接着上篇博客学习。上篇博客是在基本完成用户模块的注册接口的开发以及注册时的参数合法性校验、也基本完成用户模块的登录接口的主逻辑的基础上。也提到了"JWT令牌"的组成与使用。具体往回看了解的链接如下。springboot实战学习（7）(JWT令牌的组成、JWT令牌的使用与验证)-CSDN博客文章浏览阅读1k次，点赞28次，收藏19次。本篇博客主要是学习和介绍了JWT令牌的组成、JWT令牌的生成、JWT令牌的验证。其中重点分析了JWT令牌组成中"头部"、"载荷"、"数字签名"、"密钥"。也分析到如何借助工具"java-jwt"去生成合法的JWT令牌。如何再通过测试方法去验证令牌的合法性...https://blog.csdn.net/m0_74363339/article/details/142422760?spm=1001.2014.3001.5501为了实现用户在未登录的状态时，在验证"JWT令牌"没有完成时，不能访问到其它功能的接口。现在这篇博客正式将"JWT令牌"集成到程序里，去完成"登录认证"。

目录

一、思考与实现

（1）第一步。登录接口生成token令牌。

（2）第二步。其它接口验证生成的令牌。

（3）第三步。IDEA中继续完成之前的工程。

（I）准备工作（提供一个工具类，处理JWT令牌）

（II）回到用户的UserController类完善登录接口"\login"。

（III）在其它接口获取和验证登录时生成的"JWT令牌"。

（IIII）重启工程，回到postman测试。

（1）未携带请求头"Authorization "，访问localhost:8080:/article/list。

（2）重新测试登录接口，得到JWT令牌字符串，然后赋值给请求头""。再让浏览器携带请求头去访问localhost:8080:/article/list。

二、拦截器

（1）问题与思考

（2）解决方法

（3）开始操作

（4）注册拦截器

三、最终测试（"登录认证"是否完成）

（1）注释掉之前在类"ArticleController"的"/list"接口中完成校验工作的代码。

（2）重新启动工程。postman前往测试接口。

如果前面的逻辑成功后，那么未携带请求头"Authorization"直接访问"/article/list"接口会被拦截。

携带请求头"Authorization"去访问"/article/list"接口。请求成功！

四、博客小结

（1）"登录认证"中完成的事情。

---

一、思考与实现

（1）第一步。登录接口生成token令牌。

• 首先我们要完成，在登录接口中，当用户登录成功之后生成token令牌。

（2）第二步。其它接口验证生成的令牌。

• 只有验证的令牌是合法的，才提供服务。

（3）第三步。IDEA中继续完成之前的工程。

（如果想要了解来龙去脉，可以查看博主之前的博客）

（I）准备工作（提供一个工具类，处理JWT令牌）

• 首先在上篇博客中，生成token令牌与验证token令牌的代码都是在单元测试里面写的。

---

• 为了使用方便，就直接提供一个工具类"JWTUtil"类。直接复制粘贴到自己的工程的包下"util"中使用就行。

• 这个工具类中提供了两个方法，一个是"genToken()"用来生成token令牌。另外一个是"parseToken()"用来验证和解析token令牌。

---

• 首先第一个方法"genToken()"。它接收的Map类型的参数，它是用来封装我们的业务数据的（依我看如：("username","张三")、("id",1)）。在方法的内部生成一个token令牌然后return回去。
• 具体下面的方法的原理不会的大家可以看看上期博客《JWT令牌的生成、验证》
• ​​​​​​springboot实战学习（7）(JWT令牌的组成、JWT令牌的使用与验证)-CSDN博客

• 第二个方法"parseToken()"。它的参数接收一个String类型的Token令牌。在方法内部解析并验证这个token令牌。并且把得到的业务数据return回去。

• 具体工具类"JWTUtil"类代码

package com.feisi.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;

import java.util.Date;
import java.util.Map;

public class JwtUtil {

    private static final String KEY = "feisi";
	
	//接收业务数据,生成token并返回
    public static String genToken(Map<String, Object> claims) {
        return JWT.create()
                .withClaim("claims", claims)
                .withExpiresAt(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 12))
                .sign(Algorithm.HMAC256(KEY));
    }

	//接收token,验证token,并返回业务数据
    public static Map<String, Object> parseToken(String token) {
        return JWT.require(Algorithm.HMAC256(KEY))
                .build()
                .verify(token)
                .getClaim("claims")
                .asMap();
    }

}

---

（II）回到用户的UserController类完善登录接口"\login"。

• 在登录成功后，要完成生成token令牌的功能。
• 首先调用方法"genToken()"生成token令牌。参数传当前的业务数据。
• 当前的业务数据就是已登录用户的id和名字（username）就行。因为id与username的值在后续的接口运用的比较多。

