JwtPermission

基于token验证的Java Web权限控制框架，使用jjwt，支持redis和db多种存储方式，支持统一身份认证（单点登录）功能，可用于前后端分离项目，功能完善、使用简单、易于扩展。

支持与SpringBoot集成，与SpringMvc的集成。

为什么要开发JwtPermission：

??在平常工作中一直使用shiro作为权限框架框架，主要做管理平台之类的项目，项目是前后端不分离的，但是很多项目都会有APP、公众号、小程序之类的，我们的主要功能在Web上，APP、公众号、小程序只是占了极小一部分的功能，整个项目也不是大型项目，人手也有限，所以整个项目只做了一个工程，对移动端的接口又需要使用基于token的RESTful风格，所以开发了JwtPermission权限框架，可以跟shiro共存于一个工程中，shiro排除拦截/api/开头的路径，JwtPermission只拦截/api/开头的路径，互不影响，整个项目一个工程也方便上线部署、后期维护，因为是外包项目，一个项目最多两个月就结束了，没有重大线上bug及改动是不会再管的了。

应用场景：

• (1) 作为移动应用的接口权限控制 ，如果你的Web项目的权限框架是前后端不分离的(基于session)，同时又需要对移动端、开放接口等提供RESTful接口及token权限控制，可将JwtPermission很方便的集成在你的项目中，只用于对接口进行权限控制及token签发等。
• (2) 用于前后端分离项目的权限控制，在前后端分离的项目中使用像shiro这类基于session的权限框架是不合适的，当然网上有很多shiro集成jwt的文章，个人感觉对shiro的改造太大了，最好是使用oauth2.0、spring security-oauth2这样的权限框架，但是security的学习成本还是比较高的，oauth2适合做微服务之类的大型项目，如果你的项目是小型项目、单体项目，可以尝试用JwtPermission作为你的权限控制框架，简单、灵活、极易上手。

集成

与SpringBoot集成：

1.导入

<dependency>
  <groupId>com.github.whvcse</groupId>
  <artifactId>jwtp-spring-boot-starter</artifactId>
  <version>3.1.1</version>
</dependency>

2.加注解

在Application启动类上面加入@EnableJwtPermission注解。

3.配置

## 0是 redisTokenStore ，1是 jdbcTokenStore ，默认是0
jwtp.store-type=0

## 拦截路径，默认是/**
jwtp.path=/**

## 排除拦截路径，默认无
jwtp.exclude-path=/login

## 单个用户最大token数，默认-1不限制
jwtp.max-token=10

## url自动对应权限方式，0 简易模式，1 RESTful模式
# jwtp.url-perm-type=0

## 自定义查询用户权限的sql
# jwtp.find-permissions-sql=SELECT authority FROM sys_user_authorities WHERE user_id = ?

## 自定义查询用户角色的sql
# jwtp.find-roles-sql=SELECT role_id FROM sys_user_role WHERE user_id = ?

## 日志级别设置debug可以输出详细信息
logging.level.org.wf.jwtp=DEBUG

如果使用jdbcTokenStore需要导入框架提供的sql脚本，如果使用redisTokenStore，需要集成好redis

登录签发token

@RestController
public class LoginController {
    @Autowired
    private TokenStore tokenStore;
    
    @PostMapping("/token")
    public Map token(String account, String password) {
        // 你的验证逻辑
        // ......
        // 签发token
        Token token = tokenStore.createNewToken(userId, permissions, roles, expire);
        System.out.println("access_token：" + token.getAccessToken());
    }
}

createNewToken方法参数说明：

• userId ?????? token载体，建议为用户id
• permissions ???? 权限列表
• roles ??????? 角色列表
• expire ?????? token过期时间(单位秒)

使用注解或代码限制权限

1.使用注解的方式：

// 需要有system权限才能访问
@RequiresPermissions("system")

// 需要有system和front权限才能访问,logical可以不写,默认是AND
@RequiresPermissions(value={"system","front"}, logical=Logical.AND)

