回顾

在之前的系统中，我们利用UUID配合Redis以达到角色登录的功能。

当前整个系统存在一个问题：人为修改token值后，用户仍然能在前端进行数据库操作，后台没有校验当前用户token就允许一些请求，导致系统存在安全漏洞。

解决方法：Jwt签名验证。整合Jwt后，前端发出的请求后端会先进行token验证，然后执行操作。

整合Jwt的效果如下：找到token值，然后进行修改

在token前加上值123，保存后进行一些操作

此时点击页面修改按钮，会弹出token错误的信息

后端也会记录token错误的信息

现在开始来实现这个功能

添加依赖

Jwt依赖

在pom文件中添加下述依赖

<!-- jwt -->
<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version></dependency>

Jwt配置

在common文件夹下新建一个文件夹utils，然后新建java文件JwtUtil

写上下述代码，注释已标出

package com.ums.common.utils;import com.alibaba.fastjson2.JSON;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Component;import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;
import java.util.Date;
import java.util.UUID;@Component
public class JwtUtil {// 有效期private static final long JWT_EXPIRE = 30*60*1000L;  //半小时, 单位为毫秒// 令牌秘钥private static final String JWT_KEY = "123456";// Object data 可放入User对象，给User中的信息加密后成为tokenpublic  String createToken(Object data){// 当前时间long currentTime = System.currentTimeMillis();// token过期时间long expTime = currentTime+JWT_EXPIRE;// 构建jwtJwtBuilder builder = Jwts.builder().setId(UUID.randomUUID()+"").setSubject(JSON.toJSONString(data))    // User对象序列化.setIssuer("system").setIssuedAt(new Date(currentTime)).signWith(SignatureAlgorithm.HS256, encodeSecret(JWT_KEY))  // 加密.setExpiration(new Date(expTime));return builder.compact();}// 加密算法private SecretKey encodeSecret(String key){byte[] encode = Base64.getEncoder().encode(key.getBytes());SecretKeySpec aes = new SecretKeySpec(encode, 0, encode.length, "AES");return  aes;}// token 解密public Claims parseToken(String token){Claims body = Jwts.parser().setSigningKey(encodeSecret(JWT_KEY)).parseClaimsJws(token).getBody();return body;}// token 解密，并返回一个对象，可是User对象public <T> T parseToken(String token,Class<T> clazz){Claims body = Jwts.parser().setSigningKey(encodeSecret(JWT_KEY)).parseClaimsJws(token).getBody();return JSON.parseObject(body.getSubject(),clazz);}}

定义Jwt拦截器

在XAdminApplication同级目录下新建文件夹interceptor，再新建java文件JwtValidateInterceptor

文件中写入以下代码，注释已给出

package com.ums.interceptor;import com.alibaba.fastjson2.JSON;
import com.ums.common.utils.JwtUtil;
import com.ums.common.vo.Result;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;// HandlerInterceptor继承该接口，然后重写方法
@Component
@Slf4j
public class JwtValidateInterceptor implements HandlerInterceptor {@Autowiredprivate JwtUtil jwtUtil;@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// X-Token 是前端定义的token标头，与前端保持一致String token = request.getHeader("X-Token");log.debug(request.getRequestURI() +"需要验证："+ token);     // 后台日志记录if (token != null){try {jwtUtil.parseToken(token);// 不要写System.out.println(); 此为垃圾代码// 加上注解@Slf4j , 用log.debug()来打印log.debug(request.getRequestURI() +"验证通过：");return true;}catch (Exception e) {e.printStackTrace();}}log.debug(request.getRequestURI() +"验证失败，禁止访问");    // 后台日志记录// 创建一个返回对象，当token错误后反馈给前端Result<Object> fail = Result.fail(20003, "token无效，请重新登录");// 验证不成功，给前端返回数据response.setContentType("application/json;charset=utf-8");  // 定义返回数据格式response.getWriter().write(JSON.toJSONString(fail));    // 将对象序列化后以json格式反馈至前端return false;   // 拦截当前用户的操作}
}

注册Jwt拦截器，配置需要验证token的URL

在config目录下新建java文件MyInterceptorConfig

写入以下代码

package com.ums.config;import com.ums.interceptor.JwtValidateInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class MyInterceptorConfig implements WebMvcConfigurer {@Autowiredprivate JwtValidateInterceptor iwtValidateInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {InterceptorRegistration registration = registry.addInterceptor(iwtValidateInterceptor);registration.addPathPatterns("/**")     // 拦截所有URL请求.excludePathPatterns(       // 开放下述URL请求"/user/login","/user/info","/user/logout");}
}

