目录
JWT
会话跟踪
token
响应拦截器
http是无状态的,登录成功后,客户端就与服务器断开连接,之后再向后端发送请求时,后端需要知道前端是哪个用户在进行操作。
JWT
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一 种基于 JSON 的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以 JSON 对象的形式安全的传递信息。
会话跟踪
1. 用户使用账号和密码发出 post 请求;
2. 服务器使用私钥创建一个 jwt;
public class JWTUtil {
/**
* 根据用户id,账号生成token
* @param admin
* @return
*/
public static String getToken(Admin admin) {
String token = "";
try {
//过期时间 为1970.1.1 0:0:0 至 过期时间 当前的毫秒值 + 有效时间
Date expireDate = new Date(new Date().getTime() + 10*1000);
//秘钥及加密算法
Algorithm algorithm = Algorithm.HMAC256("ZCEQIUBFKSJBFJH2020BQWE");
//设置头部信息
Map<String,Object> header = new HashMap<>();
header.put("typ","JWT");
header.put("alg","HS256");
//携带id,账号信息,生成签名
token = JWT.create()
.withHeader(header)
.withClaim("id",admin.getId())
.withClaim("account",admin.getAccount())
.withExpiresAt(expireDate)
.sign(algorithm);
}catch (Exception e){
e.printStackTrace();
return null;
}
return token;
}
/**
* 验证token是否有效
* @param token
* @return
*/
public static boolean verify(String token){
try {
//验签
Algorithm algorithm = Algorithm.HMAC256("ZCEQIUBFKSJBFJH2020BQWE");
JWTVerifier verifier = JWT.require(algorithm).build();
DecodedJWT jwt = verifier.verify(token);
return true;
} catch (Exception e) {//当传过来的token如果有问题,抛出异常
return false;
}
}
/**
* 获得token 中playload部分数据,按需使用
* @param token
* @return
*/
public static DecodedJWT getTokenInfo(String token){
return JWT.require(Algorithm.HMAC256("ZCEQIUBFKSJBFJH2020BQWE")).build().verify(token);
}
}3. 服务器返回这个 jwt 给浏览器;
4. 浏览器将该 jwt 串在请求头中像服务器发送请求;
5. 服务器验证该 jwt;
6. 返回响应的资源给浏览器。
由于在每次的前后端交互过程中都需要进行token的验证,为了降低代码的冗余,可以借助过滤器来帮助我们完成这个工作。
public class AdminTokenFilter implements Filter {
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest)servletRequest;
String adminToken = request.getHeader("adminToken");
boolean verify = JWTUtil.verify(adminToken);
if(verify){
filterChain.doFilter(servletRequest, servletResponse);
}else {//token验证失败
servletResponse.setContentType("text/html;charset=utf-8");
PrintWriter printWriter = servletResponse.getWriter();
CommonResult commonResult = new CommonResult(401, "token验证失败");
ObjectMapper objectMapper = new ObjectMapper();
String json = objectMapper.writeValueAsString(commonResult);
printWriter.write(json);
}
}
}token
1.将后端封装好的信息发送给前端
2.前端接收后存储在sessionStorage对象中
3.在后面每次发送请求时都将token放入请求头中发送到后端进行验证
4.后端在对token进行解析
响应拦截器
如果token验证失败,后端向前端传回一个标识用于告诉前端token验证失败
在前端main.js中添加拦截器
// 添加响应拦截器
axios.interceptors.response.use((resp) => { //正常响应拦截
if (resp.data.code == 500) {
ElementUI.Message({
message: resp.data.message,
type: "error"
})
}
if (resp.data.code == 401) {//自定义的状态码
ElementUI.Message({
message: "token验证失败",
type: "error"
})
router.replace("/login");
}
return resp;
});这样每次前端进行操作时都会先验证token
