以上Swagger內容不是必須，如果小伙伴不想用Swagger進行測試，直接使用類似于Postman的工具也是可以的，測試方式不沖突，所以小伙伴們別跑，咱們繼續往下看↓↓↓

使用組件的經典三步走：安裝包->注冊組件->注冊中間件；jwt集成使用如下：

通過以上簡單三步操作，已經將Jwt集成到項目中，接下來開始用它來保護我們的Api接口：

如上，通過簡單的在接口上增加[Authorize]特性就能保護起來啦，現在只能帶“身份證”才能玩了，那系統中得有一個頒發”身份證”的地方，供系統識別驗證，一般都會將其放在登錄接口的地方，當用戶驗證成功之后，就生成對應的Token給客戶端，客戶端拿著這個Token就可以當“身份證”來調用接口啦，看如下代碼：

這個錯誤應該是剛開始經常遇到的，必須要求密鑰是大于等于16個字符，否則就會失敗。修改密鑰長度如下：

然后運行，重新登錄獲取Token，如下圖：

可以看到，上面代碼中的公共信息部分應該提取到公共配置信息中，不然要改幾個地方，所以在程序開發過程中，小伙伴么盡量不要硬編碼，不然就等于給自己找維護工作。

Token已經生成了，那怎么用？現在Swagger不支持輸入Token，可以使用postman類似的工具進行接口測試，如下：

輸入Token，成功獲取信息：

Token的使用本質其實是在Header中增加了一個Authorization頭，如下圖：

Authorization中的值為Bearer+’ ‘+Token，中間一定要有一個空格。同理，前端調用API接口的時候也是在請求頭中增加Authorization即可。

拿到Token，就可以訪問受保護的API了，現在應該了解一下生成的Token是否和剛開始說的理論一樣，同時可以通過jwt官網進行解析查看具體內容：

通過官網解析看看內容：

通過上面得知，沒有經過業務加密的Token，是可以進行解析的，所以不建議把一些敏感信息放在Payload中。但是對于認證來說是安全，因為校驗簽名是需要密鑰的，而密鑰是存在服務器端，一般人肯定是不知道的。

對于Token的過期，有一個點，即過期滑動時間，如果不設置，默認是五分鐘，即當設置Token有效期到期時，不會馬上失效，而是再過五分鐘才失效，如下例：

過了幾分鐘后還是沒有過期，如下：

過六分之后，再訪問，發現Token才失效，如果覺得過期滑動時間不滿足需求，可以進行設置，如下：

這里運行效果就不截圖了，小伙伴試試吧?。?！?這里關于Jwt的集成先說這么多，肯定是沒有說完的，還有權限驗證那塊，單獨整理一篇說吧，內容也不少。

Swagger小擴展

既然都用到Swagger，肯定是希望在Swagger上直接測試，來來來，繼續往下看看↓↓↓

在注冊Swagger組件時進行相關配置：

運行結果如下：

點擊小鎖，彈出框可進行Token輸入：

輸入Token授權之后就可以調用保護的接口，可以很方便的進行測試，這里就不截圖演示了，小伙伴們動手試試吧。

附加知識點：

由于SecurityRequirementsOperationFilter默認將securitySchemaName?設置為”oauth2″，所以在Swagger中加入描述的時候需要指定第一個參數為”oauth2″，源碼如下：

也可以換成其他方式，參照實現的方式2，兩種方式差不多，如下圖：

注意點：

• 生成Token時的密鑰大于或等于16個字符；
• 生成的Token中默認不加密，敏感信息不要放入其中，如果有需要，可以將Token進行加密；
• Token傳輸如果是外網，建議用Https，防止中途被攔截；
• Token防止泄露，可以將有效期設置短一點；

總結

關于權限的驗證單獨再整理一篇分享，這里就先到這吧；旅游或回家的小伙伴們應該都回到自己的住處了吧，好好休息休息，又要開始擼碼啦。

文章轉自微信公眾號@Code綜藝圈