java认证(java证书有哪些)
录认证
原创2021-07-28 06:29·微说互联网
前文《Java面试常见问题:JWT是什么?》介绍了会话管理常用的JWT(JSON Web Token)标准,JWT在实现web项目的登录认证及授权是非常常用的。
JWT请求流程
我们先回顾下JWT的请求流程:
浏览器向服务器发送POST请求,带有用户名和密码
服务器验证通过后用密钥创建一个JWT字符串
服务器返回JWT传给浏览器(客户端)
浏览器再次请求,将JWT放在请求头中
服务器验证JWT签名,提取用户信息
服务器返回响应
下面我们就来讲一下Springboot实现JWT认证的过程。
引入JWT依赖
jwt.io网站上的Java语言的JWT实现
我们可以基于JWT的原理自行实现,不过更方便的做法是引入JWT实现的依赖。jwt.io 网站上列出了不同编程语言的JWT实现,其中com.auth0 是一种基于java语言的常用JWT实现。
<dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version></dependency>
自定义注解
我们希望通过对token的验证来控制客户端对服务器方法的访问控制,那么在每次客户端请求到来以后,都要做一个token验证。为了避免将token验证的代码逻辑重复地放在每一个服务端方法中,我们可以通过注解来实现对token的验证。
@Target({ElementType.METHOD, ElementType.TYPE})@Retention(RetentionPolicy.RUNTIME)public @interface UserLoginToken { boolean required() default true;}上面代码定义了一个注解 @UserLoginToken,可以用来修饰方法,也可以用来修饰类,比如Controller。
@UserLoginToken@GetMapping("/getMessage")public String getMessage(){ return "你已通过验证";}getMessage()方法上面加上了注解@UserLoginToken,必须需要token才能访问。
登录获取token
显然登录方法Login() 是不需要注解的。登录的逻辑就是首先验证用户名和密码,如果验证通过,那么就调用JWT库的方法来生成token。
@Service("TokenService")public class TokenService { public String getToken(User user){ String token = ""; token = JWT.create().withAudience(user.getId()) .sign(Algorithm.HMAC256(user.getPassword())); return token; }}以上代码使用HMAC-SHA256算法生成token, 密钥就是用户存在服务端数据库中的密码。
withAudience() 将用户ID存入到token中,这样以后服务端收到带有token的请求,就可以从token中提取出用户ID,知道用户是谁了。
拦截器
有了注解还不够,还要有对注解进行处理的拦截器。要实现拦截器,就要继承HandlerInterceptor 接口。
public class AuthenticationInterceptor implements HandlerInterceptor { @Autowired UserService userService; @Override public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception { ... ... }HandlerInterceptor接口主要定义了三个方法
