SpringBoot使用token簡單鑑權的具體實現方法
阿新 • • 發佈:2020-01-07
本文使用SpringBoot結合Redis進行簡單的token鑑權。
1.簡介
剛剛換了公司,所以最近有些忙碌,所以一直沒有什麼產出,最近朋友問我登入相關的,所以這裡先寫一篇簡單使用token鑑權的文章,後續會補充一些高階的,所以如果感覺這篇文章簡單,可以直接繞行,言歸正傳,現在一般系統都進行了前後端分離,為了保證一定的安全性,現在很流行使用token來進行會話的驗證,一般流程如下:
- 使用者登入請求登入介面時,驗證使用者名稱密碼等,驗證成功會返回給前端一個token,這個token就是之後鑑權的唯一憑證。
- 後臺可能將token儲存在redis或者資料庫中。
- 之後前端的請求,需要在header中攜帶token,後端取出token去redis或者資料庫中進行驗證,如果驗證通過則放行,如果不通過則拒絕操作。
當然,如上的說法只是簡單的實現,實質上還有很多需要優化的地方。
2.具體實現
2.1 工程結構
本文工程結構如下:
其中:
- config:用於配置攔截器
- controller:這裡只編寫了LoginController(用於登入和登出)和TestController(用於測試未登入效果)
- interceptor:編寫攔截器程式碼
- service:只寫了操作redis的程式碼和登入相關的程式碼
2.2 程式碼實現
本文使用redis儲存token資訊,使用者只是建立了一個固定的使用者,在pom中加入相關依賴,完整內容如下:
<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.2.0.RELEASE</version> <relativePath/> <!-- lookup parent from repository --> </parent> <groupId>com.dalaoyang</groupId> <artifactId>springboot2_redis_login</artifactId> <version>0.0.1-SNAPSHOT</version> <name>springboot2_redis_login</name> <description>springboot2_redis_login</description> <properties> <java.version>1.8</java.version> </properties> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-devtools</artifactId> <scope>runtime</scope> <optional>true</optional> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> <exclusions> <exclusion> <groupId>org.junit.vintage</groupId> <artifactId>junit-vintage-engine</artifactId> </exclusion> </exclusions> </dependency> </dependencies> <build> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> </plugins> </build> </project>
配置檔案中配置對應的redis資訊,如下:
server.port=8888 ##redis配置 spring.redis.host=localhost spring.redis.port=6379
接下來編寫redis相關操作,本文示例只需要使用到get,set和delete操作,都是簡單的使用RedisTemplate,RedisService內容如下:
package com.dalaoyang.service;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.data.redis.serializer.RedisSerializer;
import org.springframework.data.redis.serializer.StringRedisSerializer;
import org.springframework.stereotype.Service;
import javax.annotation.Resource;
@Service
public class RedisService {
@Resource
private RedisTemplate<String,Object> redisTemplate;
public void set(String key,Object value) {
//更改在redis裡面檢視key編碼問題
RedisSerializer redisSerializer =new StringRedisSerializer();
redisTemplate.setKeySerializer(redisSerializer);
ValueOperations<String,Object> vo = redisTemplate.opsForValue();
vo.set(key,value);
}
public Object get(String key) {
ValueOperations<String,Object> vo = redisTemplate.opsForValue();
return vo.get(key);
}
public Boolean delete(String key) {
return redisTemplate.delete(key);
}
}LoginService只是進行登入和登出操作,其中登入就是先判斷使用者名稱密碼是否正確,如果正確,那麼會生成一個字串做為token(本文中使用uuid),並且做為返回值,密碼錯誤則提示錯誤。登出實質就是刪除redis中token的快取,完整內容如下:
package com.dalaoyang.service;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import javax.servlet.http.HttpServletRequest;
import java.util.Objects;
import java.util.UUID;
@Service
public class LoginService {
@Autowired
private RedisService redisService;
public String login(String username,String password) {
if (Objects.equals("dalaoyang",username) &&
Objects.equals("123",password)) {
String token = UUID.randomUUID().toString();
redisService.set(token,username);
return "使用者:" + username + "登入成功,token是:" + token;
} else {
return "使用者名稱或密碼錯誤,登入失敗!";
