JwtPermission

基于token验证的Java Web权限控制框架，使用jjwt，支持redis和db多种存储方式，支持统一身份认证（单点登录）功能，可用于前后端分离项目，功能完善、使用简单、易于扩展。

支持与SpringBoot集成，与SpringMvc的集成。

为什么要开发JwtPermission：

  在平常工作中一直使用shiro作为权限框架框架，主要做管理平台之类的项目，项目是前后端不分离的，但是很多项目都会有APP、公众号、小程序之类的，我们的主要功能在Web上，APP、公众号、小程序只是占了极小一部分的功能，整个项目也不是大型项目，人手也有限，所以整个项目只做了一个工程，对移动端的接口又需要使用基于token的RESTful风格，所以开发了JwtPermission权限框架，可以跟shiro共存于一个工程中，shiro排除拦截/api/开头的路径，JwtPermission只拦截/api/开头的路径，互不影响，整个项目一个工程也方便上线部署、后期维护，因为是外包项目，一个项目最多两个月就结束了，没有重大线上bug及改动是不会再管的了。

应用场景：(1) 作为移动应用的接口权限控制 ，如果你的Web项目的权限框架是前后端不分离的(基于session)，同时又需要对移动端、开放接口等提供RESTful接口及token权限控制，可将JwtPermission很方便的集成在你的项目中，只用于对接口进行权限控制及token签发等。(2) 用于前后端分离项目的权限控制，在前后端分离的项目中使用像shiro这类基于session的权限框架是不合适的，当然网上有很多shiro集成jwt的文章，个人感觉对shiro的改造太大了，最好是使用oauth2.0、spring security-oauth2这样的权限框架，但是security的学习成本还是比较高的，oauth2适合做微服务之类的大型项目，如果你的项目是小型项目、单体项目，可以尝试用JwtPermission作为你的权限控制框架，简单、灵活、极易上手。集成

与SpringBoot集成：

1.导入

<dependency>  <groupId>com.github.whvcse</groupId>  <artifactId>jwtp-spring-boot-starter</artifactId>  <version>3.1.1</version></dependency>

在Application启动类上面加入@EnableJwtPermission注解。

3.配置

## 0是 redisTokenStore ，1是 jdbcTokenStore ，默认是0jwtp.store-type=0## 拦截路径，默认是/**jwtp.path=/**## 排除拦截路径，默认无jwtp.exclude-path=/login## 单个用户最大token数，默认-1不限制jwtp.max-token=10## url自动对应权限方式，0 简易模式，1 RESTful模式# jwtp.url-perm-type=0## 自定义查询用户权限的sql# jwtp.find-permissions-sql=SELECT authority FROM sys_user_authorities WHERE user_id = ?## 自定义查询用户角色的sql# jwtp.find-roles-sql=SELECT role_id FROM sys_user_role WHERE user_id = ?## 日志级别设置debug可以输出详细信息logging.level.org.wf.jwtp=DEBUG

如果使用jdbcTokenStore需要导入框架提供的sql脚本，如果使用redisTokenStore，需要集成好redis

登录签发token

@RestControllerpublic class LoginController {    @Autowired    private TokenStore tokenStore;        @PostMapping("/token")    public Map token(String account, String password) {        // 你的验证逻辑        // ......        // 签发token        Token token = tokenStore.createNewToken(userId, permissions, roles, expire);        System.out.println("access_token：" + token.getAccessToken());    }}

createNewToken方法参数说明：

userId        token载体，建议为用户idpermissions      权限列表roles         角色列表expire        token过期时间(单位秒)

使用注解或代码限制权限

1.使用注解的方式：

// 需要有system权限才能访问@RequiresPermissions("system")// 需要有system和front权限才能访问,logical可以不写,默认是AND@RequiresPermissions(value={"system","front"}, logical=Logical.AND)// 需要有system或front权限才能访问@RequiresPermissions(value={"system","front"}, logical=Logical.OR)// 需要有admin或user角色才能访问@RequiresRoles(value={"admin","user"}, logical=Logical.OR)

注解加在Controller的方法或类上面。

2.使用代码的方式：

//是否有system权限SubjectUtil.hasPermission(request, "system");//是否有system或者front权限SubjectUtil.hasPermission(request, new String[]{"system","front"}, Logical.OR);//是否有admin或者user角色SubjectUtil.hasRole(request, new String[]{"admin","user"}, Logical.OR)

异常处理

JwtPermistion在token验证失败和没有权限的时候会抛出异常：

异常 描述 错误信息 ErrorTokenException token验证失败 错误信息“身份验证失败”，错误码401 ExpiredTokenException token已经过期 错误信息“登录已过期”，错误码402 UnauthorizedException 没有权限 错误信息“没有访问权限”，错误码403

建议使用异常处理器来捕获异常并返回json数据：

@ControllerAdvicepublic class ExceptionHandler {   @ResponseBody   @ExceptionHandler(Exception.class)   public Map<String, Object> errorHandler(Exception ex) {       Map<String, Object> map = new HashMap<>();       // 根据不同错误获取错误信息       if (ex instanceof TokenException) {           map.put("code", ((TokenException) ex).getCode());           map.put("msg", ex.getMessage());       } else {           map.put("code", 500);           map.put("msg", ex.getMessage());           ex.printStackTrace();       }       return map;   }}

更多用法

1.使用注解忽略验证

在Controller的方法或类上面添加@Ignore注解可排除框架拦截，即表示调用接口不用传递access_token了。

2.自定义查询角色和权限的sql

如果是在签发token的时候指定权限和角色，不重新获取token，不主动更新权限，权限和角色不会实时更新， 可以配置自定义查询角色和权限的sql来实时查询用户的权限和角色：

## 自定义查询用户权限的sqljwtp.find-permissions-sql=SELECT authority FROM sys_user_authorities WHERE user_id = ?## 自定义查询用户角色的sqljwtp.find-roles-sql=SELECT role_id FROM sys_user_role WHERE user_id = ?

如果不想每个接口都加@RequiresPermissions注解来控制权限，可以配置url自动匹配权限：

## url自动对应权限方式，0 简易模式，1 RESTful模式jwtp.url-perm-type=0

RESTful模式(请求方式:url)：post:/api/login

简易模式(url)：/api/login

配置了自动匹配也可以同时使用注解，注解优先级高于自动匹配，你还可以借助Swagger自动扫描所有接口生成权限到数据库权限表中

4.获取当前的用户信息

// 正常可以这样获取Token token = SubjectUtil.getToken(request);// 对于排除拦截的接口可以这样获取Token token = SubjectUtil.parseToken(request);

5.主动让token失效：

// 移除用户的某个tokentokenStore.removeToken(userId, access_token);// 移除用户的全部tokentokenStore.removeTokensByUserId(userId);

6.更新角色和权限列表

修改了用户的角色和权限需要同步更新框架中的角色和权限：

// 更新用户的角色列表tokenStore.updateRolesByUserId(userId, roles);// 更新用户的权限列表tokenStore.updatePermissionsByUserId(userId, permissions);

前端传递token

放在参数里面用access_token传递：

$.get("/xxx", { access_token: token }, function(data) {});

放在header里面用Authorization、Bearer传递：

$.ajax({   url: "/xxx",    beforeSend: function(xhr) {       xhr.setRequestHeader("Authorization", 'Bearer '+ token);   },   success: function(data){ }});

源码地址：

开发文档：