首先我们先写一个工具类:jwtutil 并将此工具类加入到comon模块
@Data
@Builder
@NoArgsConstructor
@AllArgsConstructor
@Configuration
@Slf4j
public class JwtUtil {
@Value("${jwt.config.key}")
private String key;
@Value("${jwt.config.ttl}")
private long ttl;//一个小时
/**
* 生成JWT
*
* @param id
* @param subject
* @return
*/
public String createJWT(String id, String subject, String roles) {
log.info(key);
log.info(String.valueOf(ttl));
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
JwtBuilder builder = Jwts.builder().setId(id)
.setSubject(subject)
.setIssuedAt(now)
.signWith(SignatureAlgorithm.HS256, key.getBytes()).claim("roles", roles);
if (ttl > 0) {
builder.setExpiration(new Date(nowMillis + ttl));
}
return builder.compact();
}
/**
* 解析JWT
*
* @param jwtStr
* @return
*/
public Claims parseJWT(String jwtStr) {
return Jwts.parser()
.setSigningKey(key.getBytes())
.parseClaimsJws(jwtStr)
.getBody();
}
}
并在需要鉴权的模块引入common 并编写配置文件编写配置信息
在user模块的配置文件中 添加配置
image.png
我们先给管理员模块加入token
在user模块启动类中 配置@bean jwtUtil
@Bean
public JwtUtil jwtUtil() {
return new JwtUtil();
}
接下来 在我们的 controller 里面注入 并在login的接口中加入 token 验证
@Autowired
private JwtUtil jwtUtil;
@PostMapping("/login")
public Result login(@RequestBody Admin admin) {
admin = adminService.login(admin);
if (admin == null) {
return new Result(false, StatusCode.LOGINERROR, "登录失败");
}
String token = jwtUtil.createJWT(admin.getId(), admin.getLoginname(), "admin");
Map<String, Object> map = new HashMap<>(16);
map.put("token", token);
map.put("roles", "admin");
map.put("name", admin.getLoginname());
return new Result(true, StatusCode.OK, "登录成功", map);
}
我们测试接口 当我们输入的用户名和密码都正确的时候回返回对应的 role 以及 token
image.png
删除用户鉴权 删除用户必须有管理员的权限,否则不能删除
前后端约定 :
image.png
方法1: 在每个相关的接口都做验证: 冗余度太高
image.png
方法2: 使用拦截器完成
首先我们看下拦截器的作用:
image.png
创建拦截器代码如下所示:
拦截器完整代码如下所示:
@Component
public class JwtInterceptor extends HandlerInterceptorAdapter {
@Resource
private JwtUtil jwtUtil;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
throws Exception {
System.out.println("进入拦截器");
//获取请求头中的信息
final String header = request.getHeader("Authorization");
if (header != null && !"".equals(header)) {
if (header.startsWith("Bearer ")) {
//提取token
final String token = header.substring(7);
//解析token
try {
Claims claims = jwtUtil.parseJWT(token);
//获取角色
String role = (String) claims.get("roles");
if (role != null) {
if (("admin").equals(role)) {
request.setAttribute("claims_admin", claims);
}
if (("user").equals(role)) {
request.setAttribute("claims_user", claims);
}
}
} catch (Exception e) {
throw new RuntimeException("令牌有误");
}
}
}
return true;
}
}
配置拦截器类
@Configuration
public class InterceptorConfig extends WebMvcConfigurationSupport {
@Resource
private JwtInterceptor jwtInterceptor;
@Override
protected void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(jwtInterceptor)
.addPathPatterns("/**")
.excludePathPatterns("/**/login/**");
}
}
当我们创建了鉴权的过滤器后 我们来重构下 需要鉴权的删除接口
@RequestMapping(value = "/{id}", method = RequestMethod.DELETE)
public Result delete(@PathVariable String id,HttpServletRequest request) {
Claims claims = (Claims) request.getAttribute("claims_admin");
if (claims == null) {
return new Result(true, StatusCode.ACCESSERROR, "无权访问");
}
userService.deleteById(id);
return new Result(true, StatusCode.OK, "删除成功");
}
这里面有个问题 我们在文章模块以及问答模块和吐槽模块 我们都需要 用户登录之后才能发表信息:这个时候 我们需要做上面同样的操作:
1) 首先 注入 jwtutil 这个Bean
-
在配置文件中加入 配置文件 jwt.config.key ......
3) 添加拦截器类
4)增加配置拦截器的config类
5)修改controller 里面的 add 接口
image.png
接下來的很多模块里面的很多接口都需要上面的类似完善 读者们自己选择去优化下吧。