• 再者根据接口文档的要求。在登录接口当中，它的响应数据返回的就是JWT令牌。所以只需要把生成的变量"token"放到success()方法当中，它将其赋值给data变量了。

---

• 现在整个登录接口的具体内容如下。

@PostMapping("/login")
    public Result<String> login(@Pattern(regexp = "^\\S{5,16}$") String username,@Pattern(regexp = "^\\S{5,16}$") String password) {
        //根据用户名查询用户
        User loginUser = userService.findByName(username);
        //判断该用户是否存在
        if(loginUser==null){
            return Result.error("用户名错误");
        }
        //如果存在，判断密码是否正确
        //注意loginUser返回的用户的password是以密文返回的
        //所以需要对参数里的password先加密再与查询得来的password进行比较
        if(Md5Util.getMD5String(password).equals(loginUser.getPassword())){
            //登录成功

            Map<String,Object> claims = new HashMap<>();
            //将当前用户登录的业务数据封装传入
            claims.put("id",loginUser.getId());
            claims.put("username",loginUser.getUsername());
            //生成token令牌，其实是一段字符串
            String token = JwtUtil.genToken(claims);
            //根据接口文档要求，返回data值为token令牌字符串
            return Result.success(token);
        }
        return Result.error("密码错误");
    }

---

• 重新启动本工程。再回到接口测试工具"postman"测试，登录时会不会正常的运行并且生成一个"JWT令牌"。（注意数据库存储的用户密码是以密文存储，安全性）

（III）在其它接口获取和验证登录时生成的"JWT令牌"。

• 回到"ArticleController"类里面开始操作。

• 在"\list"接口当中，在提供对应的服务之前，首先验证生成的"token令牌"。
• 根据接口文档要求的备注说明。可以发现我们要获取浏览器里的"token令牌"，就要从请求头中获取到它。

• 提供提供的接口文档，理解到：用户登录成功后，系统自动的发布"JWT令牌"。而之后的每次请求中，浏览器都会在请求头header中去携带这个token令牌。而且这个请求头的名称是："Authorization "，值是"JWT令牌"（字符串）。如果检查到用户未登录（比如没有携带令牌或者携带的令牌有问题："过期"、"被篡改"）则响应的http状态码是"401"（叫未授权）。
• 所以要去获取浏览器携带的"token令牌"，就要去请求头里面获取。

---

• 回到idea，在"list()"方法中的参数声明一个String类型的token（接收JWT令牌）。并且给它一个注解@RequestHeader()，其里面的参数"name"的值就是接口文档要求的名称"Authorization "。

@RestController
@RequestMapping("/article")
public class ArticleController {
@GetMapping("/list")
public Result<String> list(@RequestHeader(name = "Authorization") String token){
    //验证token
    //并用提供的工具类解析和验证token
    Map<String, Object> claims = JwtUtil.parseToken(token);
    return Result.success("所以的文章数据...");
}
}

• 还要注意。token令牌的解析时，对应的处理方法"parsseToken()"报错，抛出异常了就失败了。如果是正常执行就成功了。所以就要把这行代码try...catch起来。（选中一行同时CTRL+Alt+T）
• 如果失败了，return一个error(“未登录”)，并且还要设置响应的http响应状态码是"401"。
• 还需要在方法的参数里面声明一个response对象。框架调用这些方法时，会把response对象给传递进来的。用注解@HttpServletResponse。再调用response.setStatus(401)即可。

@RestController
@RequestMapping("/article")
public class ArticleController {
@GetMapping("/list")
public Result<String> list(@RequestHeader(name = "Authorization") String token, HttpServletResponse response){
    //验证token
    //并用提供的工具类解析和验证token
    try {
        Map<String, Object> claims = JwtUtil.parseToken(token);
        return Result.success("所以的文章数据...");
    } catch (Exception e) {
        //设置http响应状态码为401
        response.setStatus(401);
        return Result.error("未登录");
     }
  }
}

