Java面试常见问题:如何实现基于JWT的登录认证
前文《Java面试常见问题:JWT是什么?》介绍了会话管理常用的JWT(JSON Web Token)标准,JWT在实现web项目的登录认证及授权是非常常用的。
我们先回顾下JWT的请求流程:
- 浏览器向服务器发送POST请求,带有用户名和密码
- 服务器验证通过后用密钥创建一个JWT字符串
- 服务器返回JWT传给浏览器(客户端)
- 浏览器再次请求,将JWT放在请求头中
- 服务器验证JWT签名,提取用户信息
- 服务器返回响应
下面我们就来讲一下Springboot实现JWT认证的过程。
引入JWT依赖
我们可以基于JWT的原理自行实现,不过更方便的做法是引入JWT实现的依赖。jwt.io 网站上列出了不同编程语言的JWT实现,其中com.auth0 是一种基于java语言的常用JWT实现。
com.auth0
java-jwt
3.4.0
自定义注解
我们希望通过对token的验证来控制客户端对服务器方法的访问控制,那么在每次客户端请求到来以后,都要做一个token验证。为了避免将token验证的代码逻辑重复地放在每一个服务端方法中,我们可以通过注解来实现对token的验证。
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface UserLoginToken {
boolean required() default true;
}
上面代码定义了一个注解 @UserLoginToken,可以用来修饰方法,也可以用来修饰类,比如Controller。
@UserLoginToken
@GetMapping("/getMessage")
public String getMessage(){
return "你已通过验证";
}
getMessage()方法上面加上了注解@UserLoginToken,必须需要token才能访问。
登录获取token
显然登录方法Login() 是不需要注解的。登录的逻辑就是首先验证用户名和密码,如果验证通过,那么就调用JWT库的方法来生成token。
@Service("TokenService")
public class TokenService {
public String getToken(User user){
String token = "";
token = JWT.create().withAudience(user.getId())
.sign(Algorithm.HMAC256(user.getPassword()));
return token;
}
}
以上代码使用HMAC-SHA256算法生成token, 密钥就是用户存在服务端数据库中的密码。
withAudience() 将用户ID存入到token中,这样以后服务端收到带有token的请求,就可以从token中提取出用户ID,知道用户是谁了。
拦截器
有了注解还不够,还要有对注解进行处理的拦截器。要实现拦截器,就要继承HandlerInterceptor 接口。
public class AuthenticationInterceptor implements HandlerInterceptor {
@Autowired
UserService userService;
@Override
public boolean preHandle(HttpServletRequest httpServletRequest,
HttpServletResponse httpServletResponse, Object object) throws Exception {
... ...
}
HandlerInterceptor接口主要定义了三个方法:
- boolean preHandle ():预处理回调方法;
- void postHandle():后处理回调方法, DispatcherServlet进行视图返回渲染之前进行调用;
- void afterCompletion(): 整个请求处理完毕回调方法, 在DispatcherServlet渲染了对应的视图之后执行。
对于认证拦截,我们只需要实现preHandle() 方法即可,即在方法调用前就验证token,如果没有token或token无效,那么都不允许调用。
拦截器的主要流程:
- 从 http 请求头中取出 token;
- 判断是否映射到方法;
- 检查是否有 @UserLoginToken 注解,没有则跳过认证拦截器;
- 如果有 @UserLoginToken 注解,则需要对oken进行验证;
- 认证通过则可以访问,不通过则返回相关错误信息。
配置拦截器
最后我们还要通过配置类将已经实现好的拦截器配置生效。
@Configuration
public class InterceptorConfig extends WebMvcConfigurerAdapter {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(authenticationInterceptor())
.addPathPatterns("/**");
}
@Bean
public AuthenticationInterceptor authenticationInterceptor() {
return new AuthenticationInterceptor();
}
}
WebMvcConfigurerAdapter 该抽象类中有很多没有具体实现的空方法,我们不必去实现那些我们不用的方法。在这里我们仅需要对 addInterceptors() 方法重写(Override)即可。
我会持续更新关于物联网、云原生以及数字科技方面的文章,用简单的语言描述复杂的技术,也会偶尔发表一下对IT产业的看法,请大家多多关注,欢迎留言和转发,希望与大家互动交流,谢谢。