一. 🦁 话题引入

在做项目过程中，我们一般都是最先编写登录注册功能，登录功能最重要的是登录成功后，系统还会保存该登录用户信息，这种保存用户信息的逻辑可以有两种：

1. 最简单的一种就是使用Session来保存用户信息，然后使用filter来验证用户是否登录，但是这种方法只能是单体架构的项目适用，性能也不会很好。在分布式项目中，会有很多子模块并且部署在不同的服务器中，这样是无法使用session保存的，因为sessio不能共享。
2. 使用单点登录技术就能很好地解决这个弊端。

• 单点登录（Single Sign On）简称为 SSO。即在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。JWT是一种常用的单点登录解决方案。

1.2 什么是JWT？

JWT是Json Web Token的简称，是一种令牌生成算法。使用JWT能够保证Token的安全性，且能够进行Token时效性的检验。使用JWT时，登录成功后将用户信息生成一串令牌字符串。将该字符串返回给客户端，客户端每次请求时都在请求头携带该令牌字符串。在其他模块验证令牌，通过则证明用户处于登录状态，并拿到解析后的用户信息，未通过证明用户处于未登录状态。

二. 🦁 技术体现

要实现JWT鉴权，就得实现如下步骤：

• 引入JWT工具类，编写生成令牌和解析令牌的方法。
• 用户登录成功后生成令牌字符串返回给前端。
• 前端每次请求时都在请求头带入令牌字符串。
• 在通用模块编写拦截器，解析请求头中的令牌字符串。
• 在Api模块配置拦截器，配置拦截器拦截哪些接口，即这些接口需要登录才能访问。

现在来编写代码实现

2.1 引入依赖

<dependency><groupId>com.auth0</groupId><artifactId>java-jwt</artifactId><version>3.4.0</version></dependency>

2.2 编写JWT工具类

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.itbaizhan.shopping_common.exception.BusException;
import com.itbaizhan.shopping_common.pojo.ShoppingUser;
import com.itbaizhan.shopping_common.result.CodeEnum;import java.util.Date;public class JWTUtil {//token过期时间，一天private static final Long EXPIRE_DATE = 1000*60*60*24L;// 秘钥private static final String SECRET = "jackie";// 签发者private static final String ISSUER = "JACKIE";/* 签名生成* @param shoppingUser* @return*/public static String sign(ShoppingUser shoppingUser){String token = JWT.create().withIssuer(ISSUER) // 签发者.withIssuedAt(new Date()) // 签发时间.withExpiresAt(new Date(new Date().getTime() + EXPIRE_DATE)) // 过期时间.withSubject(shoppingUser.getUsername()) // 保存用户名.withClaim("userId",shoppingUser.getId()) // 保存用户id.sign(Algorithm.HMAC256(SECRET)); // 秘钥return token;}/* 签名解析* @param token 签名字符串* @return 解析得出的用户名*/public static String verify(String token){try {String username = JWT.require(Algorithm.HMAC256(SECRET)).withIssuer(ISSUER).build().verify(token).getSubject();return username;} catch (Exception e){throw new BusException(CodeEnum.VERIFY_TOKEN_ERROR);}}/* 签名解析，获取用户id* @param token 签名字符串* @return 用户id*/public static Long getId(String token){try {Long userId = JWT.require(Algorithm.HMAC256(SECRET)).withIssuer(ISSUER).build().verify(token).getClaim("userId").asLong();return userId;} catch (Exception e){throw new BusException(CodeEnum.VERIFY_TOKEN_ERROR);}}
}

这个utils有三个方法，一个是生成token字符串，一个是解析该字符串获取登录的用户名，还要就是获取登录用户的id。

2.3 编写登录方法

如果使用Session存储用户信息，在验证完名字和密码后，直接将该登录对象setAttribute(“users”,users)里面。

而使用单点登录，则是直接调用JWTUtil.sign(user)，生成JWT令牌，返回该令牌给前端用户。
标准代码：

服务层:

 @Overridepublic String loginPassword(String username, String password) {// 1.验证用户名QueryWrapper<ShoppingUser> queryWrapper = new QueryWrapper();queryWrapper.eq("username",username);ShoppingUser shoppingUser = shoppingUserMapper.selectOne(queryWrapper);if (shoppingUser == null){throw new BusException(CodeEnum.LOGIN_NAME_PASSWORD_ERROR);}// 2.验证密码boolean verify = Md5Util.verify(password, shoppingUser.getPassword());if (!verify){throw new BusException(CodeEnum.LOGIN_NAME_PASSWORD_ERROR);}// 3.生成JWT令牌，返回令牌String sign = JWTUtil.sign(shoppingUser);return sign;}

控制层：

 /* 用户名密码登录* @param shoppingUser 用户对象* @return 登录结果*/@PostMapping("/loginPassword")public BaseResult loginPassword(@RequestBody ShoppingUser shoppingUser){String sign = shoppingUserService.loginPassword(shoppingUser.getUsername(), shoppingUser.getPassword());return BaseResult.ok(sign);}

2.4 编写JWT拦截器验证令牌

这里验证令牌的方式是拦截所有的请求，如果 JWTUtil.verify(token)不抛异常则通过这个请求。

// 拦截器，验证令牌
public class JWTInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 获取请求头中的tokenString token = request.getHeader("token");// 验证令牌JWTUtil.verify(token);return true;}
}

2.5 编写要配置拦截的接口

我们在用户模块配置该模块要拦截的接口（如果是单体架构，拦截器和该部分可以写在一起）。

除了这种方式，还有一种编写方式，你想知道吗？

在User模块先实例化一个InterceptorConfig配置类，实现WebMvcConfigurer接口，将上面写的拦截器在addInterceptor(new JWTInterceptor())方法里面实例化，然后拦截所有的接口（ .addPathPatterns(“/”)），再放行不需要认证的接口。

// 拦截器配置
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(new JWTInterceptor()).addPathPatterns("/") // 拦截的接口.excludePathPatterns("填写需要放行的接口url"); //放行的接口}
}

至此，一个令牌认证就完成啦。

三. 🦁 话题终结

又一篇业务逻辑类的文章表述，希望路过的您看到了觉得还行，给个三连哦 🌹。