述
默认的token生成规则其实就是一个UUID,就是一个随机的字符串,然后存到redis中去,使用JWT的话,token中可以存放一些信息,我们服务端也不需要保存这个token, 服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证
使用JWT,在分布式系统中,很好地解决了单点登录问题,很容易解决了session共享的问题.但是是无法作废已颁布的令牌/不易应对数据过期,因为 token 并没有保存到服务端, 下面来看一下如何去配置JWT
配置JWT
TokenStoreConfig
这个类中要做一些修改,之前我们只在这个类里面配置了 redis 的存储,现在把 JWT 的配置也加上,如下:
1 | @Configuration |
这里首先是一个内部的静态类 JwtTokenConfig
用来配置 JWT
的一些配置,第一个方法 jwtTokenStore()
就是配置token的存储,然后这里需要一个 JwtAccessTokenConverter
因为 TokenStore
只管 Token 的存储,生成规则还需要配置,所以 jwtAccessTokenConverter()
就是用来做一些 Token 的处理
这个类上有一个注解 @ConditionalOnProperty(prefix = "core.security.oAuth2", name="tokenStore", havingValue="jwt", matchIfMissing = true)
意思就是,在配置中有 core.security.oAuth2.tokenStore
这个配置,而且值是 jwt
的话,就生效,最后有一个 matchIfMissing = true
,这个表示, 如果配置中没有这个配置的话,也生效
上面的 redisTokenStore 也加了这个注解,但是没有 matchIfMissing
默认是 false, 总的配置就是如果在配置中没有指定哪种 tokenStore 的话,就默认的用 jwt ,如果想要使用 redis 存储的话,必须明确的指定 core.security.oAuth2.tokenStore: redis
最后认证服务的配置中还需要做一些修改
1 | @Configuration |
这里,就是给 endpoints
指定一下 JwtAccessTokenConverter
就可以了
测试
可以看到这里的token就是使用jwt了
在 jwt.io 中可以把刚刚生成的token解析一下,内容如下:
这个就是我们生成的 JWT 中包含的信息
TokenEnhancer 的使用
TokenEnhancer
是一个增强器,JWT 中是可以放一些我们自定义的信息的,如果要加入一些我们自己的信息的话,就得使用 TokenEnhancer
还是修改 TokenStoreConfig
,在 JwtTokenConfig
这个内部类中,加一个配置
1 | @Bean |
然后 MyJwtTokenEnhancer
代码如下:
1 | public class MyJwtTokenEnhancer implements TokenEnhancer { |
这里加了 @ConditionalOnBean
,是必须存在一个TokenEnhancer
的时候,才被创建, 之前的 JwtAccessTokenConverter
也是一个 TokenEnhancer
最后,认证服务器配置类 MyAuthorizationServerConfig
中,需要修改一下
1 | @Autowired(required = false) |
测试
自定义数据解析
这里 Spring 在解析JWT的时候会解析成一个 Authentication
对象,并不会解析我们上面设置的自定义字段,这个还需要我们自己去解析
demo 项目中增加一个 jwt 解析的依赖
1 | <dependency> |
然后再 /user/me
这个接口中做解析,代码如下:
1 | @GetMapping("/me") |