网站常用功能模块-鉴权

一：JWT是什么？

常用鉴权方式有很多种，今天主要介绍基于token的鉴权方式JWT（Json JSON Web Token）。因为这种方式实现起来方便快捷。整体实现逻辑如下

第一次登陆时，前端携带账号和密码请求登录接口。服务端在验证登录通过后，将用户信息加密为一个token字符串返给前端。前端将token存在localstorage中。

在一般的业务请求中，前端从localstorage中取出并携带token。服务端接收到token后解密验证其时效性及合法性，如果token通过则正常返回数据，不通过则返回异常。

二：前端注意点

按照惯例前端请求接口时，携带token发送。token建议放在header中，命名为Authorization。尽量避免将token与一般入参一块放在body中，这样更加规范。

var config = {
      headers: {
          'Authorization': Token // 将 Token 放入 Authorization Header 中
      }
    };

var PostData = Object.assign({}, Para['RequestData']);

axios.post(Para['Url'], PostData,config).then(function (response) {})

然后在封装的异步请求方法中，直接携带token。即可完成集中处理，一劳永逸

Vue.prototype.SQAjax = function (Para) {
    var that = this;
    let AjaxLoading = Loading.service({ 
      background: 'rgba(0,0,0,0.5)',
      lock: true,
      text: '加载中',
      spinner: 'el-icon-loading',
      fullscreen: true
     });

    var Token = localStorage.getItem('sqBlogToken') ? localStorage.getItem('sqBlogToken') : '';

    if (!Token) {
      AjaxLoading.close(); // 中断代码前，注意关闭loading
      this.$router.push({ name: 'LoginPage' });
      return false;
    }

    // 设置请求头
    var config = {
      headers: {
          'Authorization': Token // 将 Token 放入 Authorization Header 中
      }
    };

    var PostData = Object.assign({}, Para['RequestData']);

    axios.post(Para['Url'], PostData,config).then(function (response) {
      AjaxLoading.close();

      if (response.data.statusCode == 200) {
        Para['Success'](response.data.data);
      } else if (response.data.status == '1') { 
        that.$message({
          message: response.data.data.message,
          type: 'success'
        });
        that.$router.push({
          name: 'LoginPage',
        });
      } else { // 返参异常的场景处理
        that.$message({
          message: response.data.data.message,
          type: 'error',
          duration: 900
        });
      }
    }).catch(function (error) { // 接口不通的场景处理
      AjaxLoading.close();
      that.$message({
        message: "接口不通",
        type: 'error',
        duration: 900
      });
    });
  }

三：服务端工作

1、处理token的公共类

Java中使用jjwt的原生方法，即可以轻松搞定加密解密。先注入依赖，然后创建一个JwtUtil.java，当作公共文件备用。

其中需要注意密钥的保存，如果代码开源可将密钥放在配置文件中，且保障该配置文件不开源。

// pom依赖注入
<dependency>
		<groupId>io.jsonwebtoken</groupId>
		<artifactId>jjwt</artifactId>
		<version>0.9.1</version>
</dependency>

public class JwtUtil {
    private static final String SECRET_KEY = "your_secret_key";

    // 生成 Token
    public static String generateToken(User user) {
        return Jwts.builder()
                .setSubject(user.getName())
                .claim("id", user.getId())
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + 3600000)) // 1 hour expiration
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    // 验证 Token
    public static Claims validateToken(String token) throws Exception {
        try {
            return Jwts.parser()
                    .setSigningKey(SECRET_KEY)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (ExpiredJwtException e) {
            throw new Exception("Token 已过期", e);
        } catch (UnsupportedJwtException e) {
            throw new Exception("Token 格式不支持", e);
        } catch (MalformedJwtException e) {
            throw new Exception("Token 无效", e);
        } catch (SignatureException e) {
            throw new Exception("Token 签名无效", e);
        } catch (IllegalArgumentException e) {
            throw new Exception("Token 参数无效", e);
        }
    }
}

2、验证token

如果开发管理后台，除了登录/注册操作，其他接口基本都需要鉴权。此种场景每个controller都鉴权一次过于繁琐。可使用拦截器，做到统一处理。

如下为配置拦截器，可将登录注册等不需要token验证的接口加入白名单。

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private JwtInterceptor jwtInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(jwtInterceptor)
                .addPathPatterns("/**")  // 拦截所有请求
                .excludePathPatterns("/login", "/register");  // 排除登录和注册接口
    }
}

如下为拦截器具体代码

@Component
public class JwtInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("Authorization");

        if (token == null || token.isEmpty()) {
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            response.getWriter().write("Token is missing");
            return false;
        }

        try {
            JwtUtil.validateToken(token);
        } catch (Exception e) {
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            response.getWriter().write("Invalid token: " + e.getMessage());
            return false;
        }

        return true;
    }
}

3、生成token

关于需要生成token的接口，其实只有登录接口一个地方。其余接口都是验证token

可在校验登录成功后，将用户信息及token一并返回前端。

String token = jwtUtil.generateToken(userInfo);
UserAuthResponse userAuthResponse = new UserAuthResponse(token, userInfo);
return ApiResponse.success(userAuthResponse);