简介
手头的新项目采用 jwt 做客户端验证,而不再使用 cookie,确实方便很多,起码跨域这事不用考虑了。
jwt 是什么之类的就不多说了,这玩意的介绍满大街都是,这儿只是简单介绍下我在使用过程中的一些处理方式。
目的
这个 API 接口项目中使用 jwt 达成如下效果:
- 每个用户的签名都不一样,而不是共用签名,这样即使某人的 jwt 信息泄露,也不会影响其他人
- 服务器有专门的表存储用户签名,这样也可以在服务端控制某用户 jwt 的无效化
- 定义一个 spring 的 annotation,在 controller 方法的参数里面使用,用于得到用户的 jwt 存储的信息。
实现
采用的 jwt 处理库是 io.jsonwebtoken:jjwt:0.8.0,下面用伪码的方式介绍上述要求的实现过程。
签名方式
jjwt 组件支持自定义签名实现,只需要继承 SigningKeyResolverAdapter 即可:
public class SigningKeyResolverImpl extends SigningKeyResolverAdapter { private byte[] decode(String secret) { return TextCodec.BASE64URL.decode(secret); } /** * 从数据库中返回相应的 hashId 用于加密或解密。 * */ public Optional getHashId(UUID clientId) { // 数据库读取过程略 return Optional.empty(); } /** * 根据不同的 clientId 对应的 {@link JwtHash} 的 id 生成不同的加密密钥。 * * @param clientId 用户 id * @return */ public byte[] resolveSigningKeyBytes(UUID clientId) { Optional hashIdOptional = getHashId(clientId); if (hashIdOptional.isPresent()) { String hashId = hashIdOptional.get(); return decode(hashId); } else { throw new IllegalArgumentException("不支持的参数格式"); } } /** * 根据 claims 中 clientId 读取对应的 {@link JwtHash} 表中的 id 作为密钥来解密。 * * @param header * @param claims * @return */ @Override public byte[] resolveSigningKeyBytes(JwsHeader header, Claims claims) { String id = claims.getSubject(); UUID clientId = UUID.fromString(id); Optional hashIdOptional = getHashId(clientId); if (hashIdOptional.isPresent()) { String hashId = hashIdOptional.get(); return decode(hashId); } return super.resolveSigningKeyBytes(header, claims); }} 然后在生成和解密 jwt 的方法中调用即可:
加密:
Jwts.builder().signWith(SignatureAlgorithm.HS512, new SigningKeyResolverImpl .resolveSigningKeyBytes(clientId))
解密:
Jwts.parser() .setSigningKeyResolver(new SigningKeyResolverImpl)
定义 spring 的 annotation
其实在 spring 中获得请求头的 Authorization 信息的方法有多种,常用的有拦截器和自定义 annotation,我个人采用的是后者,因为更加清晰,达到的效果为:
@GetMapping("/auth")public RestResponse authDemo(@JwtAuthHeader JwtAuth jwtAuth) { return new RestResponse("auth success");} 只要是方法中存在 @JwtAuthHeader 定义的参数,就解析 Authorization 头信息,用这种方式还有个好处就是直接对方法做了用户验证了,所以连 spring-security 都省了。
当然,有些时候某些方法虽然需要验证,但是方法体里面其实没有用到 JwtAuth 信息,这个也无所谓,定义此参数,不用就是了。
annotation 定义
@Target(ElementType.PARAMETER)@Retention(RetentionPolicy.RUNTIME)@Documentedpublic @interface JwtAuthHeader {} HandlerMethodArgumentResolver 实现
public class JwtAuthHeaderHandlerMethodArgumentResolver implements HandlerMethodArgumentResolver { @Override public boolean supportsParameter(MethodParameter parameter) { return parameter.hasParameterAnnotation(JwtAuthHeader.class); } @Override public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception { if (parameter.isOptional()) { throw new IllegalArgumentException("@JwtAuthHeader 参数不支持 Optional"); } if (!parameter.getParameterType().isAssignableFrom(JwtAuth.class)) { throw new IllegalArgumentException("@JwtAuthHeader 参数必须是 JwtAuth"); } String authorization = webRequest.getHeader('Authorization'); // Authorization 头不存在 if (StringUtils.isBlank(authorization)) { throw new JwtAuthHeaderUnauthorizedException(); } Optional jwtAuthOptional = JwtAuthUtil .getJwtAuth(authorization); // jwt 信息解析不匹配,表示没有权限 if (!jwtAuthOptional.isPresent()) { throw new JwtAuthHeaderUnauthorizedException(); } JwtAuth jwtAuth = jwtAuthOptional.get(); return jwtAuth; }} 上述代码抛出的异常,在 @ExceptionHandler 中捕获就可以了。
为使上述代码生效,如果是用的 spring java config,则增加如下代码:
@Configurationpublic class WebMvcConfig extends WebMvcConfigurerAdapter { @Override public void addArgumentResolvers( List argumentResolvers) { argumentResolvers.add(new JwtAuthHeaderHandlerMethodArgumentResolver()); }} 如果是 xml 配置,也类似,就不提了。