踩坑之路---JWT验证

• 使用JWT验证客户的携带的token
• 客户端在请求接口时,需要在request的head中携带一个token令牌
• 服务器拿到这个token解析获取用户资源,这里的资源是非重要的用户信息

目前我的理解,用于校验的几种方式

1. 拦截器
2. SpringSecurity验证(目前没有弄懂)
3. shiro拦截验证

拦截器
配置好拦截器后,过滤掉无需验证的接口,其他的接口在请求的时候,获取其token然后解析是否是正确的客户端资源
SrpingSecurity
SpringSecurity就麻烦多了...此处省略1000字
Shiro自定义认证
shiro在自定义realm中有两个方法,一个是认证,一个是授权,在其认证的方法内验证其token

重点

上面说的只是个流程,最主要的是jwt怎么做token的编码和解码的
        long expire = 680090;
        String  = "123";
这里有两个需要注意的地方,就是设置过期时间和盐

过期时间是验证token的有效时间,在自己手动设置过期时间内是有效的,超过此时间,jwt就无法解析其token了
 其次是盐,这是个字符串常量,也可以动态生成盐,放入数据库中在验证的时候获取解析,这里需要将其词符串设置成Base64编码,不然会解析错误..(大坑)这里使用的是apache的codec来编码字符串,也可使用java自带的Base64工具编码

生成token

    

 /**
     * 生成jwt token
     */
    public String generateToken(long userId) {
        Date nowDate = new Date();
        //过期时间
        Date expireDate = new Date(nowDate.getTime() + expire * 1000);

        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS512;
        //生成加密密钥
        return Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setSubjectsecret(userId+"")
                .setIssuedAt(nowDate)
                .setExpiration(expireDate)
                .signWith(signatureAlgorithm, new String(org.apache.commons.codec.binary.Base64.encodeBase64(secret.getBytes())))
                .compact();
    }

ps: 在这里传入的是用户id,这在解码后通过getSubject()方法可以获取到,如果需要传入用户的多个信息也可以设置成

     .claim("info",userInfo)
     .claim("id",userId)
获取

    @Test
    public void jwt(){
        String s = generateToken(1,"小明");
        System.out.println(s);
        Claims claimByToken = getClaimByToken(s);
        System.out.println(claimByToken.get("info")+"--"+claimByToken.get("id"));
    }
    resut:            eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.eyJpbmZvIjoi5bCP5piOIiwiaWQiOjEsImlhdCI6MTU0NDg4NTQyOCwiZXhwIjoxNTQ1NTY1NTE4fQ.4SvjebEFd4lixC1jHgyMpQrlPoQz8DI0BTFYsGY0GsPKx_dc7GfDLR2qd_mi46mLpDvJ0HCatfEmhb7w7y9xrA

    小明--1

解析token

 /**
     * 解析token
     *
     * @param token
     * @return
     */
    public  Claims getClaimByToken(String token) {
        String secret = "123";
        try {
            SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS512;
            return Jwts.parser()
                    .setSigningKey(new String(org.apache.commons.codec.binary.Base64.encodeBase64("123".getBytes())))
                    .parseClaimsJws(token)
                    .getBody();
        }catch (Exception e){
            System.out.println("jwt 解密失败");
            return null;
        }
    }

　

ps:目前解决了基本问题,shiro+jwt 就很NICE-__- 

至于SpringSecurity:还是要多多学习了.....