2. 程式人生 > 程式設計 >SpringBoot使用token簡單鑑權

SpringBoot使用token簡單鑑權

阿新 發佈:2019-12-31

本文使用SpringBoot結合Redis進行簡單的token鑑權。

image

1.簡介

剛剛換了公司,所以最近有些忙碌,所以一直沒有什麼產出,最近朋友問我登入相關的,所以這裡先寫一篇簡單使用token鑑權的文章,後續會補充一些高階的,所以如果感覺這篇文章簡單,可以直接繞行,言歸正傳,現在一般系統都進行了前後端分離,為了保證一定的安全性,現在很流行使用token來進行會話的驗證,一般流程如下:

  1. 使用者登入請求登入介面時,驗證使用者名稱密碼等,驗證成功會返回給前端一個token,這個token就是之後鑑權的唯一憑證。
  2. 後臺可能將token儲存在redis或者資料庫中。
  3. 之後前端的請求,需要在header中攜帶token,後端取出token去redis或者資料庫中進行驗證,如果驗證通過則放行,如果不通過則拒絕操作。

當然,如上的說法只是簡單的實現,實質上還有很多需要優化的地方。

2.具體實現

2.1 工程結構

本文工程結構如下:

image

其中:

  • config:用於配置攔截器
  • controller:這裡只編寫了LoginController(用於登入和登出)和TestController(用於測試未登入效果)
  • interceptor:編寫攔截器程式碼
  • service:只寫了操作redis的程式碼和登入相關的程式碼

2.2 程式碼實現

本文使用redis儲存token資訊,使用者只是建立了一個固定的使用者,在pom中加入相關依賴,完整內容如下:

<?xml version="1.0" encoding="UTF-8"
 
?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.2.0.RELEASE</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	<groupId>com.dalaoyang</groupId>
	<artifactId>springboot2_redis_login</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<name>springboot2_redis_login</name>
	<description>springboot2_redis_login</description>

	<properties>
		<java.version>1.8</java.version>
	</properties>

	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-data-redis</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-devtools</artifactId>
			<scope>runtime</scope>
			<optional>true
 
</optional>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
			<exclusions>
				<exclusion>
					<groupId>org.junit.vintage</groupId>
					<artifactId>junit-vintage-engine</artifactId>
				</exclusion>
			</exclusions>
		</dependency>
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>

</project>
複製程式碼

配置檔案中配置對應的redis資訊,如下:

server.port=8888
##redis配置
spring.redis.host=localhost
spring.redis.port=6379
複製程式碼

接下來編寫redis相關操作,本文示例只需要使用到get,set和delete操作,都是簡單的使用RedisTemplate,RedisService內容如下:

package com.dalaoyang.service;

import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.data.redis.serializer.RedisSerializer;
import org.springframework.data.redis.serializer.StringRedisSerializer;
import org.springframework.stereotype.Service;

import javax.annotation.Resource;

@Service
public class RedisService {
    @Resource
    private RedisTemplate<String,Object> redisTemplate;

    public void set(String key,Object value) {
        //更改在redis裡面檢視key編碼問題
        RedisSerializer redisSerializer =new StringRedisSerializer();
        redisTemplate.setKeySerializer(redisSerializer);
        ValueOperations<String,Object> vo = redisTemplate.opsForValue();
        vo.set(key,value);
    }

    public Object get(String key) {
        ValueOperations<String,Object> vo = redisTemplate.opsForValue();
        return vo.get(key);
    }

    public Boolean delete(String key) {
        return redisTemplate.delete(key);
    }
}
複製程式碼

LoginService只是進行登入和登出操作,其中登入就是先判斷使用者名稱密碼是否正確,如果正確,那麼會生成一個字串做為token(本文中使用uuid),並且做為返回值,密碼錯誤則提示錯誤。登出實質就是刪除redis中token的快取,完整內容如下:

package com.dalaoyang.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import javax.servlet.http.HttpServletRequest;
import java.util.Objects;
import java.util.UUID;

@Service
public class LoginService {

    @Autowired
    private RedisService redisService;

    public String login(String username,String password) {
        if (Objects.equals("dalaoyang",username) &&
                Objects.equals("123",password)) {
            String token = UUID.randomUUID().toString();
            redisService.set(token,username);
            return "使用者:" + username + "登入成功,token是:" + token;
        } else {
            return "使用者名稱或密碼錯誤,登入失敗!";
        }
    }

    public String logout(HttpServletRequest request) {
        String token = request.getHeader("token");
        Boolean delete = redisService.delete(token);
        if (!delete) {
            return "登出失敗,請檢查是否登入!";
        }
        return "登出成功!";
    }
}
複製程式碼

