Spring boot自定义JWT筛选器不允许任何没有令牌的请求

Spring Boot是一个用于创建独立的、基于Spring的应用程序的框架。JWT（JSON Web Token）是一种用于在网络应用间传递声明的基于JSON的开放标准。JWT筛选器用于在Spring Boot应用程序中自定义处理JWT令牌的验证和授权。

在Spring Boot中自定义JWT筛选器可以通过创建一个实现了OncePerRequestFilter接口的类来实现。该类需要重写doFilterInternal方法，该方法会在每个请求到达时被调用。在该方法中，可以获取请求头中的JWT令牌，并进行验证和授权操作。

以下是一个示例的JWT筛选器的代码：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class JwtTokenFilter extends OncePerRequestFilter {

    private final String secretKey;

    public JwtTokenFilter(String secretKey) {
        this.secretKey = secretKey;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
        try {
            String token = extractToken(request);
            if (token != null && validateToken(token)) {
                Authentication auth = getAuthentication(token);
                SecurityContextHolder.getContext().setAuthentication(auth);
            }
        } catch (SignatureException e) {
            // 处理令牌验证失败的情况
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            return;
        }

        chain.doFilter(request, response);
    }

    private String extractToken(HttpServletRequest request) {
        // 从请求头中获取JWT令牌
        String bearerToken = request.getHeader("Authorization");
        if (bearerToken != null && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7);
        }
        return null;
    }

    private boolean validateToken(String token) {
        // 验证JWT令牌的签名和有效期等信息
        // 这里可以使用第三方库如jjwt进行验证
        // 示例代码仅作为演示，实际使用中需要根据具体情况进行实现
        try {
            Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token);
            return true;
        } catch (Exception e) {
            return false;
        }
    }

    private Authentication getAuthentication(String token) {
        // 根据JWT令牌获取用户信息，并创建Authentication对象
        // 这里可以根据具体情况进行实现，例如从数据库中查询用户信息
        // 示例代码仅作为演示，实际使用中需要根据具体情况进行实现
        Claims claims = Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token).getBody();
        String username = claims.getSubject();
        // 创建用户认证对象
        // 示例代码仅作为演示，实际使用中需要根据具体情况进行实现
        return new JwtAuthentication(username);
    }
}

在上述代码中，secretKey是用于验证JWT令牌签名的密钥，需要根据实际情况进行配置。

使用自定义的JWT筛选器可以增加对没有令牌的请求的处理逻辑，例如返回未授权的错误信息或者重定向到登录页面。

关于JWT的更多信息，可以参考以下链接：