一、傳統Session認證

1、認證過程

1、用戶向服務器發送用戶名和密碼。
2、服務器驗證后在當前對話（session）保存相關數據。
3、服務器向返回sessionId，寫入客戶端 Cookie。
4、客戶端每次請求，需要通過 Cookie，將 sessionId 回傳服務器。
5、服務器收到 sessionId，驗證客戶端。

2、存在問題

1、session保存在服務端，客戶端訪問高并發時，服務端壓力大。
2、擴展性差，服務器集群，就需要 session 數據共享。

二、JWT簡介

JWT(全稱：JSON Web Token)，在基于HTTP通信過程中，進行身份認證。

1、認證流程

1、客戶端通過用戶名和密碼登錄服務器；
2、服務端對客戶端身份進行驗證；
3、服務器認證以后，生成一個 JSON 對象，發回客戶端；
4、客戶端與服務端通信的時候，都要發回這個 JSON 對象；
5、服務端解析該JSON對象，獲取用戶身份；
6、服務端可以不必存儲該JSON（Token）對象，身份信息都可以解析出來。

2、JWT結構說明

抓一只鮮活的Token過來。

{
	"msg": "驗證成功",
	"code": 200,
	"token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.
 eyJzdWIiOiJhZG1pbiIsImlhdCI6iZEIj3fQ.
 uEJSJagJf1j7A55Wwr1bGsB5YQoAyz5rbFtF"
}

上面的Token被手動格式化了，實際上是用"."分隔的一個完整的長字符串。

JWT結構

1、頭部（header) 聲明類型以及加密算法；
2、負載（payload) 攜帶一些用戶身份信息；
3、簽名（signature) 簽名信息。

3、JWT使用方式

通常推薦的做法是客戶端在 HTTP 請求的頭信息Authorization字段里面。

Authorization: Bearer <token>

服務端獲取JWT方式

String token = request.getHeader("token");

三、與SpringBoot2整合

1、核心依賴文件

<dependency>
 <groupId>io.jsonwebtoken</groupId>
 <artifactId>jjwt</artifactId>
 <version>0.7.0</version>
</dependency>

2、配置文件

server:
 port: 7009
spring:
 Application:
 name: ware-jwt-token
config:
 jwt:
 # 加密密鑰
 secret: iwqjhda8232bjgh432[cicada-smile]
 # token有效時長
 expire: 3600
 # header 名稱
 header: token

3、JWT配置代碼塊

@ConfigurationProperties(prefix = "config.jwt")
@Component
public class JwtConfig {
 /*
 * 根據身份ID標識，生成Token
 */
 public String getToken (String identityId){
 Date nowDate = new Date();
 //過期時間
 Date expireDate = new Date(nowDate.getTime() + expire * 1000);
 return Jwts.builder()
 .setHeaderParam("typ", "JWT")
 .setSubject(identityId)
 .setIssuedAt(nowDate)
 .setExpiration(expireDate)
 .signWith(SignatureAlgorithm.HS512, secret)
 .compact();
 }
 /*
 * 獲取 Token 中注冊信息
 */
 public Claims getTokenClaim (String token) {
 try {
 return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
 }catch (Exception e){
 e.printStackTrace();
 return null;
 }
 }
 /*
 * Token 是否過期驗證
 */
 public boolean isTokenExpired (Date expirationTime) {
 return expirationTime.before(new Date());
 }
 private String secret;
 private long expire;
 private String header;
 // 省略 GET 和 SET
}

四、Token攔截案例

1、配置Token攔截器

@Component
public class TokenInterceptor extends HandlerInterceptorAdapter {
 @Resource
 private JwtConfig jwtConfig ;
 @Override
 public boolean preHandle(HttpServletRequest request,
 HttpServletResponse response,
 Object handler) throws Exception {
 // 地址過濾
 String uri = request.getRequestURI() ;
 if (uri.contains("/login")){
 return true ;
 }
 // Token 驗證
 String token = request.getHeader(jwtConfig.getHeader());
 if(StringUtils.isEmpty(token)){
 token = request.getParameter(jwtConfig.getHeader());
 }
 if(StringUtils.isEmpty(token)){
 throw new Exception(jwtConfig.getHeader()+ "不能為空");
 }
 Claims claims = jwtConfig.getTokenClaim(token);
 if(claims == null || jwtConfig.isTokenExpired(claims.getExpiration())){
 throw new Exception(jwtConfig.getHeader() + "失效，請重新登錄");
 }
 //設置 identityId 用戶身份ID
 request.setAttribute("identityId", claims.getSubject());
 return true;
 }
}

2、攔截器注冊

@Configuration
public class WebConfig implements WebMvcConfigurer {
 @Resource
 private TokenInterceptor tokenInterceptor ;
 public void addInterceptors(InterceptorRegistry registry) {
 registry.addInterceptor(tokenInterceptor).addPathPatterns("/**");
 }
}

3、測試接口代碼

@RestController
public class TokenController {
 @Resource
 private JwtConfig jwtConfig ;
 // 攔截器直接放行，返回Token
 @PostMapping("/login")
 public Map<String,String> login (@RequestParam("userName") String userName,
 @RequestParam("password") String passWord){
 Map<String,String> result = new HashMap<>() ;
 // 省略數據源校驗
 String token = jwtConfig.getToken(userName+passWord) ;
 if (!StringUtils.isEmpty(token)) {
 result.put("token",token) ;
 }
 result.put("userName",userName) ;
 return result ;
 }
 // 需要 Token 驗證的接口
 @PostMapping("/info")
 public String info (){
 return "info" ;
 }
}