LoginController內容很簡單,只是對LoginService的簡單呼叫,如下:

package com.dalaoyang.controller;


import com.dalaoyang.service.LoginService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;

@RestController
@RequestMapping("/login")
public class LoginController {

    @Autowired
    private LoginService loginService;

    @GetMapping({"/",""})
    public String login(String username,String password) {
        return loginService.login(username,password);
    }

    @GetMapping("/logout")
    public String logout(HttpServletRequest request) {
        return loginService.logout(request);
    }
}
複製程式碼

TestController中只是寫了一個簡單返回字串的介面,如下:

package com.dalaoyang.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
public class TestController {

    @GetMapping({"/",""})
    public String dosomething() {
        return "dosomething";
    }
}
複製程式碼

接下來是攔截器,攔截器中需要取出header中的token,然後去redis中進行判斷,如果存在,則允許操作,則返回提示資訊,內容如下:

package com.dalaoyang.interceptor;

import com.dalaoyang.service.RedisService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Objects;

public class AuthInterceptor implements HandlerInterceptor {

    @Autowired
    private RedisService redisService;

    @Override
    public boolean preHandle(HttpServletRequest request,HttpServletResponse response,Object handler) throws Exception {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/html;charset=utf-8");
        String token = request.getHeader("token");
        if (StringUtils.isEmpty(token)) {
            response.getWriter().print("使用者未登入,請登入後操作!");
            return false;
        }
        Object loginStatus = redisService.get(token);
        if( Objects.isNull(loginStatus)){
            response.getWriter().print("token錯誤,請檢視!");
            return false;
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request,Object handler,ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request,Exception ex) throws Exception {

    }
}

複製程式碼

最後配置一下攔截器,由於攔截器中使用了RedisService,所以這裡需要使用如下方式注入攔截器,內容如下:

package com.dalaoyang.config;

import com.dalaoyang.interceptor.AuthInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class AuthConfig implements WebMvcConfigurer {

    @Bean
    public AuthInterceptor initAuthInterceptor(){
        return new AuthInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(initAuthInterceptor()).addPathPatterns("/test/**").excludePathPatterns("/login/**");
    }

}
複製程式碼

內容到這裡就已經完成了。

3.測試

可以使用如下步驟進行簡單測試:

  1. 首先在瀏覽器訪問:http://localhost:8888/test,可以看到提示

使用者未登入,請登入後操作!

  1. 在使用錯誤密碼瀏覽器訪問:http://localhost:8888/login?username=dalaoyang&password=1,看到提示

使用者名稱或密碼錯誤,登入失敗!

  1. 在瀏覽器使用使用者名稱密碼訪問:http://localhost:8888/login?username=dalaoyang&password=123,看到提示

使用者:dalaoyang登入成功,token是:02fdd2bd-1669-48b9-b51b-1e724f97688f

  1. 使用http工具,如postman等,將token放入header中,請求:http://localhost:8888/test,看到提示,請求成功。

dosomething

4.擴充套件點

本文只是簡單對token使用做了一個樣例,並不適用於生產環境,有很多地方是可以擴充套件的,比如:

  1. 本文redis值儲存的只是username,而且並沒有利用,實際情況可以儲存使用者資訊等。
  2. 可以擴充套件使用jwt進行token管理。
  3. 可以放行幾個固定的token用作內部介面呼叫等。
  4. 注意token的生成規則,不要有規律讓別人利用。

5.原始碼

原始碼地址:gitee.com/dalaoyang/s…

相關推薦

SpringBoot使用token簡單

本文使用SpringBoot結合Redis進行簡單的token鑑權。 1.簡介 剛剛換了公司,所以最近有些忙碌,所以一直沒有什麼產出,最近朋友問我登入相關的,所以這裡先寫一篇簡單使用token鑑權的文章,後續會補充一些高階的,

SpringBoot使用token簡單的具體實現方法

本文使用SpringBoot結合Redis進行簡單的token鑑權。 1.簡介 剛剛換了公司,所以最近有些忙碌,所以一直沒有什麼產出,最近朋友問我登入相關的,所以這裡先寫一篇簡單使用token鑑權的文章,後續會補充一些高階的,所

Node使用koa2實現一個簡單JWT的方法

JWT 簡介 什麼是 JWT 全稱 JSON Web Token , 是目前最流行的跨域認證解決方案。基本的實現是服務端認證後,生成一個 JSON 物件,發回給使用者。使用者與服務端通訊的時候,都要發回這個 JSON 物件。

