if

TokenUtil.createToken(json);user.setToken(token);return

R.ok(user);}}return

R.error(ResponseEnum.USERNAME_PASSWORD_ERROR);}

}8.2

R.error(ResponseEnum.NO_TOKEN);}PostMapping(/tokenError)public

tokenError()

R.error(ResponseEnum.TOKEN_VERIFY_ERROR);}

}8.3

R.ok(登录成功);}PostMapping(/hi)public

hi()

addInterceptors(InterceptorRegistry

registry)

CrossInterceptorHandler()).addPathPatterns(new

String[]

{/**});registry.addInterceptor(new

LoginInterceptor()).addPathPatterns(/**).excludePathPatterns(/user/login,

/error/**);}

访问登录接口通过提交表单方式提交请求通过token验证后会返回一个token然后我们请求添加了Auth注解的接口都需要在请求头添加token字段和对应的值。

如果请求头中没有填写token或者填写的不对在请求需求登录后才能访问的接口时都会报错。

比如这里的/test/hello是需要登录后才能访问的接口如果没有正确填写token那么会报错如下图所示。

有一个test/hi接口没有Auth注解可以不用登录就能访问如下图所示。