---

（IIII）重启工程，回到postman测试。

（1）未携带请求头"Authorization "，访问localhost:8080:/article/list。

• 因为没有提供请求头，所以无法访问。

（2）重新测试登录接口，得到JWT令牌字符串，然后赋值给请求头""。再让浏览器携带请求头去访问localhost:8080:/article/list。

• 生成的JWT令牌为"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

.eyJjbGFpbXMiOnsiaWQiOjMsInVzZXJuYW1lIjoid2FuZ3d1In0sImV4cCI6MTcyNzI3NzY2OH0

.1Mmv-PuljjzZDjaiAt5QcyDJl5QuJxx5DKZSR5N-DUk"。将这个值给请求头再测试访问其它接口。

二、拦截器

（1）问题与思考

• 刚刚写的代码还存在很多问题。因为在我们的程序中，存在很多的"xxxController"，而在每一个"xxxController"中它可以提供很多接口。如果是这样的话，就要写好多同样的代码完成令牌校验。这显然是不可取的。
• 所以如果有多个接口有同样的操作需要完成，可以用"拦截器"。也就是给程序注册一个拦截器，让所有的请求都经过这个拦截器。在拦截器中统一完成验证。只有验证通过才让访问接口，反之不让访问，就去先登录再来访问。
• 要使用拦截器，就要定义一个类。去实现接口"HandlerInterceptor"，并且重新"preHander()"方法（在目标执行方法之前，先拦截）。

（2）解决方法

• 还要写一个web的配置类，然后实现"WebMvcConfigurer"接口。并且重写方法"addInterceptors()"（添加注册拦截器），在这个方法中，把我们编写的拦截器给它注册进去。

（3）开始操作

• 打开IDEA，在之前的工程的com.feisi目录下添加新包："interceptors"。包中new一个类"LoginInterceptor"，并实现接口"HandlerInterceptor"。
• 还需要在类上添加注解@Component。把当前拦截器对象注册到Ioc容器中。
• 然后再重写方法"preHander()"。在方法的内部进行拦截。

• 拦截就是进行令牌验证。之前借助于参数声明的方法得到令牌。现在借助于request对象来得到。因为这个对象代表的是请求，所有的请求数据都在request对象中。
• 则利用request对象调用的getHeader()方法，获取指定请求头名字"Authorization"。这样将来就可以得到token令牌了。

• 再进行解析和验证token令牌。
• 正常解析完token会得到它的业务数据。然后拦截器里就是返回一个"true"（放行）。
• 若没有解析成功，抛出异常了。则response对象的状态响应码为"401"。然后拦截器里就是返回一个"false"（不放行）

@Component
public class LoginInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //令牌验证
        String token = request.getHeader("Authorization");
        //解析token
        //用提供的工具类解析和验证token
        try {
            Map<String, Object> claims = JwtUtil.parseToken(token);
            //放行
            return true;
        } catch (Exception e) {
            //设置http响应状态码为401
            response.setStatus(401);
            //不放行
            return false;
        }
    }
}

（4）注册拦截器

• 在com.feisi目录下新建一个包""config。在这个包下面写需要的配置类。

• 包下新建一个类"WebConfig"。然后实现接口"WebMvcConfigurer"。

• 在这个类里里面重写方法"addInterceptors()"。
• 因为我要把拦截器给它成功注册进去。所以我首先需要有一个拦截器对象。而刚才已经通过注解@Component已经将"LoginInterceptor"类的拦截器对象注入到Ioc容器中了。所以直接可以在该类里面注入一个"LoginInterceptor"类的拦截器对象。记得加一个注解@Autowired就行了。
• 其次调用参数的指定添加拦截器方法就行。

• 但是要注意一个问题。以上的写法，它会拦截所有的请求。根据现实情况需要修改。
• 不能直接拦截所有的接口（比如登录、注册）。
• 所以在方法"addInterceptor()"后面继续调用方法"excludePathPatterns()"。在这个方法里面传递多个接口的访问路径（如："\user\login"、"\user\register"），意思是如果用户访问的是上面两个接口的资源，拦截器就放行就可以了。
• 最后记得这个配置类也需要注入到Ioc容器当中。又因为它是配置类，所以添加注解@Configuration就行了。
• 最后修改后的配置类"WebConfig"的代码。

package com.feisi.config;

import com.feisi.interceptors.LoginInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @Title: WebConfig
 * @Author HeYouLong
 * @Package com.feisi.config
 * @Date 2024/9/25 下午3:18
 * @description:
 */
@Configuration
public class WebConfig implements WebMvcConfigurer {
    //注入拦截器对象
    @Autowired
    private LoginInterceptor loginInterceptor;
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //调用参数"注射器"registry的一个方法
        //登录接口与注册接口不拦截
        registry.addInterceptor(loginInterceptor).excludePathPatterns("/user/login","/user/register");
    }
}

三、最终测试（"登录认证"是否完成）

（1）注释掉之前在类"ArticleController"的"/list"接口中完成校验工作的代码。

（2）重新启动工程。postman前往测试接口。

• 如果前面的逻辑成功后，那么未携带请求头"Authorization"直接访问"/article/list"接口会被拦截。

• 携带请求头"Authorization"去访问"/article/list"接口。请求成功！

四、博客小结

（1）"登录认证"中完成的事情。