手把手教你用Java實現一套簡單服務

前言 時遇javaEE作業,題目要求寫個簡單web登入程式,按照老師的意思是用servlet、jsp和jdbc完成。本著要麼不做,要做就要做好的原則,我開始著手完成此次作業(其實也是寫實訓作業的使用者鑑權部分),而之前寫專案

一套簡單的登入、工具

  前言   無論是SpringSecruity、Shiro,對於一些小專案來說都太過複雜,有些情況下我們就想使用簡單的登入、功能,本文記錄手寫一套簡單的登入、工具

理解JWT的應用場景及使用建議

作者:maotou叔叔 cnblogs.com/mantoudev/p/8994341.html 1. JWT 介紹 JSON Web Token(JWT)是一個開放式標準(RFC 7519),它定義了一種緊湊(Compact)且自包含(Self-contained)的方式,用於在各方之間以JSON

SpringSecurity動態載入使用者角色許可權實現登入及功能

很多人覺得Spring Security實現登入驗證很難,我最開始學習的時候也這樣覺得。因為我好久都沒看懂我該怎麼樣將自己寫的用於接收使用者名稱密碼的Controller與Spring Security結合使用,這是一個先入為主的誤區。後來

關於Mongodb 認證你需要知道的一些事

前言 本文主要給大家介紹了Mongodb認證的一些相關內容,通過設定認證會對大家的mongodb安全進一步的保障,下面話不多說了,來一起看看詳細的介紹吧。

SpringCloud Zuul過濾器實現登陸程式碼例項

1.新建一個filter‘包 2.新建一個類,實現ZuulFilter,重寫裡面的方法 3.在頂部類添加註解,@Component,讓Spring掃描

SpringBoot整合SpringSecurity和JWT做登陸的實現

廢話 目前流行的前後端分離讓Java程式設計師可以更加專注的做好後臺業務邏輯的功能實現,提供如返回Json格式的資料介面就可以。SpringBoot的易用性和對其他框架的高度整合,用來快速開發一個小型應用是最佳的選擇。

Api介面登入的方案

Api介面登入的鑑權方案web登入和前後端分離方式的登入是不一樣的,web登入成功主要靠的session,一但登入成功後客戶端就會儲存一個session_id,這樣以後每次使用者訪問網頁都會帶著session_id,這樣就能取得存放在服務

SpringBoot整合Spring Security用JWT令牌實現登入和的方法

最近在做專案的過程中 需要用JWT做登入和 查了很多資料 都不甚詳細 有的是需要在application.yml裡進行jwt的配置 但我在導包後並沒有相應的配置項 因而並不適用

一口氣說出 OAuth2.0 的四種方式,面試官會高看一眼

本文收錄在個人部落格:www.chengxy-nds.top,技術資源共享,一起進步 上週我的自研開源專案開始破土動工了,《開源專案邁出第一步,10 選 1?頁面模板成了第一個絆腳石

SpringSecurity動態流程解析 | 部落格園新人第二彈

如果不能談情說愛,我們可以自憐自愛。 楔子 上一篇文我們講過了SpringSecurity的認證流程,相信大家認真讀過了之後一定會對SpringSecurity的認證流程已經明白個七八分了,本期是我們如約而至的動態鑑權篇,看這篇

手把手教會你小程式登入

導語 為了方便小程式應用使用微信登入態進行授權登入,微信小程式提供了登入授權的開放介面。乍一看文件,感覺文件上講的非常有道理,但是實現起來又真的是摸不著頭腦,不知道如何管理和維護登入態。本文就來手把手

使用React-Router實現前端路由的示例程式碼

React-Router 是React生態裡面很重要的一環,現在React的單頁應用的路由基本都是前端自己管理的,而不像以前是後端路由,React管理路由的庫常用的就是就是 React-Router 。本文想寫一下 React-Router 的使用,但是光

nginx+php 對靜態檔案(ueditor)進行

假設靜態檔案路徑為 127.0.0.1/ueditor/upload/image/202007/1596088338482109.png 建立ueditor的軟連結

python介面自動化(十九) 簽名(signature)(authentication)之加密(HEX,MD5,HMAC-SHA256)

前言 開放的介面為了避免被別人亂呼叫,浪費伺服器資源,這就涉及到簽名(Signature)加密了

深入理解k8s中的訪問控制(認證、、審計)流程

Kubernetes自身並沒有使用者管理能力,無法像操作Pod一樣,通過API的方式建立/刪除一個使用者例項,也無法在etcd中找到使用者對應的儲存物件。

介面測試中的cookie和token

  在講今天的內容之前,我們應該先了解一些基本的基礎知識,要不然,突然講,可能有點懵,聽不太懂,所以,我會先把基礎的東西先梳理一遍