自此，Jwt就算配置完毕
总共新建下述三个文件

测试Jwt

新建一个测试类JwtUtilsTest

@Autowired
private JwtUtil jwtUtil;@Test
public void testCreateJwt(){User user = new User();user.setUsername("anthony");user.setPhone("14766665555");String token = jwtUtil.createToken(user);System.out.println(token);
}

运行testCreateJwt()，系统会打印出一个加密后的字符串，此串会作为token使用。

将这个字符串复制

新建一个解密的测试方法testParseJwt()，下述代码中复制你自己的token

 @Testpublic void testParseJwt(){String token = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIwNmRlOGJmOS1kYmM1LTQzNjUtYWRmYi0yYzBjMmVmM2FkOGYiLCJzdWIiOiJ7XCJwaG9uZVwiOlwiMTQ3NjY2NjU1NTVcIixcInVzZXJuYW1lXCI6XCJhbnRob255XCJ9IiwiaXNzIjoic3lzdGVtIiwiaWF0IjoxNjkwMjQ4MjY1LCJleHAiOjE2OTAyNTAwNjV9.iskJNmm6b6rDFs1oxsinrCdFmul0dd9-4_zswD6eGV0";Claims claims = jwtUtil.parseToken(token);System.out.println(claims);}

运行后可得到加密的信息

因为我们是将一个对象整体进行加密，所以希望在解密的时候还原为一个对象

此时代码可这样写

 @Testpublic void testParseJw2t(){String token = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIwNmRlOGJmOS1kYmM1LTQzNjUtYWRmYi0yYzBjMmVmM2FkOGYiLCJzdWIiOiJ7XCJwaG9uZVwiOlwiMTQ3NjY2NjU1NTVcIixcInVzZXJuYW1lXCI6XCJhbnRob255XCJ9IiwiaXNzIjoic3lzdGVtIiwiaWF0IjoxNjkwMjQ4MjY1LCJleHAiOjE2OTAyNTAwNjV9.iskJNmm6b6rDFs1oxsinrCdFmul0dd9-4_zswD6eGV0";User user = jwtUtil.parseToken(token,User.class);System.out.println(user);}

运行后得到一个对象

修改登录等逻辑

现在有了Jwt签名验证机制，可将之前的UUID + redis登录逻辑进行修改

打开UserServiceImpl文件

将之前写的login(User user)、getUserInfo(String token)、logout(String token)这三段函数全部重写

1. login(User user)

    @Autowiredprivate JwtUtil jwtUtil;@Overridepublic Map<String, Object> login(User user) {// 根据用户名查询LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();wrapper.eq(User::getUsername, user.getUsername());User loginUser = this.baseMapper.selectOne(wrapper);// 结果不为空，并且密码与数据库解密后的密码匹配，生成token，将用户信息存入redisif (loginUser != null &&passwordEncoder.matches(user.getPassword(), loginUser.getPassword())    // 匹配加密密码) {loginUser.setPassword(null);    // 设置密码为空，密码没必要放入// 创建jwtString token = jwtUtil.createToken(loginUser);// 返回数据Map<String, Object> data = new HashMap<>();data.put("token",token);return data;}// 结果不为空，生成token，前后端分离，前端无法使用session，可以使用tokenreturn null;}
   

2. getUserInfo(String token)

   @Override
   public Map<String, Object> getUserInfo(String token) {// 之前已将对象进行序列化处理存入redis，现在从redis中取出需要反序列化处理// Object obj = redisTemplate.opsForValue().get(token);    // 此对象是map类型,稍后需要序列化为Json字符串// User loginUser = JSON.parseObject(JSON.toJSONString(obj), User.class);User loginUser = null;try {// 解析TokenloginUser = jwtUtil.parseToken(token, User.class);}catch (Exception e) {e.printStackTrace();}if (loginUser != null) {Map<String,Object> data = new HashMap<>();data.put("name",loginUser.getUsername());data.put("avatar",loginUser.getAvatar());// 先在xml里写SQL语句 id=getRoleNameByUserId，然后去UserMapper里实现接口List<String> roleList = this.baseMapper.getRoleNameByUserId(loginUser.getId());data.put("roles",roleList);return data;}return null;
   }
   

3. logout(String token) , 注释以前的代码，可啥也不用写！

   @Override
   public void logout(String token) {// redisTemplate.delete(token);    // 从redis中删除token
   }
   

自此完毕！