【JWT鉴权】如何来写一个token令牌认证登录？(jwt 鉴权)

【JWT鉴权】如何来写一个token令牌认证登录？ 目录一. 🦁 话题引入1.2 什么是JWT？二. 🦁 技术体现2.1 引入依赖2.2 编写JWT工具类2.3 编写登录方法2.4 编写JWT拦截器验证令牌2.5 编写要配置拦截的接口三. 🦁 话题终结一. 🦁 话题引入

推荐整理分享【JWT鉴权】如何来写一个token令牌认证登录？(jwt 鉴权)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:jwt 验签,jwt 验签,jwt 鉴权,spring gateway jwt 鉴权,java鉴权是什么意思,jwt鉴权 验证 token,jwt 授权,jwt 鉴权,内容如对您有帮助，希望把文章链接给更多的朋友！

在做项目过程中，我们一般都是最先编写登录注册功能，登录功能最重要的是登录成功后，系统还会保存该登录用户信息，这种保存用户信息的逻辑可以有两种：

最简单的一种就是使用Session来保存用户信息，然后使用filter来验证用户是否登录，但是这种方法只能是单体架构的项目适用，性能也不会很好。在分布式项目中，会有很多子模块并且部署在不同的服务器中，这样是无法使用session保存的，因为sessio不能共享。使用单点登录技术就能很好地解决这个弊端。单点登录（Single Sign On）简称为 SSO。即在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。JWT是一种常用的单点登录解决方案。1.2 什么是JWT？

JWT是Json Web Token的简称，是一种令牌生成算法。使用JWT能够保证Token的安全性，且能够进行Token时效性的检验。使用JWT时，登录成功后将用户信息生成一串令牌字符串。将该字符串返回给客户端，客户端每次请求时都在请求头携带该令牌字符串。在其他模块验证令牌，通过则证明用户处于登录状态，并拿到解析后的用户信息，未通过证明用户处于未登录状态。

二. 🦁 技术体现

要实现JWT鉴权，就得实现如下步骤：

引入JWT工具类，编写生成令牌和解析令牌的方法。用户登录成功后生成令牌字符串返回给前端。前端每次请求时都在请求头带入令牌字符串。在通用模块编写拦截器，解析请求头中的令牌字符串。在Api模块配置拦截器，配置拦截器拦截哪些接口，即这些接口需要登录才能访问。

现在来编写代码实现

2.1 引入依赖<dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.4.0</version> </dependency>2.2 编写JWT工具类import com.auth0.jwt.JWT;import com.auth0.jwt.algorithms.Algorithm;import com.auth0.jwt.interfaces.Claim;import com.itbaizhan.shopping_common.exception.BusException;import com.itbaizhan.shopping_common.pojo.ShoppingUser;import com.itbaizhan.shopping_common.result.CodeEnum;import java.util.Date;public class JWTUtil { //token过期时间，一天 private static final Long EXPIRE_DATE = 1000*60*60*24L; // 秘钥 private static final String SECRET = "jackie"; // 签发者 private static final String ISSUER = "JACKIE"; /** * 签名生成 * @param shoppingUser * @return */ public static String sign(ShoppingUser shoppingUser){ String token = JWT.create() .withIssuer(ISSUER) // 签发者 .withIssuedAt(new Date()) // 签发时间 .withExpiresAt(new Date(new Date().getTime() + EXPIRE_DATE)) // 过期时间 .withSubject(shoppingUser.getUsername()) // 保存用户名 .withClaim("userId",shoppingUser.getId()) // 保存用户id .sign(Algorithm.HMAC256(SECRET)); // 秘钥 return token; } /** * 签名解析 * @param token 签名字符串 * @return 解析得出的用户名 */ public static String verify(String token){ try { String username = JWT .require(Algorithm.HMAC256(SECRET)) .withIssuer(ISSUER) .build() .verify(token) .getSubject(); return username; } catch (Exception e){ throw new BusException(CodeEnum.VERIFY_TOKEN_ERROR); } } /** * 签名解析，获取用户id * @param token 签名字符串 * @return 用户id */ public static Long getId(String token){ try { Long userId = JWT .require(Algorithm.HMAC256(SECRET)) .withIssuer(ISSUER) .build() .verify(token) .getClaim("userId") .asLong(); return userId; } catch (Exception e){ throw new BusException(CodeEnum.VERIFY_TOKEN_ERROR); } }}

这个utils有三个方法，一个是生成token字符串，一个是解析该字符串获取登录的用户名，还要就是获取登录用户的id。

2.3 编写登录方法

如果使用Session存储用户信息，在验证完名字和密码后，直接将该登录对象setAttribute(“users”,users)里面。

而使用单点登录，则是直接调用JWTUtil.sign(user)，生成JWT令牌，返回该令牌给前端用户。 标准代码：

服务层:

@Override public String loginPassword(String username, String password) { // 1.验证用户名 QueryWrapper<ShoppingUser> queryWrapper = new QueryWrapper(); queryWrapper.eq("username",username); ShoppingUser shoppingUser = shoppingUserMapper.selectOne(queryWrapper); if (shoppingUser == null){ throw new BusException(CodeEnum.LOGIN_NAME_PASSWORD_ERROR); } // 2.验证密码 boolean verify = Md5Util.verify(password, shoppingUser.getPassword()); if (!verify){ throw new BusException(CodeEnum.LOGIN_NAME_PASSWORD_ERROR); } // 3.生成JWT令牌，返回令牌 String sign = JWTUtil.sign(shoppingUser); return sign; }

控制层：

/** * 用户名密码登录 * @param shoppingUser 用户对象 * @return 登录结果 */ @PostMapping("/loginPassword") public BaseResult loginPassword(@RequestBody ShoppingUser shoppingUser){ String sign = shoppingUserService.loginPassword(shoppingUser.getUsername(), shoppingUser.getPassword()); return BaseResult.ok(sign); }2.4 编写JWT拦截器验证令牌

这里验证令牌的方式是拦截所有的请求，如果 JWTUtil.verify(token)不抛异常则通过这个请求。

// 拦截器，验证令牌public class JWTInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 获取请求头中的token String token = request.getHeader("token"); // 验证令牌 JWTUtil.verify(token); return true; }}2.5 编写要配置拦截的接口

我们在用户模块配置该模块要拦截的接口（如果是单体架构，拦截器和该部分可以写在一起）。

除了这种方式，还有一种编写方式，你想知道吗？

在User模块先实例化一个InterceptorConfig配置类，实现WebMvcConfigurer接口，将上面写的拦截器在addInterceptor(new JWTInterceptor())方法里面实例化，然后拦截所有的接口（ .addPathPatterns(“/**”)），再放行不需要认证的接口。

// 拦截器配置@Configurationpublic class InterceptorConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new JWTInterceptor()) .addPathPatterns("/**") // 拦截的接口 .excludePathPatterns( "填写需要放行的接口url" ); //放行的接口 }}

至此，一个令牌认证就完成啦。

三. 🦁 话题终结

又一篇业务逻辑类的文章表述，希望路过的您看到了觉得还行，给个三连哦 🌹。