// 需要有system或front权限才能访问
@RequiresPermissions(value={"system","front"}, logical=Logical.OR)

// 需要有admin或user角色才能访问
@RequiresRoles(value={"admin","user"}, logical=Logical.OR)

注解加在Controller的方法或类上面。

2.使用代码的方式：

//是否有system权限
SubjectUtil.hasPermission(request, "system");

//是否有system或者front权限
SubjectUtil.hasPermission(request, new String[]{"system","front"}, Logical.OR);

//是否有admin或者user角色
SubjectUtil.hasRole(request, new String[]{"admin","user"}, Logical.OR)

异常处理

JwtPermistion在token验证失败和没有权限的时候会抛出异常：

异常 描述 错误信息 ErrorTokenException token验证失败 错误信息“身份验证失败”，错误码401 ExpiredTokenException token已经过期 错误信息“登录已过期”，错误码402 UnauthorizedException 没有权限 错误信息“没有访问权限”，错误码403

建议使用异常处理器来捕获异常并返回json数据：

@ControllerAdvice
public class ExceptionHandler {

   @ResponseBody
   @ExceptionHandler(Exception.class)
   public Map<String, Object> errorHandler(Exception ex) {
       Map<String, Object> map = new HashMap<>();
       // 根据不同错误获取错误信息
       if (ex instanceof TokenException) {
           map.put("code", ((TokenException) ex).getCode());
           map.put("msg", ex.getMessage());
       } else {
           map.put("code", 500);
           map.put("msg", ex.getMessage());
           ex.printStackTrace();
       }
       return map;
   }
}

更多用法

1.使用注解忽略验证

在Controller的方法或类上面添加@Ignore注解可排除框架拦截，即表示调用接口不用传递access_token了。

2.自定义查询角色和权限的sql

如果是在签发token的时候指定权限和角色，不重新获取token，不主动更新权限，权限和角色不会实时更新， 可以配置自定义查询角色和权限的sql来实时查询用户的权限和角色：

## 自定义查询用户权限的sql
jwtp.find-permissions-sql=SELECT authority FROM sys_user_authorities WHERE user_id = ?

## 自定义查询用户角色的sql
jwtp.find-roles-sql=SELECT role_id FROM sys_user_role WHERE user_id = ?

3.url自动匹配权限

如果不想每个接口都加@RequiresPermissions注解来控制权限，可以配置url自动匹配权限：

## url自动对应权限方式，0 简易模式，1 RESTful模式
jwtp.url-perm-type=0

RESTful模式(请求方式:url)：post:/api/login

简易模式(url)：/api/login

配置了自动匹配也可以同时使用注解，注解优先级高于自动匹配，你还可以借助Swagger自动扫描所有接口生成权限到数据库权限表中

4.获取当前的用户信息

// 正常可以这样获取
Token token = SubjectUtil.getToken(request);

// 对于排除拦截的接口可以这样获取
Token token = SubjectUtil.parseToken(request);

5.主动让token失效：

// 移除用户的某个token
tokenStore.removeToken(userId, access_token);

// 移除用户的全部token
tokenStore.removeTokensByUserId(userId);

6.更新角色和权限列表

修改了用户的角色和权限需要同步更新框架中的角色和权限：

// 更新用户的角色列表
tokenStore.updateRolesByUserId(userId, roles);

// 更新用户的权限列表
tokenStore.updatePermissionsByUserId(userId, permissions);

前端传递token

放在参数里面用access_token传递：

$.get("/xxx", { access_token: token }, function(data) {

});

放在header里面用Authorization、Bearer传递：

$.ajax({
   url: "/xxx", 
   beforeSend: function(xhr) {
       xhr.setRequestHeader("Authorization", 'Bearer '+ token);
   },
   success: function(data){ }
});

源码地址：https://gitee.com/whvse/JwtPermission

开发文档：https://gitee.com/whvse/JwtPermission/wikis/pages