}
}
public String logout(HttpServletRequest request) {
String token = request.getHeader("token");
Boolean delete = redisService.delete(token);
if (!delete) {
return "登出失敗,請檢查是否登入!";
}
return "登出成功!";
}
}
LoginController內容很簡單,只是對LoginService的簡單呼叫,如下:
package com.dalaoyang.controller;
import com.dalaoyang.service.LoginService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import javax.servlet.http.HttpServletRequest;
@RestController
@RequestMapping("/login")
public class LoginController {
@Autowired
private LoginService loginService;
@GetMapping({"/",""})
public String login(String username,String password) {
return loginService.login(username,password);
}
@GetMapping("/logout")
public String logout(HttpServletRequest request) {
return loginService.logout(request);
}
}
TestController中只是寫了一個簡單返回字串的介面,如下:
package com.dalaoyang.controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("/test")
public class TestController {
@GetMapping({"/",""})
public String dosomething() {
return "dosomething";
}
}
接下來是攔截器,攔截器中需要取出header中的token,然後去redis中進行判斷,如果存在,則允許操作,則返回提示資訊,內容如下:
package com.dalaoyang.interceptor;
import com.dalaoyang.service.RedisService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Objects;
public class AuthInterceptor implements HandlerInterceptor {
@Autowired
private RedisService redisService;
@Override
public boolean preHandle(HttpServletRequest request,HttpServletResponse response,Object handler) throws Exception {
response.setCharacterEncoding("UTF-8");
response.setContentType("text/html;charset=utf-8");
String token = request.getHeader("token");
if (StringUtils.isEmpty(token)) {
response.getWriter().print("使用者未登入,請登入後操作!");
return false;
}
Object loginStatus = redisService.get(token);
if( Objects.isNull(loginStatus)){
response.getWriter().print("token錯誤,請檢視!");
return false;
}
return true;
}
@Override
public void postHandle(HttpServletRequest request,Object handler,ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request,Exception ex) throws Exception {
}
}
最後配置一下攔截器,由於攔截器中使用了RedisService,所以這裡需要使用如下方式注入攔截器,內容如下:
package com.dalaoyang.config;
import com.dalaoyang.interceptor.AuthInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class AuthConfig implements WebMvcConfigurer {
@Bean
public AuthInterceptor initAuthInterceptor(){
return new AuthInterceptor();
}
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(initAuthInterceptor()).addPathPatterns("/test/**").excludePathPatterns("/login/**");
}
}
內容到這裡就已經完成了。
3.測試
可以使用如下步驟進行簡單測試:
首先在瀏覽器訪問:http://localhost:8888/test,可以看到提示
使用者未登入,請登入後操作!
在使用錯誤密碼瀏覽器訪問:http://localhost:8888/login?username=dalaoyang&password=1,看到提示
使用者名稱或密碼錯誤,登入失敗!
在瀏覽器使用使用者名稱密碼訪問:http://localhost:8888/login?username=dalaoyang&password=123,看到提示
使用者:dalaoyang登入成功,token是:02fdd2bd-1669-48b9-b51b-1e724f97688f
使用http工具,如postman等,將token放入header中,請求:http://localhost:8888/test,看到提示,請求成功。
dosomething
4.擴充套件點
本文只是簡單對token使用做了一個樣例,並不適用於生產環境,有很多地方是可以擴充套件的,比如:
- 本文redis值儲存的只是username,而且並沒有利用,實際情況可以儲存使用者資訊等。
- 可以擴充套件使用jwt進行token管理。
- 可以放行幾個固定的token用作內部介面呼叫等。
- 注意token的生成規則,不要有規律讓別人利用。
5.原始碼
原始碼地址:https://gitee.com/dalaoyang/springboot_learn/tree/master/springboot2_redis_login
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支援我們。